2FA und admin Account

[Ponti]

Liebe Leute,

ich beschäftige mich gerade mit den grundsätzlichen Sicherheitseinstellungen und Accounts.
Bisher habe ich mein Synology-Konto eingerichtet, die DS registriert und dort meine Mailadresse hinterlegt sowie 2FA fürs Konto mit OTP (Secure SignIn) eingerichtet.
Das gleiche habe ich bei meinem DS-Konto (was ich beim ersten Login erstellt habe) gemacht (2FA im Bereich persönlich).

Was nun, wenn das Handy abhanden kommt oder defekt ist?
Erster Test beim Synology-Konto: Mit Passwort zurücksetzen (per Mail) kann man die 2FA abstellen und sich wieder einloggen sowie 2FA neu aktivieren.
Hier ist also der Zugang zum Mailkonto entscheidend für die Sicherheit.
Bei der DS selbst, war es anders. Hier war es nicht möglich, dass Passwort per Mail zu resetten und damit die 2FA zu umgehen. Obwohl extra dafür eine Mail Adresse hinterlegt wurde (!). 1. Was ist also hierfür notwendig, damit das mit der Mail klappt?
Dennoch war ein Zugang möglich: Reset-Öffnung 4sek drücken bis es piept und dann mit „admin“ ohne Passwort anmelden. Die ermöglichte das Zurücksetzen des Passwortes und 2FA für meinen „richtigen“ Account. (so ist es auch auf Synology Support beschrieben)
Also sehr einfach, wenn physikalischer Zugriff auf die NAS besteht.
Nun liest man ja in vielen der Sicherheitsguides, man soll den default-Admin-Account deaktivieren/löschen. 2. Wäre dann dieser Lösungsweg noch möglich gewesen?
Ich würde mich als nächstes gerne vertiefender mit den diversen Account/Benutzer-Ebenen und Sicherheitsebenen / Konzepten beschäftigen. Existieren dazu schon Guides im Forum?

Danke euch!

 

[ctrlaltdelete]

Ja, admin deaktivieren und anderen Admin Account anlegen, eben nicht mit dem Namen admin. Und ja, der wird über den Reset Modus 1 wieder aktiviert.
https://kb.synology.com/de-de/DSM/tutorial/How_to_reset_my_Synology_NAS#

 

[ctrlaltdelete]

Und schau mal hier, das soll ganz gut sein:
https://www.amazon.de/Private-Cloud-Server-Synology-fortgeschrittenen-ebook/dp/B0BK96GSZJ

 

[Benie]

Das Buch ist Top und kaum zu übertreffen, kann das jedem Anfänger ggf. auch fortgeschrittenerem als Nachschlagewerk nur zu Empfehlen.

 

[Ponti]

Danke euch!

Aber habt ihr eine Idee, warum das mit dem Mail versenden nicht klappt ? (also obwohl eine Mail-Adresse drin steht, für den Fall, dass man DS-PAsswort vergessen hat)

 

[ctrlaltdelete]

Funktioniert denn generell die Mail-Benachrichtigung aus DSM heraus?

 

[Ponti]

scheinbar nicht

Muss ich wahrscheinlich noch etwas rumprobieren

 

[Kurt-oe1kyw]

Was nun, wenn das Handy abhanden kommt oder defekt ist?

Das ist ja nicht nur auf ein einziges handy beschränkt.
2FA, SecureSign usw. kannst du ja auf so vielen handys, Tabletts usw Installieren wie du möchtest.
Zur Not handy der Kinder, Eltern, Geschwister usw usw, NUR mit der 2FA können sie damit ja nichts Anfangen, aber so sollte wenigestens mind 1 handy/tablett weiter funktionerien falls das Hauptgerät wirklich mal Ausfallen sollen:



ABER Aufpassen bei DSM7!
Jeder Aufruf zum Einrichten generiert sofort einen neuen Codeschlüssel! Bei DSM 6 konnte man den QR Code einfach wieder Aufrufen und am zweiten,dritten Gerät einlesen, das geht bei DSM7 nicht mehr!
Das bedeutet den Code separat extern sichern (screenshot QR Code usw) und nur von dieser Sicherung einlesen!
Ich habe damals eine Weile gebraucht als ich handy 1 installiert hatte und wie in DSM6 gewohnt dann in DSM7 handy2 installiert hatte.
Als ich dann handy 1 wieder nutzen wollte wurden falsche Codes generiert, weil wie oben erklärt bei jedem Aufruf im DSM sofort ein neuer Codeschlüssel erzeugt wird und alle vorherigen ungültig werden.

Daher QR Code "sichern" auf externem Medium, USB Stick usw und QR Code dann für spätere Geräte zur Freischaltung nur mehr mit dem gesicherten Code durchführen.

 

[Ponti]

Danke für de Hinweis!

 

[Kachelkaiser]

mal zum Verständnis: Für Secure sign In muss die DS bzw. das DSM per subdomain o.ä. erreichbar sein richtig? wenn ich für DSM keine subdomain habe kann ich das nicht nutzen....

Wie handhabt ihr das?

@Kurt-oe1kyw Reicht die Sicherung und Wiederherstellung wie hier beschrieben nicht aus, um mehrere Geräte mit den Daten zu versorgen?

 

[*kw*]

Durch die Neuinstallation überprüfe/-denke ich gerade mein Rollen- und Rechte-Konzept.

Zur standardmäßigen - sowohl Synology-Empfehlung, als auch "herrschenden Forum-Meinung" - den System-Admin zu deaktivieren und einen Admin-User einzurichten, habe ich beim Stöbern kontroverse Ansichten im Forum gefunden.

Im Ergebnis bin ich zu zwei Varianten gekommen:

1. "Highlander-Prizip": nur den Standard-Systemadmin "admin" mit 2FA, starkem Passwort und das Admin-Passwort beim Reset speichern (ja, erfordert Verantwortung!). Mit dem wird konsequent auch nur ge-admin-t
2. Admin-deaktivieren, Ersatz-Admin-User

Hat "1." gar keine Daseinsberechtigung? Zumal es für gewisse Szenarien "App-Admin(s)" eingerichtet werden müssen, was wiederum den Highlander aushebelt. Ich würd auch so wenige Admins als möglich im System haben wollen.

Jetzt reden wir in den meisten Fällen von einem "Familienbetrieb", wo der Rest der Truppe einfach froh ist, wenn die Kiste läuft und sich keine Gedanken macht. Und, zur Erinnerung, meine Kiste ist total offline...auch wenn der "Innentäter" oder Dormel das schlimmere Übel ist.

PS: der Gedankenaustausch dazu wäre im Ergebnis auch was für den Nutzerleitfaden

 

[metalworker]

auch die 1. Variante hat ihre Berechtigung.

Gerade im Heim Bereich wo die Kiste nicht ins Internet direkt gestellt wird finde ich die durchaus verwendbar.

Den standard admin User hat ja nur den Sinn das man die Angrifssvektoren veringert.
Aber auch dabei muss man Aufwand und Nutzen abwägen.

 

[Ronny1978]

scheinbar nicht

Muss ich wahrscheinlich noch etwas rumprobieren

Die DS selbst muss auch E-Mails versenden können. Ist das schon eingerichtet?

Daher QR Code "sichern" auf externem Medium, USB Stick usw und QR Code dann für spätere Geräte zur Freischaltung nur mehr mit dem gesicherten Code durchführen.

Das ist, glaube ich, der richtige Weg und so nutze ich das auch. ;-)

Aber habt ihr eine Idee, warum das mit dem Mail versenden nicht klappt ? (also obwohl eine Mail-Adresse drin steht, für den Fall, dass man DS-PAsswort vergessen hat)

Mal ein kleiner Tipp, auch aus Erfahrung: Das WICHTIGSTE was es hier gibt und zu beachten gilt -> das E-Mail Postfach MUSS AUCH ZWINGEND per 2FA abgesichert sein. Was nützt das Einrichten einer E-Mail zum zurücksetzen eines Passwortes, egal WELCHE Dienst, wenn das Postfach oder die E-Mail Zugangsdaten komprimiert sind.

Vielleicht auch mal als 2FA Variante über einen USB Stick (Yubikey) nachdenken. Mittlerweile haben auch meine Kinder auch einen und wir verwenden das überall dort, wo es auch angeboten wird, inkl. als Passkey!!! Dann spielt auch das Handy und dessen Wechsel keine Rolle!!!

 

[Ronny1978]

Den standard admin User hat ja nur den Sinn das man die Angrifssvektoren veringert.
Aber auch dabei muss man Aufwand und Nutzen abwägen.

Bei mir ist Standard "Admin" deaktiviert, UND ALLE Nutzer habe ich zu 2FA verdonnert. In der Angriffskette gibt es immer ein schwächstes Glied. Und das sollte nicht durch den gesparten Aufwand der Nutzersteuerung, Benennung, Passwortlänge und 2FA vergrößert werden. Man braucht das ja auch nicht ständig.

 

[metalworker]

die schwängsten glieder sollten einfach so wenig Rechte haben das sie kaum schaden anrichten können.
Wenn die Rechner sich per SMB verbinden hast mit 2FA auch keinen Vorteil

 

[Ronny1978]

@metalworker : Da gebe ich dir vollkommen recht. Aber irgendwo muss man mit dem "Schärfen/Härten" anfangen. SMB ist ein Schachpunkt von innen, vollkommen korrekt. Aber es greift - oder sollte - ja niemand von außen per SMB zu/zugreifen. Alternativ kann ja SMB auch für interne Nutzer blockiert werden -> Firewall.

Aber wie schon richtig gesagt: Aufwand vs. Nutzen UND Sicherheit vs. Komfort.

 

[*kw*]

@metalworker: ein ähnlicher Gedanke ging mir auch durch den Kopf.

Die admins haben bei mir 2FA, den Nutzern hatte ich das auch verpasst, aber der Zugriff findet familienintern entweder über SMB (iMacs) oder reverse proxy auf typische Cloudanwendungen (Baikal, Vaultwarden, etc.) im docker statt. Über DSM darf keiner und nur bei der Audiostation/DS Audio muss man einmalig (falls nicht Abmeldung) in den sauren Apfel beißen

 

[Ronny1978]

typische Cloudanwendungen (Baikal, Vaultwarden, etc.) im docker statt

Auch die lassen sich zum Teil mit 2FA absichern. Ich habe auch mit Reverse Proxy auf meiner OpnSense begonnen. Derzeit aber nur mit Home Assistant, weil dort 2FA möglich ist. Alles andere geht derzeit noch über Cloudflare, weil ich Authelia in Verbindung mit dem HA Proxy auf der OpnSense noch nicht zum Laufen bekomme.

Deshalb ist es für MICH halt auch wichtig, dass der interne Datenverkehr mittels Firewall überwacht wird und nicht nur der von Außen nach Innen. Und ein Reverse Proxy ist ja kein Schutz, oder? Außer das es über SSL läuft. Ich verstehe ich hier was falsch?

 

[alexhell]

Wenn du aber Authelia z.B. davor schaltest, dann funktioniert es mit den Apps nicht mehr. Angenommen du schaltest bei Baikal Authelia vor, dann wirst du das nicht mehr am Handy einrichten könnten, weil CardDav keine Verbindung herstellen kann. Also kann man das nicht immer vorschalten, wenn die Apps das nicht unterstützen. Das selbe bei Vaultwarden. Wenn du nicht die interne 2FA Funktion nutzt, sondern Authelia, dann wird die Bitwarden App nicht funktionieren.

 

[Ronny1978]

Wenn du aber Authelia z.B. davor schaltest, dann funktioniert es mit den Apps nicht mehr

Meinst du? Also ich hatte das so verstanden:

https://bitwarden.irgendwas.de
-> Umleitung zu Authelia -> Authentifizierung -> erfolgreich?
-> wenn ja, dann wird bitwarden.irgendwas.de angezeigt

Warum sollte das nicht funktionieren? Wobei ich Bitwarden nicht nutze. Ich nutze Keepass per VPN ;-). Mir geht es bei Authelia eher um sowas wir Jellyfin, Plex, Unifi Controller, Telefonanlage usw.

Bei den Apps könntest du recht haben, wenn die nicht über https arbeiten bzw. die Middleware nicht akzeptieren.

Also kann man das nicht immer vorschalten, wenn die Apps das nicht unterstützen

Hier hast du natürlich recht ;-)