Diskstation gehackt
- Ersteller youthman
- Erstellt am
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Das ist der Sinn einer DMZ diese unsicheren Geräte in der DMZ zu lassen und aus dieser mit einer weiteren Firewall und extrem starken Regeln (u.a. auch VLAN) die Verbindung ins LAN zu ermöglichen.
DMZ ist nichts anderes als ein seperates Segment, welches sowohl gegen das LAN als auch das Internet mit einer Firewall geschützt ist. So klappt auch das Zusammenspiel zwischen NAS im LAN und Smartgeräten in der DMZ.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 629
- Punkte
- 484
Muss man nicht. Das ist moderner, digitaler Darwinismus.
Als aufgeklärter Mensch kann ich das in gewisser Weise nur begrüßen.
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.669
- Punkte für Reaktionen
- 1.566
- Punkte
- 314
Mal abgesehen davon, das diese Definition falsch ist... wenn eine Verbindung von innen nach außen etabliert wurde, können darüber auch Anfragen von außen nach innen erfolgen. Mein Samsung Fernseher funkt z.B. regelmäßig nach Hause, liefert Telemetriedaten ab und fragt vielleicht nach Updates. Je nach dem werden diese Updates dann einfach eingespielt und das geht nur, weil im Vorfeld eine Verbindung von innen nach außen etabliert wurde.
In der pfSense gibt es einen Pendant zu Pihole und nennt sich pfBlocker. Dieser zeigt mit die regelmäßigen Kommunikationsversuche an... und sowas will man eigentlich nicht in seinem LAN haben. Da der pfBlocker die Kommunikation nach draußen aber unterbindet, sollte erstmal alles Chic sein... von daher könnte man hier wieder dazu neigen, das Gerät zu lassen, wo es ist.
Anhänge
Zuletzt bearbeitet:
Das sind durchweg PULL-Requests von innen nach aussen. "Gib mir mein Update" ist eine aktive Anfrage deines geschwätzigen Fernsehers von innen nach aussen, kein Pushvorgang von aussen in dein LAN.
Und gerade weil Smart-TVs (im schlimmsten Fall noch mit integriertem Mikro) digitale Hauswanzen sind, bekommen die von mir erst gar keinen Internetzugriff. Sowas wie Google Assistant oder Alexa und Co. kommen mir auch nicht ins Haus.
Und das, was heute als IoT an Chinaware verfügbar ist, ist wie andere schon schrieben die Pest des 21. Jahrhunderts. Da kann sich @NSFH noch so gegen sträuben, da spielt es keine Rolle, ob das Zeug im LAN oder in der DMZ Verbindung ins Internet bekommt, Wanze bleibt Wanze.
Ich geh da bestenfalls noch gern mit dem Lösungsansatz mit, solches Gedöhns in einem separaten Netzwerksegment/VLAN gegen sämtliche restlichen IP-Geräte im eigenen Haushalt wegzuschotten, um so wenigstens irgendwelche denkbaren Schnüffelaktivitäten auf Netzebene zu verhindern.
Dass aber selbst Thermomix-Varianten von Drittherstellern inzwischen eingebaute Mikros haben und dich in den eigenen vier Wänden aushorchen und nach Hause telefonieren löst man weder mit Firewall noch mit DMZ noch sonst anders als sich den Elektroschrott gar nicht erst anzuschaffen.
Normales Verhalten, wenn man auf Ebene DNS-Blocker die Kommunikation unterbindet. Dann versuchen einfacher gestrickte Telefonier-mich-nach-Hause-Produkte es einfach um so häufiger. Die Sony-Soundbars sind da in einer Hinsicht auch eine Seuche - die wollen zwar nicht dauernd mit Asien chatten, aber aus unerfindlichen Gründen alle zehn Sekunden mit pool.ntp.org die Zeit synchronisieren und einmal stündlich nen Google-Server kontaktieren - wenn man sie lässt. Bevor ich diese Neuanschaffung komplett offline gesetzt habe, habe ich mal versuchsweise genau für die Soundbar den NTP-Server geblockt. Statt 8640 Requests am Tag hatte ich dann stattdessen innert 24h etwa 256.000....das habe ich schon verstanden - bin nur überrascht wie oft er es versucht...
Seitdem ist das Ding komplett offline fürs Internet.
- Mitglied seit
- 17. Dez 2014
- Beiträge
- 6.057
- Punkte für Reaktionen
- 1.855
- Punkte
- 254
Danke für den Lacher. Den Spruch merke ich mir.
Ich nutze bezüglich Smarthome zur Zeit Tasmota. Es gibt säckeweise Geräte, die diese Firmware vertragen. Da quasselt nichts durch die Gegend und es läuft auch nichts über externe Server.
Da wird der DNS-Blocker brutal geflutet. Wer sich sowas ausgedacht hat, sollte 256.000 Stockschläge pro Tag auf die Fußsohlen bekommen.
Was soll daran falsch sein? Den Wikipediaartikel selbst mal gelesen? DMZ != "innen", sondern eine Variante von "aussen". Analogie: Mehrfamilienhaus, draussen ist "Internet", Hausflur ist "DMZ", Wohnung ist "innen". Nur weil jemand die Aussentür überwunden hat und es bis in den Hausflur geschafft hat, steht er noch nicht in der Wohnung. Im Fall des MFH, in dem ich lebe, ist der Hausflur sogar mehr draussen als sonstwas, denn das Treppenhaus ist nach aussen offen (kein Glas, sondern nur Gitter).
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.669
- Punkte für Reaktionen
- 1.566
- Punkte
- 314
Aus diesem Grunde kommt mir auch keine Alexa (außer sie besteht aus Fleisch und Blut) ins Haus. Ich wollte meinen Fernseher auch garnicht in eine DMZ stecken, aber vielleicht in ein Netzsegment, das einen Namen wie IoT trägt, um die Kommunikation mit meinem privaten LAN zu unterbinden. Schwierig wird es sicherlich, wenn es darum geht per z.B. AirPlay einen Film auf den Fernseher zu streamen... daher habe ich hier auch den pfBlocker eingeschaltet, der mir hilft, einen guten Kompromiss zu finden.
In meine DMZ kommt vorerst nur meine DS216+, die mittels Portfreigabe von extern erreichbar ist.
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.669
- Punkte für Reaktionen
- 1.566
- Punkte
- 314
Dann habe ich dich vorhin falsch verstanden. Sorry.
Darüber habe ich mich vor einiger Zeit einmal eingelesen, speziell als ich von OpenHAB erfuhr. Dann habe ich mal über konkrete Usecases für mich gegrübelt und konnte schlicht keinen finden. Ende Smarthome, ich sehe da keinen persönlichen Nutzen, der jedweden Aufwand für ein sicheres Setup rechtfertigen würde, geschweige denn das Risiko unmodifizierte Geräte ins Haus zu stellen.
- Mitglied seit
- 17. Dez 2014
- Beiträge
- 6.057
- Punkte für Reaktionen
- 1.855
- Punkte
- 254
Ich persönlich nutze Geräte mit Tasmota für das automatische Ein- und Ausschalten von Licht, da ich damit flexibler bin. Gegenüber einer schaltbaren Steckdose mit Zeitschaltuhr, kann ich damit das Licht automatisiert nach Sonnenauf- und Sonnenuntergang, zu Ereignissen und per Handy steuern. Dazu gesellt sich eine Verbrauchsmessung, die mir einen sehr guten Überblick darüber gibt, was welches Gerät über welchen Zeitraum verbraucht.
Auch habe ich zuerst gedacht, dass man da nicht viele Möglichkeiten hat. Ein Blick in die Smarthome-Foren lässt einen den Tellerrand enorm erweitern. Ich stehe da selber noch am Anfang. Die fehlende Zeit bremst mich aus.
Da diese Steckdosen GPIO-Anschlüsse haben, geht noch viel mehr. In den einschlägigen Foren findet man zuhauf Anwendungsszenarien. Sehr schön fand ich z.B. die Umsetzung einer Tankanzeige für den Öltank, umgesetzt mit einem Rohr und einem Ultraschallsensor.
Steuerung von Rolläden, Garagentoren, Gartenbewässerung, Türsprechanlage, Füllstand, Belüftung (Kippstellung von Fenstern), das alles gepaart mit Dämmerungserkennung, Luftfeuchtigkeit, Temperaturmessung, Fenster- und Türenkontakten, Bewegungsmelder, usw.
Und das Schöne daran: Geräte mit der Open-Source-Firmware Tasmota funken nirgends hin. Die sind auf Wunsch nur im eigenen LAN. Wer will, kann sie natürlich auch mit einer Sprachsteuerung wie Alexa und Co. verbinden (wovon ich abrate).
Weitere Stichpunkte zu Tasmota: MQTT, KNX, Domoticz, ioBroker, FHEM, OpenHAB, HomeAssistent, Wemo, Hue, usw.
So, genug OT... zurück zum Thema (Diskstation gehackt).
Zuletzt bearbeitet:
Moin...
mal mein Beispiel zum Thema TV...
Vor etwa zwei Jahren ein Gerät der Firma aus Südkorea gekauft.
Ich dachte, prima.... gängige Streams sollte ohne externe Zuspieler gehen..
So einfach war es dann doch nicht... das Gerät legte Internet TV Sender an und schaltete frech Werbung einfach mal so rein.
Sender deinstalliert, kamen nach kurzer Zeit wieder.
Hmmmm, Gerät baute ohne Ende Verbindungen zu den unterschiedlichsten IPs auf.
Die eingerichtete WLAN Verbindung ließ sich auch nicht mal eben löschen.... weiß nur, es ging nur mit irgendwelchen Tricks.
Nochmal neu eingerichtet.... aber die Streaming Portale funktionierten nur nach kompletter Zustimmung....
Sperren bestimmter IPs brachte auch wieder Funktionsfehler.
Das nette „Feature“ ließ sich wohl im Servicemenü abschalten, was aber nach Angaben des Herstellers zum Verlust der Garantie führen sollte.
Ich hab mich selten so geärgert. Dachte, ist doch nur ein TV...
Offenbar eine Maschine mit eingebauter Werbefunktion und wer weiß was noch...
Also, wie vorher....Gerät ist vom Netz, externe Zuspieler wieder dran und gut is.
Nur mal zusätzlich zum Nachdenken..., was „es ist doch nur ein Fernseher“ doch so machen kann...
mal mein Beispiel zum Thema TV...
Vor etwa zwei Jahren ein Gerät der Firma aus Südkorea gekauft.
Ich dachte, prima.... gängige Streams sollte ohne externe Zuspieler gehen..
So einfach war es dann doch nicht... das Gerät legte Internet TV Sender an und schaltete frech Werbung einfach mal so rein.
Sender deinstalliert, kamen nach kurzer Zeit wieder.
Hmmmm, Gerät baute ohne Ende Verbindungen zu den unterschiedlichsten IPs auf.
Die eingerichtete WLAN Verbindung ließ sich auch nicht mal eben löschen.... weiß nur, es ging nur mit irgendwelchen Tricks.
Nochmal neu eingerichtet.... aber die Streaming Portale funktionierten nur nach kompletter Zustimmung....
Sperren bestimmter IPs brachte auch wieder Funktionsfehler.
Das nette „Feature“ ließ sich wohl im Servicemenü abschalten, was aber nach Angaben des Herstellers zum Verlust der Garantie führen sollte.
Ich hab mich selten so geärgert. Dachte, ist doch nur ein TV...
Offenbar eine Maschine mit eingebauter Werbefunktion und wer weiß was noch...
Also, wie vorher....Gerät ist vom Netz, externe Zuspieler wieder dran und gut is.
Nur mal zusätzlich zum Nachdenken..., was „es ist doch nur ein Fernseher“ doch so machen kann...
Alles spannende Szenarien - leider ausschliesslich für Eigenheimbesitzer. Absolut nichts davon für Mieter geeignet, die schlicht keine baulichen Veränderungen an der Mietwohnung vornehmen dürfen. Und tasmota-kompatible Mehrfachsteckdosen mit Schweizer Steckernorm gibt es nicht, die habe ich direkt gesucht, als ich auf Tasmota und OpenHAB gestossen war. Die wenigen verfügbaren Einfachsteckdosen sind weitgehend nutzlos - die blockieren nämlich automatisch die anderen beiden Steckdosen am Schweizer 80x80mm-Einheitssteckfeld.
Ergo: keine brauchbaren Usecases für mich.
Aber richtig, wir sind nun doch etwas sehr arg ins offtopic abgedriftet.
Zuletzt bearbeitet:
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
genau das ist eine DMZ, wenn die Übergänge dazwischen durch eine Firewall gesichert sind und nur das macht Sinn.
Zwischenzeitlich habe ich eine Anleitung zur Signalisierung via Telegram gefunden. Im Prinzip wird der SMS Provider hier "zweckentfremdet".
Die Anleitung habe ich hier gefunden:
https://medium.com/@nicholaschum/synology-dsm-6-x-telegram-bot-alerts-2f069eb3e9f2
Welche ist die kleinste NAS/Serie, welche push und pull Backup beherrscht?
Mir würde hier ein 1 bay reichen.
Nur diese können dann hyper Backup, habe ich das richtig verstanden?
Hat schon mal jemand rdx an einer synology betrieben?
Mir würde hier ein 1 bay reichen.
Nur diese können dann hyper Backup, habe ich das richtig verstanden?
Hat schon mal jemand rdx an einer synology betrieben?
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
