Admin-Konto nur aus den Netzwerk zugreifen lassen?

[Zacken]

Hallo Zusammen,

ich hätte eine Frage zum Thema Sicherheit. Wie viele von euch ja bestimmt auch will ich meine Daten immer und überall zur Verfügung haben, muss aber nicht von überall aus Pakete installieren können oder Einstellung am NAS verändern können (Gebastelt wird ja in der Regel am Heimischen Rechner). Daher folgende Frage. Kann man irgendwo einstellen, dass das Admin-Konto nur lokal auf DSM zugreifen kann, während die Benutzer-Gruppe extern zugreifen kann?

Ein Vorschlag aus dem Forum war, dass man das Admin-Konto deaktiviert und nur aktiviert, wenn die man an der Synology bastelt. Aber dann müsste doch eine anderer Benutzter Adminrechte zum aktivieren und deaktivieren haben, oder?

 

[mamema]

admin interfaces wie telnet, ssh, dsm (5000,5001) ports nicht nach extern zugreifbar machen, sprich blocken.

 

[the other]

Moinsen,
also, EINEN admin sollte es geben. Du kannst den Standard admin deaktivieren, vorher eben einen neuen anlegen. Ob das was bringt sei mal zur Diskussion gestellt (obscurity is not security)...
Dann solltest du vor allem lernen, dass du dich da selber disziplinierst:
1.) der ADMIN Nutzer ist NUR zum VERWALTEN (daher der Name)!
2.) Wenn du nur so zum Arbeiten, Bilder schauen, backup machen,Kalendereinträge ändern, Musik hören, Dateien verwalten usw zugreifen willst, dann solltest du das NICHT mit dem ADMIN machen, denn...siehe vorheriger Tipp.

 

[Peter_Lehmann]

Hallo Zacken,

und willkommen im Forum!
Ja, es wird angeraten, das Konto "admin" zu deaktivieren und vorher (!) ein Benutzerkonto mit Adminrechten anzulegen. Letztendlich ist das auch nur "Sicherheit durch Verstecken", es erhöht die Sicherheit nicht wirklich, der Angreifer muss lediglich länger nach dem "Eingang" suchen.
Sicherheit schaffst du, was den administrativen Zugang betrifft, indem du dafür ein sehr gutes, sehr langes und garantiert nicht merkbares PW, welches auch in keinem Wörterbuch zu finden ist, verwendest. Und natürlich auch die angebotene 2-Faktor-Authentisierung nutzt. (Empfehlung: ebenfalls vor der Deaktivierung des admin-Kontos die 2FA einrichten und zuerst testen. Ebenso wie den evtl. neu eingerichteten neuen Adminzugang! Nicht, dass du dich aussperrst.)

Und JA, ein Adminzugang ist ausschließlich zum Administrieren zu nutzen! Also nur, wenn du neue Nutzer anlegst oder Systemeinstellungen änderst.
Für jeden sonstigen Nutzer und auch für bestimmte technische Funktionen oder auch Nutzergruppen" (bspw. Familie" zum Videoschauen usw.) legst du mehrere Benutzerkonten an. Diesen gibst du natürlich keine Adminrechte und vergibst auch sonstige Zugriffsrechte nach der Parole: soviel wie nötig und so wenig wie möglich. Auch wenn du dich als Besitzer des Gerätes damit u.U. 2x anmelden musst.

Viel Erfolg!
MfG Peter

 

[Peter_Lehmann]

Weil in der Zwischenzeit zwei Beiträge geschrieben wurden, lege ich noch mal nach. (JA, ich weiß, dass ich meinen Beitrag editieren könnte. Aber ich schreibe bewusst noch einen Beitrag.)

Es wird von mamema geraten, telnet, ssh und das DSM selbst (für den admin) zu sperren.
Dass du dem (alten) admin den Zugang zum DSM sperrst, sollte sich mit der Sperrung dieses Kontos bereits erledigt haben. Es sollte nur einen Administrator geben, und das ist dann eben der neu angelegte. Das Konto "admin" kannst du nicht löschen (genau wie "guest"), aber solltest es deaktivieren.

Das alte "telnet" solltest du grundsätzlich nicht mehr verwenden und somit auch nicht aktivieren. Selbst innherhalb deines Heimnetzes nicht mehr, denn du weißt ja nie, wer da Zugang hat. Telnet ist unsicher und obsolet!

Etwas völlig anderes ist es mit dem anerkannten Administrationstool "ssh". Jeder Berufsadministrator kennt und benutzt ssh, um damit ohne grafischen Schnickschnack remote auf seine Server zuzugreifen. Ich nenne hier zwei "Hürden", welche du beachten solltest, wenn du auf deiner NAS den Zugang mit ssh aktivieren willst:

1. Du solltest zumindest so viele Linux-Kenntnisse haben, dass du weißt, was du tust. (Oder du aktivierst es als für dich nutzbare Hintertür - wenn nix mehr gehen sollte und du einen Helfer hast, der dir dann wirklich helfen kann.)
2. Du verwendest ssh niemals (!!!) nur mit Benutzername und Passwort, sondern ausschließlich mit public-key-authentisierung! Dazu musst du auf deinem/n Rechner/n ein Schlüsselpaar erzeugen und den/die public keys (gespeichert in der Datei "authorized_keys") auf die NAS kopieren. Damit ist kryptologisch gesichert, dass nur der Besitzer des/der dazugehörigen privaten Schlüssel Zugang hat.

(Mehr dazu natürlich gern bei Interesse.)

MfG Peter

 

[Uwe96]

Ich glaube der TE möchte dass man das Admin Konto (egal wie das nur das nun heißt) gar nicht von Außen aufrufen kann. Nur von intern.
Das geht soweit ich weiß nicht.

 

[Peter_Lehmann]

Doch schon, zumindest indirekt.
Wozu muss das DSM überhaupt (ständig) aus dem "bösen Netz" erreichbar sein? (Nein, ich schreibe hier nichts mehr zum Thema VPN, was für mich grundsätzlich DIE Lösung ist.)
Für Otto-Normal-Nutzer reicht es doch, wenn dieser aus dem Netz auf notwendige "Spezialprogramme" zugreifen kann. Bspw. auf die "File-Station", was wohl für die Masse der Nutzer völlig ausreichen wird. Dafür einen Alias (file) anlegen, der Anwendung einen Port zuweisen und nur diesen Port zur NAS weiterleiten. Den Port für DSM nicht weiterleiten.
Und dann bei den Berechtigungen selbige für DSM mit "Fingerspitzengefühl" vergeben (bspw. ICH und der NAS-Admin), und "file" dürfen dann eben alle, die das haben sollen.
Selbstverständlich geht das dann auch für eine Reihe weiterer Apps.
Damit kann "jeder" den DYN-DNS-Namen für https://<NAS>/file aufrufen und wirklich niemand aus dem Netz das (viel hoher zu bewertende!) DSM.
Und der Nutzer ist dann auch sofort in der File-Station und kann oder muss sich dort vorher anmelden. In der Anmeldemaske ist auch schon das Icon for die Feile-Station zu sehen.

 

[Jagnix]

Für Otto-Normal-Nutzer reicht es doch, wenn dieser aus dem Netz auf notwendige "Spezialprogramme" zugreifen kann.

Nein, reicht es nicht.

 

[Peter_Lehmann]

Hast dafür auch eine Begründung?
Oder zumindest schlüssige Beispiele von Anwendungen, welche ausschließlich über das DSM erreichbar sind und auch wirklich von ONU oder "Jedermann" "lebenswichtig" erreicht werden müssen?
Und in solchen, IMHO möglichen aber sehr seltenen Fällen, gibt es ja immer noch das VPN.
Wie schon mehrfach geschrieben, ich mache alles über mein Wireguard-VPN.

 

[blurrrr]

(Nein, ich schreibe hier nichts mehr zum Thema VPN, was für mich grundsätzlich DIE Lösung ist.)

Aber hoffentlich nicht "nur"... VPN ist nämlich auch kein Allheilmittel...?

 

[Peter_Lehmann]

Das hat hier auch niemand behauptet. Und ein unter OpenWrt laufendes Wireguard-VPN ist auch keine SINA-Box.
Und einen DDOS-Angriff hält selbst diese nicht ab.

Wollte damit sagen, dass man überall Schwächen finden kann, wenn man nur gründlich genug sucht. Und, nicht zu vergessen, es gibt das so genannte "kalkulierbare Restrisiko" - welches man immer in ein Verhältnis zum Aufwand setzen sollte. Und eben jenes von mir präferierte Wireguard-VPN ist mir geringstem Aufwand zu installieren. Eben meine "SINA-Box für arme Leute".

So, für mich ist dieses Thema hiermit beendet.

 

[blurrrr]

Wollte damit sagen, dass man überall Schwächen finden kann, wenn man nur gründlich genug sucht.

Ganz genau so isset! ??

 

[Jagnix]

Hast dafür auch eine Begründung?

Warum sollte Otto Normal Verbraucher auf die zus. Sicherheit verzichten die ein VPN bietet ?
Zumal es ja auch Zero-Day bei den Anwendungen geben kann.

 

[Zacken]

Hallo Zusammen,

vielen Lieben dank für die ganzen Antworten.

Ich glaube der TE möchte dass man das Admin Konto (egal wie das nur das nun heißt) gar nicht von Außen aufrufen kann. Nur von intern.
Das geht soweit ich weiß nicht. [Uwe96]

Genauso ist es.... ich hatte mir halt gedacht, dass man so ja recht "billig" nochmal die Sicherheit erhöhen könnte. Aber wenn es nicht geht, dann geht es halt nicht, trotzdem danke.

Ich benötige tatsächlich DSM, meine Situation ist allerdings auch ein wenig speziell; es ist so:
Ich bin Lehrer an einer großen Berufsbildenden Schule und möchte nicht nur meine Arbeitszettel vom Schulnetzwerk aus zur Verfügung haben, sondern auch die erstellten Präsentationen direkt vom NAS aus starten können (damit ich nicht immer mit einen USB-Stick durch die Klassenräume muss). Unser Dienstleister ist KNE, der alle Ports bis auf 443 blockt und einen auf den Klassen-PCs sowieso keine Software installieren lässt (bzw. unteranderen auch "Portable-Lösungen unterbindet"). Daher fallen VPN- und VNC-(wäre ja auch noch eine Option, die lassen sich ja auch sehr stark verschlüsseln)-Lösungen weg.
Der Tipp mit dem Admin-account, der nicht nur ein kryptisches Passwort, sondern auch einen kryptischen Nutzernamen hat finde ich aber gut... das werde ich so umsetzen, vielen Dank! Wenn doch noch einer eine Idee hat, wie man Admin-Benutzer nur Zugriff im Lokalennetz gewähren lässt, dann wäre ich über einen Post dankbar .

VG und danke nochmals,
Steffen

 

[the other]

Moinsen,
was ich inmitten des Post-Suppen-Komas nicht verstehe:
du brauchst doch keinen adminzugang zum Zugriff auf die Präsentationen, oder?
Auch kannst du doch als normaler user auf dsm zugreifen, eben ohne admin-Rechte?

 

[blurrrr]

Machste Dir ein OpenVPN auf der Syno über Port 443/TCP und dann guckste mal wie "gut" die Jungens von KNE sind Wenn "vernünftige" Arbeit geleistet wird (und Du bei Einstellung damals ein dickes Buch unterschrieben hast), sollten die Verbindungen auf dem Weg nach draussen aufgebrochen werden (damit man reingucken kann - quasi ein MITM von der Sicherheitssoft-/hardware). Solltest Du schon anhand der CA der ausgestellten Zertifikate sehen, wenn Du aus der Schule heraus z.B. irgendwas via HTTPS aufrufst, denn die Sicherheitssoftware "muss" ja auch "überall" reinschauen können (um eben für Sicherheit zu sorgen).

Was das dem 443-only angeht - WebDAV wäre halt noch so eine Möglichkeit, da brauchste auch kein DSM und kannst Dir auch direkt ein Netzlaufwerk verbinden (bzw. eine Netzwerk-"Adresse").

EDIT: Und natürlich das, was @the other grade schrieb ? (hab wieder nur den lesen Post gelesen, er liest wenigstens noch anständig ?)

 

[the other]

Moinsen,

er liest wenigstens noch anständig

Huhn...blind...Körner finden...usw. Ab und zu mal...

 

[stefan_lx]

also eigentlich brauchst du "Präsentationen-to-go"...

Warum nicht die Filestation? die kannst du über deine dyndns-Adresse über Port 443 aktivieren, ggf. mit einem Alias hintendran (files) ... und du kannst Links verschicken, damit andere was hochladen können...

Dein Nicht-admin muss nur die Berechtigung zum Freigeben eines Links haben...

Stefan

 

[tproko]

Es wird von mamema geraten, telnet, ssh und das DSM selbst (für den admin) zu sperren.

Ich glaub du hast das evt. auch falsch verstanden. @mamema meinte, dass er keinen Zugriff nach außen dafür hergeben würde.
Sprich keine Portforwards vom Router zur Synology auf den entsprechenden Ports (22, 80, 443, 5000, 5001).

Da wird per se also nichts blockiert, sondern es wird nie freigeschalten. Innerhalb des eigenen LANs wären die Dienste dann soweit frei verfügbar.

lg

 

[blurrrr]

Sync vom NAS zu Dropbox (oder sonstigen) und von da einfach wieder weggrabbeln?