Ein Mehr an Sicherheit mit bleibenden Komfort möglich? (Quickconnect und v.m. ...)

[RasmusV]

Hallo Zusmamen,

meine Synology DS115 und ich kennen uns noch nicht all zu lange, haben aber schon viele sehr intensive Stunden miteinander verbracht. Doch so richtig kommen wir ohne weitere Hilfe nicht mehr voran und da kommt „Ihr“ (dieses Forum mit all seiner Kompetenz) ins Spiel.
Ich möchte den Nutzen und Komfort der DS möglichst vollumfänglich bei einem hohen Maß an Sicherheit ausschöpfen. Doch das scheint gar nicht so einfach zu sein!

Gerne möchte ich die Funktionen wie NoteStation, AudioStation und CloudStation zuhause, wie auch von Unterwegs und teilweise auch im Firmennetzwerk auf der Arbeit mit Desktops (Browser, Synology Cloud) und auch mit den mobilen Apps nutzen.

Am einfachsten ist der gesamte Funktionsumfang mit Quickconnect zu realisieren, doch ist mir die Funktionsweise unheimlich und erscheint mir auch nicht „sicher genug“. Stichwörter: Man-In-The-Middle, Portpunching, Relay-Server, Verbindungsgeschwindigkeit und was passiert da überhaupt???

Ist es möglich Quickconnect mit Restriktionen auszustatten?

• irgendwo direkt bei Quickconnect?
• mittels der DS Firewall?

Es sollte lediglich ein Zugriff auf die spezifischen oben angegebenen Funktionen ermöglicht werden. Ein absolutes NoGo ist der Zugriff auf den DSM Admin Account über Quickconnect. Es erscheint mir jedoch so, dass hier keinerlei Restriktionsmöglichkeiten vorhanden sind.

Nutzung eines dynDNS Anbieters und Weiterleitung der Ports

• funktioniert soweit und es können gezielt nur die gewünschten Funktionen über Internet erreicht werden
• Nachteilig:
  
  Es kann in den mobilen Apps wie auch in der Desktop Cloud „nur“ eine Adresse eingegeben werden. Es muss also sichergestellt sein, dass NAT-Loopback immer funktioniert und somit die schnellste Verbindung zur Verfügung steht. Wie kann ich das z.B. mit Teraceroute (tracert) prüfen?
  Im Firmennetz sind quasi keine Ports außer 80 offen. Das schließt die gewünschte Verwendung der Funktionen damit wieder aus​

Welche Lösungsvorschläge für einen sicheren Zugriff nur auf die gewünschten Funktionen mittels mobilen Apps und per Browser aus dem Firmennetzwerk könnt ihr euch vorstellen?

Ideal wäre eine Restriktion von Quickconnect lediglich auf die gewünschten Funktionen, was aber nicht möglich zu sein scheint?!


Ich hoffe, ich habe mit meinem Thema hier keine bereits umfänglich abgegrasten Fragestellungen wieder aufgerufen. Ich habe mich bereits mit Recherche Arbeiten durch die Themen dieses Forums bemüht:

QuickConnect-Alternative
Gezielte Freigabe von Dateien
Sicherheitsrisiko Quickconnect
Quickconnect Funktionsweise
Quickconnect Sicherheit
Und auch generelle Themen zu Sicherheit wie:
Firewall Einstellungen (GeoIP)


Freue mich auf Ideen und Vorschläge!
Beste Grüße und einen schönen Tag

Rasmus

 

[TheGardner]

Du gehst da dann doch bisschen zu ängstlich an die Sache ran! Grundsätzlich kannst Du alles machen, wenn Du die Sachen (welche Du nicht benötigst) über Router-Firewall und/oder DS-Firewall einfach ausschaltest!
Die Punkte, welche ich beachtet habe, sind folgende:

- der User admin ist deaktiviert und vorher wurde ein anderer User eingerichtet, welcher fortan als Admin fungiert!
- es sind in DS-Firewall und Router-Firewall nur die Dienste angeschalten/freigeschalten, welche auch nur benötigt werden
- dabei wurde Wert darauf gelegt, dass Services (wie SSH - Port 22) über Portweiterleitungen/-umleitungen nach außen hin eingerichtet sind! (Beispiel: der Port 22 ist aussen bei mir am Router ein anderer, so dass nur User, welche den jeweiligen Service benutzen wissen, welchen Port sie zu benutzen haben!
- die Automatische Blockierung ist eingeschaltet, so dass das System jede IP erstmal bannt, welche 3x in 3 Minuten nicht weiss, wie ihre richtigen Login Daten sind
- QuckConnect reicht eigentlich, ich hatte vorher aber schon einen DNS Namen (DDNS Weiterleitung/DYNDNS Account) so dass ich eher diesen aktiviert habe, als die QuickConnect Alternative

Alle Restriktionen sind bei mir auf der DS bzw. am Router eingerichtet! Aussenstehende Services (DynDNS/QickConnect) machen nur die Erreichbarkeit.
Im Endeffekt nutzen all diese Verschleierungen nichts, wenn Dein System nach außen hin offen ist und somit gehackt werden kann. Dieses Risiko bin ich mir bewusst - gehe es aber ein, weil mir sonst die ganze NAS/Synology Sache nichts nutzen würde.

 

[Puppetmaster]

Den 'admin' zu deaktivieren und einen anderen 'admin' aus dem Hut zu zaubern gehört aber zur security by obscurity.
Was soll daran sicherer sein als ein starkes Passwort?ImGegenteil: der Schein trügt ja, schließlich ist z.B. der Zugang per SSH über den root immer noch offen (wenn aktiviert, min. einmal im eigenen Netz), und dort ist das root Passwort immer noch das des deaktivierten admins ... Hier also doppelt Vorsicht!

Die Firewall der DS, was bringt die?
Allenfalls im eigenen Netz lassen sich damit Zugriffe unterbinden. Alles was nach "draussen" geht wird in der Firewall des Routers geregelt.

QuickConnect ist ein Ding, dem ich keine 10m traue, also nicht mal bis zur Haustüre.
Alles was du damit machst, und wenn es nur die Photos der PhotoStation sind, die man sich vom Nachbargebäude aus ansieht, geht erst einmal rund um den Globus und mindestens über Synologys eigene Server. In meinen Augen gebe ich damit von vornherein schon alles aus der Hand, was ich an Sicherheit ggf. aufbauen könnte.

Der Grundsatz bleibt: Bequemlichkeit und der Wunsch nach Komfort macht letztlich alles unsicher, denn Komfort und Sicherheit sind ewige Widersacher.
Die Frage ist immer, welchen Preis bin ich bereit zu zahlen für meine Bequemlichkeit, bzw. wie bequem bin ich denn?

 

[dil88]

Ich habe Berichte in Erinnerung von Leuten, die mit einem deaktivierten Admin und einem anderen User mit Adminrechten Probleme mit der DS hatten. Den Punkt würde ich mir auch gut überlegen.

 

[RasmusV]

Hallo und vielen Dank für Eure Antworten!

@The Gardner
Vermutlich ist es ein Konfigurationsfehler meinerseits, aber trotz üppiger Restriktionen in der DS Firewall kann ich mit Quickconnect sämtliche Dienste aufrufen. Entsprechend der hier (Quickconnect Whitepaper) beschriebenden Funktionsweise scheint sich Quickconnect immer einen Weg zu bahnen. Auch durch die eigene Firewall?

Einstellungen in der Firewall:

- trifft keine Regel zu alles verweigern
- Alle Funktionen nur über den IP Bereich meines LANs abrufbar
- Notestation nur über GeoIP Deutschland erreichbar

Trotzdem kann ich mich ohne Probleme mit Quickconnect im DSM Hauptmenü einwählen. Da somit auch immer ein Admin - ob das nun der Standart oder ein neuangelegter ist, ist egal - meines LANs aufrufbar ist, ist das für mich ein NoGo!

