Es darf doch nicht sein, dass in einem Forum für Datenschutz und Sicherheit so etwas empfohlen wird.
Niemals nie nicht einen direkten Zugriff von aussen auf ein NAS zulassen. Dafür gibt es beispielsweise VPN über den Router.
1 „Gefällt mir“
Das Problem bei fertigen Lösungen ist, dass sie irgendwann einmal abgekündigt werden. Und so hatte Western Digital vor der Verwendung ihrer Netzwerkplatten gewarnt, weil die plötzlich für jederman im Internetz sichtbar waren.
Bei mir zu Hause läuft ein Rasi mit einer 2 TB Platte. Das reicht für meine Daten. Als Betriebssystem läuft Debin mit OMV, das wir regelmäßig geupdated. Zugriff von draussen über das VPN der Fritte.
https://www.openmediavault.org/
Ein weiterer Vorteil, man kann natürlich auf den Raspi dazu noch ein paar andere Programme wie Pi-Hole installieren.
Es geht dem Fragesteller aus meiner Sicht um Einfachheit, denn ich habe im Beitrag den Satz „Verständnix […] rudimentär […]“ gelesen.
Natürlich kann man eine Lösung in Bezug auf die Sicherheit immer wieder verbessern, allerdings sehe ich hier, dass die Einfachheit der Einrichtung und der Nutzung einer Foto-App gegen ein mögliches Risiko bei der Datensicherheit abgewogen werden soll.
Auch selbstgebaute Lösungen können - gerade von Einsteigern - fehlkonfiguriert werden. Da sehe ich ein größeres Risiko, als wenn man fertige NAS einsetzt.
1 „Gefällt mir“
Habe auch vor 4 Jahren mit einer Synology angefangen. OK Backups auf eine Cloud habe ich nicht geladen aber dennoch sehr viel dabei gelernt.
Und weil es mir so viel Spaß macht, baue ich jetzt auch ein eigenes System auf.
Wie bei vielen Themen muss man immer ein bisschen abwägen, wie „Hardcore“ etwas sein muss.
Jeder Schritt in Richtung Datensicherheit ist doch erst mal ein guter Schritt.
Steigern kann man sich ja immer noch danach, wenn man das Bedürfnis dazu hat.
Erstmal vielen Dank für die ganzen informatiiven Beiträge.
Ich denke mein Grundproblem ist, dass ich die Basics dieser Materie nicht verstehe und so höchstwahrscheinlich Birnen mit Äpfeln vergleiche.
Ich habe ganz simpel gedacht, dass ich eine ext. HDD an die Fritz.Box schließe, diese meine gesammelten Fotoalben über Apps von Nextcloud zur Verfügung stellt, nur zugelassene Benutzer, gerne auch Teilordnern zugewiesene, darauf Zugriff haben (über VPN oder so), und sich in zeitlichen Abständen verschlüsselte Backups auf eine Cloud, oder eine andere HDD laden (vielleicht auch nur wenn ich sie immer mal wieder anschließe und den Prozess manuell anstoße.
Ist das nun mit so einem Synology (das irgendwie extra Geld kostet, obwohl Fritz.Box doch NAS macht?), oder einem Raspberry Pi möglich?
Könnt ihr noch ein wenig den Weg eingrenzen, wo ich hinschauen muss und auch paar Worte einwerfen, die zur Lösung führen könnten?
Wichtig ist, dass man die Fotos mit einem Smartphone von unterwegs sicher (so weit es geht) und unkompliziert anschauen kann (Datenvolumen egal), da darf der Aufwand auch größer werden, sofern noch für Laien mit Tutorials machbar.
Also beim „unterwegs mit Smartphone unkompliziert … für Laien noch machbar“ stolpere ich. Wie Laien-kompatibel soll es denn sein? Wenn es schon bedeutet VPN einrichten, manuell öffnen, anschauen und wieder schließen wäre das aus meiner Sicht nicht mehr Laien-kompatibel.
Würde zwei Sachen unterscheiden in deinem Szenario:
- Backup der Photos
- Teilen der Photos für unterwegs anschauen
Bei 2. würde ich eher auf eine fertige Lösung setzen, wo einfach ein Link geteilt werden kann und 0,0 Konfiguration erforderlich ist.
Also eine Datenschutz-freundlichere Variante von Google Photos, Dropbox, iCloud u.ä.
wie etwa MagentaCloud (in bestimmten Telefonverträgen der Telekom sowieso enthalten), Strato HiDrive, Hetzner Storage Share usw. Nicht perfekt, nicht durchgehend verschlüsselt aber wenn die Photos sowieso geteilt werden, geh mal nicht davon aus, dass die Empfänger die durchgehend verschlüsselt ablegen. Da dann einfach die Photos zum Teilen reinschieben (ggf. jeweils Ordner pro Event oder Monat oder was auch immer ihr gut findet) und fertig. Ansonsten gibst du dir nachher viel Mühe und Arbeit dafür, dass deine Familie das zu kompliziert findet oder vergisst wie es ging und dann die Photos doch per WhatsApp wandern (leider Erfahrungswert…)
Ich hatte lange Zeit sehr viel Respekt davor mit VPN auf mein eigenes Netzwerk zuzugreifen. Mein Arbeitskollege hatte das geschafft und ich sah durchaus zu ihm auf.
