j-Serie Sicherheitsrisiko gefunden

[Puppetmaster]

Dann ist das für dich wohl irrelevant.

 

[dil88]

Ich hatte vor ein paar Tage das Thema auch "am Hals", als ich von DSM 4.3 auf 5.1 upgedatet habe. Wenn man sein Backup auf eine externe Platte macht und kein Portforwarding auf ssh nutzt, kann man die Thema aus dem Test ausschließen und wird dann mit der Meldung nicht mehr behelligt.

 

[Frogman]

Wobei ich den ganzen Sicherheitsberater eher unglücklich finde, wie auch schon an anderer Stelle diskutiert wurde. Als Hilfe für unerfahrene User total ungeeignet, für erfahrene User eine Zumutung.

 

[heavy]

Ja wenn man alles beim Mailserver anklickt was er vorschlägt aber nicht das nötige extra dazu weiß und eben dann auch die DNS einstellungen etc. anpasst, dann kann man auf einmal keine Mails mehr senden und wundert sich dann.

 

[stefanghh]

Naja grundsätzlich will ich 3 Sachen.

1. Das die DSM läuft wofür ich sie brauche - tut sie.
2. Das Ganze mit recht wenig Aufwand und keiner Ausbildung zum System Admin. (Obwohl einiges muss man auch als "Otto Normal Anwender" lernen).
3. Die DSM möglichst sicher ist - und hier irritiert mich der Sicherheitsberater so ziemlich. Ich habe seit ca. 5 Jahren eine DSM und bis jetzt keine Sicherheits Probleme (ich weiss einmal ist immer das erste Mal)

Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

 

[stefanghh]

P.S. Ich nutze Roundcube als Imap Mail Server und will auf keinen Fall das es da zu irgendwelchen Problemen kommt.

 

[Puppetmaster]

Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

Die Thematik ist, dass du hier in einer recht komplexen Materie unterwegs bist. Nicht umsonst gibt es Studiengänge wie Informatik etc.
Man kann, insbesondere wenn man nicht genau weiß, was man tut, eben auch sehr viel Schaden anrichten. Womöglich ohne, dass man dies bemerkt. Das ist natürlich nicht gewollt.

Es kann also ganz sicher nicht schaden, wenn man sich das notwendige Wissen auch halbwegs aneignet um so zumindest abschätzen zu können, was man da eigentlich tut.

 

[dil88]

Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

Das stimmt überwiegend, hat aber auch damit zu tun, dass diejenigen "Nicht-Nerds", die ein Problem gelöst haben, relativ selten dann diese Lösung im Wiki verewigen. Cracks tun sich oft schwer damit, die nötige Ausführlichkeit und Wortwahl zu finden, so dass sie verständlich für "Nicht-Cracks" schreiben.

 

[Frogman]

Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

Da hilft auch fragen - dafür ist das Forum auch da. Und ist im Übrigen auch sinnvoller (weil da eben beim Betroffenen eigenes Wissen generiert wird) als die immer wieder gerne gefragten Schritt-für-Schritt-Anleitungen... denn die verführen zum tumben Abarbeiten, ohne zu hinterfragen - mit der Gefahr, unbeabsichtigt gefährliche Fehler einzubauen, bspw. dann, wenn sich bei anderen Versionen Veränderungen ergeben haben.

 

[heavy]

Oder die Variablen nicht berücksichtigt werden können siehe Mailserver.

 

[stefanghh]

Nun ja, bei Synology zahle ich eben auch für die Software die das Ganze auch nicht "Nicht Admins" (oder Linux Götter) relativ leicht bedienbar machen sollte. Was mich beispielsweise irritiert im Wiki steht Port 22 mit Geld -also sicheres Passwort dann geht`s - während der Sicherheitsberater "hoch" sagt.

Umgekehrt sagt der Sicherheitsberater bei Port 5005 "mittleres Risiko" und das Wiki rot - geht gar nicht. Wenn ich von außen (via Browser x beliebiger PC) auf meine Synology zugreifen will, wie soll ich da eine https verbindung generieren?

Und was mir der SIcherheitsberater mit LAN Diensten sagen will, kapiere ich gar nicht.

Den IMAP Server brauche ich definitiv (bin auf den Synology eigenen gespannt) von daher denke ich ich ignoriere den Sicherheitsberater. Oder gibt es konkrete Tipps (die ich auch verstehe )

 

[Frogman]

... von daher denke ich ich ignoriere den Sicherheitsberater

...was eine stringente Ableitung aus diesem wäre.

 

[stefanghh]

Naja sie läuft, macht was ich will, mein Passwort scheint stark genug zu sein für etwaige Angriffe (bekomme regelmäßig Mails über vergebliche Versuche des Einloggens) und den ganz großen Aufschrei im Sinne von "geht gar nicht" scheint es hier im Forum auch nicht geben - also ignorieren.

 

[Andy14]

...
Umgekehrt sagt der Sicherheitsberater bei Port 5005 "mittleres Risiko" und das Wiki rot - geht gar nicht. Wenn ich von außen (via Browser x beliebiger PC) auf meine Synology zugreifen will, wie soll ich da eine https verbindung generieren?...

Das macht der Browser doch von ganz alleine. (Port 5006 und/oder 5005 auf 5006 zeigen lassen)
Klar, dann kommt diese Warnung das dem Zertifikat nicht vertraut wird, aber das kann man dann ja zulassen.
Als ob eine Zertifikat vom den hunderten Registrierungsstellen die der Browser vertraut besser wären, leider denken das viele!
Ohne SSL würde ich nicht von extern zugreifen, die Passwörter werden dann im Klartext übertragen.
Die liegen dann (möglicherweise lange) im Browsercache. Im gesicherten WLAN kann ohne große Probleme der "Betreiber" des WLAN mitlesen.
In ungesicherten WLANs kann "jeder" mitlesen.

 

[Frogman]

...In ungesicherten WLANs kann "jeder" mitlesen.

Und daher sollte man sich in ungesicherten WLAN-Netzen auch nach Möglichkeit nicht mit dem einzelnen Aufruf verschlüsselter Seiten/Adressen begnügen, sondern den gesamten Datenverkehr über einen VPN-Tunnel zu Deiner DS leiten - denn nur so hast Du Kontrolle über die verwendete (starke!) Verschlüsselung.

 

[stefanghh]

Also ich benutze nie ungesicherte W-Lans, sondern nehme mein Smartphone als Hotspot wenn ich unterwegs bin. Ich habe mir eben mal die VPN anleitung bei Synology durch gelesen - klingt nicht gerade einfach (auf Windows Seite) Jedenfalls sollte ich dafür einen Abend Zeit haben

 

[heavy]

Die Frage ist welches VPN Protokoll du verwenden willst. PPTP ist in 5 Minuten eingerichtet. OpenVPN kann schon mal eine Weile dauern.

 

[Frogman]

Also ich benutze nie ungesicherte W-Lans, sondern nehme mein Smartphone als Hotspot wenn ich unterwegs bin.

Das kann im Ausland bzw. beim Roaming ein sehr teures Vergnügen werden - abgesehen von den Unsicherheiten eines beliebigen Mobilfunknetze oder den Gefahren, wenn Du mit dem Smartphone einem IMSI-Cacher über den Weg läufst.

 

[Frogman]

OpenVPN kann schon mal eine Weile dauern.

Den OpenVPN-Server auf der DS mit Standardeinstellungen in Betrieb zu nehmen, dauert nicht länger als 5 Minuten. Nach weiteren 5 Minuten ist das Profil auf einem Smartphone und dort in einer App wie "OpenVPN für Android" importiert. Das ist dann schon recht sicher - und wenn man dann noch Lust hat, mehr zu erreichen, kann man in einer halben Stunde die Standardeinstellungen des Servers und des Clients in den Konfigurationsdateien noch verändern bzw. verbessern (Cipher für den Datenkanal von Blowfish auf AES ändern, Cipher für den Kontrollkanal auf eine hohe Sicherheit festnageln, bspw. eine mit PFS und SHA-2 wie TLS-DHE-RSA-WITH-AES-128-GCM-SHA256 mit DH-Parametern von 2048bit). Das muss man dann aber über die Konsole bzw. WinSCP machen. Hier gab's vor kurzem dazu Infos, wenngleich ich die dort erwähnte Bevorzugung von AES256 für unangebracht halte, da sie nicht wirklich mehr Sicherheit bringt (AES128 ist auf 20 Jahre ebenso sicher wie AES256), sondern eher Performancenachteil von ca. 40% gegenüber AES128 bringt.

 

[jahlives]

. Hier gab's vor kurzem dazu Infos, wenngleich ich die dort erwähnte Bevorzugung von AES256 für unangebracht halte, da sie nicht wirklich mehr Sicherheit bringt

Theoretisch ist AES256 sogar unsicherer als AES128. Durch Angriffe mit verwandten Schlüsseln kann die Komplexität von AES256 und AES192 auf unter 2^100 gesenkt werden. Dann wären die 2^128 von AES128 stärker. Auf AES128 kann dieser Angriff bis heute nicht angewendet werden (https://cryptolux.org/index.php/FAQ_on_the_attacks).
Aber wichtig: praktikabel ist dieser Angriff trotzdem nicht