Forum: German
Topic: Zugriff von außerhalb auf SDL-Trados-Datenbanken im Heimnetzwerk
Poster: Tanja Lindenmaier
Post title: Sicherheit ist relativ
[quote]Rolf Keller wrote:
[quote]Tanja Lindenmaier wrote:
Es muss nicht unbedingt die einfachste Lösung sein, die Sicherheit ist uns am wichtigsten. [/quote]
Das ist immer ein Kompromiss zwischen Sicherheit, Kosten/Einrichtungsaufwand und Nutzungsfreundlichkeit. Nebenbei: Was mancher übersieht, ist, dass man auch Daten schützen muss, die gar nicht geheim sind, die man aber braucht. Wenn z. B. ein böser Bube das NAS verschlüsselt oder löscht ...
Wenn man ein VPN benutzt, sind alle, die draußen irgendwo an der Übertragungsstrecke lauschen wollen, ausgesperrt. Das halte ich für sicher, wenn kein externer Dienstleister beteiligt ist, wenn also der VPN-Tunnel in einem Stück von Ende zu Ende durchgeht. Gute Passwörter und richtiger Umgang mit denen setze ich dabei voraus.
Wenn jemand draußen nicht nur lauschen, sondern aktiv eindringen will, muss er irgendwie am VPN-Server vorbei kommen. Der VPN-Server sitzt entweder in der Fritzbox oder in einem der Rechner im LAN. Im zweiten Fall halte ich persönlich die Sicherheit für höher, weil man da zunächst an der Fritzbox vorbei muss – ist aber Ansichtssache.
Ich denke allerdings, dass die größte Gefahr gar nicht der zusätzliche externe Zugang zum LAN sein wird, sondern eine Gefahr, die schon jetzt besteht. Wenn heute über einen der Rechner im LAN eine Schadsoftware rein kommt oder wenn die Fritzbox vom Internet aus manipuliert wird, dann ist ohnehin die Tür offen. Dann erfolgt ja der weitere Angriff "von innen". Und von innen kann man viele Schutzmaßnahmen umgehen oder abschalten. Deswegen würde ich in einem ersten Schritt alles tun, um das LAN im jetzigen Zustand sicher zu machen. Vor allem muss das NAS maximal geschützt werden (sämtliche nicht benötigten Möglichkeiten und Protokolle abschalten, sämtliche vorhanden Sperren aktivieren – da bietet Synology ja so Einiges)
Bei mir wird das NAS nur für Backups genutzt und ist in der übrigen Zeit vom Strom getrennt. In der Fritzbox ist es über deren Firewall (Filter, Kindersicherung) rund um die Uhr vom Internet getrennt, aber das geht natürlich nicht, wenn externer Zugriff gewünscht ist. Da gibt es also einen Vorteil der Remote-Desktop-Lösung: Die braucht gar keine Verbindung vom NAS zum Internet.
[/quote]
Ja, sicherlich muss man immer Kompromisse schließen. Wir tun auch so viel wie möglich, um so wenig wie möglich Angriffsfläche zu bieten. Also: keine unnötig geöffneten Ports; alles abgeschaltet, was nicht benötigt wird; sichere Passwörter (und ich meine wirklich sichere Passwörter) etc. Die hundertprozentige Sicherheit gibt es nicht, dass ist uns auch klar, aber je mehr Lücken geschlossen werden, um so geringer das Risiko einer Infizierung oder was auch immer.
Ok, ich fasse mal das Bisherige zusammen, um zu sehen, ob ich alles kapiert habe:
VPN-Tunnel zwingend erforderlich, möglichst ohne externen Dienstleister. Also ist die momentane AVM-Lösung (ShrewSoft) nicht unbedingt zu empfehlen, aber auch nicht unbedingt VPN über Teamviewer, richtig? Die vermeintlich beste Lösung wäre, die in Windows 10 integrierten Möglichkeiten zu nutzen. Da wir auf den lokalen Rechnern im Heimnetz Windows 10 Prof installiert haben, dürfte das kein Problem sein. Auf dem Laptop ist zwar nur Windows 10 Home installiert, aber das dürfte in diesem Fall keine Rolle spielen.
Und zweitens: Der Remote-Zugriff scheint mir die bessere und sicherere Lösung zu sein als der Direktzugriff auf die NAS. Auch hier bietet MS Remote Desktop eine interne Lösung, die allerdings nicht einfach einzurichten ist, wenn ich das richtig verstanden habe. Gut, aber das wäre das geringste Problem, notfalls holen wir uns fachlichen "Beistand".
Die NAS-internen Möglichkeiten wie WebDAV oder, Cloud Station Drive, QuickConnect etc. klammere ich mal aus, da wir den Zugriff von außerhalb nur für die wenigen Fälle brauchen, in denen wir von unterwegs arbeiten. Und letzteres versuchen wir zu unterbinden, denn schließlich besteht das Leben auch noch aus anderen Dingen als der Arbeit...
Ich hoffe, meine Zusammenfassung ist zutreffend. (?!?)
Topic: Zugriff von außerhalb auf SDL-Trados-Datenbanken im Heimnetzwerk
Poster: Tanja Lindenmaier
Post title: Sicherheit ist relativ
[quote]Rolf Keller wrote:
[quote]Tanja Lindenmaier wrote:
Es muss nicht unbedingt die einfachste Lösung sein, die Sicherheit ist uns am wichtigsten. [/quote]
Das ist immer ein Kompromiss zwischen Sicherheit, Kosten/Einrichtungsaufwand und Nutzungsfreundlichkeit. Nebenbei: Was mancher übersieht, ist, dass man auch Daten schützen muss, die gar nicht geheim sind, die man aber braucht. Wenn z. B. ein böser Bube das NAS verschlüsselt oder löscht ...
Wenn man ein VPN benutzt, sind alle, die draußen irgendwo an der Übertragungsstrecke lauschen wollen, ausgesperrt. Das halte ich für sicher, wenn kein externer Dienstleister beteiligt ist, wenn also der VPN-Tunnel in einem Stück von Ende zu Ende durchgeht. Gute Passwörter und richtiger Umgang mit denen setze ich dabei voraus.
Wenn jemand draußen nicht nur lauschen, sondern aktiv eindringen will, muss er irgendwie am VPN-Server vorbei kommen. Der VPN-Server sitzt entweder in der Fritzbox oder in einem der Rechner im LAN. Im zweiten Fall halte ich persönlich die Sicherheit für höher, weil man da zunächst an der Fritzbox vorbei muss – ist aber Ansichtssache.
Ich denke allerdings, dass die größte Gefahr gar nicht der zusätzliche externe Zugang zum LAN sein wird, sondern eine Gefahr, die schon jetzt besteht. Wenn heute über einen der Rechner im LAN eine Schadsoftware rein kommt oder wenn die Fritzbox vom Internet aus manipuliert wird, dann ist ohnehin die Tür offen. Dann erfolgt ja der weitere Angriff "von innen". Und von innen kann man viele Schutzmaßnahmen umgehen oder abschalten. Deswegen würde ich in einem ersten Schritt alles tun, um das LAN im jetzigen Zustand sicher zu machen. Vor allem muss das NAS maximal geschützt werden (sämtliche nicht benötigten Möglichkeiten und Protokolle abschalten, sämtliche vorhanden Sperren aktivieren – da bietet Synology ja so Einiges)
Bei mir wird das NAS nur für Backups genutzt und ist in der übrigen Zeit vom Strom getrennt. In der Fritzbox ist es über deren Firewall (Filter, Kindersicherung) rund um die Uhr vom Internet getrennt, aber das geht natürlich nicht, wenn externer Zugriff gewünscht ist. Da gibt es also einen Vorteil der Remote-Desktop-Lösung: Die braucht gar keine Verbindung vom NAS zum Internet.
[/quote]
Ja, sicherlich muss man immer Kompromisse schließen. Wir tun auch so viel wie möglich, um so wenig wie möglich Angriffsfläche zu bieten. Also: keine unnötig geöffneten Ports; alles abgeschaltet, was nicht benötigt wird; sichere Passwörter (und ich meine wirklich sichere Passwörter) etc. Die hundertprozentige Sicherheit gibt es nicht, dass ist uns auch klar, aber je mehr Lücken geschlossen werden, um so geringer das Risiko einer Infizierung oder was auch immer.
Ok, ich fasse mal das Bisherige zusammen, um zu sehen, ob ich alles kapiert habe:
VPN-Tunnel zwingend erforderlich, möglichst ohne externen Dienstleister. Also ist die momentane AVM-Lösung (ShrewSoft) nicht unbedingt zu empfehlen, aber auch nicht unbedingt VPN über Teamviewer, richtig? Die vermeintlich beste Lösung wäre, die in Windows 10 integrierten Möglichkeiten zu nutzen. Da wir auf den lokalen Rechnern im Heimnetz Windows 10 Prof installiert haben, dürfte das kein Problem sein. Auf dem Laptop ist zwar nur Windows 10 Home installiert, aber das dürfte in diesem Fall keine Rolle spielen.
Und zweitens: Der Remote-Zugriff scheint mir die bessere und sicherere Lösung zu sein als der Direktzugriff auf die NAS. Auch hier bietet MS Remote Desktop eine interne Lösung, die allerdings nicht einfach einzurichten ist, wenn ich das richtig verstanden habe. Gut, aber das wäre das geringste Problem, notfalls holen wir uns fachlichen "Beistand".
Die NAS-internen Möglichkeiten wie WebDAV oder, Cloud Station Drive, QuickConnect etc. klammere ich mal aus, da wir den Zugriff von außerhalb nur für die wenigen Fälle brauchen, in denen wir von unterwegs arbeiten. Und letzteres versuchen wir zu unterbinden, denn schließlich besteht das Leben auch noch aus anderen Dingen als der Arbeit...
Ich hoffe, meine Zusammenfassung ist zutreffend. (?!?)