Hallo, ich habe eine Anfänger-Frage zum Thema Sicherheit. Ich habe nun meine Diskstation installiert und eingerichtet. Diese ist auch über das Internet über DynDNS und https (5001) erreichbar. Weiterhin habe ich ein "sicheres" Kennwort angelegt und die IP-Blockierung eingerichtet. Nun bekomme ich regelmäßig Mitteilungen aus der DS, dass eine IP Adresse blockiert wurde. Ansich auch gut so. Nur wie stark ist das Sicherheitsproblem nun generell, dass meine Daten aus der DS ausgelesen werden können? Ich muss auch arbeitsbedingt alle meine Daten auf der DS ablegen und erreichbar machen. Vielen Dank
DSM 6.x und darunter Bedrohung von aussen
- Ersteller LEboehm
- Erstellt am
-
- Schlagworte
- sicherheit
Alle DSM Version von DSM 6.x und älter
- Status
dann solltest du über eine VPN Verbindung zu deinem Router / zur DS nachdenken und nicht einfach den WS der DS frei verfügbar machen.
weiter werden die Syno DNS'en abgegrast.. daher würde ich einen anderen anbieter empfehlen.
weiter werden die Syno DNS'en abgegrast.. daher würde ich einen anderen anbieter empfehlen.
Mike0185
Benutzer
- Mitglied seit
- 26. Jun 2012
- Beiträge
- 439
- Punkte für Reaktionen
- 10
- Punkte
- 24
da hat maDDin recht.
VPN-Verbindungen nutzen. Die Auto-IP-Blockung gut einstellen. Starke Kennwörter nutzen. Am Besten den Standard-"Admin" deaktivieren. Nur die wichtigsten Ports öffnen. Nur die Dienste betreiben die gebraucht werden und ggf. die Standard-Ports dazu auch umstellen.
Seit ich SSH und FTP-Ports geschlossen habe bzw. den FTP-Port nicht mehr auf dem Standard-Port betreibe haben die "Angriffe" sich sehr reduziert. 100% sicher sind deine Daten im übrigend nie, solange deine DS online ist! Wege und Mittel wird es immer geben.
Gruß
Mike
VPN-Verbindungen nutzen. Die Auto-IP-Blockung gut einstellen. Starke Kennwörter nutzen. Am Besten den Standard-"Admin" deaktivieren. Nur die wichtigsten Ports öffnen. Nur die Dienste betreiben die gebraucht werden und ggf. die Standard-Ports dazu auch umstellen.
Seit ich SSH und FTP-Ports geschlossen habe bzw. den FTP-Port nicht mehr auf dem Standard-Port betreibe haben die "Angriffe" sich sehr reduziert. 100% sicher sind deine Daten im übrigend nie, solange deine DS online ist! Wege und Mittel wird es immer geben.
Gruß
Mike
Danke für die hilfreichen Tipps. Das es nie eine sichere Verbindung gibt ist mir klar, aber zumindest relativ sicher sollte sie sein. Die IP-Blockierung habe ich auf 3 Versuche und 5 Minuten gestellt. Ein sicheres Passwort habe ich auch vergeben. Auf die DS greife ich immer nur mit https zu, oder ist dies egal? Als DynDNS-Betreiber habe ich KabelDeutschland, diesen muss ich leider auch beibehalten. Bei FTP gehe ich immer nur über explizites FTP mit TLS rein.
Mike0185
Benutzer
- Mitglied seit
- 26. Jun 2012
- Beiträge
- 439
- Punkte für Reaktionen
- 10
- Punkte
- 24
LEboehm ich denke das ist schon mal ganz gut.
Die IP-Blockierung steht bei mir auf 3 Fehlversuche innerhalb 15 Minuten. HTTPS ist verschlüsselt und damit werden zumindest die Daten sicherer übertragen, anders wie bei HTTP, das schön mitgelauscht werden könnte.
FTP habe ich auch verschlüsselt und vom Port 21 auf einen vierstelligen Port hoch gelegt und durchgeleitet (z.B. "5491"). Der sollte natürlich nicht für anderes genutzt werden. Seit dem der FTP-Port so hoch liegt habe ich so gut wie keine Sperrungen von IPs mehr. Früher als ich den 21iger noch offen hatte waren es bald täglich 10-20 Blockierungen.
SSH (Port: 22) ist bei mir nach außen ebenfalls dicht.
Gruß Mike
Die IP-Blockierung steht bei mir auf 3 Fehlversuche innerhalb 15 Minuten. HTTPS ist verschlüsselt und damit werden zumindest die Daten sicherer übertragen, anders wie bei HTTP, das schön mitgelauscht werden könnte.
FTP habe ich auch verschlüsselt und vom Port 21 auf einen vierstelligen Port hoch gelegt und durchgeleitet (z.B. "5491"). Der sollte natürlich nicht für anderes genutzt werden. Seit dem der FTP-Port so hoch liegt habe ich so gut wie keine Sperrungen von IPs mehr. Früher als ich den 21iger noch offen hatte waren es bald täglich 10-20 Blockierungen.
SSH (Port: 22) ist bei mir nach außen ebenfalls dicht.
Gruß Mike
Hallo,
ich habe auch die Vermutung, daß dyndns-Anbieter abgegrast werden, denn nur wer einen Dyndns-Eintrag braucht, muß ja eigentlich was anbieten. Ich würde weder Port 5000 noch Port 5001 nach außen hin öffnen. Gut, 5001 wäre zumindest ssl-verschlüsselt, was einem das Mitlesen vom Traffic erschwert. Aber trotzdem können sich dann am DSM alle angelegten Benutzer anmelden, die es im DSM so gibt. Es reicht also nicht, dem Admin ein starkes Paßwort zu geben.
ich selbst habe nur FTP von außen zugänglich. Dafür habe ich eine eigene Gruppe und einen eigenen Benutzer angelegt. Diese Gruppe und dieser User haben nur Zugriff auf die eine Freigabe. Andere Benutzer kommen nicht auf diese Freigabe und können sich explizit nicht (auch der admin nicht) am FTP-Server anmelden. Also schon relativ gut abgeschottet. Dann öffne ich die Ports am Router nur, wenn ich die unbedingt brauche, keineswegs immer.
Die automatische Blockierung hab ich auch aktiviert.
Administrative Tätigkeiten (übern DSM) mache ich nur intern oder von außen nur über VPN.
ich habe auch die Vermutung, daß dyndns-Anbieter abgegrast werden, denn nur wer einen Dyndns-Eintrag braucht, muß ja eigentlich was anbieten. Ich würde weder Port 5000 noch Port 5001 nach außen hin öffnen. Gut, 5001 wäre zumindest ssl-verschlüsselt, was einem das Mitlesen vom Traffic erschwert. Aber trotzdem können sich dann am DSM alle angelegten Benutzer anmelden, die es im DSM so gibt. Es reicht also nicht, dem Admin ein starkes Paßwort zu geben.
ich selbst habe nur FTP von außen zugänglich. Dafür habe ich eine eigene Gruppe und einen eigenen Benutzer angelegt. Diese Gruppe und dieser User haben nur Zugriff auf die eine Freigabe. Andere Benutzer kommen nicht auf diese Freigabe und können sich explizit nicht (auch der admin nicht) am FTP-Server anmelden. Also schon relativ gut abgeschottet. Dann öffne ich die Ports am Router nur, wenn ich die unbedingt brauche, keineswegs immer.
Die automatische Blockierung hab ich auch aktiviert.
Administrative Tätigkeiten (übern DSM) mache ich nur intern oder von außen nur über VPN.
Hallo,
Gruß Götz
das glaube ich eher nicht. Das ist viel aufwändiger als einfach IP-Bereiche zu scannen.
Gruß Götz
itari
Benutzer
- Mitglied seit
- 15. Mai 2008
- Beiträge
- 21.900
- Punkte für Reaktionen
- 14
- Punkte
- 0
auch darüber nachdenken, ob man über den Port 5001 von außen auf den DSM zugreifen muss. Es gibt ja eine Menge Geschichten, die auch ohne DSM zu nutzen sind (bei mir wird weder der Port 5000 noch 5001 im Router durchgelassen)
Itari
Itari
VPN des Routers oder der DS?
Mein Router kann leider kein VPN
Kann mir jemand einen Artikel dazu empfehlen zum einlesen?
Mein Router kann leider kein VPN
Kann mir jemand einen Artikel dazu empfehlen zum einlesen?
Mike0185
Benutzer
- Mitglied seit
- 26. Jun 2012
- Beiträge
- 439
- Punkte für Reaktionen
- 10
- Punkte
- 24
Früher hatte ich es über den Router konfiguriert. Macht auch mehr sinn. Nach dem ich von Kabel BW einen Gateway bekommen habe funktionierte die Einwahl per Router nicht mehr un ich musste das ganze über die DS realisieren :/. Funktioniert aber ganz gut.
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.240
- Punkte für Reaktionen
- 1.180
- Punkte
- 314
Hi!
Vielleicht hilft dir diese Anleitung weiter...
http://www.synology.com/support/tutorials_show.php?q_id=459&lang=deu
Tommes
Vielleicht hilft dir diese Anleitung weiter...
http://www.synology.com/support/tutorials_show.php?q_id=459&lang=deu
Tommes
Ich nutze den VPN der FirtzBox als auch den der DS. Den VPN der FritzBox nutze ich z.B. dafür um die DS per WOL zu wecken. Das ist echt ein Vorteil für mich.
Danke!
Habe die ganze Zeit gezögert mit der Freigabe von Port 5001 weil ich echt etwas Angst hatte um meine Daten. Klar das meiste ist verschlüsselt abgelegt (also was nur mich etwas angeht) und super "geheime" sachen in TrueCrypt Containern, aber trotzdem sollte nicht jeder auf meiner DS herumspazieren können!
Werde mich heute Mittag gleich mal ran machen
Gibts noch Tipps, welche Ihr mir für die Erstkonfiguration mitgeben könntet?
Habe die ganze Zeit gezögert mit der Freigabe von Port 5001 weil ich echt etwas Angst hatte um meine Daten. Klar das meiste ist verschlüsselt abgelegt (also was nur mich etwas angeht) und super "geheime" sachen in TrueCrypt Containern, aber trotzdem sollte nicht jeder auf meiner DS herumspazieren können!
Werde mich heute Mittag gleich mal ran machen
Gibts noch Tipps, welche Ihr mir für die Erstkonfiguration mitgeben könntet?
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.240
- Punkte für Reaktionen
- 1.180
- Punkte
- 314
Naja, du musst die VPN Ports in deinem Router weiterleiten. Je nach dem, worüber du zugreifen möchtest...
Entweder PPTP Port 1723 TCP
Oder OpenVPN Port 1194 UDP
Steht aber auch in der DSM Hilfe zum VPN-Server
Tommes
Entweder PPTP Port 1723 TCP
Oder OpenVPN Port 1194 UDP
Steht aber auch in der DSM Hilfe zum VPN-Server
Tommes
itari
Benutzer
- Mitglied seit
- 15. Mai 2008
- Beiträge
- 21.900
- Punkte für Reaktionen
- 14
- Punkte
- 0
Wie greifst du dann von z.B. der Firma aus auf Daten der DS zu?
Stichwort reicht mir
neben dem Allzweckschwein 'VPN' geht natürlich auch der FTP oder eine Anwendung (Cloud, WebDAV, FileStation, PhotoStation usw.) ... die Frage ist ja immer, auf wieviel möchte man von außen zugreifen wollen; je geplanter und eingeschränkter, desto weniger kann passieren
Itari
Aber auch nur dann, wenn die Ports Frei sind. Sind diese geblockt ( in der Firma ) dann hilft dir das auch nicht sehr weiter, wenn du diese Anwendungen frei gibst. Über den VPN umgehst du das "Problem" Oder sehe ich das falsch?!
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
