Einleitung / Wichtiger Hinweis

Ich zeige in dieser Anleitung, wie man ein NAS-System so konfiguriert, damit man auch vom Internet her auf die Daten zugreifen kann. Dies ist praktisch, wenn man auf einem lokalen Rechner eine Webseite betreibt, Daten von einem freigegebenen Ordner holen möchte oder auch ein Netzwerkgerät fernwarten möchte. Da dieses Thema komplex ist, habe ich es nochmals unterteilt. Dies ist also der 1. Teil dieser 4. Episode…

Zu diesem Thema ist zu sagen, dass es relativ leicht ist, sein gesamtes heimisches Netzwerk oder einzelne Geräte daraus gegenüber dem Internet zu öffnen. Jedoch empfiehlt sich eine solche Öffnung grundsätzlich nicht, da unter Umständen Tür und Tor für Hackerangriffe geöffnet wird. Grundsätzlich ist euer Netzwerk standardmässig so eingerichtet, dass ihr Verbindung mit dem Internet aufnehmen könnt, umgekehrt ist dies nicht möglich. Dies steuert im Minimum eurer Router.

Eine absolut sichere Öffnung gegen aussen gibt es nicht. Man kann durch technische Massnahmen die Gefahr eines unrechtmässigen Zugriffs reduzieren. Dies gelingt zum einen mit einfachen Bordmitteln, die ich hier auch beschreibe. Aufwändiger und teurer wird dies durch eine zusätzliche, spezielle Hardware-Firewall und dem Zugriff mittels VPN-Verbindung. Für letztere beiden Massnahmen liefere ich aus zeitlichen Gründen keine Angaben. Wer aber soweit ist, eine spezielle Firewall (Link studerus.ch) anzuschaffen und sich ernsthaft Gedanken um VPN macht, wird bereits genügend Know-how haben, um diese Schritte erfolgreich zu bewältigen.

• Ich weise nochmals ausdrücklich darauf hin, dass meine Angaben nur auf eigene Gefahr durchgeführt werden dürfen.

Theroretisches über WAN / LAN

Grundsätzlich kann über ein freigegebener Ordner/Drucker/usw. nur übers lokale Netzwerk (LAN) zugegriffen werden. Ein lokales Netzwerk (LAN) umfasst Geräte innerhalb eines Haushalts. Die Verbindung wird in der Regel mit Netzwerkabeln oder einem WLAN-Netz aufgebaut. Erst der Router stellt eine Verbindung zum Internet (WAN) her, dieser verhindert, dass Aufrufe vom WAN zum LAN stattfinden können.

Datenströme

Zum Bild oben: Alle Geräte in der weissen Fläche bilden ein lokales Netzwerk (LAN) ab. Die Geräte können nur innerhalb der weissen Fläche miteinander kommunizieren.

Wenn der Router eine Verbindung zum Internet aufbaut, so bezieht dieser für euer Netzwerk (LAN) vom Provider (ISP – Wikilink) ein “öffentliche” IP-Adresse. Diese IP-Adresse (85.5.uvw.xyz) unterscheidet sich von der IP-Adressierung eures lokalen Netzwerks. Dank dieser IP identifiziert sich eurer Netzwerk im Internet. Ist diese Adresse bekannt, kann unter Umständen mit eurem Router in Kontakt getreten werden. Alles, was sich aber dahinter im LAN befindet, bleibt unsichtbar. Somit ist es trotz Wissens der öffentlichen IP nicht möglich, zum Beispiel Daten von eurer NAS anzugucken. Um dies zu bewerkstelligen, müssen zwei Schritte vollzogen werden:

1. Dem Router muss gesagt werden, dass eine Anfrage an ein spezielles Gerät ins LAN weitergeleitet werden soll.
2. Unter Umständen wechselt die öffentliche IP bei jedem Neustart der Routers wieder. Um diesem Problem auszuweichen gibt es DNS-Weiterleitungsdienste wie DynDNS.com. Dieses Thema wird insbesondere im Teil 4.2 erklärt.

IP-Weiterleitung

Damit ihr dem Router eine Anfrage auf ein Gerät vermitteln könnt, braucht ihr direkten Zugang zur Router-Administrationsebene. Es ist auch wichtig, dass ihr die IP-Adressen der zu erreichenden Geräte kennt und diese nicht dynamisch verteilt werden (Siehe dazu den Teil 3 dieser Reihe).

Meist gelangt ihr in die Routeradministration über euren Webbrowser.

Im Administrationsmenü gibt es im Punkt Firewall, erweiterte Einstellungen, Expertenmodus, usw. den Konfigurations-Punkt IP-Weiterleitung und/oder das Kürzel NAT. Gibt es den Punkt IP-Weiterleitung so kann ein Gerät sofort und vollständig gegenüber dem Internet geöffnet werden. Ist diese Weiterleitung eingestellt, kann nun nach Eingabe der öffentlichen IP das Gerät direkt angesprochen werden – und dies von überall her! Im Falle eines Routers, NAS-Systems kommt ein Administratiosnmenü. Im Falle eines Computers beispielsweise eine Webseite, wenn dort die Web-Freigabe erteilt wurde.

Dies empfehle ich nicht. Es sei denn, das Gerät hat eine gut konfigurierte Firewall. Auch muss eine Zugriffskontrolle mit absolut wasserdichten Passwörter den Zugriff kontrolliert sicherstellen. Auch lohnt es sich, ein Zugriffsprotokoll machen zu lassen, damit unberechtigte Zugriffe entdeckt werden können.

Aufwändiger ist es, eine Öffnung über NAT zu ermöglichen. Diese Öffnung ist klar auf bestimmte Dienste eingrenzbar. Ein Gerät wird nicht vollständig gegen aussen geöffnet, sondern die Zugänge sind klar eingegrenzt und definiert.

Zum Datenhighway und zum Begriff NAT

Wenn man sich eine Internetleitung als eine Strasse vorstellt, kann diese Vorstellung ein wenig helfen. Auf dieser Strasse sind verschiedene Fahrzeuge mit unterschiedlichen Aufgaben unterwegs. Internet ist nicht gleich Datenstrom. Es gibt im Internet verschiedenste Dienste und somit verschiedene Strassen und darauf verkehrende Fahrzeuge. Protokolle steuern, was mit diesen Daten zu passieren ist. Auch gibt es gewisse Daten auf speziellen Strassen (Ports).

Beispiel: Wenn du diese Seite liest, bist du mit einem Browser unterwegs. Dieser zeigt dir meine Seite an. Du benützt also den Dienst Webseite (www) angucken. Für diesen Dienst gibt es eine spezielle Strasse (Port 80). Falls deine Webseite verschlüsselt wird, benutzt dein Browser eine andere Strasse, zum Beispiel Port 8081. Emails (mail) benützen wiederum andere Strassen (Port 25, 465, 578, 993, usw.). Wenn du Datendienste wie AFP, FTP und anderem nützt so verwendest du wiederum spezielle Strassen. Die Zuteilung der verschiedenen Ports mit Diensten klärt das sogenannte Netzwerkprotokoll. Ohne diese Regeln wäre ein geordneter Netzwerkverkehr gar nicht möglich.

Mit NAT kann man steuern, welche Port eben ermöglicht werden sollen oder auch blockiert sein müssen. Bei der allgemeinen IP-Weiterleitung werden alle Strassen zur Verfügung gestellt. Mit NAT kann klar bestimmt werden, welche Strassen dem Internet (WAN) zur Verfügung stehen. Ein möglicher Angriff von aussen kann nun deutlich eingedämmt werden. Weil nur klar definierte Anfahrtsstrassen (Ports) und Fahrzeuge (Dienste) definiert sind. Zeitgleich wird auch beim Zielgerät festgelegt, welche Ports und Dienste zur Verfügung stehen sollen.

In meinem Fall sieht dies so aus, dass ich einen bestimmten Port (bsp. Port 12007) beim NAS-System definiert habe, worüber per WebDAV (ein Dienst) der Datenfluss läuft. Nun richte ich den Router so ein, dass er erlaubt, dass die Daten über Port 12007 an die interne IP-Adresse meines NAS-Systems laufen.

Wer die öffentliche IP-Adresse kennt, muss nun auch den geöffneten Port (hier 12007) kennen, um Zugang zum Gerät zu bekommen. Natürlich gibt es Port-Sniffer-Software, die einfach nach geöffneten Strassen (Ports) absuchen. Auch laufende Dienste können rausgefunden werden. Jedoch wird die Angriffsfläche deutlich eingegrenzt.

Zum Bild oben: Durch eine spezielle Konfiguration wird der Browser gezwungen eine verschlüsselte Verbindung mit dem NAS-System aufzunehmen (erkennbar an den gelben markierten Bereichen). Dies wird nicht im Router eingestellt, sondern im NAS-System definiert.
Meine öffentliche IP-Adrese ist rot, dann folgt ein Doppelpunkt, welcher den exakten Port beschreibt (https://85.5.uvw.xyz:12007/) und ich werde direkt mit dem Startscreen meines NAS-Systems verbunden. Wird nun meine diese Adresse so bekannt, können nun all mit dem Wissen auf diese Seite von überallher (WAN) zugreifen. Natürlich bräuchte es für die diversen Dienste auch noch die richtige Benutzernamen- und Passwort-Kombination.

Schluss und Vorschau zum Teil 4.2

Unter Umständen wird die öffentliche IP-Adresse nach jedem Routerstart neu vom Provider (ISP) vergeben. Bevor ich also aus dem Haus gehe, müsste ich nachschauen, welche IP-Adrese mir derzeit vergeben wurde.

Auch hier gibt es eine Webdienstleistung (bsp. dyndns.com), die eine dynamischen IP-Adressen auf einen gut merkbaren Namen umleiten. Somit muss nur noch dieses Alias gemerkt werden. Doch dieses Thema wird im Teil 4.2 erläutert.