DSM 6.x und darunter Angriffe auf Diskstation

Alle DSM Version von DSM 6.x und älter

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
Ich dachte, der Reverse Proxy wäre (ebenso wie der VPN-Zugang) sicherer auf einem anderen Device aufgehoben, damit die DS nicht direkt aus dem Netz angesprochen werden kann. Bringt das also beim RP keinen Nachteil?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Naja lieber den RP auf der DS ins Netz stellen, als den DSM Admin Port und die Dienste.
Denn der RP ist ja nur ansprechbar, wenn die Domain stimmt, da kommt man mit bloßem Port nicht weit.
 
  • Like
Reaktionen: Monacum und Benie

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Genau so isses!
Und den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.
Aber klar ist, dass externe Lösungen für Zugriffe aus dem Internet immer besser sind als ein Syno-Fileserver mit einem Bein im Internet.
Zu Hause betreibe ich nur eine Fritz mit VPN und den RP direkt auf der Syno. Damit fühle ich mich sicher genug. Viel wichtiger ist mir die interne Absicherung gegen kompromittierte E-Mails!
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.799
Punkte
344
so isses!
Und den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.
Kann man schon, die Updates laufen trotzdem, ich habe seit gut 10 Jahren keinen einzigen Port geöffnet und nur VPN als Zugang.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.041
Punkte für Reaktionen
6.051
Punkte
569
Und Backup, Backup und Backup.
Ich habe mittlerweile:
USB Backup lokal
Backup auf externer DS
Cloudbackup
Snapshot inkl. Replikation auf externe DS.
 
  • Like
Reaktionen: maxblank und Benie

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.437
Punkte für Reaktionen
2.365
Punkte
289
  • Like
Reaktionen: Benie

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.799
Punkte
344
Genau deshalb, habs mir beim Schreiben auch so gedacht. Deshalb funktioniert ja auch die Verlängerung der Synology.me Zertifikate ohne offenen Port.
 
  • Like
Reaktionen: maxblank

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.437
Punkte für Reaktionen
2.365
Punkte
289
Da kenne ich den genauen und benötigten Netzwerkzugriff nicht, kann aber durchaus so sein.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Deshalb funktioniert HTTPS (443) aus dem Server bei einer professionellen Installation mit einer RICHTIGEN Firewall bei mir zumindest eben nicht, da hier nicht nur inbound sondern auch outbound durch die Firewall geregelt wird. Ein Aspekt den viele überhaupt nicht beachten, obwohl er extrem wichtig ist. In so einem Fall geht auch synology.me nicht mehr.

Im übrigen geht auch synology.me nicht mehr, wenn ich der Server IP den Internetzugang verbiete!
Deswegen bleibt der Satz von oben genau so stehen: Den 443 kann man einfach nicht komplett zumachen, wenn man weiterhin z.B. updates für seine Syno haben möchte.
 
  • Like
Reaktionen: Synchrotron

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.799
Punkte
344
Wo ist die Firewall installiert?
 

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
nicht nur inbound sondern auch outbound durch die Firewall geregelt w
Jetzt machst du aber ein Fass auf 😄
Der TE geht ja von einer Konstellation mit Router aus, der nur inbound beschränken kann und wir suchten Alternativen zu seinen Portweiterleitungen.
Da sprengt der Einwurf einer 'richtigen Firewall' den Rahmen... 😏

By the way: Ich versuche mich ja mit einer OPNSense und finde Blockierlisten für outbound clever. Aber den Port 443 zumachen? Für IOT ok, aber für den PC wohl kaum: Dann geht ja nichts mehr. Oder wie machst du das?
 
  • Like
Reaktionen: ottosykora und Benie

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43
Nur wie merke ich das da evtl. ein angriff auf die 7590 ist war ?

Das merkst du nicht

Also vor gut einem Jahr habe ich es schon deutlich gemerkt, als meine IP-Adresse an der Reihe war. Da hatte ich tatsächlich sehr oft Schwierigkeiten mit dem Seitenaufbau im Internet.

Ein Blick in das Ereignis-Protokoll der FRITZ!Box hat dann die Angriffe aufgezeigt.

Zum Glück habe ich keine feste IP-Adresse, denn nach dem Neuverbinden und mit einer neuen IP-Adresse war der Spuk vorbei.
 

Anhänge

  • 2022-12-29 Fritzbox - Anmeldungen.txt
    10,2 KB · Aufrufe: 11

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Eigentlich sollte das anmeldeportal von außen nicht erreichbar sein
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.799
Punkte
344

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43

Es ist nur über *.myfritz.net:* erreichbar und dort ist ja eigentlich diese sehr lange Kennzeichnung davor und der individuelle Port dahinter.
Ich frage mich wirklich, wie die Angreifer das gefunden haben.

Zu dieser besagten Zeit (vor über einem Jahr), hatte ich diese Angriffe auf vier verschiedenen Fritzboxen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Die Firewall steht hinter dem Router oder in einigen Fällen ist es der Router.
Dort ist natürlich das LAN über 443 offen aber hier ist es ja möglich IP basiert bestimmten Geräten den Ausgang zu verwehren.
Der Zugang zum Server von Aussen geht dabei nur nach Filterung des VPN Ausganges im Router auf den Server.
Lankabel zum Server immer 2x. 1x LAN 1xWAN in der Router- und Serverfirewall unterschiedlich konfiguriert.
Jetzt werden einige kritisch bemerken, dass dann die Syno keine automatischen Updates ziehen kann. RICHTIG genau so soll es sein. Dieser update Wahn hier im Forum ist kompletter Unsinn.
Never change a running system und das Einspielen von Updates steure ich lieber selbst als mir ein Produktivsystem zu zerschiessen. Will ich mal ein automatisches Update haben deaktiviere ich kurz die Firewallregel im Router.
 
  • Wow
Reaktionen: Crashandy

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.955
Punkte für Reaktionen
3.799
Punkte
344
Naja, man kann nicht davon ausgehen , daß jeder Synouser sich solch ein Konstrukt zulegt, geschweige das Knowhow dafür hat.
Deshalb ist es natürlich von Vorteil wenn man hier eher auf das Konstrukt desjenigen eingeht, zb. Router,Synology DS und dessen Möglichkeiten eingeht .
Es muß schon unterschieden werden, ob Business,Soho oder Consumerbereich.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Gute SoHo Router haben Firewalls die In- und Outbound unterstützen. Bei Fritz darf man sowas nicht erwarten, weil da das Konzept keep it simple Priorität hat.
Ich verwende meistens Draytek Komponenten, weil hier Apps für VPN etc für alle Betriebssysteme und Smartphones kostenfrei zur Verfügung stehen.
https://www.draytek.de/produktuebersicht.html
Hier kann man sich für jedes Model auch online die Bedienungsoberfläche ansehen.
Ja das wird dann komplexer, aber es gibt insbesondere auf der englischsprachigen Seite eine umfangreiche Wissensdatenbank und vor allem kann man jederzeit den deutschen Service auch per Tel kostenfrei in Anspruch nehmen! Wer bietet das schon?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat