Hyper Backup Ressourcenbelastung und Sicherheitsthematik bei Drive ShareSync (und Hyper Backup)

[StorageFan]

Was mich noch grundsätzlich interessieren würde. Ich habe soweit nach meinen Vorstellungen die Backup-Strategie zwischen zwei Synology Diskstations (DS920+ und DS916+) an zwei verschiedenen Standorten via Internet umgesetzt bekommen.

1. Einige Ordner (die sich nur selten ändern und wo eine Versionierung aus meiner Sicht keinen Sinn macht (MP3-Sammlung, Backup-Verzeichnis mit Acronis/EaseUS-Images etc.)) werden mittels Hyper Backup und rsync-Kopie (Einzelversion) gesichert. Dafür wurde Port 5003 für rsync in der Firewall geöffnet.

2. Einige andere Ordner (wo sich vor allem Arbeitsdokumente wie Word- und Excel-Dateien drin befinden oder - wie bei Moments - nichts anderes von Hyper Backup zugelassen wird) werden mittels Hyper Backup mit Versionierung in ein .hbk-Verzeichnis gesichert. Dafür musste Port 6281für Hyper Backup in der Firewall geöffnet werden.

3. Ein Ordner, der ausgewählte Photos enthält, welche auf beiden Synologies immer synchron sein sollen, wird mittels Synology Drive ShareSync von meiner DS920+ zur Remote-DS916+ gepusht (one way). Dafür musste Port 6690 für ShareSync in der Firewall geöffnet werden. Das synct jetzt quasi permanent in Echtzeit, wobei mir ein Update z.B. alle 24h auch dicke gereicht hätte.

Die Frage, die sich mir jetzt stellt:
Wie sehr belastet (vor allem Drive ShareSync) die Ressourcen?
Und wieviel größer ist jetzt das Risiko geworden, potentiell durch eine Sicherheitslücke einen Angreifer reinzulassen?

Immerhin sind 3 Ports für 3 verschiedene Dienste mehr geöffnet und der Port 6690 scheint ja nahezu permanent in Betrieb zu sein (erst Recht wäre das bei einem Two-Way-Sync der Fall), denn sobald man auch nur eine Datei in einem Verzeichnis umbenennt oder dazukopiert oder löscht, ist 1 bis 2 Sekunden später das gespiegelte Verzeichnis schon synchron.

Gibt es da Einschätzungen oder Meinungen dazu? Hat Synology seine Dienste in der Regel gut im Griff und gesichert?

 

[StorageFan]

Sicherheitsfragen scheinen wohl keine so große Rolle zu spielen hier im Forum?

 

[Fusion]

Was willst hören? Nach nicht mal 24h...
Das ist ein Anwender/Freizeit Forum. Kannst ja gern jemand für ne Analyse bezahlen.

Offene Ports haben ein höheres Risiko als geschlossene.
Da gibt es auch keinen in Betrieb / außer Betrieb bzw ist völlig egal wie viel Datenverkehr da drüber fließt.
Ob das Risiko 100% größer ist, oder 1000%, das sagt niemand was, es ist halt größer.
Alle Sicherheitslücken sind per se erst mal unbekannt. Mitbekommen tut man sie erst wenn sie entweder Syno gestopft hat oder sie irgendwo im CVE oder ähnlich auftauchen.
Da jetzt nicht ständig alle Synos in Botnetzen laufen stehen sie jedenfalls nicht auf wie Scheunentore.
Am Ende drauf verlassen darf man sich nie. Admin deines Systems bist immer noch du. Du musst mit dem Risiko leben und dich entsprechend mit Backups absichern, dass du im Fall der Fälle nicht Konkurs gehst.

Wenn du dein Risiko minimieren willst baust du ein Site-2-Site VPN. Dann musst du nur für die Kommunikation dieser Knoten eventuell einen Port öffnen.
Z.b. Je einen raspi mit Wireguard, oder vielleicht unterstützten deine Router hier und da dies ebenfalls schon (gar kein Port ins LAN offen).

Bezüglich backups einfach immer die Frage stellen: kann ich als Anwender durch löschen von Daten an der Quelle das Backup unbrauchbar machen? Wenn ja ist es kein Backup.
Zu Backups gibt es ja schon genug Threads eigentlich.

Und was die Ressourcen angeht, hast die Syno zum schlafen oder zum arbeiten gekauft?
Alles was drauf läuft 'belastet' das System. Darauf sind sie aber eigentlich ausgelegt. Das wird möglicherweise nur zu viel im Zusammenspiel mit was du sonst noch damit treibst.

 

[ottosykora]

Da ist nicht viel dazu zu sagen.
Da gibt es Sicherheitsappostel hier, die werden dir sagen so was kommt gar nicht in Frage, du musst alles via VPN machen, jeder Port der von aussen erreichbar ist endet in Katastrophe.
So schön, nur um VPN zu betreiben, muss man auch schon Ports öffnen, also ist alles relativ.

Ob Synology die Dienste im Griff hat? Sehe nicht ganz wie Synology da zuständig sein soll. Wenn es jemand schafft via irgendein Port einzutreten und dort was abzulegen, und davon irgendein eigenes Profit hat, wird er es auch tun.

Nun, man kann die von dir genannten Ports auch 'verschleiern' , damit ist gemeint, dass dein 6690 von aussen via 51234 erreichbar ist. Also extern Port 51234 auf intern 6690 geleitet wird. Damit sieht ein Portscanner nicht auf Anhieb was da genau offen ist.

Meine erste DS hängt jetzt seit 8 Jahren mit Portforwarding für dies und jenes im Netz und habe so um die 4 versuchte Login pro Jahr, die werden dann vom Autoblock abgefangen.

Im Betrieb haben wir diverse DS irgendwo auf der Welt stehen, die meisten mit VPN zusammengebunden, aber auch etwas direkt. Eine DS steht ziemlich direkt im Netz, hat zwar so alle 2 Monate einige Login Versuche, aber auch nicht mehr.

Unser Admin betreibt sogar ein DS mit SSH Port am lauschen, bekommt natürlich massiv Besuch, aber Credentials sind sehr komplex, Autoblock stark eingestellt, nur die Logs werden ziemlich lang.

Und das alles seit Jahren. Ohne Zwischenfall.

Einzig was mal kurz gehackt wurde, ein FTP den wir bei einem höchst professionellem Hoster liegen haben.


Ja, es werden Kollegen hier kommen mit Flames, aber bitte, nicht alles ist so dramatisch wie es erzählt wird.

 

[StorageFan]

Ich bin jetzt auch kein Alle-Ports-Dicht-Fanatiker. Und ja, eine permanente VPN-Verbindung zwischen zwei FRITZ!Boxen benötigt ebenfalls dauerhaft geöffnete Ports auf beiden Seiten. Und wenn da jemand durch diesen Weg einbricht, dann ist er gleich "richtig drin" und hinter der Firewall mit deutlich geringerem allgemeinen Schutzniveau als wenn er z.B. nur einen Dienst auf einer Synology gekapert hat. Deswegen ist VPN für mich auch in diesem konkreten Anwendungsfall nicht unbedingt die bessere Lösung.

Meine Frage bzgl. "Hat Synology die Dienste im Griff" war übrigens eher so gemeint, ob es häufiger vorkommt, dass Synology bei selbstentwickelten Produkten (bei SHR und vielen anderen Dingen verlassen die sich ja im Prinzip auf Linux-Standards und packen allenfalls einen hübschen Wrapper drumherum) wie einem Drive ShareSync oder Hyper Backup dann security updates nachliefern muss oder ob die sowas vorher gründlich auf Herz und Nieren testen.

Also da geht es mir jetzt mehr um allgemeine Erfahrungswerte von langjährigen Nutzern oder Profis wie Euch, die viele Kisten im professionellen Einsatz haben bzw. betreuen als jetzt um eine Code- und Sicherheits-Analyse des Dienstes, der konkret hinter Port 6281 lauscht.

Klar kann man Ports umbiegen. Aber das ist dann ja eher "security by obscurity". Wenn der Port undicht ist, hilft das nur bei direkten Attacken, nicht aber gegen einen guten Portscanner. Das schiebt dann vielleicht das "wann" zeitlich etwas nach hinten, aber ändert nichts am "ob" jemand einbricht.

Und ja, Port 22 hatte ich auf der FRITZ!Box und Diskstation auch mal kurz offen in der Testphase. Da kamen dann direkt haufenweise Meldungen im Logfile, wo irgendwelche Stumpf-Hacker mit allgemeinen Usernamen wie root, kodi, pi, admin etc. versucht haben herauszufinden, ob mein SSH-Dienst vergessen hat, die Tür zuzumachen. Nachdem ich das im Logfile gesehen habe, war der Port aber direkt wieder dicht. Aber schön zu hören, dass selbst jemand, der den Port 22 offen lässt, über Jahre hinweg kein echtes Problem bekommen hat (außer vollen Logfiles natürlich )

Bzgl. der Ressourcen: ist immer eine Frage des Verhältnisses von Aufwand und Nutzen. Wenn der ShareSync Dienst jetzt permanent auf beiden Maschinen z.B. über 10% mehr Strom verbrauchen und die Kiste 10% schneller an ihre Grenzen bringen würde, dann würde ich mir doch die Mühe machen, lieber einen anderen Weg zu finden, der nur 1x nachts die Verzeichnisse synchronisiert. Wenn der Mehrverbrauch aber nur bei 1% liegt, ist das ja sogar statistisch unbedeutend.

In jedem Fall schonmal vielen Dank für Euer Feedback.

 

[ottosykora]

Ja sicher testet Syno alles. Das macht Microsoft auch... ;-)
Und ja auch hier gab es vor einigen Jahren extra Malware für Syno, das kann man kaum verhindern. Das wird dann halt ab und zu updated wenn Fehler bekannt werden. Kann man teilweise dann in den Release Notes lesen.


Und ShearSync macht nichts besonderes. Wenn du nichts änderst dann gibt es auch kaum Traffic. Am Anfang macht es wohl eine Liste, dann synct alles und dann ist Ruhe. Das geht auch mit Quickconnect ziemlich gut. Es wird wohl ab und zu eine Art Keepalive ping machen oder so was damit sicher ist dass die Verbindung noch steht.