welly92
Goto Top

SSL-Zertifikat in QNAP

Guten Abend in die Runde,

Folgende Problemstellung: Ich betreibe ein QNAP-NAS welches ich (und auch Bekannte) gerne von außerhalb benutzen möchten unter qnap.example.de.

Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*

Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?

Vielen Dank schon mal für eure Lösungsansätze face-smile

Content-ID: 636119

Url: https://administrator.de/forum/ssl-zertifikat-in-qnap-636119.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

tech-flare
tech-flare 29.12.2020 aktualisiert um 20:00:46 Uhr
Goto Top
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*

Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?

Vielen Dank schon mal für eure Lösungsansätze face-smile

Da du eine Sophos im Einsatz hast, wäre es gut zu wissen, ob du die WAF aktiv hast... wenn ja, musst das Zertifikat auch dort hinterlegt sein

Davon mal abgesehen gilt ein Zertifikat „normal“ nur für eine „Domain“. Ein Wildcard auch für alle Subdomains.

Beispiel:

Zertifikat
Qnap.meinedomain.de
oder
*.meinedomain.de

Geht:
meinqnap.meinedomain.de


Geht nicht:
Meinqnap.dyndns.de

Zertifikat und CNAME verträgt sich nicht richtig in Verbindung mit „einfachen“ dyndns

Für solche Fälle haben richtige Hoster bzw. richtige DomainAnbieter einen eigene dyndns Service, welcher die eigene subdomain als dyndns anbietet.

Zb.:

meindyndns.meinedomain.de (um beim Beispiel von oben zu bleiben).

——

Nichtsdestotrotz würde ich kein QNAP blank ins Internet stellen. Auch nicht über SSL. Die hatten mir schon zuviele Sicherheitslücken
Welly92
Welly92 29.12.2020 um 20:11:15 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.

So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:

1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet? (müsste mich hier nochmal schlau machen) das DynDNS wird aber auch aktuell für eine LAN-LAN-Kopplung genutzt und somit müsste auch diese komplett neu konfiguriert werden.

2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
tech-flare
tech-flare 29.12.2020 um 20:40:34 Uhr
Goto Top
Zitat von @Welly92:

Vielen Dank für die schnelle Antwort.

So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:

1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet?
ja...definitiv.
Strato bietet dies an und inwx.de als klassicher Domainhoster auch...diese haben sogar eine API, womit sich problemlos LetsEncrypt Wildcard Certs erstellen lassen können.

2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
Es kommt ja nicht unbedingt darauf an, was für Daten darüber transferiert werden, sondern was du für Daten auf deinem QNAP hast. Wie wertvoll sind dir diese? Hast du noch weitere persönliche Daten drauf?
Dann würde ich nur ein VPN realisieren und keinen direkten Zugang. Gerade mit einer Sophos ist dies ja eine Fingerübung und da kannst dort SSL VPN aktivieren, welches sich mit den klassischen OpenVPN Programmen verwenden lässt.

Nur 2 Beispiele, was passieren kann, wenn das NAS (sei es QNAP, Synology oder was auch immer) direkt im Netz hängen
QNAP Sicherheitswarnung vor eCh0raix-Ransomware

AgeLocker-Ransomware stiehlt Daten von QNAP-NAS

Wenn es dir nur um Dateiaustausch geht, lässt sich das QNAP als "HybridMount" z.B. mit einer Cloud verbinden (z.B. Nextcloud)....das heißt, dass die Nextcloud im QNAP gemountet ist....du greifst darüber ganz normal über deine QNAP Laufwerke zu und deine Bekannt über den NextCloud / die Nextcloud App.

Aber.....viele Wege führen nach Rom face-smile
LordGurke
LordGurke 29.12.2020 um 20:42:31 Uhr
Goto Top
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.

Was zeigt denn der Browser für ein Zertifikat an? Ist das auch das LE-Zertifikat oder irgendein anderes?


Ansonsten wäre meine Empfehlung aber auch: Stelle das NAS nicht direkt ins Netz (da gibt es aktuell wieder sehr vorzeigbare Gründe) sondern sorge dafür, dass die Sophos Reverse-Proxy spielt und eine simple Kennwort-Abfrage vorschaltet, wenn es auch ohne VPN erreichbar sein soll.
tech-flare
tech-flare 29.12.2020 um 21:09:46 Uhr
Goto Top
Zitat von @LordGurke:

@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.

ja war etwas ungünstig formuliert.

Wenn er qnap.meinedomain.de per CNAME auf qnap.dyndns.de leitet, bleibt qnap.meinedomain.de im Browser stehen und es MUSS das Zertifikat zu qnap.meinedomain.de passen.

Daher meine Frage, ob er die WAF in der Sophos Aktiv hat und auch dort das richtige Zertifikat eingebunden hat.
Welly92
Welly92 01.01.2021 um 18:58:16 Uhr
Goto Top
Hallo und ein gesundes neues Jahr wünsche ich face-smile

Vielen Dank für deinen Beitrag. Ich habe mir deine beiden verlinkten Beiträge mal durchgelesen und bin nun auch etwas skeptisch die QNAP so "simpel" ins Netz zu stellen. Ich habe hierzu aber auch gelesen das man ja einige Einstellungen vornehmen kann um Brute-Force-Attaken einzudämmen. Auf meiner QNAP liegen ca. 1 TB Daten (nichts vertrauliches) welche ich gerne für die Gruppe verfügbar machen will.

Die Sache mit der Nextcloud werde ich mir mal näher anschauen. Mir ist es auch nicht unbedingt wichtig das meine Bekannten direkt auf die QNAP zugreifen können. Eventuell kann man ja auch einfach eine simple Website basteln auf welcher sich die Leute einloggen und dann Zugriff auf die Dateien bekommen, ähnlich eines Filehosters nur mit dem Unterschied das ich die Zugriffsrechte vergeben kann?!

MfG und alles Gute für 2021
Welly92
Welly92 01.01.2021 um 19:01:37 Uhr
Goto Top
Hallo und ein gesundes neues Jahr wünsche ich face-smile

Das Zertifikat habe ich aus der QNAP heraus über LetsEncrypt erzeugen lassen und auch auf die Domain qnap.example.de ausstellen lassen. Zumindest meiner Meinung nach face-wink

Das mit dem Sophos Reverse-Proxy und der Kennwortabfrage finde ich einen sehr guten Lösungsansatz, habe ich mich aber absolut noch nicht mit beschäftigt. Werde mich da nochmal etwas in die Thematik vertiefen.

Vielen Dank für deine Hinweise face-smile

MfG
Welly92
Welly92 01.01.2021 um 19:04:22 Uhr
Goto Top
Also es bleibt beim externen Aufruf der Seite qnap.example.de im Browser stehen.

Was ist die WAF? WebApplicationFirewall? Nein ich habe diese aktuell noch nicht aktiviert und auch das Zertifikat noch nicht in die Sophos eingebunden. Auch hierzu muss ich wohl nochmal tiefer in die Materie eintauchen.

MfG