Diskstation gehackt

[Synchrotron]

Such mal im Forum, es wurde hier gepostet, im anderen Thread (von LutzHase). Habe den Link gelesen, kein weiterer Handlungsbedarf für mich, kein iobroker Im Einsatz.

Die Warnung würde vermutlich Sinn machen, für mich klingt das alles wie ein schönes Stück Software, das sich einfachste Sicherheitsfunktionen spart. Falsch verstandene Anwenderfreundlichkeit - wer plagt sich schon gerne mit Passwörtern herum ?

 

[blurrrr]

Damit können wir aber einen Ausbruch aus dem Docker-Container bzw. aus der VM ausschließen, oder?

"Ausschliessen" kann man damit einen Ausbruch auch nicht. Nur weil man das eine Problem bereinigt, heisst es ja nicht gleich, dass alles bombensicher ist und nie wieder irgendwas passieren wird (und ggf. noch andere Probleme bis zu ihrer Entdeckung im Gesamtkonstrukt vorhanden sind). Ist doch mittlerweile schon fast egal, in welche Richtung man da schaut... Erst sieht alles total sicher aus, dann gibt es ein grosses Unglück (oder man bleibt verschont), dann erscheinen die Patches... Bei den 0-Day-Exploits hat man mitunter halt Pech und noch dicker kommt es, wenn das Wissen um eine entsprechende Lücke länger unentdeckt bleibt, während sie schon auf dem entsprechenden Markt gehandelt wird.

 

[Speicherriese]

Die Schwierigkeit, die ich sehe bei den immer größer werdenden Angeboten an Apps, die meist auf den Komfort abzielen um den User erstmal zu locken und auch zu halten, das keiner mehr durchblickt, wo und wieviele Sicherheitslöcher er in seinem Teich hat. Man kann es ja weder sehen, noch schmecken, noch riechen. D.h. ganz banal ausgedrückt, im vergleich zu einer Absicherung eines Anwesens, wo ich alles sicherheitstechnisch durchgehen kann und es auch wirklich sehe, anfassen kann was ich tue, ist es in der IT so, das vieles so dermaßen komplex ist, das ich mit meinen Sinnesorganen nicht mehr weiterkomme, sondern nur noch alles blindlings absichere was irgendwo geschrieben steht oder man gehört hat. Das ist aber sicher bei 95% viel zu wenig. Dann holen sich die meisten auch noch die besten Wanzen, sprich Alexa und co. die es je gab ins Haus. Das dürfte das Hauptproblem Heutzutage sein, es hat fast keiner einen Plan. Woher auch?

 

[Penthys]

Halte ich für einen guten Ansatz, zumal man dann auch das ganze "Zertifikats-Geraffel" zentral behandeln kann.

Das ist absolut Richtig. Für die Reverse-Proxy-Dienste kümmert sich die DS selber um die Zertifikate und man kann auch Dienste hinter SSL packen, die das von sich aus gar nicht können. Der einzigste Nachteil ist, dass ich anfange zu vergessen, die Zertifikate für dich Dienste immer mit zu erneuern, die nicht hinter dem Reverse Proxy funktionieren. Das hole ich dann erst nach, wenn sie wegen der abgelaufenen Zertifikaten nicht mehr gehen. Letztlich aber auch nur ein Beweis wie gut das Ganze läuft.

 

[Puppetmaster]

Bzgl. Reverse Proxy habe praktisch noch nur rudimentäre bis keine Erfahrungen.
Kann man denn einmal aufstellen, für welche Dienste ein reverse proxy Sinn macht bzw. überhaupt funktioniert oder sinnvoll ist und wo nicht?

Ich habe noch wirklich eine Vorstellung, was man damit alles machen könnte.

 

[Penthys]

Das Grundlegende versuche ich immer bildlich so zu erklären, dass portbasierte Dienste wie Klingelschilder an einem Haus sind. Man guckt mal drauf (Portscan) und weiß wieviele und eventuell sogar wer da wohnt. Der Reverse Proxy ist dagegen wie ein Pförtner, der als einzigstes angesprochen werden kann und nur Auskunft gibt, wenn man ihn exakt nach einem Bewohner namentlich fragt. Streaming und Messenger Dienste tun sich in der Regel schwer hinter einem Reverse Proxy. Emby als Streaming Video Server läßt sich in seiner Konfiguration so einstellen, dass er weiß, hinter einem Reverse Proxy zu sitzen und funktioniert tadellos ohne einen einzigen offenen Port. Also muss man einfach selber testen, was geht und was nicht.

 

[Benares]

@Puppetmaster, mal ein praktisches Beispiel
Ausgangslage: Angenommen du hast eine Domain example.de, dort einen CNAME DS415 und Portweiterleitungen/Zertifikate etc. so eingerichtet, dass du über https://ds415.example.de auf den Web-Server deiner DS415 kommst.

Jetzt willst du aber auf gleiche Weise auch auf deine DS214 zugreifen können. Klar könntest du das wieder über Portweiterleitungen/Zertifikat/... wie bei der DS415 machen. Aber es geht auch einfacher: Du richtest einfach einen weiteren CNAME DS214 ein und sagst dem Reverse Proxy der DS415, er solle alles, was mit Namen ds214.example.de reinkommt an deine DS214 weiterleiten. Du brauchst noch nicht mal ein weiteres Zertifikat dafür, da du an dieser Stelle intern auch von https auf http umsetzen kannst. Lediglich dein Hauptzertifikat muss dafür alle verwendeten CNAMEs abdecken oder ein Wildcard-Zertifikat sein.

Du kannst also zig interne Rechner/Web-Server/-Services/Docker-Container über nur eine einzige Portweiterleitung ansprechen, indem du deine Haupt-DS zum "Reverse-Proxy-Relay" machst.

 

[Puppetmaster]

Ok, verstehe.
Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports. Hier hatte ich bei einem Versuch mittels K9 auf dem Phone keinen Erfolg.

 

[NSFH]

Nicht vergessen: Reverseproxys dienen dazu verschiedene Webserver im eigenen LAN von Aussen ansprechen zu können.
Ich muss also im Router eine Portweiterleitung für Webserver einrichten.
Damit landet alles direkt auf der Syno was aus dem Internet kommt.
Dieser leitet dann innerhalb des gleichen Systems Zugriffe auf den Fileserver.
Da kann ich meine ketzerische Frage nur wiederholen: Wer hängt seinen Fileserver direkt ins Internet, egal mit welchem Port?
Ausserdem fragt man sich wie sicher der Syno Reverseproxy ist.
Welche Subdomains bei einem potentiellem Angriffssziel existieren um die erste Schwelle zu übertreten ist für jeden einfach abfragbar.

Etwas mehr Schutz weil ausgelagert würde also nur ein Reverseproxy bringen, der nicht Synology heisst.

Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.

 

[Penthys]

Ok, verstehe.
Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports. Hier hatte ich bei einem Versuch mittels K9 auf dem Phone keinen Erfolg.

Mail nutzt ja für Empfang und Senden verschiedene Ports, daher braucht man schonmal zwei Reverse Proxies. Da man in Mail Clients generell Host+Ports angibt könnte es schon funktionieren. Aber je nachdem wie die Verbindungen zwischen Client und Server funktionieren klappt es oder eben nicht.

Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.

Auf meinem Server greifen verschiedene Personen(gruppen) zu. Ich möchte denen aber nicht Zugang zu meinem LAN geben.

 

[whitbread]

Dann solltes Du ganz einfach LAN und Server trennen, heisst konkret Du brauchst 2 Server, ggf. einen virtualisiert. Einer steht im LAN und der andere im Internet (bzw. in der DMZ); und letzterer hat keinerlei Zugriff auf Dein LAN.
Ausserdem sollte ein VPN im Router nicht den Zugriff aufs LAN erlauben. Der Router ist ein IoT-Gerät und somit untrusted und gehört somit in die DMZ bzw. ins interne WAN, aber nicht ins LAN!

 

[Speicherriese]

Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.

Ja, das habe ich zwar auch eingerichtet über die Fritzbox, aber am Smartphone darfste jedesmal über Einstellungen gehen und über VPN eine Verbindung aufbauen. Dauerhaft geht ja nicht. Ist man wieder Zuhause schaltet er ja wieder aufs WLan automatisch um und VPN ist dann natürlich weg. Also das Spielchen jedesmal von neuen. Wenn es hier was automatisches geben. würde, sobald man das Haus verlässt, er wieder auf Mobil schaltet und er automatisch dann auch das VPN zuschaltet. Habe nix gefunden ohne irgendwelche Zusatz App

 

[Ulfhednir]

Ich glaube - mit Hilfe eines Users - die Schwachstelle von ioBroker gefunden zu haben:

- Bei der Neu-Anlage von ioBroker im Docker-Syno wird kein Passwortschutz verlangt

- es gibt in ioBroker den Adapter Synology: "Erhalten Sie Status und steuern Sie Ihre NAS Synology".

- dort werden die Zugangsdaten hinterlegt.

Bingo: Zugriff auf die Diskstation durch Auslesen der entsprechenden Datei ist möglich.

Das habe ich bereits gestern bereits an heise gemeldet - ich hätte gehofft, dass die Nutzerschaft hier zurückhaltender ist, damit nicht noch mehr Kleinkriminelle darauf aufmerksam werden.

Das ist ein weiteres Problem; Kernthematik bleibt die Zugriffsmöglichkeit auf die Skripte. Ich behaupte weiterhin, dass der Zugriff über den Skript-Adapter auf den Host erfolgte. Hier muss man fairerweise sagen, dass die jetzige Implementierung (buanet) in Synology 1.) kein offizieller ioBroker-Container ist, sondern von einer Privatperson stammt und 2.) hier auch verschiedene Installationsroutinen existieren. Unabhängig davon, ob jetzt die Diskstation kompromittiert über "Password auslesen" oder Containerausbruch kompromittiert wurde oder nicht, halte ich es für einen unzumutbaren Zustand, dass es eine solche Zahl von offenen Smart-Home-Systemen gibt. Der mögliche Schaden den man anrichten kann, geht von Ruhestörungen (Soundanlage anschalten und auf volle Lautstärke dröhnen lassen), mögliche Überschwemmungen (Smarter Wasserhahn der über Nacht angeht), Verletzung der Privatsphäre, und, und, und.

Es sollte also im Sinne des "Herstellers" sein, dass die Systeme vom Netz genommen werden. Man muss hier schon drüber nachdenken, ob man das dem BSI meldet. Der Großteil ist ja hier aus Deutschland.

 

[the other]

Moinsen,
aber was genau ist jetzt so krass, wenn du jedesmal die Verbindung aufbauen musst? Die PW Eingabe? Schlimmer als das unfassbare Plus an Sicherheit und das Vermeiden doppelter App Konfigs (einmal IP/DynDNS aus dem externen Abruf, einmal IP /hostname zu Hause)?
Ist klaro immer ne persönliche Abwägung, aber WENN ich mir schon VPN einrichte, dann eben gerade auch für das RoadWarrior Setting...

 

[blurrrr]

Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports.

An den "standarisierten" Ports wirst Du nicht vorbei kommen, aber Du kannst so ziemlich alles durch irgendwelche Proxy-Dinger kloppen... Nur nennt sich das dann meist eher "Gateway". In dem von Dir benannten Fall "Mail" wäre ein klassisches Szenario (bei größeren) gibt es allerdings eher Verkettungen von Kisten / Appliances, welche mit div. Aufgaben betreut sind...

-> smtp-gw (ggf. direkt +postscreen) -> av-gw -> spam-gw -> mailserver
(auch hier kann man in "pools" denken, also nicht nur 1 oder 2 Systeme und ggf. auch mehrere hintereinander, z.B. mit div. Spam/AV-Engines)

Für IMAP/POP3 gibt es auch solche Konstrukte. Du kennst sowas eh schon von den grösseren... "imap.anbieter.tld"/"smtp.anbieter.tld"... bei den anderen läuft es eher via "mail.deinedomain.tld" + entsprechendem Zertifikatsfehler, da der Server auf dem das läuft halt nur einer ist und man diesen direkt anspricht. Dummerweise passt dann der Hostname nicht zur Deiner Domain

Wenn es zu langweilig wird, als kleines Beispiel.... IMAP Proxy | Nginx wobei das schon sehr rudimentär ist und mit der o.g. Verkettung auch nix zu tun hat ? Sieht dann ungefähr so aus:



An den Ports wird das allerdings herzlichst wenig ändern und es ist auch nicht empfehlenswert, da groß rumzufummeln (macht mehr Probleme als das es nützt...).

aber am Smartphone darfste jedesmal über Einstellungen gehen und über VPN eine Verbindung aufbauen. Dauerhaft geht ja nicht.

Sorry aber... das ist nicht richtig. Sicher geht sowas am Smartphone und wurde auch schon erfolgreich implementiert. Ist dann allerdings Zertifikatsbasiert, damit die Loginaufforderung unterbleibt. Schau Dir in diesem Zusammenhang mal die Begrifflichkeit "on-demand" an. Da wird dann (mittels Zertifikat) immer eine VPN-Verbindung aufgebaut, sobald Du z.B. eine bestimmte Domäne aufrufst (z.B. bei der Verbindung zum internen Mailserver). Das funktioniert eigentlich ganz gut

 

[Puppetmaster]

Mir ist auch ehrlich gesagt, noch nicht klar, wie ein Reverse Proxy zur Sicherheit beitragen soll. Gut, der Port ist geschlossen, aber nur nach außen. Mit der richtigen Subdomain lande ich doch vor dem genau gleichen Dienst, und dieser ist doch gar potentielle Risiko und nicht der Port als solcher.

 

[blurrrr]

Wenn es richtig Pfeffer gibt, kriegt es primär der Proxy ab. Zudem kannst Du auf dem Proxy auch schon div. Dinge filtern/untersagen

EDIT: Ich drück es nochmal richtig aus: Der Client redet "nur" mit dem Proxy und der Proxy redet mit dem Backendserver. Der Client bekommt keine "direkte" Verbindung zum Backend.

EDIT2:

Ich habe noch wirklich eine Vorstellung, was man damit alles machen könnte.

https://de.wikipedia.org/wiki/Reverse_Proxy (ja, ich weiss, Wiki-Links sind doof, sorry ?)

Ein einfaches Beispiel wäre ggf. ein RP mit AV vor der Filestation-Dateianforderungsseite (oder so).

 

[the other]

Moinsen,
auch wenn das jetzt eher die Metaebene ist und nichts konkret praktisches zur Diskussion beitragen wird: mein Tipp ist ja immer noch, weg mit so viel wie möglich IoT Zeug, smarthome hab ich eh (wohne ja selber da) und ich warte immer noch auf eine Anwendung, die ich für mich UNBEDINGT haben muss...
ct und andere weisen seit Jahren auf diverse Löcher in diversen "Lösungen" hin, der eine meldet sonstwas nach Hause, die andere steht offen wie die Scheune...irgendwie fast alles Murks.
Kann dann sicherlich mit ReverseProxy aufgerüstet werden. Oder eben: ein vermiedener Kampf ist ein nicht verlorener Kampf...
ps: ja, gibt sicher noch andere Gründe, nur hier und auch im Raspi Forum taucht immer wieder gerade auch smarthome Kram auf, der das jeweilge Risiko gearscht zu werden erhöht...

 

[Penthys]

Ein Portscan für meinen Server würde z.B. ergeben, dass der Server https, teamspeak und jabber anbietet. Emby, bitwarden und so weiter läuft unter https port und ist so nicht so ohne weiteres zu identifizieren und anzusprechen. Das läuft sicher unter security by obscurity, aber ich bin kein lohnendes Ziel für ausgefuchste Hackergruppen und zur Abwehr der üblichen Script Kiddies taugt es.

 

[Speicherriese]

Äh, was ist jetzt eigentlich mit dem Beitragsschreiber? Hat er schon ne Nachricht von den Hackern wie bei dem anderen Fall, oder konnte er es selbst mit Tools wieder entschlüsseln?