DSM 6.x und darunter Externer Zugriff - Sicherheit

[ThaShakal]

Hey Synologer,

ich hab derzeit die folgenden NAS im Einsatz:

1 x DS920+ ( 4 x 8TB - Raid 5)
1 x DS220J (2x 6 TB - Raid 1) Cloud & Synology Photos
1 x DS215J ( 1 x 750GB SSD,1 x 6TB) rsync-Nas für das DS220J

Ich würde sehr gerne nur mein DS920+ für die Cloud & Synology Photos verwenden.

Nun ist meine Frage wie sicher das ganze mit dem dementsprechenden Passwort,https u.dgl ist.

Auf diese Nas würden sich auch sensible Dokumente usw befinden.

Sollten diese dann lieber wo anders gelagert sein falls es zu einem Security-Breach käme ?

Eine Sicherung der Dokumente existiert natürlich bereits - aber es geht darum das diese nicht Öffentlich werden.

Danke schon mal im voraus für jeden Tipp,Hinweis und Unterstützung im dieser Sache.

 

[Thonav]

Sollte alles problemlos machbar sein.
Die sensiblen Daten sollen auch von außen erreichbar sein? Wieviele sollen zugreifen?
Die Cloud soll was für Daten enthalten? Photo ist auch kein Problem.
Schon mal eingelesen zu den Themen verschlüsselte Ordner (für die sensiblen Daten), 2-fach Authentifizierung, VPN und DynDNS?

 

[EDvonSchleck]

Betrifft die externe Verbindung nur Mitglieder innerhalb der Familie, die bereits Zugang zur DS/Netzwerk haben oder auch Freunde und Bekannte außerhalb?
Welchen Router nutzt du?
Was für einen Anschluss besitzt du (IPv4/v6)?
Hast du eine Domain oder willst du es über eine DynDNS Dienst laufen lassen?

 

[ComputerNope]

Zur Sicherung ist einiges möglich.
Gute Voraussetzung aus meiner Sicht sind mindestens:
- nur über https, nur notwendige Freigaben und wenn möglich auch Reverse-Proxy
- Einsatz von 2-fach Authentifizierung
- Einschaltung von Geoblocking
- Für den Fall der Fälle immer mehrere Backups haben

VPN ist nochmal eine Stufe besser. Meine Erfahrung im Rahmen der Familie: Einsatz von VPN ist nicht praxistauglich (Da muss ich ja jedes mal vorher was einschalten ). Für uns, die sich mit dem Thema intensiver beschäftigen, weniger ein Hindernis.

 

[alexhell]

Ich weiß nicht genau, ob es mit iOS auch so leicht geht, aber bei Android könnte man das mit Tasker sehr leicht lösen. Wenn man nicht mehr im eigenen WLAN ist, dann soll er automatisch eine VPN Verbindung herstellen. Das funktioniert bei mir super. Ich nutze Wireguard auf der Fritzbox und Android.

 

[Stationary]

Ich weiß nicht genau, ob es mit iOS auch so leicht geht

Das ist bei iOS eine in der Wireguard-App integrierte Funktion. Man definiert ein always-on VPN in Wireguard und legt das/die Heimnetzwerk/e als Ausnahmen fest. So schaltet sich das VPN ab, wenn man nach Hause kommt und geht automatisch an, sobald über LTE oder in nicht ausgenommenen WLANs gearbeitet wird.

 

[Stationary]

Meine Erfahrung im Rahmen der Familie: Einsatz von VPN ist nicht praxistauglich

VPN ist im Rahmen einer Familie komplett praxistauglich. Auch schon vor Fritzbox mit Wireguard. Ein VPN einschalten konnte sogar meine 80-jährige Mutter auf ihrem iPad (inzwischen haben wir LAN-LAN-Kopplung eingerichtet), das war nie ein Problem.

 

[ComputerNope]

VPN ist im Rahmen einer Familie komplett praxistauglich.

Wie gut, dass ich oben geschrieben habe, dass es meine Erfahrung ist.
Erfreue dich darüber, dass deine Familie das kann, auch die 80-jährige Mutter. Dem pauschalen Satz entnehme ich, dass meine Familie es auf Grund von Faulheit / Doofheit nicht kann und abseits jeglicher Praxis arbeitet. Macht aber nix.

Ich möchte aber auch gar nicht weiter darüber streiten, sonst endet dieser Beitrag am Ende wie viele in Foren, dass spätestens auf der 2. Seite eine Betrages sich angemeckert wird. Lassen wir es einfach.

 

[Stationary]

Dem pauschalen Satz entnehme ich, dass meine Familie es auf Grund von Faulheit / Doofheit nicht kann und abseits jeglicher Praxis arbeitet. Macht aber nix.

Das war zwar nicht der Hintergedanke, den ich hatte (ich Deine Aussage viel allgemeiner interpretiert), aber wenn Du das so auslegst, wirst Du Deine Gründe haben.

 

[ComputerNope]

Meine Gründe sind im Teenie-Alter und alles, was nicht von alleine geht und der Vatter fragt: "macht doch das bitte mal so, ist sicherer" ist uncool und nicht intuitiv. Ich könnte mit VPN prima leben, nutze es auch für meinen Account und ist überall eingerichtet. Alle anderen habe ich versucht so gut wie möglich abzusichern.
Eigentlich sind wir damit ja beim Thema: Man kann viel machen für die Sicherheit. Was später umsetzbar, praktikabel und auch gemacht wird, ist eine andere Sache

 

[Thonav]

Verschlüsselte Verbindung, gesetzte und gut konfigurierte Firewall, ausgesuchte Portweiterleitungen und sichere Zugangsdaten sollten da schon sehr sicher und für den Bedarf ausreichend sein. VPN schadet sicherlich nicht, kenne aber selber auch die Teenie-isten. Warum habe ich eigentlich eine Sammlung von zig hundert wunderbaren Musikalben? Wenn ich die Knaller frage, kommt eh - mach Spotify an...
Testament wurde schon geändert!

 

[EDvonSchleck]

Wenn ich die Knaller frage, kommt eh - mach Spotify an...
Testament wurde schon geändert!

Ja, mit der letzten Generation ist nicht mehr viel los. Zum Glück ist es die „letzte“. Eine noch schlimmere wäre nicht mehr zu ertragen.

 

[Stationary]

Meine Gründe sind im Teenie-Alter und alles, was nicht von alleine geht und der Vatter fragt: "macht doch das bitte mal so, ist sicherer" ist uncool und nicht intuitiv.

Da würde Dir dann Wireguard auf der Fritzbox wirklich helfen. Das geht in iOS beispielsweise ohne jegliches Zutun meinerseits. Einmal eingerichtet schaltet es sich je nach Bedarf (sprich: Netzwerk) automatisch ein und aus, s. Post oben.
Die “on demand”-Schaltung ist wirklich praktisch:

Wechselt dann von grün auf gelb, wenn man in einem als Heimnetzwerk deklarierten Netz ist.

 

[ComputerNope]

Ok, soweit ich weiß, wird das mit der neuen Firmware der Fritzbox angeboten. Werde ich testen, ist noch nicht installiert. Dafür müsste ich ja mal kurz den Router neu starten und die Kids haben für 10 Minuten kein Internet
Danke für den Hinweis.

 

[Stationary]

Nebenffekt ist: Du bist überall so gut wie werbefrei, wenn Du zu Hause einen Pi-Hole am Laufen hast, weil dann über VPN auch automatisch alles über das Pi-Hole läuft. Auch die Blocklisten für die Kinder würden dann von unterwegs noch greifen.

 

[EDvonSchleck]

Schade, dass es diese Funktion nicht für Android gibt. Man kann zwar Tasker oder Automate nutzen, aber ich bin kein Freund für jeden Sche*ß eine App zu installieren. Mein Applauncher ist eine halbe Seite lang und ich bin immer überrascht, wenn andere durch die Apps scrollen wie durch ein Buch als ob es ein Backup vom Store sein soll.

 

[hulukas]

Hallo zusammen,
ich stehe vor der gleichen Herausforderung. Ich möchte alle PCs und Smartphones meines Familienkreises (alle nicht im Heim-Netzwerk) über Synology Drive sichern (720+) und dabei so wenig wie möglich Aufwand bei den einzelnen Familienmitgliedern auslösen (das kommt sonst alles wie ein Bumerang zurück ;-)

Auf der NAS befinden sich natürlich mehr oder weniger sensible Daten. Die Sicherheitsvorkehrungen aus Beitrag #4 hab ich selbstverständlich alle angewandt (wenn ich Reverse-Proxy richtig verstanden habe: (am besten 5-stelliger) Außenport wird über den Router an 5001 weitergeleitet?)

Ich verstehe nur nicht genau, wo jetzt die Gefahr, speziell bei einer Synology, liegt. Liest man einzelne Beiträge dazu, ist ein geöffneter Port quasi instant "gehackt", alle Daten sind gestohlen oder verschlüsselt und deswegen sind alle Zugriffe von extern ohne VPN absolut unsicher.

Als Laie leuchtet mir ein, dass eine Schwachstelle natürlich das Erbeuten oder Erraten von Login-Daten ist. Ist es der Admin-Account, liegen alle Daten offen, das ist klar.
Aber wie realistisch ist das bei https, 2-FA und langem PW und geändertem Admin-Namen?
Und was ist, wenn ein Benutzer mit eingeschränkten Rechten und Ordnerfreigaben gehackt werden würde. Könnte der Hacker alle anderen Daten auch sichtbar machen, oder nur die "eigenen" Freigegebenen? Hilft die interne Synology Verschlüsselung weiter, oder hilft diese nur gegen physischen Diebstahl?
Gibt es andere Angriffsformen, welche nicht in diese Login-Kategorie fallen? Und wie realistisch wären diese Szenarien.

Vllt. könnt ihr mir da bitte ein bisschen Klarheit verschaffen. Ich weiß einfach nicht welche Möglichkeiten ein Hacker hier hat und welche Schwachstellen es noch geben könnte.
Die Antworten helfen dann sicher dem TE ebenfalls das Risiko besser abzuschätzen.

Danke euch!

 

[EDvonSchleck]

Aber wie realistisch ist das bei https, 2-FA und langem PW und geändertem Admin-Namen?

Wenn du ein gutes Passwort, 2FA, Admin Namen, Firewall, Ports, SSL und die Dienste aktivierst, welche du nur benötigst, bist du schon gut aufgestellt.
Das kannst du aber noch weiter verbessern, wenn dein DNS Anbieter noch DDoS/Botangriffe filtert und eine IP-Block-List genutzt wird.

Und was ist, wenn ein Benutzer mit eingeschränkten Rechten und Ordnerfreigaben gehackt werden würde. Könnte der Hacker alle anderen Daten auch sichtbar machen, oder nur die "eigenen" Freigegebenen?

Es ist theoretisch möglich, über einen eingeschränkten User auch an eine Softwarelücke auszunutzen. Generell muss erst einmal einen Zugang zum Server gefunden werden, um dort nach Schwachstellen im System Ausschau zu halten. Diese werden anschließend genutzt, um an höherer Rechte zu gelangen, um damit einen Vollzugriff zu erreichen.

Hilft die interne Synology Verschlüsselung weiter, oder hilft diese nur gegen physischen Diebstahl?

Nur solange die DS angeschaltet ist bzw. je nach Einstellungen sie in der DS befinden (Autoeinhängen).

Gibt es andere Angriffsformen, welche nicht in diese Login-Kategorie fallen? Und wie realistisch wären diese Szenarien.

Vor einiger Zeit gab es die Bedrohung, dass die DS verschlüsselt wird. Qnap kämpft seit Jahren mit Sicherheitslücken in ihrem System und Apps.
Generell kann das auch passieren geraden, wenn man alte Pakete auf der DS bzw. in den Anwendungen laufen hat. Da nehmen sich alle Hersteller nicht viel. Es wird veröffentlicht, wenn es wirklich sein muss und wenn es eigentlich schon zu Spät ist. Auch sehe ich ungepflegte Community-Pakte als Sicherheitslücke. Einer Quelle, die man nur bedingt vertrauen/durchleuchten kann.

Beispiele für Synology Sicherheitslücken
https://stadt-bremerhaven.de/synology-stopft-sicherheitsluecke-im-vpn-plus-server/
https://stadt-bremerhaven.de/synology-router-bekommen-sicherheits-updates/
https://stadt-bremerhaven.de/samba-schwachstelle-u-a-synology-directory-server-betroffen/
https://stadt-bremerhaven.de/synolo...-42962-update-3-schliesst-sicherheitsluecken/
usw.

 

[hulukas]

Super, danke für deine Erklärung. D.h. die große unbekannte Bedrohung sind unbekannte/nicht gepatchte Sicherheitslücken im System. Da wäre dann neben VPN der Reverse Proxi ein gutes Mittel, da der Angreifer ja erstmal wissen muss, dass sich hinter dem offenen zufälligen Port 54321 eine Synology befindet. Die Chance ist bei Port 5001 natürlich höher. Oder gibt's da auch Scanner, die das herausfinden können?

 

[EDvonSchleck]

Ein Portscanner macht die offene Ports in Sekunden sichtbar. Dan weis man aber nicht, wie man den Port ansprechen muss. Solange es genügend User gibt, die den Standard benutzen, lohnt sich die Arbeit bei „normalen“ Usern nicht. Die Bots sind nur dumme Anwendungen, die gezielt nach einem bestimmten Port und der dazugehörigen Anwendung dahinter suchen, ein Normaluser ist uninteressant und die Arbeit nicht wert. Wegen ein paar Naturfotos von Gretchen wirst du nicht zum Ziel. Und selbst große Behörden hätte nicht verschlüsselt werden müssen, wenn die Admins besser reagiert hätten.

Unser Landkreis war auch nicht in der Lage die entsprechen Exchange-Patches innerhalb von 6 Monaten einzuspielen, danach war er für 9 Monate offline und weitere 6 Monate nur eingeschränkt nutzbar. Das ist wohl eher ein Fachkräftemangel.