DSM 6.x und darunter Angriffe auf Diskstation

[Gulliver]

erst mal möglichst wenig nach außen frei geben

Das ist ein Aspekt, auf den ich erst bei der Beschäftigung mit OPNSense gekommen bin: Eingehenden Verkehr blocken ist Standard. Aber auch ausgehende Anfragen sollten nicht jeden Server da draussen anfragen dürfen - denn macht ein infiltrierter PC erstmal die Türe auf, kann Schadsoftware nachgeladen werden. Da kann die Einbindung von Blockierlisten helfen.
Ich lerne OPNSense gerade erst kennen und hangele mich zB durch solche Seiten: https://www.security-insider.de/geo...firewalls-a-0d041e17c048f6f5864271ab6a2e841f/

 

[Synchrotron]

Das ist Katz und Maus. Klar gibt es Blockierlisten, aber die können nur kennen, was bekannt ist. Du kannst natürlich alles blockieren, was nicht ausdrücklich freigegeben ist. Dann macht die private Nutzung nicht mehr wirklich Freude. Unternehmen tun dies inzwischen öfter, weil sie in der Abwägung den Schutz Ihrer IT ganz nach oben priorisieren.

Die Firewall funktioniert mit wenigen Regeln nach außen genau so: Was nicht ausdrücklich erlaubt ist, ist verboten. Da es um die Zugriffe von außen geht, ist das weniger einschränkend für die legitime Nutzung.

 

[kgb]

Ok danke aber wie mache ich es am besten mit der Surveillance Station Die muss ja auch nach extrem wenn die Handy App genutzt werden soll ?

Freundlicher Gruß

 

[metalworker]

nicht unbedingt. Wenn du dich mit nem VPN verbindest braucht sie das nicht.

 

[Benie]

Du aktivierst die VPN / Wireguardverbindung und verbindest Dich mit der App als wärest Du im lokalen Netzwerk. zb. über die IP.

 

[kgb]

Ja aber ist natürlich von Handling etwas fummelig. Wie sieht die sichere Variante aus wenn VPN nich gewünscht ist ?

 

[Thonav]

Über den Standard Port 5001 kommst Du auf die Surveilance - den Port könntest Du noch ändern, sichere Passwörter und Geoblocking ist aber immer notwendig...

 

[Rainer86]

Ja aber ist natürlich von Handling etwas fummelig. Wie sieht die sichere Variante aus wenn VPN nich gewünscht ist ?

OpenVPN unter Android ist nach Installation nur ein Schalter, da ist nix fummelig

 

[kgb]

Hallo nochmals Dankeschön für die Tips, wo ist "Geoblocking" auf der DS versteckt ?

anbei noch welche verbindungen sollte mann kompl. löschen ?

 

[*kw*]

Entweder in der Firewall > neue Regel erstellen > dann kannst du bei "Ort" länderweise sperren oder freigeben.



Dazu kannst du dir noch das blocklist-script von geimist runterladen und integrieren

 

[kgb]

Hallo,
wie gefährlich ist es wenn ind der DS der SSH port 22 offen ist ?

 

[ctrlaltdelete]

Maximal gefährlich.

 

[Benie]

Bist Du Dir Sicher? Ich glaube nicht daß er meint im Router Port 22 zu öffnen, sondern nur Netzintern auf der DS freigeben.

 

[Thonav]

Naja - Synology weißt selber in der Systemsteuerung / Terminal & SNMP darauf hin wenn man den ssh aufmacht, dass da ein Risiko besteht. Dann noch VPN für andere aufmachen und die DS steht offen...
Bei mir ist der Port 22 in den DS generell geschlossen und wenn nicht, dann wird er nach Nutzung sofort wieder geschlossen.

 

[kgb]

Ok danke für die Info.
Wenn der Port längere Zeit offen war. Besteht die Möglichkeit das auf der DS ein schad Software von extern installiert sein könnte. Die nach draußen einen Schaden anrichten kann? Und wenn ja wie könnte mann die Software auf der DS finden?

 

[Synchrotron]

Nichts ist unmöglich. Aber ziemlich unwahrscheinlich.

Wichtig ist u.a. ob der Port nur an der DS offen war, oder auch am Router. Nur dann besteht ein Risiko,

Sind Anmeldeversuche protokolliert worden ?

 

[kgb]

War natürlich auch am Router offen.....leider.
Was gibts für möglichkeiten um das zu Prüfen ob eine Software auf der DS ist die wo nach extern angriffe starten kann ?
Anmeldeveruche konnt ich bis jetzt nicht enddecken ?

 

[maxblank]

Absolute Pseudo-Sicherheit mit der Verlegung irgendeines Ports in welchen Bereich auch immer. Gab erst vor kurzem wieder ein seitenlanges Thema mit Verschlüsselung der DS dazu.

 

[Rainer86]

War natürlich auch am Router offen.....leider.
Was gibts für möglichkeiten um das zu Prüfen ob eine Software auf der DS ist die wo nach extern angriffe starten kann ?
Anmeldeveruche konnt ich bis jetzt nicht enddecken ?

Mit Wireshark den Netzwerkverkehr loggen und auswerten ...

 

[Rainer86]

Absolute Pseudo-Sicherheit mit der Verlegung irgendeines Ports in welchen Bereich auch immer. Gab erst vor kurzem wieder ein seitenlanges Thema mit Verschlüsselung der DS dazu.

Und wo sind die Vorschläge zum "richtig" machen ? Da kommt dann nix ...