DS gegen Hacker absichern

tirola

Benutzer
Mitglied seit
08. Jun 2012
Beiträge
65
Punkte für Reaktionen
2
Punkte
8
Hallo, aufgeschreckt durch die verschiedenen Berichte von Hackerangriffen/verschlüsselten NAS eine Frage an die Experten hier: Ich greife mit den Apps DS File, DS Audio, DS Photo, DS Video auf meine Synology zu, Zugriff gibt es auch über das Web mittels Quickconnect möglich. Admin hat 2FA, alle Verbindungen sind https, die Firewall ist aktiv, es gibt ein wöchentliches manuelles Backup, die Festplatte wird danach entfernt. Router ist Fritzbox

  • Gibt es ein paar Empfehlungen, um die Synology gegen Angriffe von außen abzusichern?
  • Wie macht ihr das?
  • Sind die DS-Apps Schwachstellen?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
QC ist ein relay dienst. Deine DS ist also nicht zwingend "offen" .. im Sinne von Portfreigaben.

Vorausgesetzt, du machst es wirklcih nur per QC. Am besten mal die Frotze anschauen ob da Portfreigaben
drin sind. Im schlimmsten Fall ist auch "selbstaendige Portfreigaben" aktiv. Das waere .. semioptimal.

Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.
 

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
(...)
Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.

Die fritzbox könnte tatsächlich etwas mehr Leistung haben, da hast Du Recht.

Allerdings: Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.

Bei meinen Versuchen war es in der Regel so, dass die Bandbreite des benutzten (öffentlichen) WLANs der begrenzende Faktor war, nicht das VPN. Mein Anschluss zu Hause ist Gigabit von Vodafone, d.h. 1000/50 über eine FB 6591 cable (F!OS 7.13].
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare
... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Für den normalen Benutzer ist der VPN-Server auf der FB eine gute Lösung. Warum ? Man kann da nicht viel falsch machen, die Einrichtung ist einfach, und die Firewall bleibt intakt.

Bei jedem VPN tiefer im System mit Portweiterleitung kommt es darauf an, dass einiges mehr richtig konfiguriert wird. Das ist machbar, nur muss ein Einsteiger sich dafür mehr aneignen. Und bei Fehlern kann man sich auch ein richtiges Loch aufreißen.

Wofür die FB-Lösung noch gut taugt: 2 Heimnetze sicher miteinander verbinden. Dafür gibt es die Bridge-Variante des VPNs. Wer also z.B. eh regelmäßig bei den Eltern den PC-Admin gibt, oder wer Medienspeicher teilen will, hat damit eine einfache Lösung verfügbar.

Wie üblich bei der FB lässt sich wenig parametrieren. Nur Hand aufs Herz: Wer im privaten Bereich braucht das wirklich ?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.
Dachte das sollte erst mit der 7.21 und so ...
Verbesserung Stark verbesserte Leistung für VPN

Wobei ich da etwas von "fast 3x so schnell" gelesen hatte, das scheint nun aber in die 7.22 gerutscht zu sein

Übertragungstempo von VPN-Verbindungen fast verdreifacht

(Quelle: https://avm.de/service/downloads/up...OWQ0ZDBhYTMyZWQyMTZkNTA5NmFiM2FmNmZjMjIifQ==/)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Mag sein, meine schicke 6591 ist ISP-verwaltet und läuft noch unter 7.13.

Wenn ich mal irgendwo ein öffentliches WLAN erwische und etwas Zeit habe, teste ich immer gerne beide VPNs: IPSec auf der FB, WireGuard auf einem Raspi 4. WireGuard ist die schnellere Lösung - theoretisch. Denn praktisch werden die User in den öffentlichen WLANs immer so stark gedeckelt, dass man irgendwo bei 5-10 Mbps rauskommt, egal was die Gegenstelle kann.
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Vpn an den Cable Fritzboxen wurde sogar extrem beschleunigt.
 

Anhänge

  • E8AC2F54-52DC-4DCD-9F24-20729E0DD21B.jpeg
    E8AC2F54-52DC-4DCD-9F24-20729E0DD21B.jpeg
    127,9 KB · Aufrufe: 22
  • 0C72272D-B806-4B6A-A788-1F7FF8C75F99.jpeg
    0C72272D-B806-4B6A-A788-1F7FF8C75F99.jpeg
    126,5 KB · Aufrufe: 22

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.

Hhm. Zumindest bei mir wäre der NAS das sensibleste Element, weil da auch persönliche Daten drauf lagern.

Übrigens: So hundert Prozent im LAN ist man über die Fritz-Box nicht, für das Internet vollständig gesperrte Geräte erreicht man über das Fritz-VPN von außen nicht. Bei meinen fürs Internet gesperrten IP-Kameras mußte ich Port 443 freigeben, sonst hätte ich über VPN keinen Zugriff drauf (im LAN sehr wohl).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
also ich lese da von einem Synology Router .. nciht NAS.
Da Router da voelig andere Angrisspunkte liefern, wuerde ich es jetzt erst mal nicht auf
alle oder andere Syno Produkte uebertragen.

Oder hab ich den Absatz falhsc verstanden und es geht explizit um NAS? Wenn ja, welche
DMS Version?
 

der_janosch

Benutzer
Mitglied seit
12. Aug 2018
Beiträge
91
Punkte für Reaktionen
20
Punkte
14
Was ist eigentlich, wenn man seine Ordner selber verschlüsselt und den Schlüssel nicht auf der Synology oder auf einem angesteckten USB Stick speichert? Dann müssten die Ordner doch vor einer Verschlüsselung geschützt sein, oder?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
@der_janosch : Wenn deine Ordner und Dateien verschlüsselt sind, siehst du die dann noch in deinem Inhaltsverzeichnis?
Ich beantworte das mal: JA
Was macht also eine Schadsoftware, die diese Dateien sieht? Drüber nachdenken, ach ja, die sind ja schon verschlüsselt, dann muss ich das nicht mehr tun?
Ich denke die Frage kannst du dir eigentlich selbst beantworten.
 

der_janosch

Benutzer
Mitglied seit
12. Aug 2018
Beiträge
91
Punkte für Reaktionen
20
Punkte
14
Das stimmt natürlich. Es gab hier ja nen Fall, wo die Ordner verschlüsselt wurden. Darauf bezog sich meine Frage eigentlich. An den anderen Weg hab ich nicht gedacht. Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Auf einer Folgeseite gab es das hier:

1600 - DEVCORE team targeting the Synology DiskStation DS418Play NAS
SUCCESS - The DEVCORE team used an elegant heap overflow to get arbitrary code execution on the Synology NAS. This earned him $20,000 and 2 points twowards Master of Pwn.


https://www.zerodayinitiative.com/b...o-live-from-toronto-schedule-and-live-results
Was lernen wir daraus ? Stell die DS nicht ins Schaufenster (Surprise, Surprise).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
............ Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?
Alles was ein Schädling wie Emotet via Netzwerklaufwerk, SATA oder USB sieht ist verloren. Da gibt es keine Ausnahmen.
 
  • Like
Reaktionen: Synchrotron

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Bleibt doch trotzdem ganz einfach und alles beim alten...: Geh vom schlimmsten aus und bereite Dich darauf vor - fertig ;)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat