Diskstation gehackt

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Such mal im Forum, es wurde hier gepostet, im anderen Thread (von LutzHase). Habe den Link gelesen, kein weiterer Handlungsbedarf für mich, kein iobroker Im Einsatz.

Die Warnung würde vermutlich Sinn machen, für mich klingt das alles wie ein schönes Stück Software, das sich einfachste Sicherheitsfunktionen spart. Falsch verstandene Anwenderfreundlichkeit - wer plagt sich schon gerne mit Passwörtern herum ?
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Damit können wir aber einen Ausbruch aus dem Docker-Container bzw. aus der VM ausschließen, oder?
"Ausschliessen" kann man damit einen Ausbruch auch nicht. Nur weil man das eine Problem bereinigt, heisst es ja nicht gleich, dass alles bombensicher ist und nie wieder irgendwas passieren wird (und ggf. noch andere Probleme bis zu ihrer Entdeckung im Gesamtkonstrukt vorhanden sind). Ist doch mittlerweile schon fast egal, in welche Richtung man da schaut... Erst sieht alles total sicher aus, dann gibt es ein grosses Unglück (oder man bleibt verschont), dann erscheinen die Patches... Bei den 0-Day-Exploits hat man mitunter halt Pech und noch dicker kommt es, wenn das Wissen um eine entsprechende Lücke länger unentdeckt bleibt, während sie schon auf dem entsprechenden Markt gehandelt wird.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Die Schwierigkeit, die ich sehe bei den immer größer werdenden Angeboten an Apps, die meist auf den Komfort abzielen um den User erstmal zu locken und auch zu halten, das keiner mehr durchblickt, wo und wieviele Sicherheitslöcher er in seinem Teich hat. Man kann es ja weder sehen, noch schmecken, noch riechen. D.h. ganz banal ausgedrückt, im vergleich zu einer Absicherung eines Anwesens, wo ich alles sicherheitstechnisch durchgehen kann und es auch wirklich sehe, anfassen kann was ich tue, ist es in der IT so, das vieles so dermaßen komplex ist, das ich mit meinen Sinnesorganen nicht mehr weiterkomme, sondern nur noch alles blindlings absichere was irgendwo geschrieben steht oder man gehört hat. Das ist aber sicher bei 95% viel zu wenig. Dann holen sich die meisten auch noch die besten Wanzen, sprich Alexa und co. die es je gab ins Haus. Das dürfte das Hauptproblem Heutzutage sein, es hat fast keiner einen Plan. Woher auch?
 
Zuletzt bearbeitet von einem Moderator:

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Halte ich für einen guten Ansatz, zumal man dann auch das ganze "Zertifikats-Geraffel" zentral behandeln kann.
Das ist absolut Richtig. Für die Reverse-Proxy-Dienste kümmert sich die DS selber um die Zertifikate und man kann auch Dienste hinter SSL packen, die das von sich aus gar nicht können. Der einzigste Nachteil ist, dass ich anfange zu vergessen, die Zertifikate für dich Dienste immer mit zu erneuern, die nicht hinter dem Reverse Proxy funktionieren. Das hole ich dann erst nach, wenn sie wegen der abgelaufenen Zertifikaten nicht mehr gehen. Letztlich aber auch nur ein Beweis wie gut das Ganze läuft.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Bzgl. Reverse Proxy habe praktisch noch nur rudimentäre bis keine Erfahrungen.
Kann man denn einmal aufstellen, für welche Dienste ein reverse proxy Sinn macht bzw. überhaupt funktioniert oder sinnvoll ist und wo nicht?

Ich habe noch wirklich eine Vorstellung, was man damit alles machen könnte.
 

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Das Grundlegende versuche ich immer bildlich so zu erklären, dass portbasierte Dienste wie Klingelschilder an einem Haus sind. Man guckt mal drauf (Portscan) und weiß wieviele und eventuell sogar wer da wohnt. Der Reverse Proxy ist dagegen wie ein Pförtner, der als einzigstes angesprochen werden kann und nur Auskunft gibt, wenn man ihn exakt nach einem Bewohner namentlich fragt. Streaming und Messenger Dienste tun sich in der Regel schwer hinter einem Reverse Proxy. Emby als Streaming Video Server läßt sich in seiner Konfiguration so einstellen, dass er weiß, hinter einem Reverse Proxy zu sitzen und funktioniert tadellos ohne einen einzigen offenen Port. Also muss man einfach selber testen, was geht und was nicht.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.776
Punkte
468
@Puppetmaster, mal ein praktisches Beispiel
Ausgangslage: Angenommen du hast eine Domain example.de, dort einen CNAME DS415 und Portweiterleitungen/Zertifikate etc. so eingerichtet, dass du über https://ds415.example.de auf den Web-Server deiner DS415 kommst.

Jetzt willst du aber auf gleiche Weise auch auf deine DS214 zugreifen können. Klar könntest du das wieder über Portweiterleitungen/Zertifikat/... wie bei der DS415 machen. Aber es geht auch einfacher: Du richtest einfach einen weiteren CNAME DS214 ein und sagst dem Reverse Proxy der DS415, er solle alles, was mit Namen ds214.example.de reinkommt an deine DS214 weiterleiten. Du brauchst noch nicht mal ein weiteres Zertifikat dafür, da du an dieser Stelle intern auch von https auf http umsetzen kannst. Lediglich dein Hauptzertifikat muss dafür alle verwendeten CNAMEs abdecken oder ein Wildcard-Zertifikat sein.

Du kannst also zig interne Rechner/Web-Server/-Services/Docker-Container über nur eine einzige Portweiterleitung ansprechen, indem du deine Haupt-DS zum "Reverse-Proxy-Relay" machst.
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ok, verstehe.
Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports. Hier hatte ich bei einem Versuch mittels K9 auf dem Phone keinen Erfolg.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Nicht vergessen: Reverseproxys dienen dazu verschiedene Webserver im eigenen LAN von Aussen ansprechen zu können.
Ich muss also im Router eine Portweiterleitung für Webserver einrichten.
Damit landet alles direkt auf der Syno was aus dem Internet kommt.
Dieser leitet dann innerhalb des gleichen Systems Zugriffe auf den Fileserver.
Da kann ich meine ketzerische Frage nur wiederholen: Wer hängt seinen Fileserver direkt ins Internet, egal mit welchem Port?
Ausserdem fragt man sich wie sicher der Syno Reverseproxy ist.
Welche Subdomains bei einem potentiellem Angriffssziel existieren um die erste Schwelle zu übertreten ist für jeden einfach abfragbar.

Etwas mehr Schutz weil ausgelagert würde also nur ein Reverseproxy bringen, der nicht Synology heisst.

Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.
 

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Ok, verstehe.
Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports. Hier hatte ich bei einem Versuch mittels K9 auf dem Phone keinen Erfolg.
Mail nutzt ja für Empfang und Senden verschiedene Ports, daher braucht man schonmal zwei Reverse Proxies. Da man in Mail Clients generell Host+Ports angibt könnte es schon funktionieren. Aber je nachdem wie die Verbindungen zwischen Client und Server funktionieren klappt es oder eben nicht.

Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.
Auf meinem Server greifen verschiedene Personen(gruppen) zu. Ich möchte denen aber nicht Zugang zu meinem LAN geben.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Dann solltes Du ganz einfach LAN und Server trennen, heisst konkret Du brauchst 2 Server, ggf. einen virtualisiert. Einer steht im LAN und der andere im Internet (bzw. in der DMZ); und letzterer hat keinerlei Zugriff auf Dein LAN.
Ausserdem sollte ein VPN im Router nicht den Zugriff aufs LAN erlauben. Der Router ist ein IoT-Gerät und somit untrusted und gehört somit in die DMZ bzw. ins interne WAN, aber nicht ins LAN!
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Dann lobe ich mir doch VPN im Router um auf mein System zuzugreifen und kann dann so arbeiten als wäre ich zu Hause.
Ja, das habe ich zwar auch eingerichtet über die Fritzbox, aber am Smartphone darfste jedesmal über Einstellungen gehen und über VPN eine Verbindung aufbauen. Dauerhaft geht ja nicht. Ist man wieder Zuhause schaltet er ja wieder aufs WLan automatisch um und VPN ist dann natürlich weg. Also das Spielchen jedesmal von neuen. Wenn es hier was automatisches geben. würde, sobald man das Haus verlässt, er wieder auf Mobil schaltet und er automatisch dann auch das VPN zuschaltet. Habe nix gefunden ohne irgendwelche Zusatz App
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ich glaube - mit Hilfe eines Users - die Schwachstelle von ioBroker gefunden zu haben:

- Bei der Neu-Anlage von ioBroker im Docker-Syno wird kein Passwortschutz verlangt

- es gibt in ioBroker den Adapter Synology: "Erhalten Sie Status und steuern Sie Ihre NAS Synology".

- dort werden die Zugangsdaten hinterlegt.

Bingo: Zugriff auf die Diskstation durch Auslesen der entsprechenden Datei ist möglich.
Das habe ich bereits gestern bereits an heise gemeldet - ich hätte gehofft, dass die Nutzerschaft hier zurückhaltender ist, damit nicht noch mehr Kleinkriminelle darauf aufmerksam werden.

Das ist ein weiteres Problem; Kernthematik bleibt die Zugriffsmöglichkeit auf die Skripte. Ich behaupte weiterhin, dass der Zugriff über den Skript-Adapter auf den Host erfolgte. Hier muss man fairerweise sagen, dass die jetzige Implementierung (buanet) in Synology 1.) kein offizieller ioBroker-Container ist, sondern von einer Privatperson stammt und 2.) hier auch verschiedene Installationsroutinen existieren. Unabhängig davon, ob jetzt die Diskstation kompromittiert über "Password auslesen" oder Containerausbruch kompromittiert wurde oder nicht, halte ich es für einen unzumutbaren Zustand, dass es eine solche Zahl von offenen Smart-Home-Systemen gibt. Der mögliche Schaden den man anrichten kann, geht von Ruhestörungen (Soundanlage anschalten und auf volle Lautstärke dröhnen lassen), mögliche Überschwemmungen (Smarter Wasserhahn der über Nacht angeht), Verletzung der Privatsphäre, und, und, und.

Es sollte also im Sinne des "Herstellers" sein, dass die Systeme vom Netz genommen werden. Man muss hier schon drüber nachdenken, ob man das dem BSI meldet. Der Großteil ist ja hier aus Deutschland.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
aber was genau ist jetzt so krass, wenn du jedesmal die Verbindung aufbauen musst? Die PW Eingabe? Schlimmer als das unfassbare Plus an Sicherheit und das Vermeiden doppelter App Konfigs (einmal IP/DynDNS aus dem externen Abruf, einmal IP /hostname zu Hause)?
Ist klaro immer ne persönliche Abwägung, aber WENN ich mir schon VPN einrichte, dann eben gerade auch für das RoadWarrior Setting...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wie sieht es denn z.B. beim Mailserver der DS aus, dort braucht es ja i.d.R. mehrere offene Ports.

An den "standarisierten" Ports wirst Du nicht vorbei kommen, aber Du kannst so ziemlich alles durch irgendwelche Proxy-Dinger kloppen... Nur nennt sich das dann meist eher "Gateway". In dem von Dir benannten Fall "Mail" wäre ein klassisches Szenario (bei größeren) gibt es allerdings eher Verkettungen von Kisten / Appliances, welche mit div. Aufgaben betreut sind...

-> smtp-gw (ggf. direkt +postscreen) -> av-gw -> spam-gw -> mailserver
(auch hier kann man in "pools" denken, also nicht nur 1 oder 2 Systeme und ggf. auch mehrere hintereinander, z.B. mit div. Spam/AV-Engines)

Für IMAP/POP3 gibt es auch solche Konstrukte. Du kennst sowas eh schon von den grösseren... "imap.anbieter.tld"/"smtp.anbieter.tld"... bei den anderen läuft es eher via "mail.deinedomain.tld" + entsprechendem Zertifikatsfehler, da der Server auf dem das läuft halt nur einer ist und man diesen direkt anspricht. Dummerweise passt dann der Hostname nicht zur Deiner Domain :)

Wenn es zu langweilig wird, als kleines Beispiel.... IMAP Proxy | Nginx wobei das schon sehr rudimentär ist und mit der o.g. Verkettung auch nix zu tun hat ? Sieht dann ungefähr so aus:

1603993300195.png

An den Ports wird das allerdings herzlichst wenig ändern und es ist auch nicht empfehlenswert, da groß rumzufummeln (macht mehr Probleme als das es nützt...).

aber am Smartphone darfste jedesmal über Einstellungen gehen und über VPN eine Verbindung aufbauen. Dauerhaft geht ja nicht.

Sorry aber... das ist nicht richtig. Sicher geht sowas am Smartphone und wurde auch schon erfolgreich implementiert. Ist dann allerdings Zertifikatsbasiert, damit die Loginaufforderung unterbleibt. Schau Dir in diesem Zusammenhang mal die Begrifflichkeit "on-demand" an. Da wird dann (mittels Zertifikat) immer eine VPN-Verbindung aufgebaut, sobald Du z.B. eine bestimmte Domäne aufrufst (z.B. bei der Verbindung zum internen Mailserver). Das funktioniert eigentlich ganz gut :)
 
  • Like
Reaktionen: Valkyrianer

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Mir ist auch ehrlich gesagt, noch nicht klar, wie ein Reverse Proxy zur Sicherheit beitragen soll. Gut, der Port ist geschlossen, aber nur nach außen. Mit der richtigen Subdomain lande ich doch vor dem genau gleichen Dienst, und dieser ist doch gar potentielle Risiko und nicht der Port als solcher.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wenn es richtig Pfeffer gibt, kriegt es primär der Proxy ab. Zudem kannst Du auf dem Proxy auch schon div. Dinge filtern/untersagen :)

EDIT: Ich drück es nochmal richtig aus: Der Client redet "nur" mit dem Proxy und der Proxy redet mit dem Backendserver. Der Client bekommt keine "direkte" Verbindung zum Backend.

EDIT2:
Ich habe noch wirklich eine Vorstellung, was man damit alles machen könnte.

https://de.wikipedia.org/wiki/Reverse_Proxy (ja, ich weiss, Wiki-Links sind doof, sorry ?)

Ein einfaches Beispiel wäre ggf. ein RP mit AV vor der Filestation-Dateianforderungsseite (oder so).
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
auch wenn das jetzt eher die Metaebene ist und nichts konkret praktisches zur Diskussion beitragen wird: mein Tipp ist ja immer noch, weg mit so viel wie möglich IoT Zeug, smarthome hab ich eh (wohne ja selber da) und ich warte immer noch auf eine Anwendung, die ich für mich UNBEDINGT haben muss...
ct und andere weisen seit Jahren auf diverse Löcher in diversen "Lösungen" hin, der eine meldet sonstwas nach Hause, die andere steht offen wie die Scheune...irgendwie fast alles Murks.
Kann dann sicherlich mit ReverseProxy aufgerüstet werden. Oder eben: ein vermiedener Kampf ist ein nicht verlorener Kampf...
ps: ja, gibt sicher noch andere Gründe, nur hier und auch im Raspi Forum taucht immer wieder gerade auch smarthome Kram auf, der das jeweilge Risiko gearscht zu werden erhöht...
 
  • Like
Reaktionen: blurrrr

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
Ein Portscan für meinen Server würde z.B. ergeben, dass der Server https, teamspeak und jabber anbietet. Emby, bitwarden und so weiter läuft unter https port und ist so nicht so ohne weiteres zu identifizieren und anzusprechen. Das läuft sicher unter security by obscurity, aber ich bin kein lohnendes Ziel für ausgefuchste Hackergruppen und zur Abwehr der üblichen Script Kiddies taugt es.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Äh, was ist jetzt eigentlich mit dem Beitragsschreiber? Hat er schon ne Nachricht von den Hackern wie bei dem anderen Fall, oder konnte er es selbst mit Tools wieder entschlüsseln?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat