Lunner Posted April 11 Share Posted April 11 Hallo ihr Lieben, ich suche mich bei den endlosen Möglichkeiten bis zur Verzweiflung, daher frage ich jetzt euch! Ich habe einen Unraid-Server, und bald auch ein Zimablade dass ich als NAS Backup nutzen möchte für Firmendaten und Familien Dinger... Die Familienfotos möchte ich ohne Synologie "Gesichtserkennung" oder so ein quatsch einfach übersichtlich hinterlegt haben und meine Frau benötigt es sehr gemütlich... und ich geschützt vor Fremdzugriff, also Festplatten aushängen oder abstecken nach einem Backup vom Smartphone. Kann ich die Fotos einfach auf dem Server auf eingehängte Festplatten speichern welche sich nach einem Backup selbstständig aushängen oder muss ich hand an legen und den Stecker ziehen? am liebsten hätte meine Frau das ganze noch per WLan zuhause im Bett zum Hochladen.. aber das hat ja mich Sicherheit nichts mehr zu tun oder geht das irgendwie? Gibt es einen einfache Lösung um meine endlose Suche zu beenden? :/ Quote Link to comment
zero_neverload Posted April 11 Share Posted April 11 (edited) Was genau will deine Frau den machen? Fotos vom Smartphone auf das NAS ablegen? Fotos von einer Platte auf dem NAS sichern? Zugriff der Bilder vor Dritte schützen? Soll deine Frau die Platte direkt an Unraid anstecken? Nextcloud könnte dir sowas bieten und das auch von unterwegs oder im Lan. es gibt aber wie dur bereits geschrieben hast auch viele andere Lösungen. Ich mag halt Nextcloud, weil ich da ohne BigBrother meine Bilder auch mal teilen kann. Edited April 11 by zero_neverload Quote Link to comment
Lunner Posted April 12 Author Share Posted April 12 21 hours ago, zero_neverload said: Was genau will deine Frau den machen? Fotos vom Smartphone auf das NAS ablegen? Fotos von einer Platte auf dem NAS sichern? Zugriff der Bilder vor Dritte schützen? Soll deine Frau die Platte direkt an Unraid anstecken? Nextcloud könnte dir sowas bieten und das auch von unterwegs oder im Lan. es gibt aber wie dur bereits geschrieben hast auch viele andere Lösungen. Ich mag halt Nextcloud, weil ich da ohne BigBrother meine Bilder auch mal teilen kann. Danke dir vielmals für deine Unterstützung! Ja, meine Frau möchte Fotos vom Smartphone am liebsten Wireless auf eine Platte übertragen, davon möchte ich noch ein Backup machen. Zugriff der Bilder vor Dritte schützen? JA! Mit immer währenden User und Passwort Schutz! Mit Verschlüsselung! Mit Sicherer Verbindung! Also die Möglichkeit über Internet die Fotos auf Nextcloud auf dem eigenen Server zu laden geht auch SICHER? Mit SSL-Verschlüsselung und Tunnel wie Wireguard? Oder...? Quote Link to comment
zero_neverload Posted April 12 Share Posted April 12 51 minutes ago, Lunner said: Danke dir vielmals für deine Unterstützung! Ja, meine Frau möchte Fotos vom Smartphone am liebsten Wireless auf eine Platte übertragen, davon möchte ich noch ein Backup machen. Zugriff der Bilder vor Dritte schützen? JA! Mit immer währenden User und Passwort Schutz! Mit Verschlüsselung! Mit Sicherer Verbindung! Also die Möglichkeit über Internet die Fotos auf Nextcloud auf dem eigenen Server zu laden geht auch SICHER? Mit SSL-Verschlüsselung und Tunnel wie Wireguard? Oder...? Ich habe bei mir das ganze über Nginx Proxy Manager realisiert. Da gibt es massig Anleitungen dazu wie man das Sicher umsetzt. Wireguard ist dafür nicht notwendig, aber wenn mann das will, kann man auch das so einrichten, dass man Nextcloud rein über VPN erreicht und du von aussen nicht an das System kommt. (aus meiner Sicht aber zu übertrieben) Das Nextcloud ist Passwort geschützt und hat dazu noch eine Brutforce Absicherung. (letztendlich ist es aber deine Entscheidung) Die Frage ist, ob dann nicht vielleicht doch eine leichtere Plattform besser wäre, weil Nextcloud ja viele andere Sachen abbildet, die dann mit Wireguard fast unnütz sind. Schau dir am besten mal ein paar Videos zur Funktionsweise von Nextcloud an und bewerte ob das wirklich Sinnvoll für dich ist. Quote Link to comment
Lunner Posted April 13 Author Share Posted April 13 (edited) 18 hours ago, zero_neverload said: Ich habe bei mir das ganze über Nginx Proxy Manager realisiert. Da gibt es massig Anleitungen dazu wie man das Sicher umsetzt. Okay, das ist wieder eine weitere Möglichkeit von so vielen.. Hier kann ich nur auf Erfahrungen von anderen zurück greifen... Ist Nginx Proxy Manager sicherer als die vielen anderen Möglichkeiten? 18 hours ago, zero_neverload said: Wireguard ist dafür nicht notwendig, aber wenn mann das will, kann man auch das so einrichten, dass man Nextcloud rein über VPN erreicht und du von aussen nicht an das System kommt. (aus meiner Sicht aber zu übertrieben) Also ich nehme den sichersten und einfachsten Weg damit meine Frau unsere Fotos vom Smartphone in eine geschützte Cloud schieben kann... Gerne auch über das Internet wenn es komplett verschlüsselt übertragen wird und keine eine Möglichkeit hat hier etwas abzufangen.. 18 hours ago, zero_neverload said: Das Nextcloud ist Passwort geschützt und hat dazu noch eine Brutforce Absicherung. (letztendlich ist es aber deine Entscheidung) Die Frage ist, ob dann nicht vielleicht doch eine leichtere Plattform besser wäre, weil Nextcloud ja viele andere Sachen abbildet, die dann mit Wireguard fast unnütz sind. Ja, das dachte ich mir auch schon.. Übersichtlich und einfach für meine Frau, mit ein paar Funktionen um Bilder umzubenennen und zu Ordnen. Kannst du etwas empfehlen? Mit User und Passwort schutz. 1. passendes Photo-Cloud Programm (Übersichtlich, einfach, sicher und Passwort geschützt und nach Unaktivität automatisch abmeldet 2. Programm für sicheren Zugriff und verschlüsselten Datentransfer Edited April 13 by Lunner Quote Link to comment
Archonw Posted April 13 Share Posted April 13 Hi, Ich verwende dafür auch die Nextcloud. Kur vorab, nur für Foto-Uploads ist das aber etwas viel. Da gibt es auch z.B. "Immich" und diverse andere Programme. Die Nextcloud bietet darüber noch Kontakte und Kalender-Verwaltung, sogar eine eigene Online-Office ist möglich und natürlich einen File-Server. Die Nextcloud lässt sich so sicher wie es derzeit geht nach Außen hin absichern. Wie erwähnt mit Username und Passwort, dazu aber auch noch mittels 2FA. Des weiteren könen die Daten dann auch noch Verschlüsselt abgelegt werden, so dass auch ein Auslesen sollte jemand Zugriff auf den Server erhlangt nicht möglich ist. Man kann die Nextlcoud auch nur lokal betreiben, so dass z.B. die automatischen Foto-Uploads nur im lokalen Wlan erfolgen. Will man dann doch mal von Unterwegs auf Zugriff erlangen, kann man dann noch mittels Wireguard ins interne Netz kommen. Du siehtst vieles ist möglich und du hast die Qual der Wahl. Nginx Proxy Manager ist ein derzeit beliebter und gerade für Einsteiger sehr freundlicher Proxy Manager. Ich selbst bin auch damit angefangen, und weil er dank Web-Gui leicht zu bedienen ist, und gut und zuverlässig bei mir läuft, auch dabei geblieben. Für deine Frau gibt es sowohl für IOS als auch Android eigene Nextcloud Client App die gut und übersichtlich Funktionieren. Dort kann man detailiert Einstellen was z.b. an Foto Ordnern automatisch auf die Nextcloud hochgeladen werden soll. Kleiner Bonus-Tipp: Jeder der seinen eigenen Server betreibt sollte sich auch mal Vaultwarden anschauen, sofern nicht schon geschehen. Das ist ein gute Passwortmanager, der eben dann selbst gehostet wird und man so Zugriff von jedem seiner Geräte auf seinen Passwortsafe hat. Quote Link to comment
Lunner Posted April 13 Author Share Posted April 13 Vielen Dank für Deine detalierteren Informationen die für einen Neuling wie mich schon sehr viele Fragezeichen auflösen! Das würde ich mir öfter wünschen, dann tut man sich bei der Internet Suche auch leichter und muss nicht erst 20 Links durchstöbern um etwas Verständnisvolles zu finden.. Ich habe das Proxy System noch nicht ganz verstanden und auch nicht wofür DuckduckDNS gut ist (weil unraid selber einen FernzugriffLINK ausgibt)... Jedoch scheinen beide dazu da zu sein im Internet weniger Spuren zu hinterlassen.. oder? Sollte ich dann meine Server auch so konfigurieren bzw. meinen Router oder das Netzwerk... man kommt hier echt von 1 ins 10000ste... Aber ich komme voran.. Quote Link to comment
