- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
- Ersteller stevenfreiburg
- Erstellt am
Hallo stevenfreiburg,
Bücher und Hardware zum Thema gibt es bei Amazon: Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
Bücher und Hardware zum Thema gibt es bei Amazon: Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
@maxblank - Meinst Du ernsthaft, dass ich bei meiner ersten Einrichtung meiner ersten DS auch nur eine Sekunde auf deren Homepage zig Seiten durchgeforstet habe? Wenn das alles so easy wäre, würde es dieses Forum gar nicht geben... 
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
So ist es - und da wird ausschließlich auf die Aspekte seitens Synology verwiesen - wie wo welche Portweiterleitungen sinnvoll sind - davon steht doch auch was auf der HP von Synology - schaut selber. Da mache ich doch gleich mal alle genannten für die jeweiligen Anwendungen auf
- Mitglied seit
- 05. Nov 2015
- Beiträge
- 5.068
- Punkte für Reaktionen
- 2.258
- Punkte
- 259
- Mitglied seit
- 03. Jan 2022
- Beiträge
- 2.200
- Punkte für Reaktionen
- 1.024
- Punkte
- 224
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
Genau... Das Problem ist ja , dass wahrscheinlich 80% vom Handbuch langweilig/nicht benötigt oder schon bekannt ist. Daher ist eine Google Suche schneller als im Handbuch rumblättern. Vor allem wenn es kein digitales ist wo man nicht durchsuchen kann 
@Thonav, natürlich bist du schuld
Aber ich würde auch sagen, wer seine Haustür so weit offen stehen lässt, muss sich nicht wundern, wenn er ungebetenen Besuch bekommt. Da ist dann weder der Bauherr noch die Haustür schuld.
Aber ich würde auch sagen, wer seine Haustür so weit offen stehen lässt, muss sich nicht wundern, wenn er ungebetenen Besuch bekommt. Da ist dann weder der Bauherr noch die Haustür schuld.
Zuletzt bearbeitet:
Nunja - Synology könnte vor Allem selbst etwas tun - indem es seine eigenen Zertifikate auf den Diskstations signieren liesse - dann wären nicht so viele User mit abgeschalteten Sicherheitswarnungen oder gar unverschüsseltem Zugriff unterwegs ...
Ok, @Benares - dann mit ich jetzt mal noch unbedarfter als sonst Bestätige mir doch bitte mal als Laien, dass ich die Ports in dieser Übersicht für die Nutzung der Videostation aufmachen muss. Oder steht da expliziet was, was nicht, etc.?!
Fazit ist für mich - ich habe absolutes Verständnis für jeden Fragesteller und es gibt zig tausend unterschiedliche Anwendungsszenarien. Ein NAS muss nicht kompliziert zu konfigurieren sein, aber eben nur wenn man erkennt wo Risiken bestehen könnten und wo nicht.
Bestätige mir doch bitte mal als Laien, dass ich die Ports in dieser Übersicht für die Nutzung der Videostation aufmachen muss. Oder steht da expliziet was, was nicht, etc.?! Fazit ist für mich - ich habe absolutes Verständnis für jeden Fragesteller und es gibt zig tausend unterschiedliche Anwendungsszenarien. Ein NAS muss nicht kompliziert zu konfigurieren sein, aber eben nur wenn man erkennt wo Risiken bestehen könnten und wo nicht.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Nutzern ohne Ahnung kann man eigentlich nur eines empfehlen: Sich nur und ausnahmslos mit der Firewall und VPN zu beschäftigen und nur dieses als Zugang von Aussen zu nutzen. Das schafft schon mal ein enormes Stück Sicherheit.
Man sollte dabei aber nicht vergessen, dass nahezu alle Hacks von Servern nicht von Aussen erfolgen sondern durch kompromittierte Mails von Innen (siehe dazu auch der Vorfall bei der CT, der ja umfangreich dokumentiert wurde). Daher ist eine vernünftige Firewallabsicherung der Syno extrem wichtig und alles was HTTP nutzt gehört verbannt!
Man sollte dabei aber nicht vergessen, dass nahezu alle Hacks von Servern nicht von Aussen erfolgen sondern durch kompromittierte Mails von Innen (siehe dazu auch der Vorfall bei der CT, der ja umfangreich dokumentiert wurde). Daher ist eine vernünftige Firewallabsicherung der Syno extrem wichtig und alles was HTTP nutzt gehört verbannt!
Ich habe keine Eile das Gerät platt zu machen und neu zu installieren, da mein Enthusiasmus bezüglich Synology derzeit etwas gedämpft ist, wie ihr sicherlich nachvollziehen könnt.
Ihr könnt gerne Informationen aus meiner Synology auslesen.
Und klar, es stimmt, dass ich kein Experte bin und einiges nicht wusste.
Z.B. dass mehrere Portfreigaben ein höheres Risiko darstellen als nur eine Portfreigabe.
Ich sah Portfreigaben an wie verschiedene Türen, die alle aber mit (demselben) Schlüssel aufgehen, nämlich mit meinem Nutzernamen und meinem Passwort.
Ob nun jemand über allseits bekannte Ports wie 5001, 3389 oder 443 oder sonst einen Port meine Zugangsdaten eingibt, wo ist der Unterschied?
Hört sich für mich so an, als würdet ihr sagen, dass 5 Türen mit demselben Schlüssel ein größeres Risiko darstellen als nur eine Tür mit einem Schlüssel.
ok, ok, möchte keine Diskussion lostreten, Ihr sagt, das ist eben so, dann ist das eben so, war nur ein Beispiel.
Am wichtigsten ist für mich die Erkenntnis, dass Synologys Werbung "mal eben eigene Webdienste und eigene Cloud zuhause unterm Schreibtisch" auf einem ähnlichen Level ist wie mein Türenbeispiel.
Stimmt nicht, hört sich aber gut an und lässt sich gut verkaufen.
Ist für mich mittlerweile egal, denn selbst wenn ich den Fehler mit den vielen Portfreigaben nächstes Mal nicht mehr mache, ich mache garantiert einen anderen Fehler.
Deswegen habe ich mich von meiner bisherigen Synology Nutzung schon verabschiedet.
D.h. Abschied von meiner öffentlich erreichbaren Domain auf meiner Syno,
Abschied vom Webserver mit netten php scripten auf meiner Syno,
Abschied vom virtuellem Windows, welches von überall erreichbar ist,
Abschied von Fotoplattform und -Fotosharing für VIELE Leute,
und noch viel mehr....
Entweder verkaufe ich meine Syno oder nutze sie nur noch alleine oder in sehr kleinem Kreis via VPN Zugang.
Falls alexhell nun schreibt, dass Domains trotz VPN ZUgang öffentlich erreichbar bleiben, überlege ich es mir mit dem Abschied von allen Internetdiensten meiner Syno allerdings nochmal
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 15.028
- Punkte für Reaktionen
- 5.401
- Punkte
- 564
- Mitglied seit
- 03. Jan 2022
- Beiträge
- 2.200
- Punkte für Reaktionen
- 1.024
- Punkte
- 224
Äh ja, genau so ist es. Ein Haus ohne Türen kann auch nicht aufgebrochen werden im Gegensatz zu einem Haus mit fünf Türen
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Geht fast alles was du da aufgelistet hast, auch für Dritte, wenn du Ihnen einen VPN Zugang einrichtest bzw du selbst einen nutzt.
Wenn denen das zuviel Aufwand ist ok, deren Entscheidung, aber dein System bleibt sicher.
Verabschieden solltest du dich wirklich von der öffentlich erreichbaren Domain, wobei anderseits ein Linux Webserver mit eigener IP aus der VM heraus und in einer DMZ (zB dem Gastzugang der Fritzbox) funktioniert auch sicher. Mir ist kein Fall bekannt, dass es jemandem gelungen ist aus der VM heraus in die Syno zu kommen und der Gastzugang ist ein abgeschirmter Bereich von deinem LAN.
Passiert da mit dem Webserver etwas, so what, VM neu starten, Backup einspielen und in wenigen Sekunden läuft alles wieder.
P.S.: Und VPN bitte am Router einrichten, nicht auf der Syno!
Wenn denen das zuviel Aufwand ist ok, deren Entscheidung, aber dein System bleibt sicher.
Verabschieden solltest du dich wirklich von der öffentlich erreichbaren Domain, wobei anderseits ein Linux Webserver mit eigener IP aus der VM heraus und in einer DMZ (zB dem Gastzugang der Fritzbox) funktioniert auch sicher. Mir ist kein Fall bekannt, dass es jemandem gelungen ist aus der VM heraus in die Syno zu kommen und der Gastzugang ist ein abgeschirmter Bereich von deinem LAN.
Passiert da mit dem Webserver etwas, so what, VM neu starten, Backup einspielen und in wenigen Sekunden läuft alles wieder.
P.S.: Und VPN bitte am Router einrichten, nicht auf der Syno!
Zuletzt bearbeitet:
Versteh doch. Mit jeder einzelnen Portfreigabe öffnest du ein weiteres Loch in deiner Haustür.
VPN ist was anderes, da hast du einen Port, der nur bis zum Router reicht, und einen gesicherten Tunnel in dein Heimnetz und arbeitest so wie im heimischen WLAN.
VPN ist was anderes, da hast du einen Port, der nur bis zum Router reicht, und einen gesicherten Tunnel in dein Heimnetz und arbeitest so wie im heimischen WLAN.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.096
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Das mit den Türen und dem Schlüssel passt eben nicht.
Es ist mehr wie eine Stadtmauer. Jeder Port ist eine Pforte, und an jede Pforte musst du einen Wächter stellen. Jede Pforte hat ihre eigenen Eigenschaften. An der Nummer der Pforte können Diebe zum Teil erkennen, dass es dahinter in die Schatzkammer geht, oder in die Markthalle, und von welcher Marke der Tresor sein dürfte.
Willst du es sicher haben, musst du dich mit jeder neuen Pforte (Portfreigabe) um die nötigen Dinge kümmern, und das dauerhaft.
Und irgendwann passieren Fehler. Kommt dann gerade ein Dieb vorbei, hast du schnell ein Problem. Das dürfte dir passiert sein. Nur von der Aufzählung oben lassen sich schon einige solche Schwächen ableiten. Vermutlich (das wurde schon erwähnt) gab es weitere Fehler in deinen Firewall-Regeln. Und ich denke mal: Du hast alles und jedes aus dem Paketzentrum installiert, ohne dich zu fragen, ob du es überhaupt benötigst. Und hast vieles in Gang gesetzt, ohne dich mit einer Sicherheitsanalyse zu beschweren, und den Nutzen gegen die Kosten abzuwägen.
Die Liste oben mit Diensten, die du öffentlich gemacht hast, spricht für sich.
Aus meiner Sicht solltest du deinen generellen Ansatz überprüfen, nicht nur die Details der Umsetzung.
Es ist mehr wie eine Stadtmauer. Jeder Port ist eine Pforte, und an jede Pforte musst du einen Wächter stellen. Jede Pforte hat ihre eigenen Eigenschaften. An der Nummer der Pforte können Diebe zum Teil erkennen, dass es dahinter in die Schatzkammer geht, oder in die Markthalle, und von welcher Marke der Tresor sein dürfte.
Willst du es sicher haben, musst du dich mit jeder neuen Pforte (Portfreigabe) um die nötigen Dinge kümmern, und das dauerhaft.
Und irgendwann passieren Fehler. Kommt dann gerade ein Dieb vorbei, hast du schnell ein Problem. Das dürfte dir passiert sein. Nur von der Aufzählung oben lassen sich schon einige solche Schwächen ableiten. Vermutlich (das wurde schon erwähnt) gab es weitere Fehler in deinen Firewall-Regeln. Und ich denke mal: Du hast alles und jedes aus dem Paketzentrum installiert, ohne dich zu fragen, ob du es überhaupt benötigst. Und hast vieles in Gang gesetzt, ohne dich mit einer Sicherheitsanalyse zu beschweren, und den Nutzen gegen die Kosten abzuwägen.
Die Liste oben mit Diensten, die du öffentlich gemacht hast, spricht für sich.
Aus meiner Sicht solltest du deinen generellen Ansatz überprüfen, nicht nur die Details der Umsetzung.
- Fotos kann man für sich risikolos über die bekannten Clouddienste anbieten.
- Webserver gehören für schmales Geld auf einen angemieteten Server, oder zu einem Web-Hoster.
- Auf den Rest kannst du dann ohne Sicherheitsrisiken einzugehen per VPN zugreifen.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
