Isolierter Download-Ordner auf Synology NAS einrichten - Schutz vor schädlichen Dateien

[Krabtus]

Hallo liebe Synology-Community,

ist es mit einem Synology NAS und DSM 7.x möglich einen isolierten Download-Ordner einzurichten? Mein Ziel ist es, Downloads in diesem Ordner sicher zu speichern, damit im Falle einer schädlichen Datei keine Gefahr besteht, dass sie auf andere Ordner zugreifen kann.

Ich würde gerne erfahren, ob es eine spezielle Funktion oder Einstellung gibt, mit der ich einen solchen isolierten Download-Ordner erstellen kann. Falls jemand von euch bereits eine ähnliche Konfiguration vorgenommen hat oder Ideen dazu hat, würde ich mich sehr über eure Ratschläge und Anleitungen freuen.

Vielen Dank im Voraus für eure Hilfe!

 

[plang.pl]

Auf dem NAS selbst musst du dir schon Mühe gegeben, einen Virus einzufangen. DSM ist fast schon immun gegen Viren.
Das NAS führt die Downloads ja auch nicht aus. Das macht der Client. Und der infiziert ggfs. weitere Daten / Rechner. Du musst also die Downloads in einer Sandbox ausführen. Entweder dann in einer VM unter Winows oder eben in einer VM unter DSM

 

[Benie]

Eine direkte Funktion gibt es nicht. So etwas könntest Du zb. auf einer Linux VM umsetzen, insofern da sonst nichts anderes läuft.

Edit: @plang.pl war schneller

 

[plang.pl]

Man muss halt verstehen, dass eine Datei an sich nie Schaden anrichten kann. Sie muss erst ausgeführt werden. Und das macht bzw. kann die DS gar nicht.

 

[Krabtus]

Auf dem NAS selbst musst du dir schon Mühe gegeben, einen Virus einzufangen. DSM ist fast schon immun gegen Viren.
Das NAS führt die Downloads ja auch nicht aus. Das macht der Client. Und der infiziert ggfs. weitere Daten / Rechner. Du musst also die Downloads in einer Sandbox ausführen. Entweder dann in einer VM unter Winows oder eben in einer VM unter DSM

Ich bin am überlegen das Open-Source-Download-Management-Tool JDownload2 auf meinem NAS zu installieren (für Youtube Videos usw.). Dachte das es vielleicht möglich ist bzw. Sinn macht der Software einen isolierten Download Ordner zuzuweisen.
https://mariushosting.com/how-to-install-jdownloader-2-on-your-synology-nas/

Aber wenn da eigentlich eh nichts passieren kann, umso besser.

 

[maxblank]

Wie willst du auf diesen Ordner zugreifen?
Ich könnte mir Folgendes vorstellen:
Den freigegebenen Ordner als SMB-Share im Netzwerk zur Verfügung zu stellen und dann mit entsprechenden NTFS-Permissions so eingrenzen, dass keine Dateien ausgeführt werden können. Problem ist hier der Besitzer bzw. ein Admin-Account - wird der übernommen, kann er die Berechtigungen selbst setzen. Da müsste man dann mit WORM-Technologie vom NAS entgegenwirken. Nachteil: An der Nutzung ändert auch der Root auf dem NAS nichts mehr, Speicherplatz ist dauerhaft belegt und es kann keine Datei gelöscht werden.

Edit: Nicht jedes Synology NAS unterstützt WORM. Hier die Modelle:
https://kb.synology.com/de-de/DSM/t...models_support_WriteOnce_and_secure_snapshots

 

[Synchrotron]

Der Downloader ist speziell für YT - da gibt es diese ganz besonderen Probleme, dass YT eigentlich keine Downloads will, und sie aktiv zu verhindern versucht.

Wie oben bereits gepostet: Das einzige, was die DS direkt lädt, sind DSM und Paket-Downloads. Hier besteht ein Risiko einer Supply-Chain-Attacke, wenn jemand auf dem Synology-Server legitime Software durch Software ersetzt, die Schadcode enthält. Dazu müssten sie diese Software auf dem Server signieren.

Dann nützt dir deine Sandbox nichts - dieser Code ist dazu da und autorisiert, auf der DS ausgeführt zu werden.

In dem Fall wären alle mehr oder weniger gekniffen, je nach ihrer Update- und Backupstrategie.

Ansonsten lädt die DS nichts herunter, und was herunter geladen wird, wird nicht ausgeführt, bzw. kann innerhalb der DSM-Blase überhaupt nicht ausgeführt werden.

Ein Sonderfall ist Docker und VMs - hier ist es möglich, dass Schadcode ausgeführt wird. Wir hatten so etwas vor einiger Zeit, mit einem Zero Day in (wenn ich mich richtig erinnere) io-broker. Dort konnte man sich von außen rein hacken, und dann von dort aus mit Admin-Rechten auf die übrige DS zugreifen. In mindestens einem Fall wurde dann mit DSM-Bordmitteln (!), also ohne weiteren Schadcode, Daten verschlüsselt und Geld erpresst.

Das war wie gesagt eine IoT-Anwendung (bekanntlich steht das „S“ im Wort IoT für „Sicherheit“), es war ein Zero-Day, und auch hier hätte dir sein Sandboxing nichts genützt, da du den schadhaften Code selbst ausgeführt hättest, bzw. seine Ausführung ermöglicht.

Die oben angesprochenen WORM-Dateien würde ich übrigens nicht nehmen. Die sind eher für Compliance-Relevante Dateien gedacht. Besser sind unveränderliche Snapshots - die werden für einen festgelegten Zeitraum gegen Änderung geschützt, dann aber von alleine wieder freigegeben. Auch da ist die Liste der DSen begrenzt, die sie anlegen können.

Der Königsweg ist weiterhin ein solides Backup. 3-2-1 Strategie und Pull-Backup (Active Backup for Business) sind die Stichworte.