Hach wat schön... in Zeiten von diesen komischen Web-Messengern bin ich nicht der einzigste der noch auf XMPP setzt (obwohl ich dafür regelmässig kritisiert werde, weil es ja so "altbacken" ist) ?
Diskstation gehackt
- Ersteller youthman
- Erstellt am
Hach wat schön... in Zeiten von diesen komischen Web-Messengern bin ich nicht der einzigste der noch auf XMPP setzt (obwohl ich dafür regelmässig kritisiert werde, weil es ja so "altbacken" ist) ?
- Mitglied seit
- 26. Aug 2013
- Beiträge
- 3.475
- Punkte für Reaktionen
- 1.087
- Punkte
- 194
Sagen wir mal so: I.d.R. passieren Portscans über IP-Bereiche. Wenn jetzt also der Hacker versucht über DEINE-EXTERNE-IP:8081 auf dein System zuzugreifen, steht er vor verschlossenen Toren. Er müsste jetzt hier über den Reverse Proxy die passende Domain kennen. Wobei genau genommen das auch keine 100% Sicherheit ist. Stichwort: Reverse-DNS
Sollen wir nicht mal lieber einen "Wir drehen uns im Kreis"-Thread dafür aufmachen? Hier geht es ja "eigentlich" auch um etwas anderes. Die Themen die hier auf dem Tisch landen führen ja sowieso alle wieder nur zu einem einzigen Ergebnis... 100%ige Sicherheit gibt es nicht. ?
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Wireguard hat Optionen für „Persistent keep alive“, das heißt der Tunnel wird gehalten, auch wenn er nicht benutzt wird (kleines Datenpaket alle x Sekunden), und für on-demand-activation, getrennt nach cellular und wifi. Man kann also z.B. festlegen, dass bei Mobilnetz VPN standardmäßig aus bleibt, bei einem WLAN sich aber einschaltet, und der Tunnel auch bei Inaktivität gehalten wird. Man kann davon IPs ausschließen, die als „Privat“ vorgegeben werden, z.b. Heim- und Büro-WLAN.
Die Einstellungen werden im Client vorgenommen, den man sich auf sein Handy lädt.
Ist bei mir alles aus. Wenn ich meine, zu Hause vorbei schauen zu müssen, ist der kleine Klick auf eines meiner VPNs nicht so wild. IPSec über die FB läuft über die iPhone Einstellungen, ohne weitere App, Wireguard bringt eine kleine App mit. Der WG-Server (eigentlich ist es ein Peer) läuft bei mir auf einem Raspi, der Port ist frei gewählt in den hohen 5stelligen Portbereichen. Daraus kann niemand ableiten, dass da ein VPN-Server wartet. OpenVPN habe ich mal getestet, fand ich aber eher komplex und habe es wieder auf die Seite gepackt.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
Bei mobilen clients ist für mich gefühlt die Gefahr des Diebstahls oder Verlustes höher. Deswegen WILL ich gar kein automatisiertes anmelden zum tunnel Aufbau. Ich muss immer ein Passwort plus 2fa eingeben, bevor ich den Tunnel aufmachen kann. Dauert ein paar clicks mehr, ist dafür aber sicher denn das pw ist auf dem Handy nicht drauf... In der wetware gespeichert.
Bei mobilen clients ist für mich gefühlt die Gefahr des Diebstahls oder Verlustes höher. Deswegen WILL ich gar kein automatisiertes anmelden zum tunnel Aufbau. Ich muss immer ein Passwort plus 2fa eingeben, bevor ich den Tunnel aufmachen kann. Dauert ein paar clicks mehr, ist dafür aber sicher denn das pw ist auf dem Handy nicht drauf... In der wetware gespeichert.
@Speicherriese
hi, google mal nach "Kurzbefehle: Erledigte Erinnerungen löschen, On-Demand-VPN anlegen"
dort wird mit Bordwerkzeug bei iOS ein VPN on Demand angelegt: in eigenen Wlan aus, sobald ich rausgehe, gehts an..
Sync mit Kontakte, Kalender Mail usw. laufen dann über VPN (interne IP), wenn ich es nicht brauche, wird's ausgeschaltet.
= dauerhaft geht
wie die letzten Beiträge: OT ; - )
hi, google mal nach "Kurzbefehle: Erledigte Erinnerungen löschen, On-Demand-VPN anlegen"
dort wird mit Bordwerkzeug bei iOS ein VPN on Demand angelegt: in eigenen Wlan aus, sobald ich rausgehe, gehts an..
Sync mit Kontakte, Kalender Mail usw. laufen dann über VPN (interne IP), wenn ich es nicht brauche, wird's ausgeschaltet.
= dauerhaft geht
wie die letzten Beiträge: OT ; - )
DKeppi
Benutzer
- Mitglied seit
- 01. Apr 2011
- Beiträge
- 3.217
- Punkte für Reaktionen
- 69
- Punkte
- 114
Naja... Nachteil ist die Speicherung des Users/Passwort, sowie die Freigabe des "gesamten" Netzwerkes (wenn man nicht noch an der VPN-Config der Fritzbox rumfummeln will). Normalerweise wird sowas meist mit Userzertifikaten gemacht (dann eben ohne Login, nur mit Zertifikat und auch "nur" zum entsprechend benötigten System über bestimmte Ports/Anwendungen, z.B. interner Mailserver). Praktisch ist es aber auf jeden Fall (wobei ich persönlich sowas auch nicht nutze, alle Jubeljahre mal VPN auf dem Handy an, da muss ich keine Logindaten speichern).
Nein - wenn man schon das VPN des Routers nutzt, sollte man nur in die DMZ kommen, nicht ins LAN!
Keine Nachricht von den Hackern.. Ich hab sie glaube ich zu früh gestört.. mein "home" Ordner ist nämlich noch Frei..
Der Support sieht es sich gerade an, aber wie vermutet werden die auch nichts machen können.
Selbst entschlüsseln negativ.. gibt es da etwas was ich versuchen kann?
Ich bin gerade dabei die Daten die ich noch habe auf eine andere Platte zu kopieren dann werde ich alles neu machen
Könntest ja LutzHase nach dem Schlüssel fragen, vielleicht ist es ja der gleiche ?
- Mitglied seit
- 01. Jun 2015
- Beiträge
- 458
- Punkte für Reaktionen
- 271
- Punkte
- 119
Das wäre ja der Supergau für den Typen ...
aber wer weiss ... vielleicht kocht er ja auch nur mit Wasser.Na ja, wenn das immer wieder der gleiche Schlüssel ist, wird LutzHase Millionär, denn er könnte ihn ja immer wieder bei Anfragen für ne 50er verkaufen.
Erkläre mal bitte. Sinn von VPN ist doch, dass ich Zugriff auf mein Netzwerk habe...
Die Idee ist wohl die, den Router als Bestandteil der Internetzone sozusagen als "per Definition kompromittiert" zu betrachten.
Viele Firmen und einige Nerds zu Hause kaskadieren daher entweder zwei Router oder schotten hinterm Router das LAN wenigstens durch eine zusätzliche Firewall ab, so dass es für den Durchgriff ins LAN eine weitere Schwelle zu überschreiten gilt.
Ich persönlich sehe zwar auch den Sinn darin nicht, mich zwar per VPN einzuwählen und dann doch nicht ins LAN zu gelangen, aber es gibt dazu zumindest einen weiteren Erklärungsansatz: wer sich die Mühe mit der Routerkaskade bzw. der zusätzlichen Firewall macht, der hat eine DMZ etabliert, und in die gehören genau die wenigen Server, die dir genau die auch per VPN benötigten Dienste bereitstellen. Im LAN befinden sich dann nur noch die Clients sowie die ausschliesslich intern nutzbaren Server. Der IoBroker des TO hätte auf diese Weise beispielsweise nichts in der DMZ zu suchen gehabt, sondern wäre nur im LAN nutzbar gewesen.
Für Privatpersonen Overkill, ich kenne aber selbst auch jemanden, der genug Platz und Geld für solche Spässchen hat, und als mein Anschluss noch als DS Lite konfiguriert war, hatte ich auch eine solche Routerkaskade laufen, jedoch keinen Serverdienst in diese DMZ gepackt.
Zum "Hacker": ich würde in Erwägung ziehen, dass es kein Ransom-Hacker gewesen ist, sondern ein rein vandalistischer Akt.
Und so besch......en die Situation für den TO nun auch ist (ich wäre ziemlich hässig, wenn ich alle meine Fotos meiner Kinder und Ferienerinnerungen verlieren würde), resultieren daraus hoffentlich ein paar wichtige Lektionen für die Zukunft:
* ein NAS ist kein Backupsystem
* eine permanent ans NAS angeschlossene externe Festplatte ist kein Backup des NAS, sondern dessen integraler Bestandteil
* ein einzelnes Backup reicht nicht
* wirklich wichtige und unersetzbare Daten (neben Familienfotos auch alle relevanten Dokumente einschl. Scans wichtiger Papierdokumente) gehören nicht exklusiv auf ein NAS und in Backups, sondern sollten über geeignete Werkzeuge gespiegelt auf mehreren Rechnern gleichzeitig liegen - meinetwegen so, dass die Version auf dem NAS nur readonly ist, bei einem Hack also nicht die gesyncten weiteren Kopien ebenfalls zerstört werden.
Ein gesundes Mass an Paranoia hat noch niemandem geschadet. Ich sichere die unersetzbaren Dateien per Sync auf zwei NAS (im genannten Readonly-Modus für die NAS), auf dem Backup-NAS läuft der Snapshotmodus, so dass ich bis zu einem Jahr zurück kann, und zusätzlich werden regelmässig Backups auf externe Platten (Plural ist wichtig) gemacht, die niemals länger als bis zum Ende der Sicherung am NAS hängen.
Selbst meine Ex hat mit Ausbruch der Pandemie und dem ersten Lockdown begriffen, dass ich nicht paranoid gewesen bin, sondern meine Vorsicht ein Ausdruck gesunden Misstrauens gegenüber ausufernder Staatsgewalt ist.
Zuletzt bearbeitet:
Ok, danke für ihre Erklärung. Aber beim TO wäre die NAS ja dann im DMZ gewesen, weil er iobroker aus dem Internet erreichbar machen wollte.
Bei vielen Routern sind doch alle Ports zur DMZ offen? Macht es das nicht noch riskanter?
Bei vielen Routern sind doch alle Ports zur DMZ offen? Macht es das nicht noch riskanter?
Wir sind jetzt schon beim Thema Sicherheitsarchitektur, aber leider muss man diese imho auch haben, sobald man irgendwelche Dienste nach aussen verfügbar macht, denn dann muss man damit rechnen, dass diese auch komprimittiert werden können.
In die DMZ gehören genau die Geräte bzw. Dienste, die von aussen erreichbar sein sollen. Natürlich werden auch nur die entsprechenden Dienste freigeschaltet. Wenn das bei Euch das LAN sein soll, bitte sehr; dann aber bitte nicht jammern, wenn alles weg ist!
Im vorliegenden Fall hätte nach diesem Konzept der ioBroker in die DMZ gehört und die NAS eben nicht. Somit hätte der ioBroker übernommen werden können und die NAS wäre gar nicht erreichbar gewesen.
Wie man selber die Aufteilung DMZ/LAN macht, muss jeder selber wissen, aber ich denke schon, dass jeder gewisse "Kronjuwelen" hat, die er weder verschlüsselt haben möchte, noch irgendwo mal im Internet finden möchte. Das funktioniert nur durch strikte Trennung in eine Zone, die von aussen erreichbar ist (DMZ) und eine, die weder vom Internet noch von der DMZ erreichbar ist. Und dazwischen gehört kein Router sondern eine Firewall; letztere ist natürlich auch ein Router - erweitert um klar definierte Regeln, welcher Traffic erlaubt ist. Ich halte diese Trennung keinesfalls für overkill, jedenfalls dann nicht, wenn man Dienste im Netz bereitstellt. Für mich gilt der Router des Providers, der meist mit automatischen Updates versorgt wird, zudem als 'untrusted' und gehört damit in eine durch eine Firewall geschützte Zone.
In die DMZ gehören genau die Geräte bzw. Dienste, die von aussen erreichbar sein sollen. Natürlich werden auch nur die entsprechenden Dienste freigeschaltet. Wenn das bei Euch das LAN sein soll, bitte sehr; dann aber bitte nicht jammern, wenn alles weg ist!
Im vorliegenden Fall hätte nach diesem Konzept der ioBroker in die DMZ gehört und die NAS eben nicht. Somit hätte der ioBroker übernommen werden können und die NAS wäre gar nicht erreichbar gewesen.
Wie man selber die Aufteilung DMZ/LAN macht, muss jeder selber wissen, aber ich denke schon, dass jeder gewisse "Kronjuwelen" hat, die er weder verschlüsselt haben möchte, noch irgendwo mal im Internet finden möchte. Das funktioniert nur durch strikte Trennung in eine Zone, die von aussen erreichbar ist (DMZ) und eine, die weder vom Internet noch von der DMZ erreichbar ist. Und dazwischen gehört kein Router sondern eine Firewall; letztere ist natürlich auch ein Router - erweitert um klar definierte Regeln, welcher Traffic erlaubt ist. Ich halte diese Trennung keinesfalls für overkill, jedenfalls dann nicht, wenn man Dienste im Netz bereitstellt. Für mich gilt der Router des Providers, der meist mit automatischen Updates versorgt wird, zudem als 'untrusted' und gehört damit in eine durch eine Firewall geschützte Zone.
Das offene Port 8081 vom iobroker war es bei mir und von dort kam er über einen installierten Adapter auf die nas. Hatte auch den synology Adapter installiert und gar nicht genutzt.
Er verwendete einen Port Scanner und scannt Standart Ports ab. 8081 und die 5000er der synology usw.
Das hat er mir so bestätigt. Natürlich keine Garantie ist klar...
Beim iobroker gibt es aber auch die netten bezahl Dienste für iot. Damit kommt man dann überall auf der Welt auf sein iobroker.
Und wenn man das selbst kann, können das andere auch. Dieser cloud Dienst kann genau so anfällig sein.
Iobroker und Telegramm haben ihren Ursprung in Russland und jetzt kommen die "Angriffe" dort her, ist schon komisch oder?
Ich finde die Entwicklung der Adapter wichtig und toll, aber auch dort kann man riesen Tore einbauen. Das kann doch niemand prüfen!
Das ist bestimmt face, oder goog weil sie neidisch sind...??
Er verwendete einen Port Scanner und scannt Standart Ports ab. 8081 und die 5000er der synology usw.
Das hat er mir so bestätigt. Natürlich keine Garantie ist klar...
Beim iobroker gibt es aber auch die netten bezahl Dienste für iot. Damit kommt man dann überall auf der Welt auf sein iobroker.
Und wenn man das selbst kann, können das andere auch. Dieser cloud Dienst kann genau so anfällig sein.
Iobroker und Telegramm haben ihren Ursprung in Russland und jetzt kommen die "Angriffe" dort her, ist schon komisch oder?
Ich finde die Entwicklung der Adapter wichtig und toll, aber auch dort kann man riesen Tore einbauen. Das kann doch niemand prüfen!
Das ist bestimmt face, oder goog weil sie neidisch sind...??
Zuletzt bearbeitet:
Danke für die Infos. Das Unglück verbirgt sich in diesem Fall wohl in der Kombination: ioBroker im Web - kann man machen (muss man aber nicht), Syno im Web - kann man machen (muss man aber nicht), Syno-Adapter mit administrativem Account - kann man machen, aber eben nicht, wenn der ioBroker im Web steht!
Bei mir wäre (hoffentlich) schon der Portscan gescheitert und Geoblocking wäre vermutlich auch erfolgreich gewesen.
Im Endeffekt ist bei Dir aber der Syno-Adapter das Problem: Auslesen der Login-Daten ist ein NoGo, Nutzung eines administrativen Accounts ebenso. Vielleicht hätte man sich mit einem speziellen Admin-Account, dem das Login per DSM entzogen wurde, behelfen können, wohl aber nur wenn man gleichzeitig SSH in der Firewall geschlossen hätte?!?
Im 2. Fall (youthman) war aber wohl nicht der Syno-Adapter im Spiel. Hier stellt sich natürlich die Frage: Wie kam es hier zur Ermittlung des Passwortes?
P.S. Wenn eine Trennung zwischen ioBroker und NAS bestanden hätte, bspw. ioBroker darf nur per SNMP auf die Syno zugreifen, wäre der Super-Gau (Administrativer Zugriff für den Hacker) ausgeblieben. Was will ich damit sagen: Man kann Vieles machen, leider aber nicht in der Standard-Konfiguration.
Bei mir wäre (hoffentlich) schon der Portscan gescheitert und Geoblocking wäre vermutlich auch erfolgreich gewesen.
Im Endeffekt ist bei Dir aber der Syno-Adapter das Problem: Auslesen der Login-Daten ist ein NoGo, Nutzung eines administrativen Accounts ebenso. Vielleicht hätte man sich mit einem speziellen Admin-Account, dem das Login per DSM entzogen wurde, behelfen können, wohl aber nur wenn man gleichzeitig SSH in der Firewall geschlossen hätte?!?
Im 2. Fall (youthman) war aber wohl nicht der Syno-Adapter im Spiel. Hier stellt sich natürlich die Frage: Wie kam es hier zur Ermittlung des Passwortes?
P.S. Wenn eine Trennung zwischen ioBroker und NAS bestanden hätte, bspw. ioBroker darf nur per SNMP auf die Syno zugreifen, wäre der Super-Gau (Administrativer Zugriff für den Hacker) ausgeblieben. Was will ich damit sagen: Man kann Vieles machen, leider aber nicht in der Standard-Konfiguration.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Also Router mit Firewall sowie deren Durchgang nur in die DMZ ist für den Normalanwender Overkill!
Eine nachgeschaltete Firewall kann auch nichts anderes machen als Portweiterleitung zum Server.
Der Grundgedanke ist bei diesem Konstrukt verhindern zu wollen, dass wenn ein Gerät wie der erste Router kompromittiert würde nicht gleich die gesamte Sicherheitsarchitektur zusammenbricht.
Es wäre schön, wenn die Gemeinde daher mal verstehen würde, dass eine Syno viele Optionen bietet, was aber nicht heisst, dass sie alles machen sollte!
Genau hier liegt die Schwachstelle, hinter einer kleinen Firewall die durch Portweiterleitungen auch noch durchlöchert wird, steht eine eierlegende Wollmilchsau, welche auf Grund ihrer vielen Funktionen garantiert irgendwo eine Schwachstelle aufweist, bei darauf laufenden Fremdprodukten sowieso. Dieses Konstrukt hängt dann "ungeschützt" direkt im Internet. Wer da nicht versteht, dass diese Kopmfiguration fahrlässig ist, dem ist einfach nicht mehr zu helfen.
Etwas mehr Sicherheit erreicht man, wenn man (einen richtigen Router vorausgesetzt und keine Blackbox wie Fritz) in der Syno 2 Nw-Ports nutzt.
1 Port hängt im LAN und 1 Port ist für alle Verbindungen aus dem Web zuständig (geht nur mittels VLAN, was dann auch der Router können muss).
Dadurch kann man den Zugriff von Aussen auf die notwendigsten Protokolle beschränken und auf alles was im LAN läuft besteht kein Zugriff.
Immerhin kann man so verhindern, dass sensible Protokolle wie SMB nicht in den Zugriff des Hackers gelangen.
(Man könnte versuchen an einer Fritz statt VLAN den Gastzugang zu nutzen. Ich weiss aber nbicht, ob sich da Portweiterleitungen einrichten lassen. Ist halt ne Blackbox.)
Eine nachgeschaltete Firewall kann auch nichts anderes machen als Portweiterleitung zum Server.
Der Grundgedanke ist bei diesem Konstrukt verhindern zu wollen, dass wenn ein Gerät wie der erste Router kompromittiert würde nicht gleich die gesamte Sicherheitsarchitektur zusammenbricht.
Es wäre schön, wenn die Gemeinde daher mal verstehen würde, dass eine Syno viele Optionen bietet, was aber nicht heisst, dass sie alles machen sollte!
Genau hier liegt die Schwachstelle, hinter einer kleinen Firewall die durch Portweiterleitungen auch noch durchlöchert wird, steht eine eierlegende Wollmilchsau, welche auf Grund ihrer vielen Funktionen garantiert irgendwo eine Schwachstelle aufweist, bei darauf laufenden Fremdprodukten sowieso. Dieses Konstrukt hängt dann "ungeschützt" direkt im Internet. Wer da nicht versteht, dass diese Kopmfiguration fahrlässig ist, dem ist einfach nicht mehr zu helfen.
Etwas mehr Sicherheit erreicht man, wenn man (einen richtigen Router vorausgesetzt und keine Blackbox wie Fritz) in der Syno 2 Nw-Ports nutzt.
1 Port hängt im LAN und 1 Port ist für alle Verbindungen aus dem Web zuständig (geht nur mittels VLAN, was dann auch der Router können muss).
Dadurch kann man den Zugriff von Aussen auf die notwendigsten Protokolle beschränken und auf alles was im LAN läuft besteht kein Zugriff.
Immerhin kann man so verhindern, dass sensible Protokolle wie SMB nicht in den Zugriff des Hackers gelangen.
(Man könnte versuchen an einer Fritz statt VLAN den Gastzugang zu nutzen. Ich weiss aber nbicht, ob sich da Portweiterleitungen einrichten lassen. Ist halt ne Blackbox.)
Zuletzt bearbeitet:
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
