DSM 6.x und darunter Angriffe auf Diskstation

Alle DSM Version von DSM 6.x und älter

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
erst mal möglichst wenig nach außen frei geben
Das ist ein Aspekt, auf den ich erst bei der Beschäftigung mit OPNSense gekommen bin: Eingehenden Verkehr blocken ist Standard. Aber auch ausgehende Anfragen sollten nicht jeden Server da draussen anfragen dürfen - denn macht ein infiltrierter PC erstmal die Türe auf, kann Schadsoftware nachgeladen werden. Da kann die Einbindung von Blockierlisten helfen.
Ich lerne OPNSense gerade erst kennen und hangele mich zB durch solche Seiten: https://www.security-insider.de/geo...firewalls-a-0d041e17c048f6f5864271ab6a2e841f/
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.066
Punkte für Reaktionen
2.055
Punkte
259
Das ist Katz und Maus. Klar gibt es Blockierlisten, aber die können nur kennen, was bekannt ist. Du kannst natürlich alles blockieren, was nicht ausdrücklich freigegeben ist. Dann macht die private Nutzung nicht mehr wirklich Freude. Unternehmen tun dies inzwischen öfter, weil sie in der Abwägung den Schutz Ihrer IT ganz nach oben priorisieren.

Die Firewall funktioniert mit wenigen Regeln nach außen genau so: Was nicht ausdrücklich erlaubt ist, ist verboten. Da es um die Zugriffe von außen geht, ist das weniger einschränkend für die legitime Nutzung.
 

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Ok danke aber wie mache ich es am besten mit der Surveillance Station Die muss ja auch nach extrem wenn die Handy App genutzt werden soll ?

Freundlicher Gruß
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
2.949
Punkte für Reaktionen
1.039
Punkte
174
nicht unbedingt. Wenn du dich mit nem VPN verbindest braucht sie das nicht.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.245
Punkte für Reaktionen
3.371
Punkte
344
Du aktivierst die VPN / Wireguardverbindung und verbindest Dich mit der App als wärest Du im lokalen Netzwerk. zb. über die IP.
 

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Ja aber ist natürlich von Handling etwas fummelig. Wie sieht die sichere Variante aus wenn VPN nich gewünscht ist ?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274

Rainer86

Benutzer
Mitglied seit
05. Aug 2023
Beiträge
80
Punkte für Reaktionen
1
Punkte
8
Ja aber ist natürlich von Handling etwas fummelig. Wie sieht die sichere Variante aus wenn VPN nich gewünscht ist ?
OpenVPN unter Android ist nach Installation nur ein Schalter, da ist nix fummelig;)
 

Anhänge

  • Screenshot_20240207_164520_Google Play Store.jpg
    Screenshot_20240207_164520_Google Play Store.jpg
    274,9 KB · Aufrufe: 15

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Hallo nochmals Dankeschön für die Tips, wo ist "Geoblocking" auf der DS versteckt ?

anbei noch welche verbindungen sollte mann kompl. löschen ?synofrei.PNG
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.818
Punkte für Reaktionen
1.351
Punkte
174
Entweder in der Firewall > neue Regel erstellen > dann kannst du bei "Ort" länderweise sperren oder freigeben.

firewall.jpg

Dazu kannst du dir noch das blocklist-script von geimist runterladen und integrieren
 

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Hallo,
wie gefährlich ist es wenn ind der DS der SSH port 22 offen ist ?
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.346
Punkte für Reaktionen
5.602
Punkte
524
Maximal gefährlich.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.245
Punkte für Reaktionen
3.371
Punkte
344
Bist Du Dir Sicher? Ich glaube nicht daß er meint im Router Port 22 zu öffnen, sondern nur Netzintern auf der DS freigeben.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Naja - Synology weißt selber in der Systemsteuerung / Terminal & SNMP darauf hin wenn man den ssh aufmacht, dass da ein Risiko besteht. Dann noch VPN für andere aufmachen und die DS steht offen...
Bei mir ist der Port 22 in den DS generell geschlossen und wenn nicht, dann wird er nach Nutzung sofort wieder geschlossen.
 

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Ok danke für die Info.
Wenn der Port längere Zeit offen war. Besteht die Möglichkeit das auf der DS ein schad Software von extern installiert sein könnte. Die nach draußen einen Schaden anrichten kann? Und wenn ja wie könnte mann die Software auf der DS finden?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.066
Punkte für Reaktionen
2.055
Punkte
259
Nichts ist unmöglich. Aber ziemlich unwahrscheinlich.

Wichtig ist u.a. ob der Port nur an der DS offen war, oder auch am Router. Nur dann besteht ein Risiko,

Sind Anmeldeversuche protokolliert worden ?
 

kgb

Benutzer
Mitglied seit
25. Jul 2020
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
War natürlich auch am Router offen.....leider.
Was gibts für möglichkeiten um das zu Prüfen ob eine Software auf der DS ist die wo nach extern angriffe starten kann ?
Anmeldeveruche konnt ich bis jetzt nicht enddecken ?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
3.940
Punkte für Reaktionen
2.061
Punkte
269
Absolute Pseudo-Sicherheit mit der Verlegung irgendeines Ports in welchen Bereich auch immer. Gab erst vor kurzem wieder ein seitenlanges Thema mit Verschlüsselung der DS dazu.
 

Rainer86

Benutzer
Mitglied seit
05. Aug 2023
Beiträge
80
Punkte für Reaktionen
1
Punkte
8
War natürlich auch am Router offen.....leider.
Was gibts für möglichkeiten um das zu Prüfen ob eine Software auf der DS ist die wo nach extern angriffe starten kann ?
Anmeldeveruche konnt ich bis jetzt nicht enddecken ?

Mit Wireshark den Netzwerkverkehr loggen und auswerten ...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat