Fragen zur Realisierung meiner FreeNAS-Vorhaben sowie Fragen zur Sicherheit.

[diabolus]

Moin liebe FreeNASler,

nachdem ich es jetzt endlich geschafft habe mein FreeNAS zusammenzubauen und grundsätzlich zum Laufen zu kriegen, stellen sich mir einige Fragen.

Vielleicht noch kurz zum gewünschten Einsatz- bzw. Anwendungsbereich und dem System.

Das System besteht aus: • 32 GB SSD auf welcher FreeNAS liegt
• 4 x 4TB WD Red Festplatten
• Intel DBS1200SPL Mainboard
• 16 GB Kingston ECC RAM
• Intel G4520 CPU

Da ich ein absoluter Anfänger im Bereich Software bin und mir gleichzeitig die Sicherheit meiner Daten am Herzen liegt, möchte ich meine Vorhaben in zwei größere Schritte aufteilen:

1. Alles bleibt lokal: im ersten Schritt möchte ich diverse Datasets erstellen und auf diese dann mittels SMB-Share von Windows und macOS Geräten zugreifen. Diese sollen durch verschiedene Zugriffsrechte geschützt sein. Weiterhin soll ein Plexserver erstellt werden. Dieser sollte dann nur lokal laufen (falls das möglich ist).
   
2. es geht (hoffentlich) online: nun soll ein Zugriff auf einige SMB-Share von außerhalb möglich sein. Auch der Plex Server soll von außerhalb zugänglich sein. Mein persönliches Sahnehäubchen wäre die Einrichtung von ownCloud / Nextcloud für verschiedene User mit verschiedenen Rechteverteilungen.

Die Einrichtungs eines SMB-Shares ist mir gelungen und die Kommunikation mit meiner Windows-Maschine funktioniert wunderbar. Ist die Verbindung zwischen Dataset auf dem FreeNAS und der Windows-Maschine gesichert? Ist das Dataset überhaupt gesichert (außer mit dem Benutzerpasswort)? Die Verbindungen laufen zwar lokal, jedoch wäre mir bei einer verschlüsselten Verbindung trotzdem wohler. Kann ich eine SSL Verbindung zum dem Web-GUI herstellen mit einem "öffentlichen" Zertifikat (gemeint ist damit LetsEncrypt o.ä.)? Wie ist es um die Sicherheit von bestellt wenn einige Shares von außen zugänglich sind? Ist es überhaupt möglich nur einige Shares von außen zugänglich zu machen?

Bitte entschuldigt meine vielen Fragen. Über Antworten und Anregungen würde ich mich sehr freuen.

diabolus

 

[emk2203]

Die Daten sind passwortgeschützt, wenn du ein Passwort vergeben hast. Dann sind sie "gesichert". Der Traffic an sich wird verschlüsselt, wenn du

Code:

[global]
smb encrypt = mandatory
client min protocol = SMB2

auf dem Server in der /etc/samba/smb.conf zu stehen hast. Nebeneffekt: Nur noch Clients ab Windows 8 können sich verbinden.

Wozu man das in einem Heimnetzwerk braucht, ist mir allerdings ein Rätsel. Hast du Angst, dass dir jemand deinen SMB-Traffic abhört?

Solltest du von außen auf die Clients zugreifen wollen, kann ich nur zu einer VPN-Verbindung raten. Samba bzw. das SMB-Protokoll bietet eine viel zu große Angriffsfläche, auch wenn bei ausschließlicher Benutzung von Samba 2 und höher theoretisch alles sicher ist.

 

[diabolus]

Die Daten sind passwortgeschützt, wenn du ein Passwort vergeben hast. Dann sind sie "gesichert". Der Traffic an sich wird verschlüsselt, wenn du

Code:

[global]
smb encrypt = mandatory
client min protocol = SMB2

auf dem Server in der /etc/samba/smb.conf zu stehen hast. Nebeneffekt: Nur noch Clients ab Windows 8 können sich verbinden.

Wozu man das in einem Heimnetzwerk braucht, ist mir allerdings ein Rätsel. Hast du Angst, dass dir jemand deinen SMB-Traffic abhört?

Solltest du von außen auf die Clients zugreifen wollen, kann ich nur zu einer VPN-Verbindung raten. Samba bzw. das SMB-Protokoll bietet eine viel zu große Angriffsfläche, auch wenn bei ausschließlicher Benutzung von Samba 2 und höher theoretisch alles sicher ist.

Moin emk2203,

danke erstmal für deine Antwort. Auf die Gefahr hin, dass du mich für vollkommen blöd hälst. Kannst du mir erklären wie genau das funktioniert?

Eine Verschlüsselung wollte ich habe, da ich von außen auf den SMB-Share zugreifen möchte. VPN klingt nach einer guten Lösung. Mal schauen ob ich diese eingerichtet kriege. Ich habe eine weitere Frage. Plex hat ja Zugriff auf meinen Medien-SMB Share. Wenn jetzt jemand mein Plex Passwort ergaunert, müsste dieser ja Zugriff auf die Daten im Plex-Share haben. Ist es dieser Person dann möglich aus dem Share "auszubrechen" und auch meine anderen Daten zu klauen ( welche eigentlich nur lokal verfügbar sein sollten)?

Viele Grüße

diablous

 

[emk2203]

Moin emk2203,

danke erstmal für deine Antwort. Auf die Gefahr hin, dass du mich für vollkommen blöd hälst. Kannst du mir erklären wie genau das funktioniert?

OK, Definition: Gesichert sind die Daten dann, wenn man nur mit dem richtigen Passwort darauf zugreifen kann. Das reicht prinzipiell aus. Verschlüsselt heißt, das die Daten auch auf dem Transportweg zwischen den beiden Stationen gegen Angriffe Dritter geschützt sind. Im normalen Heim- oder SOHO-Netz verzichtbar.

Ansonsten weiß ich nicht, wie du das mit "funktionieren" meinst, es sei denn, du willst wirklich die absoluten Details der Implementation wissen.

Eine Verschlüsselung wollte ich habe, da ich von außen auf den SMB-Share zugreifen möchte. VPN klingt nach einer guten Lösung. Mal schauen ob ich diese eingerichtet kriege. Ich habe eine weitere Frage. Plex hat ja Zugriff auf meinen Medien-SMB Share. Wenn jetzt jemand mein Plex Passwort ergaunert, müsste dieser ja Zugriff auf die Daten im Plex-Share haben. Ist es dieser Person dann möglich aus dem Share "auszubrechen" und auch meine anderen Daten zu klauen ( welche eigentlich nur lokal verfügbar sein sollten)?

Viele Grüße

diablous

Die Verschlüsselung brauchst du wirklich, wenn du von außen auf deine Daten zugreifst. Dann reicht es aber, den Verkehr durch das VPN zu verschlüsseln, was ja alles von Endpunkt zu Endpunkt verschlüsselt. Das ist auch Standard und bei FreeNAS und anderswo sehr gut dokumentiert. Samba-Verschlüsselung brauchst du da nicht, die ist eher kontraproduktiv.

Und ja, wenn jemand dein Passwort hat, hat er Zugriff auf die Daten im Plex-Share. Der Rest sollte sicher sein, auch wenn es in der Theorie vielleicht Angriffsmöglichkeiten gibt. Wenn du nicht gerade Edward Snowden bist und dein Gegner die NSA, kannst du solche Überlegungen aber in die gleiche Schublade stecken wie "Was, wenn mir jetzt der Himmel auf den Kopf fällt?" von Klein-Hühnchen.

Mach einen Nur-Lesen-Account für den Zugriff auf Plex von außen, dann hast du dich ausreichend abgesichert. Wenn da das Passwort in falsche Hände fällt, ist es nicht so schlimm.