alturismo Posted April 14 Share Posted April 14 3 hours ago, Lunner said: Ich habe das Proxy System noch nicht ganz verstanden und auch nicht wofür DuckduckDNS gut ist (weil unraid selber einen FernzugriffLINK ausgibt)... Jedoch scheinen beide dazu da zu sein im Internet weniger Spuren zu hinterlassen.. oder? Falsch zum "Proxy System", hat auch nichts speziell mit Unraid zu tun ... sondern ist ne allgemeine Vorgehensweise um extern Dienste bereit zu stellen. in deinem Fall beispielsweise cloud.meine_private_domain.de < für deine private Cloud inkl. Fotos plex.meine_private_domain.de < dein Plex Medien Server www.meine_firma.de < für meine Firma (der 2. parallele Thread) sofern noch aktuell und auch selfhosted sein soll ... ... usw usw ... NPM (nginx proxy manager) ist leicht zu handlen, webui, click and go ... bietet aber (derzeit) beispielsweise kein geo blocking, kein fail2ban, ... was andere Reverse Proxies wie swag beispielsweise integriert haben, diese aber im Aufsetzen und der Verwaltung halt aufwändiger sind ... und beide nutzen nginx als "Basis". Unraid Fernzugriff, ganz was anderes ... lies dich doch erstmal etwas ein und stell gezielte Fragen für usecases, Thema Bilder ist ja bereits beantwortet, da für gibt es diverse Möglichkeiten ... und da immer gerne das Wort "sicher sicher sicher" aufkommt, "Sicher" sitzt 60 cm vor dem Bildschirm oder ist offline. Quote Link to comment
Lunner Posted April 15 Author Share Posted April 15 (edited) On 4/14/2024 at 5:57 AM, alturismo said: Falsch zum "Proxy System", hat auch nichts speziell mit Unraid zu tun ... sondern ist ne allgemeine Vorgehensweise um extern Dienste bereit zu stellen. in deinem Fall beispielsweise cloud.meine_private_domain.de < für deine private Cloud inkl. Fotos plex.meine_private_domain.de < dein Plex Medien Server www.meine_firma.de < für meine Firma (der 2. parallele Thread) sofern noch aktuell und auch selfhosted sein soll ... ... usw usw ... Also das mit den Familien Fotos habe ich jetzt erst einmal mittel Nextcloud am Server auf einer eigenen Festplatte als gesonderten Pool gelöst. Meine Frau kann mittels Nextcloud-Client über unser WLan-Netzwerk die Fotos hochladen. Das ist jetzt also nur im Heimnetzwerk und nach außen hin geschloßen. Immich interessiert mich nicht wegen Gesichtserkennungssoftware, das brauche ich bei unsere Kinder nicht. On 4/14/2024 at 5:57 AM, alturismo said: NPM (nginx proxy manager) ist leicht zu handlen, webui, click and go ... bietet aber (derzeit) beispielsweise kein geo blocking, kein fail2ban, ... was andere Reverse Proxies wie swag beispielsweise integriert haben, diese aber im Aufsetzen und der Verwaltung halt aufwändiger sind ... und beide nutzen nginx als "Basis". Also dann installiere ich Swag und schau mir das mal an und hoffe es zum laufen zu bekommen. Dann suche ich dementsprechend im Internet nach Tutorials für Swag. Vielen Vielen Dank! Das hat mir alles schon sehr viel Zeit ersparrt und ich bin voran gekommen. Belesen tue ich mich ständig in 100 Dingen gleichzeitig weil man ständig von eins ins nächste kommt, aber irgenwann ist das Wirrwarr im Kopf geordnet. Edited April 15 by Lunner 1 Quote Link to comment
jj1987 Posted April 15 Share Posted April 15 2 minutes ago, Lunner said: Immich interessiert mich nicht wegen Gesichtserkennungssoftware, das brauche ich bei unsere Kinder nicht. Das läuft aber ausschließlich bei dir lokal, falls du da Datenschutzbedenken hast. Und es ist schon ganz nett, Bilder von einzelnen Personen "filtern" zu können. Hatte jahrelang Google Fotos genutzt und jetzt dann immich und mich von Google (fast) verabschiedet. Das letzte bisschen machine learning fehlt immich noch (im Vergleich zum "Original"), aber es macht seine Sache sehr gut. Und mit dem automatischen Upload vom Handy ist es halt auch echt praktisch. Meine Frau hat das in kürzester Zeit akzeptiert und ich behaupte sogar inzwischen auch gefallen daran gefunden. Quote Link to comment
zero_neverload Posted April 15 Share Posted April 15 1 hour ago, Lunner said: Also das mit den Familien Fotos habe ich jetzt erst einmal mittel Nextcloud am Server auf einer eigenen Festplatte als gesonderten Pool gelöst. Meine Frau kann mittels Nextcloud-Client über unser WLan-Netzwerk die Fotos hochladen. Das ist jetzt also nur im Heimnetzwerk und nach außen hin geschloßen. Na dann war ja mein Grundgedanke ja doch die Lösung für dein Problem. Viel erfolg mit Nextcloud (für mich eine absolute Bereicherung, was ich täglich nutz ohne BigBrother hinter mir zu haben) Quote Link to comment
