VPN- und NAS-Server im Eigenbau

Hallo,

ich bin häufig unterwegs und möchte (selten) auf meine Daten zuhause (ca. 4,5 TB) zugreifen können. Die Daten habe ich auf 4 externen (USB-) Festplatten von Maxtor und Seagate gespeichert, die über eine Stromsparfunktion verfügen, die die Platten nach 15 Minuten ohne Zugriff ausschaltet und erst bei einem Zugriff weider einschaltet. Alle Daten liegen in File-Containern, die mit True-Crypt verschlüsselt wurden und genau der größe der Festpalle entsprechen. Um auf die Daten zuzugreifen muss ich die Festplatten folglich separat mounten.

Ich möchte auf die Daten zuhause via NAS zugreifen können und von aussen über das Internet via VPN. Deshalb möchte ich aus einem alten 700 MHZ Rechner einen Server bauen.

Ich verwende selbst nur Windows als OS und die externen Festplatten sind NTFS formatiert.

1.) Welches OS empfehlt Ihr mir für den Betrieb des Servers?
2.) Werden dann auch die stromsparfunktionen der externen Festplatten unterstützt? Das ist mir nicht nur wegen des Stromverbrauches wichtig, sondern auch um die Platten zu schonen, da Zugriffe selten sind.
3.) Welche Software muss ich für den NAS und VPN-Server installieren?
4.) Wie muss der Router (Modell: 3COM Office) und der Rechner konfiguriert werden, um die aktuelle IP-Adresse dynamischen einer URL zuzuordnen (dynDNS)?
5.) Gibt es eine Möglichkeit den Server nur dann aus der Ferne einzuschalten, wenn ich ihn wirklich benötige? Z.b. über eine ISDN-Telefonleitung, die ich von aussen anwähle, so dass der Server dann bootet? Ich möchte zum einen Strom sparen und zum anderen die Hardware schonen.
6.) Welche Software muss ich installieren, um über meinen heimischen Internetzugang im Internet zu surfen? Von manchen Internetanbietern im Ausland (China) werden Seiten gesperrt, die ich nur über die VPN-Tunnellung ansehen kann.
7.) Wie kann ich das System gegen unbefugte Zugriffe von aussen absichern?
8.) Was muss ich noch beachten? Habe ich etwas wichtiges vergessen?

Vielen Dank für Eure Ideen.

Viele Grüße
Michael

Hei!

Einfaches Problem - komlexe Wünsche.

Ich würd das viel einfacher machen:
Ganz normales Win2k mit einem FTP-Server und VNC.
Per VNC einloggen und gewünschte Platte mounten, dann mit dem FTP-Server auf die Daten zugreifen.

Die Leute hier im Forum werden dir zwar erzählen, das das alles furchtbar unsicher sei, aber ich hab seit ~18 Monaten solch einen Rechner am Netz hängen und laut Log-Files noch nicht mal einen Einbruchsversuch.

Außerdem hast du durch das nötige Mounten der Platten ja doppelte Sicherheit.

1.) Welches OS empfehlt Ihr mir für den Betrieb des Servers?

2000. Oder auch XP. Was du halt gerade greifbar hast. Aber in Anbetracht der Hardware würde ich zu 2k tendieren.

2.) Werden dann auch die stromsparfunktionen der externen
Festplatten unterstützt? Das ist mir nicht nur wegen des
Stromverbrauches wichtig, sondern auch um die Platten zu
schonen, da Zugriffe selten sind.

Schwer zu sagen.
Wenn du Zugriff auf einen 2k-Rechner hast, würd ich es einfach mal ausprobieren.

3.) Welche Software muss ich für den NAS und VPN-Server
installieren?

Wie gesagt, ich würds einfacher realisieren.
Wichtig in dem Falle ist nur, das der FTP-Server den passive Mode beherrscht.

4.) Wie muss der Router (Modell: 3COM Office) und der Rechner
konfiguriert werden, um die aktuelle IP-Adresse dynamischen
einer URL zuzuordnen (dynDNS)?

Hängt vom Router ab. Meiner (DLink) macht das selber, da muss der Rechner nicht ran. Steht im Handbuch, wie man das einrichtet. Ist aber echt nicht schwierig.

5.) Gibt es eine Möglichkeit den Server nur dann aus der Ferne
einzuschalten, wenn ich ihn wirklich benötige? Z.b. über eine
ISDN-Telefonleitung, die ich von aussen anwähle, so dass der
Server dann bootet? Ich möchte zum einen Strom sparen und zum
anderen die Hardware schonen.

Die Möglichkeiten sind unbegrenzt.
Am einfachsten wäre es, wenn dein Board und LAN-Karte Wake-on-LAN unterstützen.

6.) Welche Software muss ich installieren, um über meinen
heimischen Internetzugang im Internet zu surfen? Von manchen
Internetanbietern im Ausland (China) werden Seiten gesperrt,
die ich nur über die VPN-Tunnellung ansehen kann.

Irgendeinen Proxy.
Ein richtiger Proxy-Server wie Jana, aber selbst Werbefilter wie der Webwasher oder das Proxomitron können dafür einfach mißbraucht werden. Du musst dann nur die Ports 80 und 449 (für https) in deinem Router auf den Server forwarden und im Browser, der du gerade benutzt, deine DynDNS-Adresse als Proxy eintragen.

7.) Wie kann ich das System gegen unbefugte Zugriffe von
aussen absichern?

Pfff.
Die Frage aller Fragen. Nur zur Klarstellung: 100% Sicherheit gibt es nicht, wird es nie geben. Man kann es potentiellen Einbrechern nur so schwierig wie möglich machen. Aber man bekommt es mit ein paar Handgriffen so hin, das die Hürden so hoch liegen, das die Jungs, die es dann noch schaffen würden, so gut sind, das sie sich nicht für deinen Rechner interessieren, sondern eher für die der Landeszentralbank

Dafür muss der Rechner unter einem Account mit so wenig Rechten wie irgendmöglich laufen, die Passwörter (für VNC und FTP-Server) sollten schon etwas anspruchsvoller sein und die Software sollte nicht auf den Standard-Ports, auf dennen sie von Script-Kiddies mit automatischen Suchprogrammen schnell entdeckt werden können, laufen.

8.) Was muss ich noch beachten? Habe ich etwas wichtiges
vergessen?

Wenn du den automatischen Start nicht hinbekommst, dann experimentier ein wenig mit der Hardware und dem Energieverbrauch herum. Ich hab meinen „Webserver“ auf 24 W im laufenden Betrieb runtergedrückt. Das merkt man am Ende des Jahres . . .

lg, mabuse

1.) Welches OS empfehlt Ihr mir für den Betrieb des Servers?

Eines, mit dem du dich möglichst gut auskennst. Der Aufbau eines von aussen zugreifbaren Servers ist immer ein sicherheitskritischer Vorgang. Da mit irgendwelchen ‚sicheren‘ Betriebssystemen herumzuspielen, deren Betrieb du nicht beherrschst, ist keinesfalls empfehlenswert.

2.) Werden dann auch die stromsparfunktionen der externen
Festplatten unterstützt?

Das sollten die Geräte selbst beherrschen, ohne auf irgendwelche Treiber angewiesen zu sein. Du musst nur darauf achten, dass du weder das Betriebssystem noch sonstige auf dem Server aktive Software auf diesen Platten installierst.

3.) Welche Software muss ich für den NAS und VPN-Server
installieren?

NAS setzt nichts weiter voraus, als das Daten über das Netz abrufbar vorgehalten werden. Welches Protokoll dafür verwendet wird, welche Software die Daten verwaltet oder anbietet, ist absolut unerheblich. Sollen Server und Clients unter Windows laufen, reichen die Windows-Bordmittel (Datei-/Laufwerksfreigaben) vollkommen aus. Du musst nur daran denken, diese Freigaben und die zugrundeliegenden Dienste nicht nach aussen anzubieten. Sie dürfen lediglich im lokalen Netz angeboten werden. Für deinen Zugriff von aussen ist dann VPN zuständig.

Für den VPN-Server empfehle ich OpenVPN, den du unbedingt für ausschließlich zertifikatsbasierten Zugang konfigurieren solltest. Die Windows-Bordmittel (l2tp oder gar pptp [grusel…]) sind aus versch. Gründen nicht zu empfehlen.

4.) Wie muss der Router (Modell: 3COM Office) und der Rechner
konfiguriert werden, um die aktuelle IP-Adresse dynamischen
einer URL zuzuordnen (dynDNS)?

Eben. DynDNS. Wenn sich der Router zudem selbst als VPN-Endknoten einrichten lässt, kannst du dieses Feature natürlich auch, anstelle einer Einrichtung auf dem Server, nutzen. Das könnte die VPN.Einrichtung erheblich vereinfachen; welche Auswirkungen dies für die Sicherheit deiner Architektur hat, lässt sich von hier aus nicht bewerten. Andernfalls musst du auf dem Router den (die) für VPN benötigten Port auf den Server natten.

5.) Gibt es eine Möglichkeit den Server nur dann aus der Ferne
einzuschalten, wenn ich ihn wirklich benötige?

Wake on Lan. Wenn der Router eh online ist, ist das trivial. Aktuelle PC haben WOL häufig on board, bei älteren müsstest du evtl. eine entspr., etwas teurere Netzwerkkarte nachrüsten.

6.) Welche Software muss ich installieren, um über meinen
heimischen Internetzugang im Internet zu surfen? Von manchen
Internetanbietern im Ausland (China) werden Seiten gesperrt,
die ich nur über die VPN-Tunnellung ansehen kann.

Keine. Wenn du den VPN-Tunnel aufgebaut hast, werden üblicherweise nur lokale Verbindungen über diesen Tunnel geroutet, alle anderen Verbindungen nach wie vor über den Internetzugang des Providers. Ist der VPN-Tunnel aber aufgebaut, stellt sich der Rechner so dar, als sei er tatsächlich physisch im heimischen Netzwerk aufgestellt. Damit hast du auch alle Möglichkeiten, die du im heimischen Netzwerk hast.

Du musst also nur noch die Standardroute auf den heimischen Router zeigen lassen, und surfst ab sofort durch den Tunnel. Das Umbiegen der Route erledigen zwei Befehle in einer einfachen Batchdatei.

7.) Wie kann ich das System gegen unbefugte Zugriffe von
aussen absichern?

Mit OpenVPN per verschlüsseltem Zertifikat. Und halt dafür sorgen, dass ausser VPN keinerlei andere Dienste nach aussen angeboten werden.

8.) Was muss ich noch beachten? Habe ich etwas wichtiges
vergessen?

Solange du nicht als Diensteanbieter für Dritte (der Schwiegerpapa soll auf die Fotos auf deinem Server zugreifen dürfen, die Kumpels auf deine mp3- und Warezsammlung…) auftreten willst, sehe ich da nichts, was weiter zu beachten wäre.

HTH

Hallo,

Ich würd das viel einfacher machen:
Ganz normales Win2k mit einem FTP-Server und VNC.
Per VNC einloggen und gewünschte Platte mounten, dann mit dem
FTP-Server auf die Daten zugreifen.

Huihui …

Die Leute hier im Forum werden dir zwar erzählen, das das
alles furchtbar unsicher sei,

Eben. Da tut sich einer verschlüsselte Partitionen an weil er offenbar ein Sicherheitsbedürfnis größer Null hat und Du empfiehlst ihm Zugriff per VNC und FTP.

Irgendwie klingt das für mich nicht nach einer runden Lösung.

Sebastian

Eben. Da tut sich einer verschlüsselte Partitionen an weil er
offenbar ein Sicherheitsbedürfnis größer Null hat und Du
empfiehlst ihm Zugriff per VNC und FTP.

Ja. Er hat ja schließlich doppelte Sicherheit:
Erst mit VNC einloggen.
Dann im Desktop die Platte mounten (dafür wird er ja wohl auch ein Passwort eingeben müssen, oder?)
Dann via FTP drauf zugreifen.

Sprich: für den Zugriff sind drei Vorgänge, die jeweils durch ein eigenes Passwort abgesichert sind, nötig. Warum sollte das nicht reichen?

Irgendwie klingt das für mich nicht nach einer runden Lösung.

Wie gesagt, ich betreibe solch einen Server (ohne Verschlüsselung der Platte!) seit 1 1/2 Jahren - und es gab noch nicht mal einen Einbruchs_versuch_. Ich denke, man kann’s auch Übertreiben.

Wobei man für eine ordentliche Risikoabschätzung natürlich wissen müsste, was es denn für Daten sind, wie groß das Sicherheitbedürfnis realistischerweise sein muss.

Mich macht ehrlich gesagt die schiere Datenmenge stutzig. Ich selber werde als Jäger&Sammler bezeichnet, komme aber an die 4,5 TB nicht ganz heran. Und vor allem muss ich meine Daten nicht online im ständigen Zugriff haben - also, was mögen das für Daten sein?

lg, mabuse

Ja. Er hat ja schließlich doppelte Sicherheit:
Erst mit VNC einloggen.
Dann im Desktop die Platte mounten (dafür wird er ja wohl auch
ein Passwort eingeben müssen, oder?)
Dann via FTP drauf zugreifen.

In China. Wo du jederzeit damit rechnen mußt, dass ein Zensor die ganzen Passwörter, die du da so herrlich unverschlüsselt übers Netz jagst, mitschneidet…

Schmeiss die Daten doch gleich auf den Marktplatz! Da hast du doppelte Sicherheit, denn erstens rechnet keiner damit, dass auf dem Marktplatz vertrauliche Daten herumfliegen und zweitens ist im offenen Gelände ein ‚Einbruchs_versuch_‘ aus offenkundigem Grunde zum Scheitern verurteilt.

Tsstsstss…

Hi,

Sprich: für den Zugriff sind drei Vorgänge, die jeweils durch
ein eigenes Passwort abgesichert sind, nötig. Warum sollte das
nicht reichen?

Weil du mit deiner Lösung jedes dieser Passwörter unverschlüsselt durchs Internet schickst.

Gruß

rantanplan

Weil du mit deiner Lösung jedes dieser Passwörter
unverschlüsselt durchs Internet schickst.

Nicht wenn ich UltraVNC mit dem Verschlüsselungs-PlugIn benutze. Dann ist zumindest das Passwort für das mounten der Platten safe.

Außerdem halte ich das Man-In-the-Middle-Szenario nur an öffentlichen Hot-Spots oder unverschlüsselten WLANs für ein Problem. Solange man eine „richtige“ Leitung hat, seh ich das als ausgesprochen unwahrscheinlich an.
Bzw. dann hat man dermaßen was angestellt, das man auch anderweitig „fällig“ ist.

lg, mabuse

In China. Wo du jederzeit damit rechnen mußt, dass ein Zensor
die ganzen Passwörter, die du da so herrlich unverschlüsselt
übers Netz jagst, mitschneidet…

1. war bisher von China nicht die Rede.
   Im außereuropäischen Ausland würde ich die Sicherheitsmnaßnahmen vieleicht auch verschärfen. Aber innerhalb Deutschlands?

2. Wie schon oben gesagt - UltraVNC mit Verschlüsselungs-PlugIn - schon ist zumindest das Passwort für die Platte safe.

lg, mabuse

1. war bisher von China nicht die Rede.

Soso:

Von manchen Internetanbietern im Ausland (China)
werden Seiten gesperrt,

2. Wie schon oben gesagt - UltraVNC mit
   Verschlüsselungs-PlugIn - schon ist zumindest das Passwort für
   die Platte safe.

Vom Sicherheitsaspekt her ist und bleibt’s ein Gruselstück. Und warum überhaupt sollte man irgendwelche Krücken mühselig zusammenschustern, wenn man’s mit weniger Aufwand auch gleich richtig machen kann?

Gruß

Von manchen Internetanbietern im Ausland (China)
werden Seiten gesperrt,

Ah . . .
Okay, hab ich übersehen.
Dann geb ich dir in vollem Umfang recht

wenn man’s mit weniger Aufwand auch gleich richtig machen kann?

Geht’s mit weniger Aufwand?
Bisher hat sich noch jeder, mir dem ich mich unterhalten hab, an VPN richtig einen abgebrochen. Mir steht das noch bevor . . .

lg, schönes Fest, fette Beute, guter Rutsch und so weiter und so fort . . .
mabuse

Hallo Herrmann,

Deine Lösung entspricht genau meinen Vorstellungen und ich denke Dir sehr für Deine sehr detaillierten Lösungsbeschreibungen. Ich werde versuchen über Weihnachten das System so wie beschrieben aufzubauen.

Ein paar Fragen habe ich aber trotzdem noch:

3.) Welche Software muss ich für den NAS und VPN-Server
installieren?

NAS setzt nichts weiter voraus, als das Daten über das Netz
abrufbar vorgehalten werden. Welches Protokoll dafür verwendet
wird, welche Software die Daten verwaltet oder anbietet, ist
absolut unerheblich. Sollen Server und Clients unter Windows
laufen, reichen die Windows-Bordmittel
(Datei-/Laufwerksfreigaben) vollkommen aus. Du musst nur daran
denken, diese Freigaben und die zugrundeliegenden Dienste
nicht nach aussen anzubieten. Sie dürfen lediglich im lokalen
Netz angeboten werden. Für deinen Zugriff von aussen ist dann
VPN zuständig.

Wie kann ich genau prüfen, ob nach aussen irgendwelche Dienste angeboten werden? Gibt es da eine Übersicht, die man aufrufen kann, was wie angeboten wird?

4.) Wie muss der Router (Modell: 3COM Office) und der Rechner
konfiguriert werden, um die aktuelle IP-Adresse dynamischen
einer URL zuzuordnen (dynDNS)?

Eben. DynDNS. Wenn sich der Router zudem selbst als
VPN-Endknoten einrichten lässt, kannst du dieses Feature
natürlich auch, anstelle einer Einrichtung auf dem Server,
nutzen. Das könnte die VPN.Einrichtung erheblich vereinfachen;
welche Auswirkungen dies für die Sicherheit deiner Architektur
hat, lässt sich von hier aus nicht bewerten. Andernfalls musst
du auf dem Router den (die) für VPN benötigten Port auf den
Server natten.

Der Router stellt nicht die Funktion VPN zur Verfügung. Ich habe gesehen, dass es einige Geräte von AVM/Fritz! und Dytec gibt, aber ich wollte mir nicht undebingt einen neuen kaufen.

Wie kann ich denn den Port auf den Server natten? Und was ist „natten“?

Geht das auch mit einem Router, der eine integrierte Firewall hat?

5.) Gibt es eine Möglichkeit den Server nur dann aus der Ferne
einzuschalten, wenn ich ihn wirklich benötige?

Wake on Lan. Wenn der Router eh online ist, ist das trivial.
Aktuelle PC haben WOL häufig on board, bei älteren müsstest du
evtl. eine entspr., etwas teurere Netzwerkkarte nachrüsten.

Ich dachte zuerst an Wake on Modem, damit der Server nicht immer aufgeweckt wird, sobald ein Signal über die Netzwerkkarte eingeht? Soweit ich wess, gehen doch von dem Router regelmäßig Signale zu den angeschlossenen Rechnern aus, oder? Wie sieht der Fall aus, wenn ich einen anderen Rechner im Netz einschalte? Geht dann nicht auch ein Signal an die LAN Karte zu dem Server raus? Oder ist das erst, wenn man über den anderen lokalen Rechner andere Rechner im Netzwerk sucht?

Hast Du auch eine Idee zum Ausschalten. Oder sollte ich einfach die Energieoptionen so einstellen, dass der Server sich z.B. nach 30 min schlafen legt?

6.) Welche Software muss ich installieren, um über meinen

…

Du musst also nur noch die Standardroute auf den heimischen
Router zeigen lassen, und surfst ab sofort durch den Tunnel.
Das Umbiegen der Route erledigen zwei Befehle in einer
einfachen Batchdatei.

Aha? Wie sieht diese Batch-Datei denn aus? Und liegt die auf dem Server oder Client?

7.) Wie kann ich das System gegen unbefugte Zugriffe von
aussen absichern?

Mit OpenVPN per verschlüsseltem Zertifikat. Und halt dafür
sorgen, dass ausser VPN keinerlei andere Dienste nach aussen
angeboten werden.

Wie sieht es mit einer Firewall aus? Soll ich eine Firewall auf dem Server laufen lassen?

8.) Was muss ich noch beachten? Habe ich etwas wichtiges
vergessen?

Solange du nicht als Diensteanbieter für Dritte (der
Schwiegerpapa soll auf die Fotos auf deinem Server zugreifen
dürfen, die Kumpels auf deine mp3- und Warezsammlung…)
auftreten willst, sehe ich da nichts, was weiter zu beachten
wäre.

Foto-Sharing wäre wirklich super! Aber am besten aber nur für die unverschlüsselten Daten auf der System-Partition. Ggf. kann ich von der Ferne ja die Daten zwischen den Partitionen umkopieren.
Was würdest Du denn dafür empfehlen? Es sollte übrigens dann auch der Up- und Download für Dritte möglich sein.

Ja, zwei andere Dinge fallen mir da auch noch ein:

Faxen: Ich würde gerne über die angeschlossene Telefonleitung (ISDN ggf. analog über A/D Wandler) über den Server Faxe versenden können, die ich über meinen Client im VPN-Netzwerk starte. Am besten wäre das über einen Drucker-Treiber, so dass ich einfach nur die Datei über das Fax im VPN-Netzwerk drucken muss. Hast Du dazu eine Idee?

Remote-Desktop: Wenn ich auf dem Server etwas ändern möchte, wäre eine „Remote-Desktop-Verbindung“ für mich sinnvoll. Ist das auch mit der Standard WinXP Professional oder Win2K Professional Version möglich? Oder muss ich dazu eine andere Software laufen lassen?

Vielen Dank für Deine Hilfe. Ich melde mich bald noch mal, um zu berichten, ob alles geklappt hat.

Viele Grüße
Michael

Hallo Mabuse,

Danke für Deine Erklärung. Aber ich habe mich dazu entschieden, die vorgeschlagene Lösung von Herrmann zu nutzen. Zum einen, weil diese Lösung meiner Vorstellung exakt entspricht und zum anderen weil es durch die verschlüsselten Platten große Probleme geben könnte.

Viele Grüße
Michael