Sicherheit: Wie sicher ist Deine eigene Cloud?

Ich hoffe, Eure Planung der eigenen Cloud nimmt Gestalt an und Ihr habt eine Vorstellung, wie diese aussehen wird.

Ich weiß nicht, ob Ihr es gehört habt, aber gestern fiel bei Amazon die Cloud aus und viele Unternehmen und Privatanwender waren von ihren eigenen Daten getrennt wurden.


Solch ein Szenario kann wohl jede Cloud treffen, aber mit der Eigenen, im Flur oder Wohnzimmer stehenden Cloud, weiß man wo die eigenen Daten sind. Fällt z.B. die Internetverbindung bei Euch aus, dann gibt es zwar einen kleinen Schreck, aber Ihr wisst, dass wenn Ihr zu Hause seit, wo Eure Daten sind, und habt auch sofort Zugriff im lokalem Netzwerk.

Wie sicher Eure eigenen Cloud werden soll, muss jeder für sich selbst entscheiden. Ich stelle hier ein paar Infos zur Verfügung.

Authentifizierung zu Eurer Cloud

Einfache


Die einfache Authentifizierung bezieht sich auf einem Benutzernamen und einem Passwort.


Der Benutzername sollte natürlich nicht dem Standard z.B. Admin entsprechen. Ich nutze hier einen Benutzernamen den ich mir merken kann, aber noch andere Zeichen enthält. Man kann z.B. aus Admin den folgenden Benutzernamen wählen

aDm1n!

Passwörter, sollten wenn möglich einzigartig und komplex sein. Mit vielen Zeichen, Sonderzeichen etc. Natürlich kann sich das kein Mensch merken, daher empfehle ich den Passwortmanager ENPASS, welcher für die Desktop-Version kostenlos und für IOS EUR 10 zur Verfügung gestellt wird.


Enpass, kann WebDav und damit ist dieser Passwortmanager einfach hervorragend geeignet um mit der eigenen Cloud zu synchronisieren und Enpass ist verfügbar von Windows, Mac über Android bis zu Linux.


Die kostenfrei Desktop-Version findet hier.


Als Partnerin von Apple könnt Ihr Enpass hier erwerben.

Der Link führt direkt zum App Store. Wie schon mehrfach erwähnt, gebe ich 100% der Kommission in meine Specials und Verlosungen an Euch weiter.

Doppelte Authentifizierung


Bei der doppelten Authentifizierung benötigt man noch einen Code, welcher über Benutzerdaten, einem Geheimnis, Zeitdaten und vielem mehr besteht - dieser ist sechs-stellig.


Man scannt den Code als Barcode von der eigenen Cloud direkt auf sein Handy. Dann wird dieser alle Minuten aktualisiert und ein frischer, neuer Code generiert.


Eine gute App für IOS ist OTP Auth und für Windows Duo mobile oder Token2 Mobile OTP.


Diese Apps sind kostenlos und brauchen keine weitere Cloud-Anbindung. Also sie sind direkt bei Euch auf dem Handy. Viele lassen sich schützen, entweder mit Passwort oder Fingerabdruck…





Wer sich einloggen möchte, braucht somit a) Benutzernamen b) Passwort und c) den Code um erfolgreich zu sein.


Wer ein wenig Angst hat, sein Handy zu vergessen oder zu verlegen:


Hier mein Tipp


Es gibt sogenannte Einmal-Token welche Euch bei der Erstellung von OTP Auth erstellt werden. Diese kommen direkt von Eurer Cloud und können an einem sicheren Platz verwahrt werden. Mit diesem Einmal-Tokens könnt Ihr auch in Eure eigenen Cloud, falls Ihr Euer Handy verlegt oder verloren habt.


Dreifach Authentifizierung


Möchtet Ihr es noch sicherer, gibt es die Möglichkeit bei einem Login noch eine E-Mail zukommen zu lassen, welche mit einem Link bestätigt werden muss.





Diese Authentifizierungsmethoden um überhaupt erst mal in Eure eigene Cloud zu kommen, kann mit Synology und QNAP realisiert werden.


Ich persönlich nutze mindestens das Zwei-Fach-Verfahren mit merkwürdigen Benutzername und noch komischeren Passwörtern, welche mindestens 32 Zeichen haben.


