File Server ein paar Fragen

[relgeitz]

Hallo zusammen!

Ich plane via meines Routers eine externe Festplatte als File Server zwischen meinen PCs zu sharen. Zu meinem Netzwerk:
- Router ADB - PRG EAV4202N - VDSL2 Integrated Access Device
- Desktop PC
- Notebook wird auch als HTPC genutzt
- Notebook der Freundin
(alle PC nutzen Windows 7, meine Geräte sind außerdem in einer HomeGroup, der Router nutzt eine embedded Linux)

Zwischen Notebook und Desktop synce ich mittel SyncBack Tool und auf der externen Festplatte wird gesichert, bzw. auch die Daten gesynct.

Meine Frage ist jetzt:
- Der Router bietet die Möglichkeit einen FTP oder File Server zu erstellen, versteh ich das richtig, dass der File Server nur im lokalen Netzwerk aber nicht im Internet verfügbar ist? (was mir lieber wäre)
- Ich hab das jetzt mal ausprobiert, man braucht ja eigentlich nur ein Netzlaufwerk verbinden, und hat Zugriff auf alle meine Daten (sollte man mal in meinem Netz sein). Kann man die Sicherheit des File Servers irgendwie erhöhen? Also mit User/Passwort oder eine anderen Verschlüsselung?
- Kann ich noch irgendetwas tun um die Sicherheit meines WLAN Netzes zu erhöhen? Ich nutze WPA2 mit einem 10+ Zeichenkey, die SSID hab ich verändert, und versteckt. Ich könnte noch die Reichweite veringern, aber hat das nicht Auswirkungen auf die Performance?
- Hat das irgendwelche negativen Auswirkungen auf die Festplatte wenn sie nun öfters läuft, da sie bis jetzt immer nur 1-2x die Woche für 1-2 Std. Sollte ich da eventuell ein gekühltes Gehäuse anschaffen?


Klingt jetzt vlt. etwas über ängstlich, und paranoisch, aber sind halt doch all meine Daten auf der Platte drauf.


Danke schon mal für eure Hilfe.

 

[Jimini]

Der Router sollte ohne entsprechende Portfreigaben die Dienste nur lokal anbieten. Zur Sicherheit würde ich das Setup aber dann nochmal mit einem Portscanner ( https://www.grc.com/x/ne.dll?bh0bkyd2 ) testen.
Ob das Einrichten einer Authentifizierung möglich ist, weiß ich nicht. Wenn, dann solltest du entsprechendes im Handbuch des Routers finden. Wenn der Router zur Freigabe etwas à la Samba nutzt, müsstest du den Zugriff aber regeln können. Du kannst aber natürlich darüber hinaus den Zugriff auf den entsprechenden Port nur von bestimmten IP-Adressen aus erlauben, wenn der Router da flexibel genug ist.
Viel mehr als ein gutes Passwort und eine ordentliche Verschlüsselung zu wählen, kann man bei Standardroutern zur Absicherung des WLAN nicht machen. Möglich wäre, alle internen IP-Adressen, die nicht euren 4 Geräten entsprechen, durch die Firewall zu blocken. Das hängt aber wiederum von den Möglichkeiten des Routers ab.
Wenn die Festplatte öfter läuft, geht sie schneller kaputt. Ich würde daher - auch wenn es kein allzu zuverlässiges Kriterium ist - ab und an die SMART-Werte der Platte checken.

MfG Jimini

 

[relgeitz]

Danke erstmal für die schnelle Antwort


Also laut einem Forum zu dem Router unterstützt er Samba. Wie kann ich damit nun eine Passwort vergeben? Handbuch hab ich nämlich leider keines... da ich den Router von meinem Provider zur Verfügung gestellt bekommen habe


Das IP Blocking hab ich schon wo gesehen, das werde ich noch einstellen. Damit sollte ich dann, des Zugriff von außen schon recht nett verhindern können.


Zur Festplatte, also die Platte würde natürlich nicht wie eine NAS oder ServerHD 24/7 durchlaufen, sondern eher nur am Abend, bzw. wenn ich eben zuhause bin, wenn ich weggehe, dreh ich die Steckerleiste an dem das ganze Zeug hängt sowieso ab. Wie kann ich den SMART Wert auslesen, und was sagt dieser aus? Wäre eventuell auch für meine anderen Geräte interessant o.O


LG

 

[Jimini]

Von außen musst du nichts dediziert blockieren - sofern du nach der Methode "alles explizit freigegebene ist erlaubt, der Rest verboten" vorgehst. Wenn also ein Port nicht explizit für Zugriffe von außen freigegeben ist, kann von außen kein Verbindungsaufbau erfolgen. Wenn du auf Nummer sicher gehen willst, teilst du mir via PN deine externe IP-Adresse mit und ich klopfe mal mit einem Portscanner an, ob da was zu finden ist oder ob die Dienste vom Internet aus nicht erreichbar sind.

Kannst du mal einen Screenshot des Samba-Menüs hochladen? Ich mache sowas unter Linux über die Konsole, was dir an dieser Stelle wohl nicht weiterhelfen wird.

Zum Thema SMART: wirf' mal einen Blick in folgenden Wikipedia-Artikel: https://secure.wikimedia.org/wikipedia/de/wiki/Self-Monitoring,_Analysis_and_Reporting_Technology

MfG Jimini

 

[relgeitz]

Das mit dem Portchecking werde ich morgen in der Arbeit einfach machen, aber danke für das Angebot. Ein anderes Problem scheint die WLAN Sicherheit zu werden, ich hab jetzt auf WPA2 umgestellt, und die SSID verborgen - komischerweise kann sich mein Notebook jetzt nicht mehr zum WLAN verbinden, und beim PC ist die ID Netzes per Kabel immer noch die Alte (hab sie nämlich nochmals geändert). Lustigerweise kann ich auch keine MAC Adressen fix zuweisen zum Router, und damit andere fremde Geräte aussperren. Ich hatten früher einen anderen Router von meinem Provider, und dort hatte man ein schönes Menü, und zu jedem im Netzwerk verbunden Gerät gleich die ID hatte und das einfach einstellen konnte. Habt ihr da eine Ahnung wie das ginge?


Okay, smart dieses SMART - werde ich am WE gleich mal probierne.

 

[Jimini]

Zumindest die MAC-Filterung ist alles andere als ein unüberwindbares Hindernis. MAC-Adressen sind sehr leicht zu fälschen (=spoofen), somit bringt eine bloße Filterung da sehr wenig. Wie es bei der Verbergung der SSID aussieht, weiß ich nicht, ich gehe aber mal davon aus, dass auch das kein großer Akt wäre, sowas zu überwinden. Letztendlich kommt es auf eine gute, verschlüsselte Passphrase an.
Was das Portscannen von der Arbeit aus angeht: informiere dich auf jeden Fall vorher bei der IT, ob das okay ist (sofern ihr ein größeres Netz habt). Teilweise springen nämlich gerne irgendwelche Intrusion-Detection-Systeme oder Intrusion-Prevention-Systeme auf sowas an und dann könntest du schlimmstensfalls Ärger bekommen. Portscans stellen meines Wissens schon einen Straftatbestand dar - wenn man sowas bei seinen eigenen Kisten macht, macht man sich natürlich nicht strafbar. Man kann durch sowas aber die Infrastruktur des Netzes, aus dem heraus man sowas macht, stören.

MfG Jimini

 

[riedochs]

WPA2 + verborgene SSID + MAC Filter sollte schon >90% der Leute auf Anhieb abhalten. Absolute Sicherheit gibt es nicht.

Zum Thema SMART: Vergiss es. SMART sagt nicht zwingend was aus. Ich habe Platten gehabt die waren laut Smart schon 2 Jahre tot und liefen immer noch währen im Gegenzug Festplatten die laut SMART ok waren ausgefallenen sind.

 

[relgeitz]

Das mit dem Portscan von der Firma aus sollte keine Problem sein, bin hier in der IT, ist kein Problem und läuft schon Sollte da wirklich eine Error kommen, taucht er eh früher oder später bei uns auf


Das es keine 100% Sicherheit gibt, ist mir klar, und das gerade WLANs sehr anfällig sind auch. Aber sollte man doch versuchen zumindest das an Sicherheit aufzubauen was geht, und vor allem die schlechte WEP Verschlüsselung als Standard einzustellen finde ich schon recht mies von meinem Provider - da die meisten 0815 User sich wahrscheinlich nicht für ihre Verschlüsselung interessieren werden.


Das mit dem WLAN wurmt mich doch sehr. Eigentlich sollte das mit der masked SSID doch funktionieren, wenn ich das Netzwerk am OS manuell erstelle? Btw. geht es auch nicht, wenn ich die SSID anzeigen lassen. Kann das mit der Umstellung WEP zu WPA2 zu tun haben?

 

[riedochs]

Alternativ kannst du fürs Wlan auch einen Radius Server einrichten. Dann ist es annähernd unmöglich.

 

[relgeitz]

kann doch nicht sein, dass ich für so eine pimperl Sache einen eigenen RADIUS Server brauche


Es geht ja nur um die Verschlüsselung eines WPA2 WLANs normal sollte das ja kein Problem sein, oder übersehen ich da irgendwas. WLAN ist jetzt wie folgt:


SSID: xyz (beispiel)
PW: xyz203 (beispiel)
Verschlüsselung: WPA2/AES


Das Netzwerk scheint er ja zu finden, wenn er mich schon nach dem PW fragt, entweder nimmt er das PW nicht richtig, oder die Verschlüsselung ist zu stark. Werde nachher noch einen Screenshot von den Einstellungen posten.


LG