DSM 6.x und darunter Ausspionieren persönlicher Daten durch Synology Hersteller?!

[Arnie99]

Danke peterhoffmann. Ich hatte "payments" aus der Erinnerung an gestern Abend geschrieben, war mir aber bei Verfassen des Posts unsicher, ob "payment" aufgerufen wurde. Wenn "payment" korrekt ist, dann habe ich das auch so in der Fritzbox blockiert, d.h. ein fehlerhafter Eintrag auf der Blacklist ist nicht die Erklärung. Außerdem hätte dann das Blockieren von "synology.com" greifen müssen.

Bin ratlos.

Ich habe schon überlegt, ob man den Proxy-Server auf der DS nicht verwenden kann, Beschränkungen nach außen durchzusetzen. Die Idee war, auf der 216+ ein virtualDSM aufzusetzen und dort den Proxy mit entsprechenden Zugriffsregeln einzurichten. Ansonsten wäre auf dem Gast-System nichts Persönliches installiert. Kann man den Wirt dann zwingen, den Proxy des Gastes beim Kommunizieren zu verwenden, so dass die dort gesetzten Zugriffsregeln greifen?

 

[DigiMuc2016]

Danke Euch. Leider muss ich das momentan mit den vorhandenen Geräten "Fritzbox" und "DS Firewall" lösen..

Versuch doch , ein Profil in der FB anzulegen und die Zeitbeschränkung für die Internetnutzung auf "NIE" zu setzen.

Bei mir geht jetzt gar nichts mehr, z.B. Cloud2, Virenscanner, DSM-Update.

 

[peterhoffmann]

Mein Raspberry mit Pi-Hole hat die letzten 2 Tage folgende DNS-Aufrufe geloggt:
autoupdate.synology.com
checkip.synology.com
checkipv6.synology.com
global.download.synology.com
keymaker.synology.com
packages.synocommunity.com
payment.synology.com
pkgautoupdate.synology.com
sns.synology.com
update.synology.com

 

[Arnie99]

Versuch doch , ein Profil in der FB anzulegen und die Zeitbeschränkung für die Internetnutzung auf "NIE" zu setzen.

Vollständig blockieren ist nicht das Problem. Ich möchte einige Dienste aber auch von außen nutzen, z.B. Mailserver, Photostation, Cloud Station, Calendar...

 

[Puppetmaster]

Vollständig blockieren ist nicht das Problem. Ich möchte einige Dienste aber auch von außen nutzen, z.B. Mailserver, Photostation, Cloud Station, Calendar...

Aufrufe von aussen sind ja auch kein Problem, wenn du nur den ausgehenden Verkehr blockst.
Nur Dienste wie die MailStation könnten dann Probleme machen, da diese ja eine Verbindung von der DS aus aufbauen um z.B. Mails abzurufen.

 

[Arnie99]

Ja genau, es geht eigentlich nur um den ausgehenden Verkehr. Für den eingehenden leistet ja die DS Firewall gute Dienste. Wenn ich aber in der Fritzbox die Internetnutzung für die DS auf "nie" stelle, komme ich weder rein noch raus. Der Hammer ist zu grob.

Könte das hier funktionieren?

Ich habe schon überlegt, ob man den Proxy-Server auf der DS nicht verwenden kann, Beschränkungen nach außen durchzusetzen. Die Idee war, auf der 216+ ein virtualDSM aufzusetzen und dort den Proxy mit entsprechenden Zugriffsregeln einzurichten. Ansonsten wäre auf dem Gast-System nichts Persönliches installiert. Kann man den Wirt dann zwingen, den Proxy des Gastes beim Kommunizieren zu verwenden, so dass die dort gesetzten Zugriffsregeln greifen?

Edit: Ich glaube die 216+ kann nur DockerDSM. Aber dennoch, ist so eine Lösung denkbar?

 

[whitbread]

Was ich noch beitragen kann ist, dass meine NASen, die hinter einem Zwangsproxy hängen, keine Aufrufe jenseits von HTTP(S) machen. Allerdings habe ich bis dato auch sonst keine Blockierungsregeln aktiviert bzw. meine aktiven Regeln greifen nicht (ist aber auch nicht gewollt).

Zum Thema Proxy: Versuche doch erstmal den Proxy lokal zu installieren und zu konfigurieren.

