DSM 7.2 DSM Sicherheit bei zugriff aus dem Internet?

[hintzsche]

Was? Das musst du genauer erklären. Einen Port freischalten obwohl kein Dienst dazu läuft? . Oder was willst du mir sagen? Oderläuft dann HTTPS statt auf 443 auf 445? Ja und was macht das für einen Unterschied auf welchen Port HTTPS läuft. Was genau meinst du denn? Oder meinst du DSM installiert einfach ohne mein Wissen einen Dienst?

 

[Jim_OS]

Eine Lücke in DSM kann bei jedem ausgenutzt werden der auf seine Diskstation via Internet zugreift.

Eben nicht, sprich man kann das Risiko minimieren/reduzieren wenn man es anders macht und nicht das NAS per Exposed Host ins WAN stellt. Aber Du hast ja jetzt schon etliche Meinungen dazu gelesen und hier im Forum gibt es zu dem Thema Sicherheit ja auch schon etliche Dskussionen und Anleitungen. Was Du dann machst muss Du - wie schon gesagt - selber wissen. Edit: Daher ist für mich das Thema hier abgeschlossen.

VG Jim

 

[hintzsche]

Normal kein Problem , da ja die Ports nicht erreichbar sind, aber da bei dir alles offensteht wie ein Scheunentor

Ich mache das gleiche bei DSM was ich sonst im Router einstellen würde wo ist der Unterschied? ES gibt bestimmt auch Fälle wo das im Router genauso war das der Plötzlich andere Ports frei geschaltet hat. Das ist doch nicht auf DSM beschränkt.

@alexhell. Genau umgedreht. Wenn du eine URL laufen hast kann jeder Portscanning auf deine IP machen. Spielt keine Rolle das du eine URL hast die auf deine IP verweist. Sobald deine IP im Netz Dienste anbietet ist sie angreifbar.

@Jim-OS Als Beispiel? Also ich nutze für meine DSM auch eine subdomain als Zugriff welche mit einem SSL Zertifikat geschützt ist.

 

[Monacum]

Ich öffne einfach nur Ports wenn absolut notwendig und spare mir dafür das regelmäßige Scannen irgendwelcher Protokolle, da hab ich besseres zu tun

 

[alexhell]

Ein Router wurde genau dafür entwickelt. Also auch die Software, dass die direkt im Internet häng. DSM nicht. Die Software wird wahrscheinlich auch nicht so extrem gut getestet sein für die Angriffe.

 

[hintzsche]

Ein Router wurde genau dafür entwickelt. Also auch die Software, dass die direkt im Internet häng. DSM nicht. Die Software wird wahrscheinlich auch nicht so extrem gut getestet sein für die Angriffe.

Das ist richtig aber es greift ja niemand deinen Router an. Das gibts sicher auch. Sondern deine IP welche auf einen offenen Port auf deinem Server verweist welche den Dienst Hostet und du hast ja deinem Router gesagt er soll allen Traffic zu diesem Dienst zulassen, sonst würde der Dienst ja nicht funktionieren. Was bedeutet dein Gerät hinter dem Router wird angegriffen und der Router lässt es durch. Darum gibt es dafür Einstellungen auf dem Gerät welches im WAN hängt. Router greift man an um auf WORKGROUPS in einem LAN zu kommen auf die man übers Internet in der Regel keinen Zugriff hat.

Ich öffne einfach nur Ports wenn absolut notwendig und spare mir dafür das regelmäßige Scannen irgendwelcher Protokolle, da hab ich besseres zu tun

Ich habe auch nur Ports bzw. Dienste am laufen die ich brauche.

Also ich habe noch mal zu Sicherheit von Servern im Internet nachgelesen, die auch auf Linux basis laufen. Da gibt 4 Punkte und die halte ich ein. Meine DSM Server ist damit genauso sicher wie ein Internet Server bzw genauso unsicher.

1. Ändern Sie den Standard-SSH-Port Ihres Servers = SSH läuft bei mir nicht!
2. Verhindern Sie den Root-Login = SSH läuft bei mir nicht.
3. Erstellen Sie einen RSA-Schlüssel für die Anmeldung an Ihrem Server = SSH läuft bei mir nicht
4. Blockieren Sie verdächtige IP-Adressen = Ist in DSM so eingestellt.

 

[metalworker]

Also wenn ich ein Angreifer wäre , und ich durch ein ZeroDay Exploit zugriff auf deine DS hätte, dann würde ich mich einfach im Hintergrund einen Dienst öffnen . Er wäre dann sofort von außen erreichbar , und du würdest es nicht merken.


Aber du hast uns immernoch nicht gesagt warum du es so machst?

Meine du hörst ja hier schon die Meinungen . Gibt es denn einen guten Grund das so zu tun wie du es machst?

 

[Synchrotron]

Also, kann halt jeder machen wie er will. Des Menschen Wille ist sein Himmelreich, das lese ich aus den vorgetragenen Argumenten.

An alle anderen Leser dieses Threads gerichtet: Wie schon von meinen Mitforisten vorgetragen, keinesfalls zur Nachahmung empfohlen !

Schotten dicht, und je weiter außen ich einen Zugang kontrolliere und ggf. abweise, um so besser.

Wer eine DS „exposed“ fahren möchte, soll sich bitte dazu eine DMZ einrichten, statt dauerhaft „Tag der offenen Tür“ im Heimnetz zu veranstalten.

 

[Ulfhednir]

Ich mache das gleiche bei DSM was ich sonst im Router einstellen würde wo ist der Unterschied?

Ich hätte eigentlich gedacht, dass man nach der Ganzen Log4j-Sache etwas sensibler mit dem Thema IT-Security umgeht.
Der Unterschied ist doch ganz klar: Auf deinem NAS laufen etliche Hintergrunddienste. Gibt es für einen dieser Dienste einen Zero-Day-Exploit, bist du im schlimmsten Fall am Arsch. Ich beschreibe dir mal ein vollkommen abstraktes Szenario:
Ein Hacker schafft es über einen Exploit, ohne konkreten Zugriff den SSH-Dienst zu aktivieren. Auf diesem aufbauend und weil SSH nun über den Exposed Host offen steht, bruteforeced er deine Zugangsdaten und übernimmt dein Gerät.
Oder - Synology verkackt einfach ein Update und schrottet die dabei die eigene Firewall.. Im schlimmsten Fall kriegst du den Befall erst dann mit, wenn deine Daten bereits verschlüsselt sind.

Es gibt nicht umsonst Sicherheitskonzepte, wie die Verwendung einer DMZ und Co.

 

[hintzsche]

Genau alles richtig. Und diese Zero Day Exploits gehen auch wenn die Firewall des Routers davor ist. Ich muss doch Zugriff für Internet zulassen!!! Solange es Zugriff gibt spielt es keine Rolle ob ein Router davor ist. ES spielt auch keine Rolle ob dies Firewall im DSM an ist. Diese muss auch den Zugriff für die Dienste zulassen damit sie funktionieren. Die Firewall schützt Diente die nicht im Internet stehen sollen. Alles was ich Freigebe egal ob die Firewall läuft oder nicht kann angegriffen werden. Und die Firewall in meinem Router läuft sie klammert nur die DSM aus. So und auf meinem DSM läuft kein Dienst der nicht im WAN laufen soll. Der Zero Day Exploit den es dann Betrifft muss einen laufenden Dienst betreffen. Ok wenn der nicht ins Netz soll dann läuft der bei mir nicht oder wird durch eine Firewall geschützt. Wenn der Exploit aber einen Dienst betrifft der eh im Netz ist dann lässt die Firewall den Traffic ja eh ungeschützt durch.

 

[Jim_OS]

Aber du hast uns immernoch nicht gesagt warum du es so machst?

Ich wollte ja eigentlich nichts mehr dazu schreiben, aber die Frage kann ich anhand eines alten Beitrags von hintzsche vermutlich beantworten.

​

Da ich die Synology auch für meine Familie zur verfügung stellen will. Laufen soll Drive mit Office, Audiostation, Calendar, Contacts, Photos und Chat. ... Also ich rechne mit 10 bis 15 Mann. Also Schwager Schwägerin Kinder Eltern Schwiegereltern.​

Ich vermute es geht daher in Richtung "Arbeitserleichterung". So nun bin ich hier aber wirklich raus.

VG Jim

 

[alexhell]

Die Zero Days gehen nur, wenn man die DSM von außen erreichen kann. Wenn ich das Beispiel von mir oben aufgreife. Wenn ich dsm.example.de für die DSM Oberfläche habe dann muss der Angreifer auch die kennen. Woher kennt er denn die URL? Die IP alleine bringt ihm nix, weil er dann nicht auf der DS landet.

Und du hast immer noch nicht gesagt WIESO machst du das? Welchen Vorteil siehst du darin?

 

[hintzsche]

Die Zero Days gehen nur, wenn man die DSM von außen erreichen kann. Wenn ich das Beispiel von mir oben aufgreife. Wenn ich dsm.example.de für die DSM Oberfläche habe dann muss der Angreifer auch die kennen. Woher kennt er denn die URL? Die IP alleine bringt ihm nix, weil er dann nicht auf der DS landet.

Und du hast immer noch nicht gesagt WIESO machst du das? Welchen Vorteil siehst du darin?

Also es gibt so einige Sachen zum einen Das Plug and Play nicht vernünftig mit der Fritz!Box funktioniert und dann immer Fehlermeldungen kommen wie es konnten nicht alle Ports angewendet werden etc, und auch error mit dem Alexa Skill.

Was die Sache mit der URL angeht. Wenn ich deine IP im Netz finde, muss ich doch nur nach offenen Ports scannen und auf allen offenen Ports das https Protokoll anwenden dann komme ich irgendwann auf deine Weboberfläche sollte eine vorhanden sein. Und wenn du dann einen guten Benutzernamen und ein Starkes Passwort hast kann ich guessen bis ich tot bin und komme nicht rein es sei den es gibt ein HTTPS Exploit.

 

[alexhell]

Bei mir ist aber nur Port 443 auf. Alle Anwendungen laufen auf 443. Es gibt keine anderen offenen Ports. Daher ja die Frage wie du das finden willst.

 

[metalworker]

du sagst doch immer das du nur einen Port offen hast,
da müsstest also nur einigen einzigen umleiten.

Und nun geht das nicht wegen Plug and Player der Fritzbox?

 

[hintzsche]

Und wenn ich bei deiner IP HTTPS auf Port 443 anwende reagiert der Webserver nicht? Weil dann ist es ja Anwendungsgesteuert. Wenn der Browser IP:443 aufruft sollte dann nicht die Weboberfläche gesendet werden? Ober wie unterscheidet dein Server ob ich die IP direkt eingebe oder ob ich die von einem DNS genannt bekomme? Weil ich mache das genauso und bei mir gibt es keinen unterschied ob ich Url: Port eingebe oder IP: Port eingebe.

 

[maxblank]

Vielleicht betreibt @hintzsche als Hobby einen Honeypot?

 

[hintzsche]

du sagst doch immer das du nur einen Port offen hast,
da müsstest also nur einigen einzigen umleiten.

Und nun geht das nicht wegen Plug and Player der Fritzbox?

Ich habe nicht gesagt ich habe nur einen Port offen. Wo habe ich das geschrieben? Ich sagte bei mir laufen nur die Dienste die ich brauche.

Vielleicht betreibt @hintzsche als Hobby einen Honeypot?

Vielleicht

 

[alexhell]

Wenn der Browser IP:443 aufruft sollte dann nicht die Weboberfläche gesendet werden? Ober wie unterscheidet dein Server ob ich die IP direkt eingebe oder ob ich die von einem DNS genannt bekomme?

Ich sagte doch, dass ich einen Reverse Proxy einsetze. Wenn du die genaue URL eingibst, dann wird die UI angezeigt. In allen anderen Fällen kommt nichts. Einfach nur eine weiße Seite. Bei mir landest du auch nicht auf der NAS sondern auf einer Anwendung die im Docker in einer VM läuft. Alles was nicht im Reverse Proxy explizit freigegeben wird ist nicht erreichbar.

 

[plang.pl]

dann komme ich irgendwann auf deine Weboberfläche

Wenn auf 443 nur ein RP lauscht und so konfiguriert ist, dass er keine Website serviert, sondern nur auf Hostnamen lauscht, kommst du nur mit der IP eben nicht auf die Web UI