Die FritzBoxen haben jetzt das Wireguard in dem neuesten FritzOs-Update. Damit war das Einrichten und das Verbinden ein wirkliches Kinderspiel. Als ich dann begriffen hatte, dass es gut für mich war, die internen IP-Adressen nicht zu verändern, war schon alles gelaufen. Ich brauchte nur im Total Commander auf Verbinden drücken und schon konnte ich alles auch extern herunterladen.
Es ist wirklich sehr einfach geworden.
Ich hatte früher ein DPLink NAS, das auch gerne aus dem Internet erreichbar sein wollte. Die Software dafür hatte nicht gefallen und ich bin heute froh, dass der Internetspuk mit dem Ding erledigt ist, da es abgemeldet und damit nicht mehr geupdatet wird. Ich weiß nicht, wie lange eine Synology unterstützt wird und ich weiß nicht, wie oft es dort Updates gibt.
Bei meiner Debian/OMV Installation sehe ich ja schon, dass im Monat einige Update reinkommen.
Also eigentlich möchte ich nur, dass meine Frau und Ich unsere jeweils gemachten Fotos dort hochladen und alle alten auch nach Jahren, Events usw. verwalten können. Ihr einmalig etwas auf dem Smartphone einzurichten sollte nicht das Problem sein. Wenn aber VPN bedeutet, jedesmal aufs Neue irgendetwas einzustellen nur um mal schnell zwei Fotos der Oma beim Kaffee zu zeigen, wäre zu kompliziert.
Was also hat es mit dem VPN via Fritz.Box auf sich. Ist auf dem Smartphone nur eine einmalige Einstellung nötig und kann dann mit einer App wie Nextcloud durch die Fotos gescrollt werden?
Eine einmalige Einstellung sollte reichen und den VPN lässt du permanent aktiv. Wenn du nicht möchtest, dass der gesamte Traffic der Smartphones über deine Frtizbox ins Internet gehen, dann musst du das entsprechend konfigurieren.
Ich würde an deiner Stelle die Kombi VPN + Smartphone + verschlüsseltes Cloudbackup nehmen und wie folgt vorgehen (und alle Schritte mit den Einzelheiten und vor allem Fallstricken für sich dokumentieren):
Aktiviere und konfiguriere zuerst Wireguard auf deiner Fritzbox (diese wirst du eventuell erst noch updaten müssen). Installiere danach Wireguard auf deinem Smartphone und schaue, ob du eine Verbindung zu deiner Fritzbox herstellen kannst und ohne in deinem WLAN angemeldet zu sein einen Dienst in deinem Heimnetzwerk erreichen kannst. Z.b. die WebGUI deines Druckers oder der Fritzbox (die muss für das WAN deaktiviert sein).
Prüfe dann ob auch alle anderen Dienste und Apps, die du regelmäßig nutzt funktionieren, sowohl bei Nutzung von außerhalb (WLAN deaktiviert) als auch mit aktiviertem WLAN. Wenn dies alles funktioniert, dann beobachte das ein paar Tage. Du kannst für Apps Ausnahmen definieren, sprich dass z.B. der Netzwerkverkehr des Browsers direkt in das Internet geht und nicht erst über die Fritzbox daheim.
Konfiguriere und teste dann analog das Smartphone deiner Frau.
Wenn das ohne Probleme funktioniert, dann kaufst du dir ein NAS, kopierst ein paar Testfotos dort drauf, konfigurierst Benutzer und gibst die Fotos im Heimnetzwerk frei. Auf dem Smartphone installierst du die entsprechende Fotoapp (falls notwendig) und müssest jetzt auch Zugriff auf die Fotos „von außerhalb“ haben, sowohl von deinem Handy aus, als auch von dem deiner Frau.
Im letzten Schritt konfigurierst du das Backup deines NAS dahingehend, dass es verschlüsselt in der Cloud abgelegt wird. Und teste auch das Wiederherstellen von Fotos aus dem Backup. Lösche dazu ein paar Fotos von deinem NAS und gehe die Wiederherstellungsanweisung durch.
Hallo Community,
ich frag jetzt noch mal eine zusätzliche Frage, ähnlich dem Blogpost, hier, damit nicht noch ein Thread eröffnet wird.
Also ich möchte eigtl. nur wissen, ob ich die NAS Funktion der Fritzbox mit den Nextcloud Apps nutzen kann. Geht das nicht, würde mich interessieren, ob ich eine Lösung mit Nextcloud hinkriege, die aber auch nur im heimischen Netzwerk bleibt. Ich finde die Apps gelungen und werde wohl doch meine Fotos nicht in eine Cloud laden wollen.
Die Nextcloud muss gehostet werden.
Dies ist meines Wissens nach nicht auf der Fritzbox möglich.
Hierzu wäre ein NAS wie ein Raspi, Synology oder QNap von Nöten.
Sofern du denn zuhause die Daten haben möchtest.
Das heißt, wenn ich es über Raspi etc. mache, kann ich es mit Nextcloud auch nur im heimischen Netzwerk nutzen?
Ich weiß ja nicht, was so ein RasPi leistet und was Du für die NextCloud brauchst.
Aber generell kannst Du Dir ja einen Server – entsprechende Hard- und Software vorausgesetzt – auch ins LAN stellen. Dann ist er auch nur im LAN erreichbar.
Wolltest Du ihn auch von außen erreichbar haben, könntest Du ihn in eine DMZ stellen.
Ja dieser wäre dann im heimischen Netz per LAN und WLAN erreichbar.
Sollte man von außerhalb Zugriff darauf wollen, wäre es wohl am leichtesten eine WireGuard Verbindung in der Fritzbox ein zu richten. Geht in 2 min, sofern die eigene Fritzbox die Funktion unterstützt.
NEIN!
Damit setzt du dich den Angriffen auf die häufigen Sicherheitslücken in den gekauften NAS aus.
Wenn heimisches NAS, dann Zugang nur per VPN. Dank Wireguard ist das ja heute keine Raketenwissenschaft mehr.
1 „Gefällt mir“
…die Option „Wireguard“ stand meinen Verwandten nicht zur Verfügung. Ich kann der Generation „Whatsapp-trifft-ADHS“ viel erklären, aber schon meine Anleitung, um sich ans NAS anzumelden und die Foto-App darauf zu starten, war schon fast zu viel. Bei „Sicherheit“ und „VPN“ hat man mir nicht mehr zugehört 
Deshalb gab es von mir ein olles NAS mit nix drauf als die Foto-App und den einen, offenen Port im Router zur Foto-App.
Kann man machen, sollte man aber nicht, wenn man es echt sicher haben will. „Echt sicher“ funktioniert aber mit meinen Verwandten nicht. Ist eine Sache der Risikoabwägung. Und es waren nicht meine Fotos.
Und für alle anderen: Yup, Synology Foto-App benutzen, KEINEN Port nach Außen einstellen. Statt dessen Wireguard (entweder im Router, z.B. Fritzbox, oder die Synology machen lassen). Das funktioniert auch mit der Foto-App von Synology auf den Handy, die die Fotos automatisch abspeichert. Muss man nur den VPN vorher aktivieren.
1 „Gefällt mir“
Auaa! Da kräuseln sich meine Fußnägel.
Ganz klar: Wir brauchen einen Internet-Führerschein!
Wer lesen und schreiben kann, sollte das meistern können - es sei denn, es ist Abwehr¹ im Spiel. Oder, noch schlimmer: Kokettieren mit dem eigenen Unverständnis für Technik. Solche Fälle kenne ich auch. Da kriege ich das K …
Das schlimme ist ja, dass diese Ignoranten nicht nur sich selbst schädigen (das wäre mir egal), sondern viele andere: Wenn ihre gehackten Geräte zu Zombies in einem Botnet werden.
So ist’s aber meistens. Nicht nur im Bekannten- und Verwandtenkreis. Auch in Firmen. Die Menschen sind einfach zu faul, mal ein Passwort mehr einzugeben. Admins benutzen woüberall das gleiche, sehr einfache Passwort. Entwickler haben keinen Bock auf Datenschutz und IT-Sicherheit und wollen sich dann „am Ende drum kümmern“, usw.
Da ich keinen Bock mehr habe, den Evangelisten für eine halbwegs sichere Handhabung nicht nur der eigenen, sondern auch der Daten Anderer zu spielen, ist das schon befreiend.
Ich weiss gar nicht, wie der Namensgeber des Forums hier das aushält
2 „Gefällt mir“
Naja, da gibt es sonne und solche. Das, was du beschreibst, habe ich so krass nie kennengelernt. Aber das Gegenteil: Ich habe mal für eine Engineering-Firma gearbeitet, die in der höchsten Sicherheitsstufe tätig war. Da gab es remote Zugang nur mit drei Faktoren und zeitlich begrenzter Gültigkeit. Das gibt es auch.
Wobei man den lieben Verwandten dann auch noch die 3-2-1-Backup-Strategie erklären müsste. Das ist ja das Verführerische an der Public Cloud: Mit dem Ausliefern der Daten an den Betreiber erkauft man sich immerhin ein Remote-Backup, das vor Datenverlust schützt.
Ok, Sync ist nicht dasselbe wie Backup, und versehentliches Löschen auf allen Geräten ist ein reales Risiko. Wenn das lokale Gerät kaputt ist oder verloren geht (evt. sogar das NAS ohne Backup), kann man bei einer datenschutzbedenklichen 08/15-Cloud die Daten allerdings bequem wiederherstellen.