Sicherheitseinstellungen bei Zugriff von außen

[ignorama]

Hallo zusammen,

vor kurzem hab ich mir die DS920+ gekauft. Dabei wurde ich hier im Forum schon mal super beraten!

Ich bin schon seit ein paar Wochen am Einrichten, habe jetzt zu den Sicherheitsfunktionen allerdings noch Fragen, die ich mir durch Recherche (Forum, Google) leider nicht richtig beantworten konnte. Daher hoffe ich, dass mir jemand helfen kann.

Vorweg: Warum will ich überhaupt aus dem Internet auf meine DS zugreifen? Das sind meine Usecases dafür:

• Von unterwegs Fotos aus dem Urlaubs-WLAN oder Mobilfunk auf der DS speichern (häufig)
• Mit dem Handy oder Tablet auf Dateien auf der DS zugreifen - von unterwegs im Mobilfunk oder fremden WLAN (häufig)
• Fotos Freunden zum Download bereitstellen (häufig)
• Freunde bitten, Fotos für mich auf die DS hochzuladen (gelegentlich)
• ggf. Einstellungen an der DS vornehmen (selten)

Daher habe ich nach meiner Recherche nun folgende Maßnahmen umgesetzt.

• Sicherheitsberater aktiviert
• Regeln für die Kennwortstärke konfiguriert & lange kryptische Passwörter für alle User + Admin eingerichtet
• 2-Faktor-Authentisierung für Admin-Account
• automatische Blockierung und den Kontoschutz aktiviert
• DoS-Schutz aktiviert
• TLS & SSL-Verschlüsselung aktiviert (unter Sicherheit > Erweitert)
• Fritzbox: WLAN-Passwort sicherer gemacht und einen extra Gästezugang (nur Zugriff aufs Internet, nicht aufs Netzwerk) bei uns zu Hause eingerichtet. Zudem alle Geräte von Freunden aus dem WLAN geschmissen. Die können sich dann beim nächsten Besuch am Gästezugang anmelden.
• Antivirus Essential aktiviert + programmierter Scan einmal pro Woche eingerichtet

Noch in Planung:

• Backupstrategie mit externen Festplatten umsetzen
• Firewall einrichten (aktiviert ist sie schon, aber ich nehme an, dass man da noch Regeln einrichten muss)

Und nun meine Fragen:

1. Habe ich noch was wichtiges vergessen? Würdet ihr mir noch weitere Maßnahmen empfehlen, bevor ich die DS mit echten Dateien für die Internet-Services freischalte?
2. Ich habe gelesen, man solle unnötige Dienste deaktivieren. Woher weiß ich denn, welche Dienste unnötig sind? Gibt es denn typischerweise unnötige Dienste, die vorinstalliert sind? Selbst installiert habe ich jedenfalls nur, was ich auch benötige.
3. Benachrichtigung bei verdächtigen Anmeldeversuchen: Wo kann ich das denn konfigurieren?
4. Admin deaktivieren / ersetzen durch einen anderen Usernamen: Warum genau wird das empfohlen? Und reicht es, wenn ich den Original-Adminaccount deaktiviert habe und einen neuen (z. B. "Meinadmin") erstellt habe, dem ich die Adminrechte gegeben habe? (Natürlich verwende ich den nur zur Einrichtung, im Alltag werde ich dann einen der User-Accounts verwenden.)
5. Mit welchem Account sollte ich mich denn in Desktop-Anwendungen wie Synology Drive, meine WLAN-Lautsprecher (die greifen auf die Musikbibliothek zu) und Apps anmelden? Ich habe das jetzt mal mit dem Useraccount der Person gemacht, der das Gerät gehört. z. B. mein PC mit meinem Useraccount, den PC meines Freundes mit seinem. Und die WLAN-Lautsprecher habe ich mit meinem Account eingeloggt. Ist das sinnvoll so?
6. Dynamische IP-Sperren: Was ist das genau und wie richte ich das ein?
7. DSM-Standard-Verwaltungsports ändern: Habe ich gelesen und kam beim Lesen der Dokumentation aber nicht weiter, was ich da genau machen soll bzw. wofür.
8. Bei der Anmeldung an der DS über den Browser meldet dieser "nicht sicher" und zeigt an, dass keine https-Verschlüsselung besteht. Habe mich (an meinem PC innerhalb des Netzwerks) über namedesdsservers:5000 angemeldet. Ist mein Anmeldeweg überhaupt der Richtige? Und kann man die Fehlermeldung ignorieren oder sollte man dagegen tatsächlich was unternehmen? (z. B. das hier: https://kb.synology.com/de-de/DSM/t...rowser_when_connecting_to_my_Synology_product)

Sorry für die vielen Fragen!
Also falls ihr auch nur eine einzelne Antwort für mich habt, wäre ich schon sehr dankbar!

 

[Synchrotron]

Für die Punkte 1,2 und 5 würde ich mir auf der Fritz!Box das VPN einrichten, dazu den myfritz-Dienst aktivieren (der sorgt für den DDNS-Service) und fertig ist die Sache, mit minimalem Restrisiko.

Für die Punkte 3 und 4 würde ich einen Clouddienst verwenden. Die Magenta Cloud der Telekom gibt es kostenlos, deutscher Serverstandort und (das ist bei den kostenlosen Diensten selten) jeder Berechtigte für einen Ordner kann selbst auch Dateien (Fotos) hoch laden. Aktuell glaube ich 3GB im freien Cloudspeicher - nicht sehr viel, aber mit etwas Disziplin reicht es aus.

Für mich wäre das Teilen von Fotos (ohne beruflichen / ernsthaften privaten Hintergrund wie einen Fotoclub, in haushaltsüblichen Mengen) keine Begründung dafür, die DS ins Internet zu stellen.

Die wichtigsten Punkte hast du übrigens derzeit NICHT umgesetzt, das ist erstens das Backup, und zweitens die Firewall.

Drittens solltest du für jeden Anwendungsbereich einen dafür spezifischen User einrichten, und dem nur genau die Rechte geben (Anwendungen, Laufwerksbereiche etc.), die er für seine Aufgabe benötigt. Der User für die Lautsprecher bekommt z.B. nur Lese-Zugriff auf das Musikverzeichnis, und Anwendungszugriff auf die Audio-Station (falls du sie dafür verwendest).

Der Standard-"Admin" gehört deaktiviert, dann müssen die bösen Buben schon mal den User erraten, bevor sie mit dem Passwort weitermachen können. Der Zugriff auf den Admin-User ist bei einem Hack der Jackpot. Man muss es nicht leichter machen, als es sein kann.

Den Virenscanner halte ich "nützlich" nur für das sinnlose Erzeugen von Festplattenabnutzung und Abwärme. Der ist sehr einfach gestrickt, und die meisten Viren kommen aus der Windows-Welt und sind auf einem Linux-basierten System nicht lauffähig.

Das sind jetzt nur einige Hinweise - ich habe mich nicht mit jedem deiner Punkte befasst.

 

[ignorama]

Hallo,

vielen Dank für deinen Beitrag. Hilft mir auf jeden Fall schon mal weiter.

Also das Teilen von Fotos auf meiner DS ganz zu vermeiden... Das muss ich mir noch überlegen. Wäre schon sehr blöd, hier wieder auf Cloud-Dienste zurückgreifen zu müssen, weil ich regelmäßig an die Speicherplatzlimits kam. Und jetzt zusätzlich zur DS noch ein x-GB-Abo abzuschließen, will ich eigentlich auch nicht.
Aber dennoch ein wichtiger Hinweis, dass es ein großes Sicherheitsrisiko ist.

Die User werde ich dann entsprechend anpassen, danke!
D. h. die personenbezogenen User wären dann eigentlich nur für den Einzelzugriff aus dem Browser nötig?

Achso okay, d. h. "Meinadmin" wäre evtl. auch nicht so ein schlauer Name, weil da ja das Wort "Admin" drinsteckt. Also es geht tatsächlich um die Erratung des Usernamens.

Habe ich das mit dem Virenscan jetzt richtig verstanden, dass du ihn nutzlos/kontraproduktiv findest und eher gar nicht nutzen würdest?

 

[Synchrotron]

Der Cloud-Hinweis ist so zu verstehen, dass es eine Aufwands-Nutzen-Abwägung ist. Wenn das Teilen von Fotos der einzige UseCase ist, würde ich dafür mein Heimnetz nicht zum Internet hin öffnen. Der Aufwand teilt sich in den Aufwand, es einzurichten, es zu betreiben und das damit eingegangene Restrisiko. Wärst du Fotograf, und müsstest deinen Kunden jeweils ein paar hundert Bilder zur Durchsicht geben, wäre es etwas anderes. Der Aufwand wäre ähnlich, aber der Nutzen viel größer.

Sortier die Fotos vor, lad nur die guten hoch - deine Kumpels freuen sich, wenn sie sich nicht durch 100 Bilder von „Wir 5 und unser Flens“ klicken müssen.

Wenn nur du selbst (oder eine kleine, feste Personengruppe) extern auf ein Netzwerk zugreifen möchtest, ist VPN die deutlich bessere Lösung. Erstens mit dem besseren Sicherheitsprofil (vor allem dann, wenn der VPN-Server auf dem Router selbst läuft), zweitens bist du nach dem Einwählen „drin“ und kannst arbeiten, wie wenn du lokal angemeldet wärst. Der FB-VPN-Server ist in 5 Minuten eingerichtet, plus 5 Minuten pro Endgerät. Die Anleitung in der FB-Hilfe ist gut, und kürzer als dieser Post.

Der Zugriff auf einen xxx-Server (Web, Fotos, Mails, etc.) lässt sich auch sicher einrichten, aber immer nur für diesen einen Dienst. 3 Dienste - 3x einrichten, betreiben etc. Vorteil ist, dass dieser Zugriff dann ohne viel Aufwand geteilt werden kann - der Aufwand steckt beim sicheren Einrichten und dem sicher halten.

Für den Nicht-Admin-User nimm einfach etwas, was nichts mit IT oder dir selbst zu tun hat. Vermeide Begriffe, die sich z.B. aus deinen SocialMedia-Profilen leicht ermitteln lassen. Bist du z.B. insgeheim (!) Fan der historischen Seefahrt, nenn dich halt HoratioN (nach Nelson), der war auch Chef auf dem Deck ;-) Gut zu merken, leicht einzugeben, steht aber in keinem Wörterbuch.

Der vorinstallierte Virenscanner ist aus meiner Sicht kein tatsächlicher Sicherheitsgewinn - aber er frisst ständig Systemressourcen, nudelt zig Terrabyte an Daten immer wieder durch, produziert Nonsense-Fehlermeldungen (ja, ich weiß, in diesem Mailarchiv steckt in einem Mailanhang ein pöser, pöser Trojaner, aber nein, ich will deshalb nicht 1 Jahr archivierte Mails löschen lassen). Wenn Schadsoftware tatsächlich auf die DS kommt und dort ausgeführt wird, nützt er (wahrscheinlich) nichts. Jedenfalls kenne ich hier aus dem Forum nicht einen Fall. Das Ding ist aus meiner Sicht Niveacreme gegen Syphilis …

 

[Stationary]

vorinstallierte Virenscanner

dafür "erkennt" er aber Viren einzelnen Blöcken von TimeMachine Backups vom Mac, die auf der Diskstation liegen und zerschießt die dann indem er Teile des Backups in die Quarantäne verschiebt.

 

[ignorama]

Zum Thema Firewall habe ich noch eine Frage.
Ich habe die Firewall aktiviert und Regeln eingerichtet und seitdem ist die DS bei PCs, die im Netzwerk hängen, nicht mehr im Windows Explorer unter "Netzwerk" sichtbar.
Probeweise habe ich bei "aus einer Liste integrierter Anwendungen auswählen" mal alle zugelassen, aber auch das hat nicht dazu beigetragen, dass sie wieder angezeigt wird. Lediglich das komplette Ausschalten der Firewall. Komischerweise wird die DS aber an meinem Haupt-PC immer noch angezeigt. Aber vielleicht weil ich diesen (im Gegensatz zum Rest) nicht neu gestartet habe?
Habe ich irgendwas übersehen bzw. habt ihr einen Tipp, was evtl. die Ursache sein könnte?

 

[Synchrotron]

Wie lautet den die letzte Regel ?

Alles verboten, was bisher in den einzelnen Ausnahmen nicht erlaubt war ?

 

[ignorama]

Genau, also bei allen Schnittstellen habe ich jeweils "Zugriff verweigern wenn keine Regel zutrifft":

 

[ComputerNope]

Unter Firewall Regeln musst du deinen IP-Bereich, der von der Fritz!Box bereitgestellt wird, freigeben. Für lokales Netz kannst du alle Ports freigeben und unter spezifischer IP den IP-Bereich festlegen.
Als zweite Regel habe ich dann den Zugriff von außen geregelt. Nur die Anwendungen zugelassen, die ich auch unterwegs nutzen möchte und auch nur ausgewählte Länder. Die meisten unbekannten Zugriffe, die man hat, kommen aus Asien oder aus Ost-Europa. Die werden dann aber mit der Regel, dass alle Länder gesperrt sind, außer die ausgewählten, gut eingedämmt. Da kann man vorher überlegen, von wo man aus zugreifen wird, auch mal im Urlaub. Das klappt sehr zuverlässig.

Das Thema Zugriff von außen wird immer heiß diskutiert. Einsatz Synology im geschäftlichen Bereich nutze ich nicht. Für mich ist die Synology ein Cloud Ersatz und seit nun mehr als zwei Jahren hängt sie am Netz. Wie bei dir speichern auch vier Leute regelmäßig ihre Fotos auf der Synology von Smartphone und wollen die auch mal teilen, zeigen usw.
Unbekannte Zugriffe waren sehr überschaubar und auch mit deinen geplanten Einstellungen machst du vieles richtig. Änderung der Standard-Ports bringt aus meiner Sicht nicht viel, man kann sich ja mit einem Scanner aller offenen Ports anzeigen lassen.
Wenn man hin und wieder sich dann noch die Protokolle der Synology anschaut und alles aktuell hält, dann kann man nachts eigentlich beruhigt schlafen ;-) Ein Backup für den Fall der Fälle sollte man natürlich immer haben.
Aber mir sind auch schon ungewollt Daten bei z.B. bei Adobe abhanden gekommen. Da gibt es eine Mail, Daten wurden entwendet, da kann ich ja noch weniger machen.