Diskstation gehackt

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
@Speicherriese , @All: Stimmt - aber um so mehr muss man auch hier weiter sensibilisieren!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
..............

Thema Audiogerät:
Ein solches Gerät benötigt in der Regel Internetzugriff (z.B. Radio) und Zugriff auf ein NAS (MP3/FLAC), sowie will man es über das Smartphone steuern. Schon aus Bequemlichkeit muss es daher ins LAN.
Ich würde es daher ins LAN setzen, eine feste IP vergeben und über den Router ins Internet lassen. Der Zugriff auf das NAS sollte mit einem eigenen Benutzeraccount erfolgen, der nur die Mediadateien zum Lesen freigibt.
Das ist der Sinn einer DMZ diese unsicheren Geräte in der DMZ zu lassen und aus dieser mit einer weiteren Firewall und extrem starken Regeln (u.a. auch VLAN) die Verbindung ins LAN zu ermöglichen.
DMZ ist nichts anderes als ein seperates Segment, welches sowohl gegen das LAN als auch das Internet mit einer Firewall geschützt ist. So klappt auch das Zusammenspiel zwischen NAS im LAN und Smartgeräten in der DMZ.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
aber um so mehr muss man auch hier weiter sensibilisieren!


Muss man nicht. Das ist moderner, digitaler Darwinismus.
Als aufgeklärter Mensch kann ich das in gewisser Weise nur begrüßen.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.737
Punkte für Reaktionen
1.646
Punkte
314
Eine DMZ ist nicht dazu da, Kommunikation nach aussen zu unterbinden, sondern von aussen nach innen.
Mal abgesehen davon, das diese Definition falsch ist... wenn eine Verbindung von innen nach außen etabliert wurde, können darüber auch Anfragen von außen nach innen erfolgen. Mein Samsung Fernseher funkt z.B. regelmäßig nach Hause, liefert Telemetriedaten ab und fragt vielleicht nach Updates. Je nach dem werden diese Updates dann einfach eingespielt und das geht nur, weil im Vorfeld eine Verbindung von innen nach außen etabliert wurde.

In der pfSense gibt es einen Pendant zu Pihole und nennt sich pfBlocker. Dieser zeigt mit die regelmäßigen Kommunikationsversuche an... und sowas will man eigentlich nicht in seinem LAN haben. Da der pfBlocker die Kommunikation nach draußen aber unterbindet, sollte erstmal alles Chic sein... von daher könnte man hier wieder dazu neigen, das Gerät zu lassen, wo es ist.
 

Anhänge

  • E890D478-88A1-4476-BA04-EE9AE7389874.jpeg
    E890D478-88A1-4476-BA04-EE9AE7389874.jpeg
    65,1 KB · Aufrufe: 24
Zuletzt bearbeitet:

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Dein Fernseher quaselt ja die ganze Zeit mit Südkorea...
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.737
Punkte für Reaktionen
1.646
Punkte
314
Das war nur ein Screenshot aus dem Zeitraum wann er versucht zu senden... tut er aber nicht, weil pfBlocker das unterbindet.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
...das habe ich schon verstanden - bin nur überrascht wie oft er es versucht... :)
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Mein Samsung Fernseher funkt z.B. regelmäßig nach Hause, liefert Telemetriedaten ab und fragt vielleicht nach Updates. Je nach dem werden diese Updates dann einfach eingespielt und das geht nur, weil im Vorfeld eine Verbindung von innen nach außen etabliert wurde.
Das sind durchweg PULL-Requests von innen nach aussen. "Gib mir mein Update" ist eine aktive Anfrage deines geschwätzigen Fernsehers von innen nach aussen, kein Pushvorgang von aussen in dein LAN.
Und gerade weil Smart-TVs (im schlimmsten Fall noch mit integriertem Mikro) digitale Hauswanzen sind, bekommen die von mir erst gar keinen Internetzugriff. Sowas wie Google Assistant oder Alexa und Co. kommen mir auch nicht ins Haus.

Und das, was heute als IoT an Chinaware verfügbar ist, ist wie andere schon schrieben die Pest des 21. Jahrhunderts. Da kann sich @NSFH noch so gegen sträuben, da spielt es keine Rolle, ob das Zeug im LAN oder in der DMZ Verbindung ins Internet bekommt, Wanze bleibt Wanze.
Ich geh da bestenfalls noch gern mit dem Lösungsansatz mit, solches Gedöhns in einem separaten Netzwerksegment/VLAN gegen sämtliche restlichen IP-Geräte im eigenen Haushalt wegzuschotten, um so wenigstens irgendwelche denkbaren Schnüffelaktivitäten auf Netzebene zu verhindern.

Dass aber selbst Thermomix-Varianten von Drittherstellern inzwischen eingebaute Mikros haben und dich in den eigenen vier Wänden aushorchen und nach Hause telefonieren löst man weder mit Firewall noch mit DMZ noch sonst anders als sich den Elektroschrott gar nicht erst anzuschaffen.
 
  • Like
Reaktionen: Synchrotron

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
...das habe ich schon verstanden - bin nur überrascht wie oft er es versucht... :)
Normales Verhalten, wenn man auf Ebene DNS-Blocker die Kommunikation unterbindet. Dann versuchen einfacher gestrickte Telefonier-mich-nach-Hause-Produkte es einfach um so häufiger. Die Sony-Soundbars sind da in einer Hinsicht auch eine Seuche - die wollen zwar nicht dauernd mit Asien chatten, aber aus unerfindlichen Gründen alle zehn Sekunden mit pool.ntp.org die Zeit synchronisieren und einmal stündlich nen Google-Server kontaktieren - wenn man sie lässt. Bevor ich diese Neuanschaffung komplett offline gesetzt habe, habe ich mal versuchsweise genau für die Soundbar den NTP-Server geblockt. Statt 8640 Requests am Tag hatte ich dann stattdessen innert 24h etwa 256.000.
Seitdem ist das Ding komplett offline fürs Internet.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Das ist moderner, digitaler Darwinismus.
Danke für den Lacher. Den Spruch merke ich mir. ;)

Und das, was heute als IoT an Chinaware verfügbar ist, ist wie andere schon schrieben die Pest des 21. Jahrhunderts.
Ich nutze bezüglich Smarthome zur Zeit Tasmota. Es gibt säckeweise Geräte, die diese Firmware vertragen. Da quasselt nichts durch die Gegend und es läuft auch nichts über externe Server.

Bevor ich diese Neuanschaffung komplett offline gesetzt habe, habe ich mal versuchsweise genau für die Soundbar den NTP-Server geblockt. Statt 8640 Requests am Tag hatte ich dann stattdessen innert 24h etwa 256.000.
Da wird der DNS-Blocker brutal geflutet. Wer sich sowas ausgedacht hat, sollte 256.000 Stockschläge pro Tag auf die Fußsohlen bekommen.
 
  • Like
Reaktionen: Ramihyn

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Mal abgesehen davon, das diese Definition falsch ist...
Was soll daran falsch sein? Den Wikipediaartikel selbst mal gelesen? DMZ != "innen", sondern eine Variante von "aussen". Analogie: Mehrfamilienhaus, draussen ist "Internet", Hausflur ist "DMZ", Wohnung ist "innen". Nur weil jemand die Aussentür überwunden hat und es bis in den Hausflur geschafft hat, steht er noch nicht in der Wohnung. Im Fall des MFH, in dem ich lebe, ist der Hausflur sogar mehr draussen als sonstwas, denn das Treppenhaus ist nach aussen offen (kein Glas, sondern nur Gitter).
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.737
Punkte für Reaktionen
1.646
Punkte
314
Dass aber selbst Thermomix-Varianten von Drittherstellern inzwischen eingebaute Mikros haben und dich in den eigenen vier Wänden aushorchen und nach Hause telefonieren löst man weder mit Firewall noch mit DMZ noch sonst anders als sich den Elektroschrott gar nicht erst anzuschaffen.
Aus diesem Grunde kommt mir auch keine Alexa (außer sie besteht aus Fleisch und Blut) ins Haus. Ich wollte meinen Fernseher auch garnicht in eine DMZ stecken, aber vielleicht in ein Netzsegment, das einen Namen wie IoT trägt, um die Kommunikation mit meinem privaten LAN zu unterbinden. Schwierig wird es sicherlich, wenn es darum geht per z.B. AirPlay einen Film auf den Fernseher zu streamen... daher habe ich hier auch den pfBlocker eingeschaltet, der mir hilft, einen guten Kompromiss zu finden.

In meine DMZ kommt vorerst nur meine DS216+, die mittels Portfreigabe von extern erreichbar ist.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.737
Punkte für Reaktionen
1.646
Punkte
314
Analogie: Mehrfamilienhaus, draussen ist "Internet", Hausflur ist "DMZ", Wohnung ist "innen". Nur weil jemand die Aussentür überwunden hat und es bis in den Hausflur geschafft hat, steht er noch nicht in der Wohnung.
Dann habe ich dich vorhin falsch verstanden. Sorry.
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Ich nutze bezüglich Smarthome zur Zeit Tasmota. Es gibt säckeweise Geräte, die diese Firmware vertragen.
Darüber habe ich mich vor einiger Zeit einmal eingelesen, speziell als ich von OpenHAB erfuhr. Dann habe ich mal über konkrete Usecases für mich gegrübelt und konnte schlicht keinen finden. Ende Smarthome, ich sehe da keinen persönlichen Nutzen, der jedweden Aufwand für ein sicheres Setup rechtfertigen würde, geschweige denn das Risiko unmodifizierte Geräte ins Haus zu stellen.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
über konkrete Usecases für mich gegrübelt und konnte schlicht keinen finden.
Ich persönlich nutze Geräte mit Tasmota für das automatische Ein- und Ausschalten von Licht, da ich damit flexibler bin. Gegenüber einer schaltbaren Steckdose mit Zeitschaltuhr, kann ich damit das Licht automatisiert nach Sonnenauf- und Sonnenuntergang, zu Ereignissen und per Handy steuern. Dazu gesellt sich eine Verbrauchsmessung, die mir einen sehr guten Überblick darüber gibt, was welches Gerät über welchen Zeitraum verbraucht.
Auch habe ich zuerst gedacht, dass man da nicht viele Möglichkeiten hat. Ein Blick in die Smarthome-Foren lässt einen den Tellerrand enorm erweitern. Ich stehe da selber noch am Anfang. Die fehlende Zeit bremst mich aus.

Da diese Steckdosen GPIO-Anschlüsse haben, geht noch viel mehr. In den einschlägigen Foren findet man zuhauf Anwendungsszenarien. Sehr schön fand ich z.B. die Umsetzung einer Tankanzeige für den Öltank, umgesetzt mit einem Rohr und einem Ultraschallsensor.

Steuerung von Rolläden, Garagentoren, Gartenbewässerung, Türsprechanlage, Füllstand, Belüftung (Kippstellung von Fenstern), das alles gepaart mit Dämmerungserkennung, Luftfeuchtigkeit, Temperaturmessung, Fenster- und Türenkontakten, Bewegungsmelder, usw.
Und das Schöne daran: Geräte mit der Open-Source-Firmware Tasmota funken nirgends hin. Die sind auf Wunsch nur im eigenen LAN. Wer will, kann sie natürlich auch mit einer Sprachsteuerung wie Alexa und Co. verbinden (wovon ich abrate).

Weitere Stichpunkte zu Tasmota: MQTT, KNX, Domoticz, ioBroker, FHEM, OpenHAB, HomeAssistent, Wemo, Hue, usw.

So, genug OT... zurück zum Thema (Diskstation gehackt).
 
Zuletzt bearbeitet:

Michael336

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
180
Punkte für Reaktionen
47
Punkte
28
Moin...
mal mein Beispiel zum Thema TV...
Vor etwa zwei Jahren ein Gerät der Firma aus Südkorea gekauft.
Ich dachte, prima.... gängige Streams sollte ohne externe Zuspieler gehen..

So einfach war es dann doch nicht... das Gerät legte Internet TV Sender an und schaltete frech Werbung einfach mal so rein.
Sender deinstalliert, kamen nach kurzer Zeit wieder.

Hmmmm, Gerät baute ohne Ende Verbindungen zu den unterschiedlichsten IPs auf.
Die eingerichtete WLAN Verbindung ließ sich auch nicht mal eben löschen.... weiß nur, es ging nur mit irgendwelchen Tricks.
Nochmal neu eingerichtet.... aber die Streaming Portale funktionierten nur nach kompletter Zustimmung....
Sperren bestimmter IPs brachte auch wieder Funktionsfehler.

Das nette „Feature“ ließ sich wohl im Servicemenü abschalten, was aber nach Angaben des Herstellers zum Verlust der Garantie führen sollte.

Ich hab mich selten so geärgert. Dachte, ist doch nur ein TV...
Offenbar eine Maschine mit eingebauter Werbefunktion und wer weiß was noch...

Also, wie vorher....Gerät ist vom Netz, externe Zuspieler wieder dran und gut is.

Nur mal zusätzlich zum Nachdenken..., was „es ist doch nur ein Fernseher“ doch so machen kann...
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Steuerung von Rolläden, Garagentoren, Gartenbewässerung, Türsprechanlage, Füllstand, Belüftung (Kippstellung von Fenstern)
Alles spannende Szenarien - leider ausschliesslich für Eigenheimbesitzer. Absolut nichts davon für Mieter geeignet, die schlicht keine baulichen Veränderungen an der Mietwohnung vornehmen dürfen. Und tasmota-kompatible Mehrfachsteckdosen mit Schweizer Steckernorm gibt es nicht, die habe ich direkt gesucht, als ich auf Tasmota und OpenHAB gestossen war. Die wenigen verfügbaren Einfachsteckdosen sind weitgehend nutzlos - die blockieren nämlich automatisch die anderen beiden Steckdosen am Schweizer 80x80mm-Einheitssteckfeld.
Ergo: keine brauchbaren Usecases für mich.

Aber richtig, wir sind nun doch etwas sehr arg ins offtopic abgedriftet.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Puppetmaster

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
............aber vielleicht in ein Netzsegment, das einen Namen wie IoT trägt, um die Kommunikation mit meinem privaten LAN zu unterbinden. ...............
genau das ist eine DMZ, wenn die Übergänge dazwischen durch eine Firewall gesichert sind und nur das macht Sinn.
 

mcm57

Benutzer
Mitglied seit
26. Nov 2011
Beiträge
43
Punkte für Reaktionen
9
Punkte
8
Sorry,
a) Wie leitest du die Benachrichtigungen n Telegramm weiter? Ich hab da (bisher) keine passende Einstellung gefunden.
b) Irgendeine Einstellung fehlzt mir wohl auch. Ich habe grad testweise am DSM GUI versucht mit Schrottuser und Schrottpwd einzuloggen. Eine Meldung via Mail oder App hab ich nicht erhalten :-( (Testmail bzw. Testbenachrichtigung kommt aber). Muss ich wo extra einstellen dass ich fehlgeschlagene Logins sehen will? (ggF Wo?)
Zwischenzeitlich habe ich eine Anleitung zur Signalisierung via Telegram gefunden. Im Prinzip wird der SMS Provider hier "zweckentfremdet".
Die Anleitung habe ich hier gefunden:
https://medium.com/@nicholaschum/synology-dsm-6-x-telegram-bot-alerts-2f069eb3e9f2
 
  • Like
Reaktionen: SAMU

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Welche ist die kleinste NAS/Serie, welche push und pull Backup beherrscht?
Mir würde hier ein 1 bay reichen.
Nur diese können dann hyper Backup, habe ich das richtig verstanden?

Hat schon mal jemand rdx an einer synology betrieben?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat