Jump to content
XPEnology Community

Virtuelle Maschine für sichere Kommunikation nach außen?


Fizz Khalifa
 Share

Recommended Posts

Hallo,

 

ich spiele mit dem Gedanken, mir ein XPEnology System aufzubauen. Dabei würde ich das DSM für mein lokales Netzwerk nutzen. Für Zugriff von außen habe ich überlegt eine VM einzurichten welche die Kommunikation mit der Außenwelt übernimmt. Hätte dies irgendwelche Vorteile in der Sicherheit oder wäre das vollkommen egal und sollte ich alles über ein System machen?

Link to comment
Share on other sites

Wo ist den für Dich den Unterschied ob XPE in einer VM oder auf Blech läuft?

Im Endeffekt würdest Du in beiden Fallen Dein XPE im Internet exponieren.

 

Wenn Du den Zugriff auf DSM über einen Reverse-Proxy laufen lässt, würdest Du Dein XPE nicht mehr direkt im Internet Zugänglich machen.

 

Ungefähr so:

Internet <-> Router <-> Reverse-Proxy <-> DSM

 

Im Router würdest Du den Port dann auf IP:PORT vom Reverse-Proxy weiterleiten.

 

Der Reverse-Proxy bekommt dann die Anfrage aus dem Internet, Fragt bei DSM an, erhält die Antwort von DSM und schreibt diese so um, so dass es aussieht das er die Daten bereitstellen würde. Aus dem Internet wäre DSM dann nicht erreichbarDein DSM würde immer nur mit dem Reverse-Proxy reden.

Siehe: http://superuser.com/questions/987791/n ... o-url-base

 

Statt einem Reverse-Proxy könnte man auch ein Application Layer Gateway bzw. eine Application Layer Firewall einsetzen und dort die erlaubten urls, sowie parameter für GET und POST-Zugriffe per Muster erlauben - allerdings ist das keine triviale Sache...

 

Wenn Du statt DSM/Webstation was anderes über das Internet erreichbar machen willst, dann vergiss das alles und beschreibe genauer was Du am Ende tun können möchtest.

Link to comment
Share on other sites

Erstmal danke für deine Antwort!

Ich will Dinge wie z.B. einen Teamspeak Server drauf machen und auch DS Cloud sowie VPN Server nutzen. Mit der VM wollte ich erreichen, dass bei einer Sicherheitslücke o.ä. (XPE ist ja nicht immer die aktuellste Version) dem nicht meine kompletten Daten zum Opfer fallen. Ich würde dann nur die Dateien für DS Cloud in der VM haben und den Rest auf dem Host System. Kann man realisieren dass eine VM eine eigene IP Adresse bekommt? In diesem Fall könnte ich die Ports nur auf diese weiterleiten und das Host System wäre abgeschottet.

 

Das war nur so mein Gedankengang, aber wäre das überhaupt realisierbar bzw. macht das Sinn?

Link to comment
Share on other sites

Nehmen wir mal an, Du meinst mit Host den XPE Host und keinen Hypervisor a la HyperV oder ESXi und Du meinst mit VM Virtualbox auf XPE.

 

Dann könntest Du Teamspeak in einem Docker-Container sicher betreiben - in einer VM geht es natürlich auch... aber wozu die zusätzlichen Ressourcen verschwenden? Docker-Container sind über die XPE-IP und den Docker-Container-Port erreichbar. Wenn Du das mit Virtualbox löst, dann solltest Du darauf achten, dass die Virtuelle Netzwerkkarte an einer Bridge/Netzwerkbrücke hängt, dann hat die VM auch eine eigene IP.

 

Da Du vor hast auch VPN zu nutzen, würde ich weitere Dienste gar nicht erst über das Internet frei zugänglich machen.

Wenn Du per VPN eingewählt bist, kannst Du auf alle XPE-Services wie in deinem lokalen Netzwerk auch zugreifen.

Imho ist das die sicherste Variante.

 

Ich lasse bei mir ALLE Dienste über Docker-Container laufen und route die externen Ports direkt an DSM:{Port vom Docker-Container} weiter. Allerdings haben meine Docker-Container fast ausschließlich Leserechte auf die Daten-Shares und immer Lese-/Schreibrechte auf Konfigurationsverzeichnisse. Sollte ein Container gehackt werden, dann geht im schlimmsten Fall die Konfig flöten... Aber die kann man ja auch wegspeichern, dann kann man zumindest einen älteren Stand wieder herstellen :wink:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...