Ein Wort zu SSL


Ich verwende zwar HTTPS für mein eigene private Cloud und bin der Meinung, dass das selbst erstellte NAS-Zertifikat ausreichend ist.


Was passiert ohne oder mit einem selbst erstellten Zertifikat?


Nutzer erhalten eine Warnung, ob sie die Seite besuchen wollen und es ggf. zu Angriffen kommen kann. Sie müssen dies in ihrem Browser bestätigen.





Das ist nicht schön, wenn man Kunden hat das ist klar, aber für Privat? Das kann auch Leute abhalten weiter zugehen. Daher denke ich es ist eine mini-Sicherheitsstufe


Für Firmenkunden empfiehlt sich natürlich ein SSL-Zertifikat von einer anerkannten Stelle.

Firewall aktivieren

Euer NAS verfügt über eine Firewall um „Bösewichte“ fern zu halten und auch Antivirenschutz kann installiert werden.


Beide Maßnahmen halte ich für super wichtig.


Also, am besten gleich mal nachsehen ob diese aktiviert sind!

Anbindung der eigenen Cloud ans Internet

Hier werden sich die „Geister“ wohl scheiden, aber meinem Motto ist

„So wenig Schwachstellen wie möglich zu haben“.


Ich denke, das hier der größte Sicherheitsaspekt liegt und das Internet hat ja nicht nur schöne Seiten an sich….





Viele „Bösewichte“ toben sich dort aus oder „Möchte-Gern-Hacker“ oder Richtige.





Mit dem Herstellen der eigenen Cloud verbinden


Alle größeren NAS, wie Synology oder QNAP, bieten die Möglichkeit an, sich über eine „Schnellverbindung“ und einem Konto einen sogenannten IP DNS zu registrieren.


Die Vorgehensweise ist recht einfach - einen Namen wählen dann mit dem Benutzernamen und Passwort anmelden und fertig.


Schneller und einfacher geht die Verbindung und das Wiederauffinden Eurer eigenen Cloud im Internet nicht.


Ändert sich Eure lokale IP, wird dem Dienst mitgeteilt, dass sie sich geändert hat und welche IP Eure eigenen Cloud jetzt hat.


Einen DNS-Service verwenden


Hier funktioniert die Anwendung ähnlich, wie bei den Herstellern. Es gibt kostenlose und kostenpflichtige Angebote.


Einige der Anbieter sind:

• DynDns.org
• Strato
• No-IP.com.

Drei Nachteile, die ich sehe:

1. Die Ports - ganz klar!
   Ports sind die Zugriffswege um einen Dienst in Anspruch zu nehmen z. B. für einfaches HTTP fürs Internet gibt es den Port 80 oder 8080, HTTPS hört bei 443, SSH und Telnet sind auf 21 / 22 geschaltet.Diese werden nicht geändert, so falls jemand Eure IP-Adresse hat, dieser auch ganz leicht die Ports herausfinden kann. Vor allem stellt Telnet und SSH ab - dies braucht Ihr wirklich nur in Ausnahmefällen.Zudem gibt es sogenannte Portscanner, welche nach geöffneten Ports suchen und ein „Bösewicht“ könnte natürlich versuchen, diese Ports für seine Absichten zu nutzen
   
   
2. Dienste können kostenpflichtig sein:
   Unter andrem auch auf Abo-Ebene und das muss ja nun nicht sein
   
   
3. Internet: Eure eigene Cloud ist direkt mit dem Internet verbunden. Auch wenn Firewall, Antispam, Antivirus laufen, ist die eigenen Cloud direkt mit dem Internet verbunden.

IP Adresse per e-Mail und VPN


Viele Router können die neue IP auch direkt zu Euch als E-Mail versenden und diese kann man in die verschiedensten Anwendungen kopieren oder mit Virtual-Privat-Network (VPN) nutzen.


VPN baut einen sogenannten Tunnel zu Eurem Router bzw. zu Eurem NAS auf.


Die Eckdaten, wie Benutzer, Passwort und Geheimnis etc. Kann Euer Router erzeugen. Aber hier ist auch darauf zu achten, das der Benutzername und Passwort sehr lang sein sollten.


Einmal verbunden, funktioniert alles, als ob Ihr zu Hause werd - ohne weitere Angaben.


Viele Smartphones beherrschen VPN und können so genutzt werden.

2. Effizienz ist etwas anderes als ständig zu kopieren
3. Immer noch die Port-Frage
4. VPN kostet Datenvolumen auf dem Handy
5. Vergessen, das VPN wieder auszuschalten oder überhaupt einzuschalten
6. Eure eigene Cloud kann immer noch ins Internet.

Wie bewerkstellige ich das Alles?

• mein NAS darf nicht allein ins Internet - Punkt aus Schluss
• Firewall, Antivirus, Antispam etc. wurden aktiviert und nur auf dem lokalem Netzwerk ist eine Freigabe enthalten
• alle Port auf meiner eigenen Cloud wurden geändert, also HTTP ist nicht mehr 80 oder 8080 sondern irgendwas anderes
• mein Router übernimmt die Aufgabe ob mein NAS mit dem Internet verbunden wird oder eben nicht
• mein Router hört auf bestimmte Ports, welche wieder unterschiedlich zum NAS sind. Eine Weiterleitung auf den korrekten Port auf dem NAS erfolgt nur, wenn der richtige Port am Router angesprochen wird .

• Es gibt lediglich zwei Weiterleitungen und Ports gibt es von 0 bis 9999
• Firewall etc. sind am Router aktiv.
• Fehlversuche, um sich Zugang zu verschaffen sind genau zwei beim Router und drei beim NAS.
• Versuche mit „Admin“ oder „Administrator“ sich einzuloggen werden registriert und die IP gesperrt - eine E-Mail erhalte ich dann
• einmal gesperrt kann nur ich sie wieder manuell entsperren.

• DNS bzw. die Auflösung zur aktuellen IP wird mit meinem Router bewerkstelligt. Die Zeichenkette hat 32 Zeichen plus vier Stellen für den Port und erfolgt nur mit HTTPS und kann jederzeit abgeändert werden, falls diese mal attackiert wird.
• Alle Apps erhalten diese Kette mit Benutzernamen und Passwort für meine eigene Cloud.
• Ich habe mehrere Benutzer mit unterschiedlichen E-Mail-Adressen im NAS angelegt, welche verschiedene Aufgaben erfüllen. z.B einen WebDav-Nutzer etc.
• E-Mail-Adressen bekommt man einfach über eine „Alias-Funktion“, das heißt die „richtige Adresse“ bleibt und alle Alias-Mail-Adressen werden dorthin weitergeleitet.

Die letzten Punkte kommen aus Erfahrungen mit Ebay…. Ich hatte eine Anfrage und habe auch geantwortet - Artikel wurde ersteigert. Irgendwie haben die dann meine E-Mail von Ebay herausbekommen. Da ich ja nur eine E-Mail für Alles hatte, ging es dann um ein Wettrennen zwischen mir und den Typen!


Ich versuchte alle Konten, in denen diese E-Mail vertreten ist zu ändern. Auf vielen Konten wurde bereits probiert das Passwort zu knacken.


Das ganze war mir eine Lehre und seitdem benutze ich unterschiedliche E-Mail-Adressen für unterschiedliche Dinge….


So ein Sicherheits-Setup dauert natürlich länger, hat aber auch einige Vorteile.


Es gibt in der ganzen Kette „nur“ eine Schwachstelle und das ist mein Router selbst bzw. die Zeichenkette von dessen Hersteller.


Sollte ich irgendwann mal von Angriffen auf diesen Hersteller hören, kann ich sofort reagieren.





Es sollte auch jedem klar sein das es eine 100%ige Sicherheit nicht geben wird aber man kann eben einiges tun um den „Bösewichtern“ die „Arbeit“ so schwer wie möglich zu machen.

Backup und Wiederherstellung

Das ist auch ein wichtiges Thema um verlorene Daten wiederherzustellen.


Backup ist ja nicht Backup…. und ich werde nur auf ein paar eingehen


Die Arten

• differenziell
  Alle neuen oder geänderten Daten werden dem Backup hinzugefügt, so dass nach Abschluss ein vollständiges Backup verfügbar ist.
• inkrementelle
  Es werden nur die Daten hinzugefügt, die bei der letzten inkrementellen Sicherung geändert oder hinzugefügt wurde.Nachteil ist, dass ein Backup aus verschiedenen Backups besteht.

