DSM 6.x und darunter Angriffe auf Diskstation

[Gulliver]

Ich dachte, der Reverse Proxy wäre (ebenso wie der VPN-Zugang) sicherer auf einem anderen Device aufgehoben, damit die DS nicht direkt aus dem Netz angesprochen werden kann. Bringt das also beim RP keinen Nachteil?

 

[plang.pl]

Naja lieber den RP auf der DS ins Netz stellen, als den DSM Admin Port und die Dienste.
Denn der RP ist ja nur ansprechbar, wenn die Domain stimmt, da kommt man mit bloßem Port nicht weit.

 

[NSFH]

Genau so isses!
Und den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.
Aber klar ist, dass externe Lösungen für Zugriffe aus dem Internet immer besser sind als ein Syno-Fileserver mit einem Bein im Internet.
Zu Hause betreibe ich nur eine Fritz mit VPN und den RP direkt auf der Syno. Damit fühle ich mich sicher genug. Viel wichtiger ist mir die interne Absicherung gegen kompromittierte E-Mails!

 

[Benie]

so isses!
Und den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.

Kann man schon, die Updates laufen trotzdem, ich habe seit gut 10 Jahren keinen einzigen Port geöffnet und nur VPN als Zugang.

 

[ctrlaltdelete]

Und Backup, Backup und Backup.
Ich habe mittlerweile:
USB Backup lokal
Backup auf externer DS
Cloudbackup
Snapshot inkl. Replikation auf externe DS.

 

[maxblank]

Kann man schon, die Updates laufen trotzdem,

Brauchst du auch nicht, da die Anfrage von innen aus dem Netzwerk vom NAS an die Update-Server geht.

 

[Benie]

Genau deshalb, habs mir beim Schreiben auch so gedacht. Deshalb funktioniert ja auch die Verlängerung der Synology.me Zertifikate ohne offenen Port.

 

[maxblank]

Da kenne ich den genauen und benötigten Netzwerkzugriff nicht, kann aber durchaus so sein.

 

[NSFH]

Deshalb funktioniert HTTPS (443) aus dem Server bei einer professionellen Installation mit einer RICHTIGEN Firewall bei mir zumindest eben nicht, da hier nicht nur inbound sondern auch outbound durch die Firewall geregelt wird. Ein Aspekt den viele überhaupt nicht beachten, obwohl er extrem wichtig ist. In so einem Fall geht auch synology.me nicht mehr.

Im übrigen geht auch synology.me nicht mehr, wenn ich der Server IP den Internetzugang verbiete!
Deswegen bleibt der Satz von oben genau so stehen: Den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.

 

[Benie]

Wo ist die Firewall installiert?

 

[Gulliver]

nicht nur inbound sondern auch outbound durch die Firewall geregelt w

Jetzt machst du aber ein Fass auf
Der TE geht ja von einer Konstellation mit Router aus, der nur inbound beschränken kann und wir suchten Alternativen zu seinen Portweiterleitungen.
Da sprengt der Einwurf einer 'richtigen Firewall' den Rahmen...

By the way: Ich versuche mich ja mit einer OPNSense und finde Blockierlisten für outbound clever. Aber den Port 443 zumachen? Für IOT ok, aber für den PC wohl kaum: Dann geht ja nichts mehr. Oder wie machst du das?

 

[Crashandy]

Nur wie merke ich das da evtl. ein angriff auf die 7590 ist war ?

Das merkst du nicht

Also vor gut einem Jahr habe ich es schon deutlich gemerkt, als meine IP-Adresse an der Reihe war. Da hatte ich tatsächlich sehr oft Schwierigkeiten mit dem Seitenaufbau im Internet.

Ein Blick in das Ereignis-Protokoll der FRITZ!Box hat dann die Angriffe aufgezeigt.

Zum Glück habe ich keine feste IP-Adresse, denn nach dem Neuverbinden und mit einer neuen IP-Adresse war der Spuk vorbei.

 

[metalworker]

Eigentlich sollte das anmeldeportal von außen nicht erreichbar sein

 

[Benie]

Deshalb funktioniert HTTPS (443) aus dem Server bei einer professionellen Installation mit einer RICHTIGEN Firewall bei mir zumindest eben nicht, da hier nicht nur inbound sondern auch outbound durch die Firewall geregelt wird.

Wo ist die Firewall installiert?

 

[Crashandy]

anmeldeportal

Es ist nur über *.myfritz.net:* erreichbar und dort ist ja eigentlich diese sehr lange Kennzeichnung davor und der individuelle Port dahinter.
Ich frage mich wirklich, wie die Angreifer das gefunden haben.

Zu dieser besagten Zeit (vor über einem Jahr), hatte ich diese Angriffe auf vier verschiedenen Fritzboxen.

 

[NSFH]

Die Firewall steht hinter dem Router oder in einigen Fällen ist es der Router.
Dort ist natürlich das LAN über 443 offen aber hier ist es ja möglich IP basiert bestimmten Geräten den Ausgang zu verwehren.
Der Zugang zum Server von Aussen geht dabei nur nach Filterung des VPN Ausganges im Router auf den Server.
Lankabel zum Server immer 2x. 1x LAN 1xWAN in der Router- und Serverfirewall unterschiedlich konfiguriert.
Jetzt werden einige kritisch bemerken, dass dann die Syno keine automatischen Updates ziehen kann. RICHTIG genau so soll es sein. Dieser update Wahn hier im Forum ist kompletter Unsinn.
Never change a running system und das Einspielen von Updates steure ich lieber selbst als mir ein Produktivsystem zu zerschiessen. Will ich mal ein automatisches Update haben deaktiviere ich kurz die Firewallregel im Router.

 

[Benie]

Naja, man kann nicht davon ausgehen , daß jeder Synouser sich solch ein Konstrukt zulegt, geschweige das Knowhow dafür hat.
Deshalb ist es natürlich von Vorteil wenn man hier eher auf das Konstrukt desjenigen eingeht, zb. Router,Synology DS und dessen Möglichkeiten eingeht .
Es muß schon unterschieden werden, ob Business,Soho oder Consumerbereich.

 

[NSFH]

Gute SoHo Router haben Firewalls die In- und Outbound unterstützen. Bei Fritz darf man sowas nicht erwarten, weil da das Konzept keep it simple Priorität hat.
Ich verwende meistens Draytek Komponenten, weil hier Apps für VPN etc für alle Betriebssysteme und Smartphones kostenfrei zur Verfügung stehen.
https://www.draytek.de/produktuebersicht.html
Hier kann man sich für jedes Model auch online die Bedienungsoberfläche ansehen.
Ja das wird dann komplexer, aber es gibt insbesondere auf der englischsprachigen Seite eine umfangreiche Wissensdatenbank und vor allem kann man jederzeit den deutschen Service auch per Tel kostenfrei in Anspruch nehmen! Wer bietet das schon?