Checkliste Sicherheit -- zur Diskussion

[Matthieu]

Hi,
nach dem das Thema Sicherheit zuletzt wieder verstärkt im Forum auf der Tagesordnung war, habe ich mal versucht eine Checkliste anzufertigen mit Punkten die man als Admin tun kann um sein(e) NAS abzusichern.
Diese Liste erhebt aber keinen Anspruch auf Vollständigkeit und über einen regen Meinungsaustausch zu dieser Liste würde ich mich sehr freuen (nicht über eine Grundsatzdiskussion zu Sicherheit).
Die PDF ist im Anhang.

MfG Matthieu

 

[dasbinich]

Hallo Matthieu,
danke für diese Checkliste. Die sollte man wirklich gut lesen und seine DS entsprechend einrichten.
Habe jüngst diese Einbruchversuche auf meiner DS per SSH mit diesen Namen festgestellt:
test
music
status
house
erik
work
scanner
security
upload
christian
sean
default
judith
movies
movie
raider
france
gigi
michael
guest10
guest9
guest8
guest7
guest6
guest5
guest4
guest3
guest2
guest1
guest
backup
andrea
admin
sales
ftp

Da kann man schon mal sehen, wie wichtig es ist, sich schon gute Namen auszudenken plus komplizierte Passwörter, die nicht so leicht zu knacken sind.

Der Einbruchversuch kam immer von der gleichen IP. Kann mir jemand sagen, wie ich feststellen kann, wer oder was sich hinter dieser IP verbirgt?

dasbinich
--------
Ich hab seit wenigen Tagen ne DS 1512+ , davor 411slim. / NoIP.net Adresse

 

[goetz]

Hallo,

Kann mir jemand sagen, wie ich feststellen kann, wer oder was sich hinter dieser IP verbirgt?

per nslookup <IP> bekommt man schon mal einen Namen so einer existiert. Per Whois Anfrage gibt es evtl. noch mehr Informationen, google nach "whois ip" und such Dir einen Dienst dafür aus.

Gruß Götz

 

[BavariaR]

Hallo Matthieu, echt eine klasse Idee deine Checkliste...

Wenn man die Einbruchsversuche von dasbinich liest kann man nachvollziehen wieso man keine Standarduser nutzen sollte, allerdings schreibst du "Zum administrativen Zugang einen neuen Benutzer in der Gruppe „administrators“ anlegen. Anschließend den Benutzer „admin“ deaktivieren. Man sollte nie mit Standardbenutzern arbeiten, sondern soweit möglich eigene anlegen und verwenden."

Kannst du mir verraten wie man den admin standard user auf der DS deaktiviert? Zudem denke ich ist ein neuer User der in der Admin Gruppe ist, nicht gleichgestellt mit dem standard Admin, der hat mehr Rechte. Der admin kann sich zum Beispiel auf die Photostation einloggen auch wenn separate Berechtigungen hier genutzt werden und admin kein user der Photostation ist.. das geht nicht mit einem x-belibigen neuen User auch wenn er Admin ist soweit ich weis. Hier gibt es sicher noch mehr Beispiele.

 

[Matthieu]

Ich hab es eine Weile nicht mehr gemacht, aber das Prozedere zum "Auswechseln" des Administrators müsste so ablaufen:

- Neuen Benutzer anlegen
- Benutzer in Gruppe "administrators" aufnehmen
- mit dem neuen Benutzer anmelden
- in der Benutzerverwaltung den "admin" deaktivieren

Die PhotoStation ist quasi eine "Fremdanwendung", die keinen direkten Zugang zur DSM-Benutzerdatenbank hat (oder zumindest sollte sie das nicht). Ich kann mir daher durchaus vorstellen, dass der admin-Account bei der PhotoStation noch geht, obwohl im DSM deaktiviert.

MfG Matthieu

 

[dasbinich]

"Auswechseln" des admin geht genau wie beschrieben. Ich hab den admin nicht deaktiviert, aber alle Rechte auf Kein Zugang gesetzt.
@ goetz Danke für die Infos. nach Prüfung von nslookup kam diese Meldung: ** server can't find 178.62.xx.xxx.in-addr.arpa.: NXDOMAIN
@BavariaR Wie kann das sein, dass der voreingestellte Admin mehr Rechte hat als ein anderer User in der Admin Gruppe (der auch volle Schreib/Lederechte in allen Bereichen bekommt)? Sozusagen der SuperAdmin?

dasbinich
--------
DS 1512+ (DSM 4.3 beta), davor 411slim (DSM 4.2)

 

[Matthieu]

"Auswechseln" des admin geht genau wie beschrieben. Ich hab den admin nicht deaktiviert, aber alle Rechte auf Kein Zugang gesetzt.

Das ist nicht sehr effektiv, weil der admin sich ja alle Rechte wieder geben kann. Wenn also erst mal jemand Zugang als admin hat, kann er auch auf alles zugreifen - egal ob Rechte da oder nicht.
Das ist in der IT allgemein ein großes Problem - auch Edward Snowden ist so an seine Daten gekommen. Er war Administrator und konnte sich im Notfall so die Berechtigungen einfach geben wenn er sie wollte.

MfG Matthieu

 

[dasbinich]

ok, da hast Du recht. / Die Checkliste habe ich jetzt soweit durch. Ein Erfolg lässt sich schon feststellen. Die in der Zwischenzeit weiteren Versuche, in die DS einzudringen über "root", "bin" und "admin", konnten effektiv unterbunden werden, weil Automatische Blockierung aktiviert ist. Das hat 4 IPs in der Liste dauerhaft blockierter IP's gebracht.

 

[itari]

dran denken, der User-Name ist das eine, das Kennwort das andere (komplex, lang und häufig gewechselt)

Itari

 

[jahlives]

Der Einbruchversuch kam immer von der gleichen IP. Kann mir jemand sagen, wie ich feststellen kann, wer oder was sich hinter dieser IP verbirgt?

mit einem guten Portscanner wie z.B. nmap. Oft kann man damit das Betriebssystem der Gegenseite erkennen. Zudem sieht man offene Ports des Zielrechners. Allerdings kann das scannen einer fremden IP Adresse als vorbereitende Handlung für einen Hack gesehen werden. Also ich habe nicht gesagt du sollst es machen

 

[BavariaR]

@ Matthieu: Ich sehe das wie du aber bei mir ist es nicht möglich über Systemsteuerung Benutzer den Admin zu deaktivieren?

@ dasbinich: Ich glaube mich zu erinnern das mal irgend wo gelesen zu haben und du kannst es selber ausprobieren am Beispiel der Photostation, der Admin is eine Art SuperAdmin und hat mehr Rechte als andere Admins. Obwohl ich mit user toto (fiktiv) zur Admin Gruppe gehöre auf der DS kann ich mich nicht in die Photostation mit dem Konto einloggen wenn ich nicht dort ein Identischen User angelegt habe (getrennte user verwaltung vorausgesetzt), mit dem admin account geht das schon!

 

[Matthieu]

Die PhotoStation ist dafür kein Beispiel. Wie oben erwähnt ist die PhotoStation eine externe Applikation. Die einzige Ausnahme beim admin ist, dass bei einer Passwortänderung im DSM das neue Passwort auch in die PhotoStation eingetragen wird. Man muss also vorher daran denken, auch dort einen neuen Administrator anzulegen.

MfG Matthieu

 

[Matthieu]

Also ich habe es bei mir (DSM 4.2, 209+II) gerade ausprobiert: Der "admin" kann deaktiviert werden, vorausgesetzt man ist mit einem anderen Benutzer mit Admin-Rechten (!) angemeldet.

MfG Matthieu

 

[BavariaR]

verstehe ich jetzt nicht... admin ist nicht bei mir in der Photostation als user eingetragen und ich kann mich trotzdem in die Photostation einloggen mit meinen DS admin user und Passwort... mit einem anderen user der DS der auch in der selben Administrator Gruppe ist geht das nicht!

Es gibt noch andere Beispiele wo admin eine besondere Rolle spielt.
- Z.b kann man ihm bestimmt Rechte nicht entziehen oder gezielt geben, siehe Systemsteuerung / Anwendungsberechtigungen.
- Bei Telnet/SSH Anmeldung in die DS ist das root Passwort exakt das des admin und nicht eines anderen users der Admin Gruppe

Zudem weiß ich immer noch nicht wie Ihr es geschafft habt den Admin zu deaktivieren, bei mir ist das Feld ausgegraut!

 

[BavariaR]

Na klar doch... wenn ich mit admin angemeldet bin kann ich mir die Rechte wohl kaum selber entziehen Manchmal steht man auf der Leitung!

 

[Puppetmaster]

Der 'admin' muss in der PhotoStation nicht angelegt werden, den gibt es auch so. Andere Administratoren der PhotoStation musst du in der PhotoStation selbst anlegen.

 

[whitbread]

Ich muss mich mit dem Admin einloggen, da ich den Advanced Power Manager nutze - und der geht nur mit mit dem User Admin

Habe daher 2-Stufen-Verifizierung aktiviert.

Die Trennung von Accounts für Photostation und DSM halte ich für essentiell, wenn die Photostation im Netz steht! Lediglich die Einstellungen der Photostation zu sichern ist mehr als mühselig

 

[Puppetmaster]

Lediglich die Einstellungen der Photostation zu sichern ist mehr als mühselig

Wie meinst du das? Du kannst doch über Sichern & Wiederherstellen die PhotoStation inkl. aller Einstellungen sichern...

 

[dasbinich]

@jahlives cool thx, das war der richtige Tipp fürn Scan aller offenen Ports meines Systems !!!

 

[BavariaR]

Der 'admin' muss in der PhotoStation nicht angelegt werden, den gibt es auch so. Andere Administratoren der PhotoStation musst du in der PhotoStation selbst anlegen.

Es ging nicht darum ob der admin in Photostation angelegt werden muss oder nicht, auch nicht ob man noch andere User zum Administrator machen kann in der Photostation, sondern darum, was für "besondere" Eigenschaften der vordefinierte admin hat gegenüber anderen Usern die nachträglich nur der Administrator Gruppe hinzugefügt wurde.

Die besondere Eigenschaft des admin im Bezug auf PhotoStation ist dass er standardmäßig definiert ist in der Photostation und auch nicht explizit in der User Liste auftaucht (getrennte User Verwaltung vorausgesetzt) und soweit ich weiß, dies der einzige User aus der DS User Verwaltung ist der auf die Photostation zugreifen kann, andere Admins der DS haben standardmäßig kein Zugriff auf die Photostation wenn sie in der User Verwaltung nicht ein extra account haben und ggf als Admin dort deklariert sind. Das ist klar ein unterschied, der admin in DS (super admin) hat besondere Rechte die die anderen User aus der Administrator Gruppe nicht haben.