Prinzipien

• Großvater-Vater-Sohn-Prinzip
  Hier gibt es ein „Drei-Generationen“-Prinzip. Bevor ein Backup überschrieben wird, müssen erst drei verschiedene Backups vorhanden sein
• Spiegelung
  Bei der Spiegelung handelt es sich um eine Art Kopie aller Daten.
  Ich nutze diese für das NAS, welches bei meiner Familie steht, falls mein eigenes einmal den Geist aufgibt, kann ich ziemlich schnell auf das andere umstellen.
• Die „Türme von Hanoi“ - nicht der von Pisa
  
  Das ist ja jetzt was! Wer von Euch kennt das Knobel-spiel?
  Hier geht es darum dass jedes Speichermedium einer Scheibe der Türme entspricht und bei jeder Bewegung dieser Scheibe wird ein Backup erstellt. Hat man drei Speichermedien, so wird das Erste alle zwei, das Zweite alle vier und das Dritte alle acht Tage überspielt.

Wie oft soll ich ein Backup machen


Es hängt vieles vom der Verwendung Eurer eigenen Cloud ab, aber ich denke alle 2-3 Tage ein volles Backup kann nicht schaden.


Welchen Ort soll ich nehmen?


Hier ist auch die Frage, was ist sicher?


Natürlich kann es zu Bränden, Überflutung durch Wasser etc in den eigenen vier Wänden kommen. Aber wie wahrscheinlich ist es?


Ehrlich gesagt, ich weiß es nicht und daher habe ich eine Spiegelung bei meiner Familie.


Alle Backup können automatisch über die Funktionen von Synology und QNAP erstellt werden und ggf. kann man sich eine E-Mail nach erfolgreichem Backup senden lassen.


So viel nun zum Backup aber einen wichtigen Tipp habe ich:


<span style="color: #0000ff;">Wenn Ihr ein Backup erstellt habt, probiert dieses wiederherzustellen, um auszuschließen das im Ernstfall die Datenwiederherstellung nicht funktioniert</span>.

Freigaben von Daten

Teilen von Daten gehört heute schon zum Alltag, ob es die Urlaubsfotos oder Dokumente sind, die man mit seinen Lieben teilen möchte.


Es ist ganz leicht einen Ordner oder nur ein Dokument zu teilen - ob bei Synology oder QNAP.


Einfach auf den Ordner gehen und mit dem Share-Menu weiter. Hier werdet Ihr gefragt ob ein Passwort notwendig ist und ob es eine permanente Teilung sein soll.


Viele Einstellungen können hier vorgenommen werden, den Link dann einfach per E-Mail oder sozialen Medien schicken und fertig.





Ich persönlich halte es so, dass wenn:

• schnell etwas geteilt werden muss:
  Setze ich hier ein Datum mit Uhrzeit wann der Link nicht mehr verfügbar ist und die Art der Anwendungen. Also z.B. nur Herunterladen, nur Hochladen oder beides.
• möchte ich einen Ordner oder Dokumente permanent teilen:
  Hier kommt es darauf an, was es ist. z.B. Urlaubsphoto für die Familie erhalten ein einheitliches Passwort und der Link bleibt dann erst mal offen.Habe ich Kunden oder Freunde die ständig etwas mit mir Teilen möchten, erhalten diese ein ordentliches Benutzerkonto mit Passwort und OTP Auth.Somit haben Diese ihren eigenen Bereich und können auch verschiedenste Apps auf ihrem Smartphone oder Tablet nutzen.Der Vorteil ist, dass man eine bessere Kontrolle hat, als ständig neue Links zu generieren und den Überblick irgendwann verliert.

Wie schützt Ihr Eure eigene Cloud?


Ich freue mich auf Diskussionen, Anregungen, Tipps.


Bei Fragen - einfach Bescheid geben


Viele Grüße,


Steffi


PS: Ich habe eine neue Seite „News“ eingerichtet mit welcher ich Euch über Neuigkeiten, Änderungen etc. informieren möchte. Schaut doch mal nach!