 

[jahlives]

Aufrufe von aussen sind ja auch kein Problem, wenn du nur den ausgehenden Verkehr blockst.

biste sicher? Wenn du jegliche ausgehende Pakete blockst, dann funzt mit Garantie auch keine eingehende Verbindung mehr

 

[jahlives]

Vielleicht könnte jahlives, der Pro den passenden IPtables Befehl dazu schreiben?

z.B.

iptables -A OUTPUT -m state --state NEW -s 192.168.2.120 -j REJECT

würde jegliche Verbindung von der gegebenen IP rejecten. Bei OUTPUT Regeln würde ich jeweils REJECT dem DROP vorziehen, denn mit DROP wird die Anwendung, welche die Verbindung öffnen will, auf den Timeout warten. Das kann dauern. Bei REJECT gibts ein ICMP Destination-unreachable zurück

 

[Puppetmaster]

biste sicher? Wenn du jegliche ausgehende Pakete blockst, dann funzt mit Garantie auch keine eingehende Verbindung mehr

Nee, jetzt auch nicht mehr. Habe das mal so mit der Fritte durchgespielt. Die macht dann natürlich komplett dicht. Ist also so keine Option.

 

[4r7ur]

Ich habe eine Anfrage an den Synology Support gestellt und folgende Antwort erhalten:

I have to feedback your doubts to the product manager as well as the relevant department.

We note the interpretation of a clause is not correct, so we will fix to mean.

The package center is a known issue, we already repair in the new version.

Please update to the last version then check again.

Noted: Synology does not retrieve any data from any user NAS.

 

[Falkenfelser]

Noted: Synology does not retrieve any data from any user NAS.

Ein Grund sich noch eingehender mit IPtables zu beschäftigen.

 

[MucMario]

Hallo,

ein Update:
- habe es an Heise weitergeleitet, Stichwort: Aushöhlung Datenschutz
- habe den Support nochmals informiert
- habe es an signifikanter Stelle verlautbaren lassen, denn Datenschutz geht alle was an

Bin mal gespannt, was sich tut.


Eine Anmerkung noch...:

Das Sperren der NAS ist eine technische Symptombekämpfung, die m.E. durchaus sinnvoll ist: "deny all" als FW Standard ist schon OK aber manche nutzen eben erweiterte Services wie Photostation etc., was ich persönlich nicht auf einem NAS sehe, aber das ist Geschmackssache...

Was aber m.E. der eigentlich Aufreger ist: Die formulierten Nutzungsbedingungen einfach mal so hinstellen, wenn keine schreit, dann passt's schon! Dazu sage ich nur: Wehret den Anfängen.

Daher möchte ich nicht nur für eine FW-Lösung plädieren, sondern man muss den / die Hersteller auch davon überzeugen, daß sie solche Nummern nicht machen können. Sonst: Ab zum Wettbewerber.

VG

 

[Mante]

Ich hatte ja die geänderten Nutzungsbedingungen auf einer der beiden Synologys nicht bestätigt und zunächst bis zur Klärung der Änderungen auf Paketupdates verzichtet. Da ich einige installierte Pakete nur zeitweise nutze, habe ich diese normalerweise alle 2 bis 3 Wochen einmal kurz aktiviert und dann wieder deaktiviert.

Nun wollte ich heute eines dieser Pakete wieder aktivieren. Nur, das Ganze geht ja auch nur über die Paketverwaltung oder gibt es eine andere Möglichkeit?!

Wenn es keine andere Möglichkeit geben sollte, verweigert mir Synology nachträglich die Nutzung bereits installierter und erworbener Pakete und sperrt diese ohne meine Zustimmung. Und das auf einer NAS, auf der ein Anbieter überhaupt nichts verloren hat, wenn ich nicht explizit Updates anwähle.

Das sich "payment.synology" auf der Fritzbox nicht sperren läßt, ist mir auch schon aufgefallen. Selbst wenn ich alle ausgehenden Ports bis auf die Ports für "E-Mail versenden" und "Cloudstation", deaktiviere, sowie die Adresse auf die Sperrliste setze. Die Paketverwaltung geht immer beim Start der Benutzeroberfläche ins Internet, während sich die normale Systemupdatefunktion sperren läßt.

Dies ist an Dreistigkeit nicht zu überbieten. Das leistet sich selbst Microsoft nicht. Ich werde ebenfalls die Vorgänge Heise schildern und meine Amazon Bewertung massiv senken.

 

[Arnie99]

Man kann zum Starten und Stoppen von Paketen den Aufgabenplaner verwenden. Die Einträge bekommen beim Anlegen einfach keinen Zeitplan und sind dann inaktiv. Mit einem Rechtsklick kann man die jeweilige Aufgabe dann ausführen.

Juristisch ist es mehr als fragwürdig, dass durch das Ablehnen neuer Nutzungsbedingungen die Paketverwaltung insgesamt nicht mehr nutzbar ist. Man könnte einen Anwalt bemühen, aber wer macht das schon? Und wahrscheinlich gibt es in den Nutzungsbedingungen zum DSM irgendeinen Passus, dass Synology jederzeit berechtigt ist...blablabla.

 

[bloemi]

Nun wollte ich heute eines dieser Pakete wieder aktivieren. Nur, das Ganze geht ja auch nur über die Paketverwaltung oder gibt es eine andere Möglichkeit?!

Control Center -> Info Center -> Service
dort kann man die installierten Pakete aktivieren/deaktivieren, was doch einem "synoctl start photostation" oder eben PaketXY über ssh-shell gleichkommen müsste?! Habe die genaue Syntax jetzt nicht im Kopf.

Hatte bisher einfach keine Lust mich mit dem Thema zu beschäftigen, aber wird wohl doch nötig :s
Separate Firewall als Docker Container laufen lassen wäre doch auch eine Option oder nicht?

 

[hvkls]

Mein Raspberry mit Pi-Hole hat die letzten 2 Tage folgende DNS-Aufrufe geloggt:
payment.synology.com

Eine Blockierungsmöglichkeit, die mir noch nicht erwähnt worden zu sein scheint, ist

127.0.0.1 payment.synology.com

in /etc/hosts der Syno, bzw. ggf. zusätzlich der entsprechende IPv6-Eintrag.

EDIT:

Besser:

0.0.0.0 payment.synology.com

 

[crackm]

Auch wenn dies ein durchaus Interessantes und gleichsam heikles Thema ist, so sieht es im Moment eher danach aus, als ob es viel Wirbel um Nichts ist.
Zudem ist eine Synology wohl – aus meiner Sicht - der geringste Grund für eine Firewall mit straffen Regeln. Andere Endgeräte funken deutlich umfangreicher nach Hause.
Ich habe aus Interesse eine Stunde Traffic mitgeschnitten (auch wenn dies selbstverständlich nicht alles einfängt), was heutzutage denkbar einfach ist, denn eine passende Funktionalität bietet sowohl eine Fritzbox http://fritz.box/html/capture.html als auch ein handelsüblicher (smart) managed switch, der port mirroring beherrscht.
Da ich relativ wenige Pakete nutze, kann selbstverständlich je nach Paket anderer zusätzlicher Datenverkehr noch anfallen.
Dabei kam folgendes heraus:
Nutzt man DDNS-Dienst von Synology oder externe DDNS-Dienste, so wird in regelmäßigen Abständen ein http-Request zur Ermittlung der externen IP an ein Synology-Dienst @ aws geschickt.
Ein Hearthbeatprotokoll ist ebenfalls nur in diesem Falle zu beobachten. Auch hier sind die Pakete leer.
Schaltet man auch dieses aus, so findet keinerlei Kommunikation nach außen statt.

 

[Falkenfelser]

Da werden weitaus mehr Verbindungen abgefragt als nur payment.synology.com... zumindest bei mir.

@jahlives Dein Hinweis bzgl. DROP/REJECT war gut. Das macht sich spätestens in der Systemsteuerung bemerkbar.
Bei den Menüpunkten "Dateidienste" und "Externer Zugriff" (obwohl nichts eingetragen ist an Dyn-Diensten) kommt unten das Ladesymbol für ca. 1 Minute.
Erst dann wird der Menüpunkt geladen. Mit REJECT wird der Menüpunkt sofort geladen.

 

[Falkenfelser]

Auch wenn dies ein durchaus Interessantes und gleichsam heikles Thema ist, so sieht es im Moment eher danach aus, als ob es viel Wirbel um Nichts ist.
Zudem ist eine Synology wohl – aus meiner Sicht - der geringste Grund für eine Firewall mit straffen Regeln. Andere Endgeräte funken deutlich umfangreicher nach Hause...

Zum Glück gibts ja noch Linux und für Android AFWall+
Für Windows 10 lässt sich das bestimmt auch umsetzen. Alle Verbindungen blockieren und nur den Browser in Verbindung mit uMatrix zulassen sowie den Mail Client. Sicher ist sicher.