cd ~/

Home of Daniel Graf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

cd ~/

Home of Daniel Graf

Seiten

Suche

Blog Meta

Dynamo Dresden

Galerie

Action disabled: source
blog:synology_nas_mit_2-faktor_authentifizierung_fuer_webzugriffe

Synology NAS mit 2-Faktor Authentifizierung für Webzugriffe

Ende letzten Jahres hatte ich mir eine neue NAS von Synology gekauft, die DS213+. Sicherlich nicht ganz günstig, aber wahrlich ein klasse Gerät! Seit dem letzten Update auf die Firmware Version 4.2 sind einige neue Funktionen zur so schon sehr umfangreichen Verwaltungsoberfläche hinzugekommen.

Da ich z.B die FileStation meiner NAS aus dem Internet erreichbar bereitstellen möchte, hat es mich gefreut, dass als neues Feature die 2-Faktor Authentifizierung eingebaut wurde. Die Anmeldung an der Weboberfläche erfolgt dann zu erst mittels Nutzername und Passwort, und anschließend mit einem 6-stelligen Zahlen-Code. Zur Generierung des Zahlen-Codes gibt es für die gängigsten Smartphone-Betriebssystem Apps (Android, iOS, Windows Phone).

Die Einrichtung ist denkbar einfach. Man meldet sich mit dem Account, der sich fortan mittels 2-Faktor Authentifizierung anmelden soll, an FileStation an, klickt oben rechts in der Ecke auf Options und hackt anschließend Enable 2-step verification im neu geöffneten Fenster an.

Es sollte sich ein weiteres Fenster öffnen, in dem man nach einer Fallback E-Mail Adresse gefragt wird, sofern das mobile Endgerät verloren geht. Nachfolgend wird man auf die möglichen Apps hingewiesen, du man auch gleich auf seinem Smartphone installieren sollte,da anschließend entweder der QR-Code abfotografiert werden soll (es ist zumindest bei Android eine weitere Software dafür nötig), oder man gibt ganz klassisch einen Zahlen-Buchstaben-Schlüssel in die App ein. Zwecks Bequemlichkeit und Richtigkeit der Eingab sollte die QR-Code Variante bevorzugt werden.

Achtung: Hier verbirgt sich schon die erste Stolperfalle! Sollten die Uhrzeiten der NAS und des mobilen Geräts nicht ungefähr übereinstimmen (es kommt nicht auf die Sekunde drauf an), verweigert die NAS das Zusammenspiel.

Sofern die Uhrzeiten stimmen, sollte die NAS uns freudig darüber informieren, dass beim nächsten Login die 2-Faktor Authentifizierung angewandt werden kann. Und in der Tat, nach der Eingabe des Nutzernamen und des Passworts werden wir nach dem Zahlencode gefragt, den uns die App auf dem Smartphone aller 60 Sekunden neu ausgibt.

Wo ich allerdings noch Verbesserungsbedarf auf Seiten Synology sehe, ist die Einführung von Authentifizierungs-Policys. Aktuell ist es nämlich nicht möglich, als Administrator seine Nutzer zur 2-Faktor Authentifizierung zu zwingen. Nutzer, die darauf keine Lust mehr haben, können dies einfach wieder deaktivieren.

Hinweis: Die 2-Faktor Authentifizierung ist ein Schritt, den Anmeldeprozess über das Internet sicherer zu gestalten. Per se bietet es aber keinerlei Schutz vor Man-in-the-middle Angriffen, da die Kommunikation zwischen Client und der NAS nicht zwangsläufig verschlüsselt stattfindet. Aber auch hier bietet Synology die Möglichkeit, ein SSL Zertifikat zu importieren, sei es nun selbst signiert, oder von einer offiziellen CA ausgestellt. Anschließend muss man aber auch drauf achten, die Portweiterleitung im Router auf den SSL Port der FileStation zu konfigurieren.


Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 
blog/synology_nas_mit_2-faktor_authentifizierung_fuer_webzugriffe.txt · Zuletzt geändert: 2016/03/07 14:07 von Daniel Graf