Lunner Posted April 16 Author Share Posted April 16 (edited) On 4/15/2024 at 11:39 PM, zero_neverload said: Na dann war ja mein Grundgedanke ja doch die Lösung für dein Problem. Viel erfolg mit Nextcloud (für mich eine absolute Bereicherung, was ich täglich nutz ohne BigBrother hinter mir zu haben) Ja, ich danke dir sehr! Ich liebe es in einem Team zu arbeiten, alleine kommt man einfach viel langsamer voran! On 4/15/2024 at 10:12 PM, jj1987 said: Das läuft aber ausschließlich bei dir lokal, falls du da Datenschutzbedenken hast. Und es ist schon ganz nett, Bilder von einzelnen Personen "filtern" zu können. Hatte jahrelang Google Fotos genutzt und jetzt dann immich und mich von Google (fast) verabschiedet. Das letzte bisschen machine learning fehlt immich noch (im Vergleich zum "Original"), aber es macht seine Sache sehr gut. Und mit dem automatischen Upload vom Handy ist es halt auch echt praktisch. Meine Frau hat das in kürzester Zeit akzeptiert und ich behaupte sogar inzwischen auch gefallen daran gefunden. Klingt ja wirklich sehr gut und sehr unterstützend, vor allem um Alben für Verwandte zu erstellen usw., jedoch weiß ich nicht ob nicht doch irgendwelche Informationen der Gesichtserkennung nach draußen gehen und wer weiß wo das irgendwann für was auch immer gespeichert wird... Glaube mir, in 2020 -2022 habe ich sehr viel gelernt was sich im Hintergrund dieser Welt so abspielt und es ist ein leichtes zu sagen, ach... Alles Okay... Würde ich absolut zu 100% wissen dass diese Software nicht nach draußen telefoniert und keine Statistiken oder sonstiges anlegt, würde ich es mir wirklich überlegen und meine Frau wäre wohl begeistert davon.. Edited April 16 by Lunner Quote Link to comment
jj1987 Posted April 17 Share Posted April 17 6 hours ago, Lunner said: Würde ich absolut zu 100% wissen dass diese Software nicht nach draußen telefoniert Naja immich ist Open source. Ich weiß es zwar nicht, bin aber ziemlich sicher dass wenn da Daten (heimlich) verschickt würden, hatte es schon längst jemand bemerkt . Aber gut, ich kann deinen Standpunkt absolut nachvollziehen Quote Link to comment
Lunner Posted April 17 Author Share Posted April 17 (edited) 17 hours ago, jj1987 said: Naja immich ist Open source. Ich weiß es zwar nicht, bin aber ziemlich sicher dass wenn da Daten (heimlich) verschickt würden, hatte es schon längst jemand bemerkt . Aber gut, ich kann deinen Standpunkt absolut nachvollziehen Du hast vielleicht recht, vielleicht werde ich es mir noch einmal überlegen, mal sehen. Danke dir auf jeden Fall für Deine Tipps! Eine Frage am Rande noch; Wenn meine Frau via Smartphone mit dem sie auch ständig im Internet surft unsere Fotos auf den Server hochläd, entsteht dann nicht vielleicht auch Gefahr über Infiltration bzw. Datensicherheits Leck oder so? Können hier nicht auch Schadsoftware mit drauf kommen? Gerne lasse ich mich hier beruhigen! Oder wenn es so ist, gibt es hier Möglichkeiten oder Software die dazwischen läuft und das im Auge behält? Also wenn sie es über Internet machen würde und da wäre eine OPNSense dazwischen, dann wäre das ja schon mal etwas, aber so ist halt nichts dazwischen.. Edited April 17 by Lunner Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 7 hours ago, Lunner said: Oder wenn es so ist, gibt es hier Möglichkeiten oder Software die dazwischen läuft und das im Auge behält? Also wenn sie es über Internet machen würde und da wäre eine OPNSense dazwischen, dann wäre das ja schon mal etwas, aber so ist halt nichts dazwischen.. ...der Angriffsvektor über ein Smartphone ist ein anderer. Da hilft auch keine opnsense wirklich, da Du ja auf dem Smartphone den Tunnel durch die opnsense einrichten musst und diese Lücke in der opnsense bewusst öffnen musst. Es gibt auch entsprechende Firewalls und Sicherheitssoftware (Apps) für das Smartphone, denn das Gerät selbst ist zu sichern, nicht nur die Verbindung/der Tunnel nach Hause. Such mal nach SEP mobile... Quote Link to comment
Archonw Posted April 18 Share Posted April 18 On 4/17/2024 at 12:10 AM, Lunner said: Würde ich absolut zu 100% wissen dass diese Software nicht nach draußen telefoniert und keine Statistiken oder sonstiges anlegt, würde ich es mir wirklich überlegen und meine Frau wäre wohl begeistert davon.. In der Nextcloud ist es auch möglich eine eigene also lokal Gesichtserkennung zu betrieben. Schau einfach mal den Nextcloud eigenen App-Store an. Da nutze ich z.B. auch lieber die App Memories anstatt der standard Fotos-App. Quote Link to comment
Lunner Posted April 18 Author Share Posted April 18 (edited) 14 hours ago, Ford Prefect said: ...der Angriffsvektor über ein Smartphone ist ein anderer. Da hilft auch keine opnsense wirklich, da Du ja auf dem Smartphone den Tunnel durch die opnsense einrichten musst und diese Lücke in der opnsense bewusst öffnen musst. Es gibt auch entsprechende Firewalls und Sicherheitssoftware (Apps) für das Smartphone, denn das Gerät selbst ist zu sichern, nicht nur die Verbindung/der Tunnel nach Hause. Such mal nach SEP mobile... ?zu sicher? oder Unsicher? Lieber wäre es mir wenn der Interne Datenverkehr auch über eine Firewall läuft damit auch hier eine gewisse Überwachung und ein Schutz vorhanden sind.. So wie bei den Sophos Switches die einiges genau erkennen und darauf z.B. mit Quarantäne eines Clients im Netzwerk reagieren können. SEP Mobile klingt sehr interessant für mein Tablet und das Handy meiner Frau.. kannst du hier eine empfehlen bevor ich mich wieder halb tot rechachiere? 🤔 Edit: Habe mich kurz mit SEP auseinander gesetzt und mich für ein absolutes NEIN-Danke entschieden! Der Grund ist dieser, wenn du liest und merkst dass ALLE Daten über diese App gehen und diese App die Daten speichert, weiter verwenden und sogar weiterleiten darf unter "angeblicher" anonymität und auch noch g0Ogl3 dabei steht, dann weiß ich dass ich andere "vielleicht" meinen Datenverkehr abhorchen, jedoch bei dieser APP sogar selber EINWILLIGE dass Dies passiert! Und das ist keine Idee von mir, nein das schreiben sie selber! 14 hours ago, Archonw said: In der Nextcloud ist es auch möglich eine eigene also lokal Gesichtserkennung zu betrieben. Schau einfach mal den Nextcloud eigenen App-Store an. Da nutze ich z.B. auch lieber die App Memories anstatt der standard Fotos-App. hmm.. schaue ich mir gleich mal an, Dankeschön! Also wenn Immich die Gesichtserkennung erst nach einer Installation einer solchen App hat, ist es schon wieder interessanter für mich, jedoch muss man sich da glaube ich auch wieder regestrieren was mich schon ganz fertig macht, denn wenn der Server mal so läuft wie ich es gerne hätte bin ich bei 100 Dingern Registriert.. grml.. Edited April 18 by Lunner Quote Link to comment
Archonw Posted April 18 Share Posted April 18 Eine Registrierung für Immich ist mir nicht bekannt.Läuft auch bei mir, mit Gesichtserkennung und registrieren musste ich mich nicht.Ich finde aber die Memories APP in der Nextcloud derzeit noch "besser". Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 26 minutes ago, Lunner said: Lieber wäre es mir wenn der Interne Datenverkehr auch über eine Firewall läuft damit auch hier eine gewisse Überwachung und ein Schutz vorhanden sind.. So wie bei den Sophos Switches die einiges genau erkennen und darauf z.B. mit Quarantäne eines Clients im Netzwerk reagieren können. Die gängige Praxis ist, das Gerät selbst mit einer Firewall und Security-Lösung zu sichern. Den Netzwerktraffik mitzuschneiden und Bedrohungen per Analyse zu erkennen kannst Du vergessen, da der Traffik ja in der Regel verschlüsselt ist. Da gibt es Lösungen, aber die sind eher staatlichen Institutionen zugänglich. 31 minutes ago, Lunner said: Edit: Habe mich kurz mit SEP auseinander gesetzt und mich für ein absolutes NEIN-Danke entschieden! Der Grund ist dieser, Wenn Du niemandem vertraust, ausser Dir selbst empfehle ich Dir mit dem Handy offline zu bleiben....oder das OS und die Apps eben ausschliesslich selbst zu entwickeln. Das Problem bist nicht Du, sondern die bösen Anderen...eine App, die Du nicht kontrollierst kann dynamisch Daten teilen/Schadcode nachladen usw. Die Leistung des Phone reicht allein nicht aus um das zu prüfen und Bedrohungen sind schon lange nicht mehr statisch und auf Viren beschränkt. Quote Link to comment
Archonw Posted April 18 Share Posted April 18 @Lunner rein Interesse halber, was für ein Handy benutzt du? Was für eine Betriebssystem auf deinem Computer? Ich glaube du machst dir zu viele Gedanken und siehst eine Bedrohung, die so nicht gegeben ist.Nicht falsch verstehen, ich selbst versuche so weit es geht meinen eigenen digitalen Fingerabdruck klein zu halten. Und dennoch in meinem eigenen Netzwerk möchte ich nichts haben was einfach mal alles an traffic mit lauscht und analysiert.Ich suche meine Geräte lieber so aus, dass ich weiß was sie machen und trenne diejenigen denen ich nicht traue von denjenigen den ich traue.Alle wlan-fähigen IOT kommen z.b. generell in ihr eigenes Netz und sind so weg vom Rest. Quote Link to comment
Lunner Posted April 18 Author Share Posted April 18 (edited) 48 minutes ago, Archonw said: Eine Registrierung für Immich ist mir nicht bekannt. Läuft auch bei mir, mit Gesichtserkennung und registrieren musste ich mich nicht. Ich finde aber die Memories APP in der Nextcloud derzeit noch "besser". weil die App Memories mein Nextcloud instabil macht, kann ich es gar nicht erst installieren... ? 47 minutes ago, Ford Prefect said: Die gängige Praxis ist, das Gerät selbst mit einer Firewall und Security-Lösung zu sichern. Den Netzwerktraffik mitzuschneiden und Bedrohungen per Analyse zu erkennen kannst Du vergessen, da der Traffik ja in der Regel verschlüsselt ist. Da gibt es Lösungen, aber die sind eher staatlichen Institutionen zugänglich. Also eine Firewall in Unraid habe ich noch nicht gefunden.. Ist Cloudflare so eine Firewall? Laut beschreibung nur ein DNS-Host. Wie schütze ich Unraid vor interner Netzwerk Gefahren? Meine Clients haben Linux Ubuntu und Linux Debian 12, da sollte ich eine Software-Firewall installieren meinst Du? Oder kennst du noch andere Programme die ich mir anschauen sollte? 47 minutes ago, Ford Prefect said: Wenn Du niemandem vertraust, ausser Dir selbst empfehle ich Dir mit dem Handy offline zu bleiben....oder das OS und die Apps eben ausschliesslich selbst zu entwickeln. Das Problem bist nicht Du, sondern die bösen Anderen...eine App, die Du nicht kontrollierst kann dynamisch Daten teilen/Schadcode nachladen usw. Die Leistung des Phone reicht allein nicht aus um das zu prüfen und Bedrohungen sind schon lange nicht mehr statisch und auf Viren beschränkt. Du hast schon recht, jedoch heißt das nicht dass ich niemandem traue, es kommt halt darauf an wer hinter den Programmen steckt und Euch traue ich auch dass ihr mich mit meinem Unraid-Systemen unterstützen und nicht schaden wollt! 38 minutes ago, Archonw said: @Lunner rein Interesse halber, was für ein Handy benutzt du? Was für eine Betriebssystem auf deinem Computer? Auf meinem Tablet läuft Android, obwohl ich hier auch gerne mal eine Linux Distro drauf hätte und auf dem Smartphone meiner Frau läuft auch Android. Mein Handy ist ein Baustellen-Tastenhandy wegen meiner Arbeit als Arborist. (Baumarbeiten mit Seilklettertechnick) 38 minutes ago, Archonw said: Alle wlan-fähigen IOT kommen z.b. generell in ihr eigenes Netz und sind so weg vom Rest. Das ist eine gute Idee und werde ich auch noch umsetzen wenn der passende Router/Firewall/Switch vorhanden ist! Edited April 18 by Lunner Quote Link to comment
Ford Prefect Posted April 18 Share Posted April 18 4 minutes ago, Lunner said: Also eine Firewall in Unraid habe ich noch nicht gefunden.. In dem Kontext ging es um das Handy...ein Gerät, das naturgemäss zu Hause dann in zwei Netzen gleichzeitig ist (WLAN und "telekom") und sozusagen aus der Perspektiive Deines Heimnetzes eine potenziell "unerlaubte" Netzkopplung darstellt (praktisch ein WAN, dass Du nicht mit Deiner Heim-Firewall kontrollieren kannst). Deshalb macht es Sinn da eine Firewall/Security App zu installieren. Unraid ist ein Linux und hat einige Firewall-Elemente drin, die aber nicht aktiv zugänglich (und sicher eingestellt) sind. Grundsätzlich stellt man unraid selbst eben *nicht* ins Internet. Man kann eine Firewall-Appliance als VM drauf installieren und dann Docker/VMs netzwerktechnisch trennen, überwachen usw...aber das kannst Du auch auch mit einer zentralen Firewall machen. Wichtig also die Dienste sinnvoll zu trennen. 19 minutes ago, Lunner said: Meine Clients haben Linux Ubuntu und Linux Debian 12, da sollte ich eine Software-Firewall installieren meinst Du? Oder kennst du noch andere Programme die ich mir anschauen sollte? Für Android würde ich tatsächlich SEP-Mobile nehmen....ich glaube die ist sogar kostenlos (bei uns in der 4ma Standard und Pflicht). Bei Linux Clients bin ich ehrlich gesagt unschlüssig...SEP gibt es, glaube ich nur noch für Enterprises. Mit Linux ist das Risiko für Viren bedeutend geringer als bei Windoof (bei Windoof reicht der Standard MS Defender). 9 minutes ago, Lunner said: Ist Cloudflare so eine Firewall? Laut beschreibung nur ein DNS-Host. Cloudflare bietet viele Services, aber eben im Internet, nicht fürs innere Deines Netzes. 9 minutes ago, Lunner said: Wie schütze ich Unraid vor interner Netzwerk Gefahren? Indem Du die Dienste (Docker, VMs) in separate Netze trennst und vor allem auch das Management-Interface (das Web-UI) nur aus einem inneren, vertrauenswürdigen Teil des Netzes zugänglich machst. Diesen Teil nennt man das Management-(V)LAN. 29 minutes ago, Lunner said: Du hast schon recht, jedoch heißt das nicht dass ich niemandem traue, es kommt halt darauf an wer hinter den Programmen steckt Symantec gehört zu Broadcom...OK, hmmm...böse Chinesen sind das nicht, aber Alternativen gibt es auch wenige...aber da gibt es sicher Leute mit mehr Meinungen hier. 31 minutes ago, Lunner said: und Euch traue ich auch dass ihr mich mit meinem Unraid-Systemen unterstützen und nicht schaden wollt! Also bitte keine Panik...abermache Dir klar, dass das grösste Risiko vor der/Deiner Tastatur sitzt Quote Link to comment
Lunner Posted April 19 Author Share Posted April 19 (edited) On 4/19/2024 at 12:02 AM, Ford Prefect said: In dem Kontext ging es um das Handy...ein Gerät, das naturgemäss zu Hause dann in zwei Netzen gleichzeitig ist (WLAN und "telekom") und sozusagen aus der Perspektiive Deines Heimnetzes eine potenziell "unerlaubte" Netzkopplung darstellt (praktisch ein WAN, dass Du nicht mit Deiner Heim-Firewall kontrollieren kannst). Deshalb macht es Sinn da eine Firewall/Security App zu installieren. Auf dem Tab ist jetzt einmal "Netguard" und "Rethink DNS+Firewall" installiert und ich mache mich damit vertraut. On 4/19/2024 at 12:02 AM, Ford Prefect said: Unraid ist ein Linux und hat einige Firewall-Elemente drin, die aber nicht aktiv zugänglich (und sicher eingestellt) sind. Grundsätzlich stellt man unraid selbst eben *nicht* ins Internet. Genau, daher bleibt die Nextcloud mit unseren Fotos und Videos auch "Versteckt" bzw. nur intern zugänglich. On 4/19/2024 at 12:02 AM, Ford Prefect said: Wichtig also die Dienste sinnvoll zu trennen. Genau, daher suche ich noch nach einem passenden günstigen, brauchbaren, Stromsparenden, Maneged Switch. Was mir auch gefallen würde ist z.B. mein Zimablade nicht nur als Nas sondern auch mit OPENWRT und einer 4Port PCI zu einem Switch/Router umzufunktionieren, dann habe ich intern gleich etwas mehr Sicherheit da ich Unraid mit anderen Programmen installieren kann die das Netzwerk intern auch noch Überwachen mit z.B. Crowdsec etc. Wahrscheinlich eher nur für Freaks. Wieso schreibst Du "Dienste und nicht "Server/Geräte" zu trennen, macht das Unraid nicht automatisch? On 4/19/2024 at 12:02 AM, Ford Prefect said: Bei Linux Clients bin ich ehrlich gesagt unschlüssig...SEP gibt es, glaube ich nur noch für Enterprises. Mit Linux ist das Risiko für Viren bedeutend geringer als bei Windoof (bei Windoof reicht der Standard MS Defender). Crowdsec kommt auch auf die Firewall so wird das interne Netz auch gleich mit überwacht, genau das was ich mir von einem Switch in der mitte erwartet hätte. So ist auch ein Schutz falls meine Frau mit ihrem Handy etwas einfängt und weiter gibt etwas gebannt.. On 4/19/2024 at 12:02 AM, Ford Prefect said: Indem Du die Dienste (Docker, VMs) in separate Netze trennst und vor allem auch das Management-Interface (das Web-UI) nur aus einem inneren, vertrauenswürdigen Teil des Netzes zugänglich machst. Diesen Teil nennt man das Management-(V)LAN. Das hast du schon in vielen Forum-Beiträgen erwähnt, gerne wüsste ich etwas genauer wie so etwas aussieht! Die Docker und WebGUIs sind ja alle von einander getrennt.. eigene Ports z.B... Reicht es nicht wenn man die MAC-Adressen angibt die auf z.B. unserer Nextcloud zugreifen dürfen? Dann kann ja niemand anderer mehr darauf oder? On 4/19/2024 at 12:02 AM, Ford Prefect said: Also bitte keine Panik...abermache Dir klar, dass das grösste Risiko vor der/Deiner Tastatur sitzt Ja der kann schon mal zu Sorglos werden bei so langwierigen arbeiten und einschlafen tut er auch gleich vor der Tastatur... Edited April 19 by Lunner Quote Link to comment
Ford Prefect Posted April 20 Share Posted April 20 (edited) 15 hours ago, Lunner said: Wieso schreibst Du "Dienste und nicht "Server/Geräte" zu trennen, macht das Unraid nicht automatisch? Dienste, weil Server/geräte ja auf unraid virtualisiert sind....und nein, natürlich tut unraid das nicht (es gibt eine kleine Ausnahme bei Dockern, aber genau dieses Sicherheitsfeature schalten viele aus). 15 hours ago, Lunner said: Genau, daher suche ich noch nach einem passenden günstigen, brauchbaren, Stromsparenden, Maneged Switch. Was mir auch gefallen würde ist z.B. mein Zimablade nicht nur als Nas sondern auch mit OPENWRT und einer 4Port PCI zu einem Switch/Router umzufunktionieren, dann habe ich intern gleich etwas mehr Sicherheit da ich Unraid mit anderen Programmen installieren kann die das Netzwerk intern auch noch Überwachen mit z.B. Crowdsec etc. ....ich habe die starke Vermutung, dass Dir nicht klar ist, wie Netzwerke wirklich funktionieren, auf der Software-Seite und wie man diese überwacht, wie ein Switch (auf OSI-Layer 2) und ein Router (auf OSI-Layer 3) und eine Firewall (OSI Layer 2-7) funktionieren/angewandt werden (sollten/können). 15 hours ago, Lunner said: Die Docker und WebGUIs sind ja alle von einander getrennt.. eigene Ports z.B... ..sie sind nur eindeutig erreichbar, aber nicht getrennt im Sinne von Sicherheit. Siehe meine Anmerkung oben.... 15 hours ago, Lunner said: Das hast du schon in vielen Forum-Beiträgen erwähnt, gerne wüsste ich etwas genauer wie so etwas aussieht! Wie in Deinem anderen Faden schon gesagt, mach Dir einen Plan. Du musst besser verstehen wie Netzwerke und Netzwerk-Kommunikation funktioniert. Das hier kann helfen: https://www.freecodecamp.org/news/osi-model-networking-layers-explained-in-plain-english/ (sorry, ich habs nur auf Englisch). Getrennnte Netze heisst das Geräte/Server einer "Gruppe X" in einem eigenen Netzwerk der Gruppe X verbunden sind. Am einfachsten eben mit physischen Netzwerk-Verbindungen untereinander, zB mittels Netzwerkkarte und Verbindungs-Patchkabel zu einem Switch. Hat man nicht genug Möglichkeiten zur physischen Netzwerk-Trennung kann man auch virtuelle Netzwerke (VLANs) verwenden. Innerhalb dieser Gruppe/des gleichen Netzwerks können sie frei miteinander kommunizieren. Das ist keine Forderung, sondern ein Grundprinzip. Beispiel: Im Netzwerk X ist das IP-Segment 192.168.X.0/24 definiert. das Gateway zu andere Netzen ist der Router, zB 192.168.X.1. Alle Geräe/Dienste innerhalb dieses Netzwerkes kommunizieren untereinander *nicht* über die jeweilige IP (und den Router/die Firewall), sondern über die OSI-Schicht darunter (dafür sorgt das Address-Resolution-Protokoll (ARP) das die Geräte nutzen, sobald sie feststellen, dass sie mit einem Gerät im gleichen IP-Netz kommunizieren sollen/wollen). Will man das ändern, muss man extra Regeln in dieser Schicht unterhalb IP installieren (IP ist Layer 3, darunter ist Layer 2), zB im Switch -> Managed Switch. Das hier bedeutet aber auch, das "Nodes"/Geräte im gleichen Netzwerk untereinander *nicht über die Firewall (den Router) kommunizieren und die Firewall als Sicherheits-Komponente für Nodes innerhalb eines Netzwerk sinnlos ist. Um Nodes gegeneinander abzusichern nutzt man eben mehrere Netzwerke (X, Y, Z, K, ...) um die Kommunikation zwischen Nodes durch die Firewall zu "erzwingen". Mit dem Gesagten...wie ist der Zugriff auf das unraid Web-UI gesichert, wenn der unraid Host, Docker und VMs alle im gleichen Netzwerk (ein IP-Segment) sind? Wie sind Nodes (Docker/VMs) gesichert gegeneinander und wie ist der UnRaid-Host durch Angriffe von diesen Nodes gesichert? Das geht, wenn man es korrekt und sicher machen will, nur indem man in unRaid VLANs aktiviert und dem unraid Host(-Node) (und nur dem und keinem anderen Node auf Unraid) eine IP im Management VLAN gibt. In dem Management VLAN sind nach gleichem Prinzip auch nur die Admin-Zugänge von Switches, Routern, Firewalls und keine "normalen" Nodes. Edit: und ja, man braucht VLANs, weil nur das die Netze im virtuellen Switch in unraid wirklich trennt...zwei Netzwerkkrten und separate Netzwerke/IP-Segmente reichen *nicht*. 15 hours ago, Lunner said: Reicht es nicht wenn man die MAC-Adressen angibt die auf z.B. unserer Nextcloud zugreifen dürfen? Dann kann ja niemand anderer mehr darauf oder? Mac-Adressen kann man in Nodes frei einstellen, also fälschen. Edited April 20 by Ford Prefect Quote Link to comment
Lunner Posted April 24 Author Share Posted April 24 Okay, das habe ich soweit verstanden mit de Trennung. Aber sagst du damit auch dass wir auch dockern bhw. VMs ein eigenes ip Segment geben können auf einem und dn slben Server? Aber der Server könnte dann nicht mehr darauf zugreifen, insofern geht das nur mit eigenen Server mit eigenem ip Segment. Ich ärgere mich gerade mit Mariadb herum und komme nicht rein obwohl ich ein Root Passwort bei der installation vergeben habe, sogar ohne PW, also offen komme ich nicht rein... und habe mir gerade echt überlegt ob ds ganze mit Unraid überhaupt eine sinnvolle idee war... habe mich eher blenden lassen, ein linux server mit einem kleinen mini pc und meinem vorhandenen router (der laut dir sicher genug ist) hätte wohl gereicht... haufen zeit und geld für ewig probleme... grml... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.