DSM 7.1 DSM Hack?

[L.K]

Guten Abend

Wie wahrscheinlich ist es denn eigentlich das ein Synology NAS mit aktueller DSM Version, deaktiviertem Admin, sicherem Passwort, 2FA und mit allen möglichen Sicherheitsfeatures, welche man aktivieren kann, gehackt wird, sodass man an die Daten darauf kommt?

Was muss alles überwunden werden damit man an die Daten dort kommt? Gibt es eventuell noch andere Schwachstellen, um das NAS sicherer zu machen? Sind dort Sachen wie Firmendokumente oder der gescannte Personalausweis sicher?

 

[EDvonSchleck]

Gegen eine Zero-Day-Lücke könnte man schlechte Karten haben. Auch Verschlüsselungen gab es schon.

Um die Sicherheit zu erhöhen, solltest du keine Standardports verwenden, die richtige Einstellung der Firewall und das IP-Block-Script (bedanken im Thread nicht vergessen!) von @geimist.

Dazu kommt die regelmäßige Pflege und Updates. Wenn es geht, so wenige Ports wie möglich zu öffnen. Über den Port 433 kannst du alles bedenkenlos laufen lassen und unterschiedliche Dienste mit einer Subdomain ansprechen. Zertifikate natürlich nicht vergessen und auch nicht das aktualisieren.

Um die Zertifikate automatisiert immer aktuell zu haben, kannst du acme.sh verwenden. Wenn man wills kann an seine Domain noch über Cloudflare laufen lassen (DDoS).

Sicherheitslücken gibt es immer wieder. Aktuell ist davon Western Digital betroffen. Also auch große IT Firmen machen nicht immer alles besser und 100% Schutz wird es nicht geben.

Eine Alternative wäre noch ein VPN, was aber auch Sicherheitslücken im Code enthalten kann. Das war übrigens bei OpenVPN aufgrund der Größe (Code) schon lange nicht mehr ausgeschlossen.

 

[L.K]

Danke erstmal, wie wahrscheinlich sind denn überhaupt Hackerangriffe auf private Server, wo jemand dann an die Daten möchte und sich diese zieht, um damit Scheiße zu bauen?

Ich habe in der Vergangenheit oft sensible Daten, oder Backups von PCs mit sensiblen Daten, auf dem NAS gehabt, aber diese mittlerweile wegen Sicherheitsbedenken auf eine offline Platte gezogen, meinst du sie könnten im Netz kursieren oder kann ich sie bedenkenlos wieder auf unser NAS speichern?

 

[AndiHeitzer]

Du kannst immer davon ausgehen, das sich jemand 'austoben' möchte.
Ob demjenigen sofort klar ist, ob er auf einer privaten Kiste landet oder auf einer 'Kiste einer grossen/interressanten Firma', wirst Du nicht erkennen können.
Von daher, deine Frage wird Dir keiner zielgenau beantworten können.

 

[EDvonSchleck]

Ich denke ja, wenn alle Register und Vorsichtsmaßnahmen gezogen sind, auch deine externe HDD kann geklaut werden. Garantieren wird dir das aber keiner.

Beachte aber, dass nicht unbedingt die DS gehackt werden muss. Ein IoT gerät oder billige nicht gewartete China-Gimmicks können viel gefährlicher sein und Daten oder ähnliches abgreifen. Dein Netz ist nur so gut wie das schwächste Glied.

 

[L.K]

Dann werd ich mich mal definitiv dort einlesen und mich mal umschauen, würden manche Daten ins Netz gelangen wäre das echt Fatal.

Welche Sicherheitsmaßnahmen kann man denn zusätzlich noch umsetzen?

 

[EDvonSchleck]

Keine IT nutzen und auf Papier und Bleistift umschwenken. Alle Möglichkeiten hast du bereits bekommen.

 

[Synchrotron]

Die meisten erfolgreichen Angriffe erfolgen von innen, aus dem eigenen Netzwerk heraus. Phishing-Attacken sind inzwischen so professionell aufgezogen, dass die früheren Ansätze wie „achte auf Rechtschreibfehler, und vertrauen keinen nigerianischen Prinzen“ nicht mehr viel bringen.

Häufig wird als erstes einen Windows-PC übernommen. Die aus dem eigenen Netz zunehmen, und durch Linux-PCs oder Macs zu ersetzen, schließt schon mal viele Angriffsvektoren. Es kann sein, dass in Zukunft auch auf Linux oder Macs zielende Schadsoftware entwickelt wird. Aber aktuell läuft es eigentlich immer darauf hinaus, einen Windows-PC zu übernehmen, und von dort höherwertige Rechte eines Rechner- oder sogar Netzwerkadmins zu erlangen.

Das kann man für sich selbst ja abstellen. Praktisch jeder Windows-Rechner kann auf Linux umgestellt werden. Oder wenn man das „Alles aus einer Hand“ haben will, dann eben einen Mac.

Der zweite Ansatz ist auf der DS selbst. Jeder zusätzliche Dienst schafft eine weitere Angriffsfläche. Also statt möglichst viel auf die DS zu packen, lieber möglich viel deinstallieren. Aktive Programme besser auf einem zusätzlichen kleinen Netzwerkserver ausführen, und die DS auf die Bereitstellung von Daten fokussieren.

Der dritte wichtige Ansatz ist ein automatisiertes, gut geschütztes Backup.

 

[peterhoffmann]

Was ich bei solchen Diskussionen immer wieder vermisse, ist die Datensparsamkeit. Nicht mehr benötigte Daten sollten zeitnah gelöscht werden. Echte 100% sicher sind nicht vorhandene Daten.

Es hilft auch sich abseits ausgetretener Pfade zu bewegen, z.B. durch hohe Ports. Nicht wirklich ein Sicherheitsfeature, aber man wendet damit 97,482 % aller Scanversuche ab, da diese nach den üblichen Ports scannen.

Und das größte Datenrisiko findet man fast immer 80cm vor dem Bildschirm .
Das eigene (Fehl)Verhalten ist für 96,3847 % aller Probleme verantwortlich.

Alle Prozentsätze sind hochwissenschaftlich und äußerst zuverlässig mit meinem Bauchgefühl ermittelt und mehrfach damit abgeglichen worden. Für die Richtigkeit kann ich meine dritte Hand ins Feuer legen.

 

[Thorfinn]

Dann werd ich mich mal definitiv dort einlesen und mich mal umschauen, würden manche Daten ins Netz gelangen wäre das echt Fatal.

Welche Sicherheitsmaßnahmen kann man denn zusätzlich noch umsetzen?

Lese NATO Security Policy (C-M(2002)49) Enclosure F.
Wenn du dann das Regelwerk für die Geheimhaltungsstufe "Streng Geheim / Très Secret / Cosmic Top Secret" anlegst, bist du so gut wie das Beste das wir kennen. (Wie die anderen das machen, wissen wir nicht)