@Puppetmaster
Muss im wesentlichen Deinen Aussagen zustimmen. Die Arbeitsweise von Quickconnect ist "cool" aber erscheint mir als höchst problematisch im Bezug auf Sicherheit. Zwar gibt Synology an, dass sämtlicher Datentransfer über gesicherte Tunnel statt findet, doch insbesondere bei Nutzung des Relay-Servers habe ich ein ungutes Gefühl. Auch stört es mich, dass ich nicht weiß (oder gibt es da Möglichkeiten), wann welcher Weg gegangen wird (Direkt, Relay-Server).


Vermutlich führt es auf die Variante mit wenigen freigegebenen Ports für die Funktionen die ich über Internet nutzen möchte hinaus und so muss ich dann auf eine Nutzung bei der Arbeit verzichten. Oder Synology lässt zukünftig eine Bearbeitung des Quickconnect Service zu. Im Sinne von - Nutze niemals den Relay Server, Erlaube den Zugriff nur auf bestimmte Funktionen, verweigere den Admin Account, etc.

Besten Dank soweit! Bin weiterhin gespannt auf interessante Anregungen zu meinen Fragestellungen!

 

[dil88]

Vielleicht ist ja Matthieus QuickConnect-Alternative Tunn'l interessant.

 

[Tommes]

Gerne möchte ich die Funktionen wie NoteStation, AudioStation und CloudStation ... nutzen.
...
Im Firmennetz sind quasi keine Ports außer 80 offen.
...
Welche Lösungsvorschläge für einen sicheren Zugriff nur auf die gewünschten Funktionen mittels mobilen Apps und per Browser aus dem Firmennetzwerk könnt ihr euch vorstellen?

Ein sicherer Zugriff von Extern auf deine DS "nur" über Port 80 ist sowieso nicht möglich. Jedoch kann ich mir nicht vorstellen das nicht auch Port 443 , also https:// im Firmennetzwerk freigegben ist. Mit https:// wiederum kannst du natürlich schon mal ein hohes Maß an Sicherheit erzielen. Das würde ich jedoch über einen DDNS-Provider steuern und nicht über Quickconnect. Dumm ist halt, das du mit Port 443 nur einen der o.a. Dienste durch Portumbiegung erreichen kannst.

@Dil88
Ja, wenn der Standardadmin deaktiviert ist, gibt es oftmals Probleme mit 3rd_Party Anwendungen, da diese i.d.R. die Anwesenheit des Benutzers "admins" voraussetzen.

Ach ja: und Willkommen im Forum übrigens!

Tommes

 

[MadMarvin]

Oh, ein Sicherheitsthread, da will ich mich gleich mal einmischen :-D

Mal ein paar prinzipielle Überlegungen aufgrund Deiner Fragen oben. (Voll-)Zugriff per Browser aus dem Firmennetzwerk heraus, also nur auf Port 80 oder 443 und dann noch möglichst abgesichert wird es denke ich nicht geben und Löcher in das Firmennetzwerk zu reissen, oder die Restriktionen des Firmennetzwerkes zu umgehen würde ich nicht gehen, dies kann arbeitsrechtliche Konsequenzen nach sich ziehen.

Einfacher ist es da, von der Firma aus über das eigene Smartphone und das Mobilnetz auf die DS zuzugreifen, denn das eigene Smartphone hat man sicher eher im Griff und kann Verbindungen aufbauen als vom Firmennetzwerk aus, noch dazu ist es in eigener Gewalt.


Nun zu den Sicherheitsüberlegungen selber:
Für den Zugriff von unterwegs aus, sowohl über das Smartphone als auch den eigenen Laptop empfehle ich die Verwendung einer (sicheren) VPN-Verbindung. Ich persönlich nutze dafür Open-VPN, welches auf einem meiner Raspberry Pis läuft und verbinde mich vom Smartphone oder vom Laptop aus per VPN-Client ins Hausnetzwerk und kann dort nahezu genauso agieren, als wäre ich im Heimnetzwerk.
Ein paar Vorraussetzungen muss man schaffen, dass es funktioniert, aber wenn es erstmal funktioniert ist es einwandfrei.

Sicherheit bedeutet für mich:
1. Das man nur diejenigen Dienste nach ausserhalb anbietet, auf die auch zwingend von ausserhalb aus zugegriffen werden muss (z.B. Photostation mit externen)
Mittels VPN stelle ich nur einen Dienst nach ausserhalb zur Verfügung, den des VPN. Nutze ich beispielsweise NoteStation, AudioStation, ... ohne VPN muss ich diese einzelnen Dienste ebenfalls nach ausserhalb anbieten und jeder Dienst mehr stellt ein Risiko dar.
2. Das man keine eierlegende Wollmilchsau für alles einsetzt, sondern die sicherheitskritischen Applikationen trennt. Mein Open-VPN-Server ist deshalb auf einem Pi und nicht auf der Diskstation, da im Falle des Falles, wenn der VPN-Server kompromitiert wird nicht automatisch weiterer Zugriff besteht. D.h. hackt sich jemand in den VPN-Server auf meiner Diskstation, hat er die Diskstation in seiner Gewalt. Hackt sich jemand in den VPN-Server auf meinem Pi, muss er danach auch den Zugriff auf die Diskstation herstellen um sie in seine Gewalt zu bekommen.
3. Sichere Passworte verwenden (Heutzutage wo es Passwort-Safes an jeder Ecke gibt, muss man nicht mal erratbare Passworte verwenden).
4. Software stets aktualisieren


Firewalls, heisses Thema, zumindest in Routern, denn die meisten DSL-Router besitzen garkeine Firewall, sondern lassen Zugriffe nach innen einfach nicht durch, was eine Funktionalität von NAT ist. Charakter dieser "Firewalls" ist es, dass man immer von Innen nach draussen kommt, deshalb funktioniert Quickconnect auch so gut. Bei einer echten Firewall müsstest Du auch den Zugriff von Innen nach Aussen regeln. Sicherheitstechnisch besser, aber umständlicher zu handhaben und einzurichten.

Hab ich was vergessen?

 

[Puppetmaster]

VPN kontra Bequemlichkeit

Erkläre mal der Verwandschaft, dass sie ein VPN ausetzen sollen um sich die Bilder in deiner PhotoStation anzusehen.

 

[MadMarvin]

VPN kontra Bequemlichkeit

Erkläre mal der Verwandschaft, dass sie ein VPN ausetzen sollen um sich die Bilder in deiner PhotoStation anzusehen.

Das kommt jetzt natürlich darauf an.
Wenn die Verwandtschaft sich mit IT auskennt

Nein, ernsthaft, es kommt darauf an, ob man die Diskstation selber nutzt, also nur man selber auf die Photostation zugreift, oder ob man auch anderen, Leuten die weniger IT-affin sind, den Zugriff geben will.

Die Photostation ist hier ein gutes Beispiel. Shared man Fotos mit externen, so wäre dies für mich ein Dienst, den ich nach ausserhalb hin anbieten würde. Dann aber nur über verschlüsselte Verbindungen, d.h. über https mit offiziellem Zertifikat und über sichere Passworte und ich würde die Benutzerkontenverwaltung der Photostation nicht über DSM-Konten machen.

Will ich das ganze jetzt noch sicherer haben, um z.B. zu verhindern, dass über eine unsichere Photostation jemand Zugriff auf meine sensiblen Daten erreichen könnte, so muss ich mir überlegen, ob ich die Photostation nicht auf einer extra DS laufen lasse, auf der meine sensiblen Daten nichts zu suchen haben.

Nutze ich den Dienst der Photostation nur für mich, so reicht es wenn ich den Zugriff über eine VPN-Verbindung herstelle.

 

[Puppetmaster]

...und dann bleiben immer noch die Netze, die erst gar kein VPN zulassen. Das erlebe ich z.B. recht häufig in Hotels.

 

[heavy]

Oder die T-Hotspots (MC-D. und co) dort kann man nur ein Vpn zwischen dem Telekom Router und dem PC aufbauen nicht aber ins eigene Netz. Trotzdem würde ich auch VPN vorziehen. Aber auch ich habe einige Dienste freigegeben über normale Portweiterleitung.

 

[Puppetmaster]

Die Diskussion ist ja: Sicherheit kontra Komfort. Klar würde ich auch ein VPN vorziehen, es ist halt nur manchmal schlichtweg nicht möglich. ;-)

 

[Ameisentaetowierer]

Die erste Frage, die ich mir stelle:
Was ist mir die Photostation wert, dass ich damit u. U. auch die Sicherheit anderer Daten auf der DS gefährdet?
So ein PI tuts auch für Fotos, oder eine externe Webseite bzw. ein externes Fotoalbum.
Oder ... eine zweite DS?
Imho sollte man sein Datengrab nicht direkt mit dem Internet koppeln, nur damit ein dritter irgendwelche Fotos schauen kann.

 

[raymond]

Die Synologys kann man schon sehr sicher einrichten: https://www.synology.com/de-de/knowledgebase/tutorials/615
Regelmäßig checken und aktualisieren: https://www.synology.com/de-de/support/security

VPN gibts auch noch.

 

[Puppetmaster]

@raymond: du musst schon den ganzen Thread lesen... ;-)

 

[RasmusV]

Vielen Dank für die vielen anregenden Antworten!

Ich denke es läuft darauf hinaus, dass ich mich von der gemeinsamen Verwendung der Diskstation als Backup-NAS (Datengrab) der heimischen Rechner und der Nutzung als Server für Webdienste verabschiede / verabschieden muss.

Die DS wird somit explizit für die gewünschten Funktionen dienen und "unsensible" Daten enthalten (Musik, ausgewählte Fotos und Pipapo). Auf Quickconnect werde ich aus mehreren Gründen trotz hohen Komforts wohl verzichten. Einerseits da ich das Sicherheitssystem der Firma nicht kompromittieren will und andrerseits da es eben keine Restriktionen zulässt. Ich muss dann schauen, ob ich ein paar Ports für die gewünschten Funktionen finde oder eben auf den Zugriff von der Arbeit aus verzichte.
Als Datengrab wird dann weiterhin eine externe Festplatte dienen die keinerlei Verbindungen zum Internet aufweist. Die Anschaffung einer zweiten DS als reinen Backup Server im LAN, sehe ich als zu teuer an.

Wenn nur der spezifische Port für z.B. Notestation freigegeben ist, dann ist doch auch nur der Zugriff auf Notestation von außerhalb möglich, oder? Bzw. sollte es so sein?

Viele Grüße und besten Dank!

 

[MadMarvin]

...und dann bleiben immer noch die Netze, die erst gar kein VPN zulassen. Das erlebe ich z.B. recht häufig in Hotels.

Ehrlich gesagt habe ich das noch nie erlebt, kann das "recht häufig" in meiner eigenen Stichprobe also nicht bestätigen.

Meine Hotelnutzung beschränkt sich zu 95% auf Dienstreisen, wo ich relativ häufig den VPN-Zugang zum Firmennetz brauche und dieser hat bis jetzt immer funktioniert.

 

[MadMarvin]

Wenn nur der spezifische Port für z.B. Notestation freigegeben ist, dann ist doch auch nur der Zugriff auf Notestation von außerhalb möglich, oder? Bzw. sollte es so sein?

Ein ganz klares Jaein.

Wenn alle Webdienste sicher wären, dann wäre das so, dass man nur auf die Notestation zugreifen kann.

Wenn aber über fehlerhaften Code der Angreifer Zugriff auf Dein Dateisystem bekommt und z.B. beliebige Systemkommandos abgeben kann, gefährdet er auch die anderen Daten, welche nicht zur Notestation gehören.

 

[Puppetmaster]

Ehrlich gesagt habe ich das noch nie erlebt, kann das "recht häufig" in meiner eigenen Stichprobe also nicht bestätigen.

Hängt vielleicht auch vom Protokoll ab. Meine Stichproben beziehen sich da zu 80% auf PPTP. Ja, ich weiß auch, dass PPTP prinzipiell unsicher ist, dennoch ist es m.E. sicher genug um an meine privaten, nicht lebensbedrohlichen Daten heranzukommen.
Und PPTP bedeutet immer noch einiges mehr an Komfort (gerade bei Einrichtung) als andere Protokolle, zumindest, wenn man mit Win unterwegs ist.

Aber das Thema kann man ja episch breit diskutieren...