j-Serie Sicherheitsrisiko gefunden

[Renalto]

Servus liebe Syno Kenner

Ich benötige dringend euer Hilfe. Meine DS215j mit aktuellem DSM zeigt im Protokoll immer Nachts um 02:15Uhr an das ein Sicherheitsrisiko gefunden wurde. Leider erhalte ich keine näheren Angaben dazu.
Auf der DS sind keine Pakete installiert, lediglich ist sie via Quickconnect von außen erreichbar. Ich greife via Explorer auf die DS zu und habe das Volume unter Windows als Netzlaufwerk verbunden.

Leider hab ich nicht die geringste Ahnung wie ich in Erfahrung bringe was das Problem ist und hoffe deshalb auf eure Hilfe. Erschwerend kommt noch hinzu das ich vom System der DS keine Ahnung habe und ihr mir deshalb jeden Schritt stück für stück erklären müsstet.
Ich wäre aber für jede Hilf dankbar.

Gruss

 

[Fusion]

Melde dich im DSM via Browser an.
Dann im Menu den Sicherheitsberater öffnen.
Da sagt er dir auf welche Punkte sich die Warnhinweise beziehen.

 

[Renalto]

Super, Danke Dir
Das Problem war der aktivierte Telnet Dienst und ein Standard SSH Port. Hab jetzt beides deaktiviert und nun mault die Syno nicht mehr.

Gruss

 

[stefan_lx]

wenn du den ssh-Port deaktivierst, kannst du im Notfall die Konsole nicht mehr nutzen... da ich mal annehme, dass bei dir die beiden Ports nicht aus dem Internet weitergeleitet werden, kannst du diese Meldung des Sicherheitsberaters ignorieren, man kann sie auch gezielt ausschalten (bei Erweitert, benutzerdefiniert). Bei mir ist der Sicherheitsberater nur für Schadprogramme aktiviert, ich dachte eigentlich ich hätte ihn ganz ausgeschaltet...

Stefan

 

[Renalto]

Konsole? Sorry, wenn ich doof frage aber brauch ich die?
Sollte ich SSH wieder aktivieren und wenn ja, welchen Port sollte man angeben da der Port 22 ja scheinbar ein Risiko darstellt?

Gruss

 

[stefan_lx]

manchmal braucht man die Konsole, z.B. wenn man über die Oberfläche nicht mehr drankommt, aber dann kannst du sie nicht mehr aktivieren...
Genau den Port einfach lassen, er stellt kein Risiko dar, solange er nicht von außen erreichbar ist. Ich nutze ssh auf der DS recht häufig, der Port 22 ist offen, aber er wird eben nicht vom Router weitergeleitet...

Stefan

 

[Renalto]

Danke für die Info.
Dann werde ich SSH Sicherheitshalber wieder aktivieren. Man will sich ja nicht selbst aus dem Gerät aussperren auf den Fall das mal was schief läuft.

Gruss

 

[stefanghh]

Ich klinke mich mal da ein. Denn mich irritiert der Sicherheitsberater auch etwas. Ich habe Port 22 auch offen und mich durch diverse Foren, das Wiki, etc. gewühlt. Wenn ich das richtig sehe ist es wichtiger ein starkes Passwort zu haben, als den Port zuzumachen - bzw. zu verlegen? Sehen das Andere auch so?

Zum Anderen wüsste ich nicht, was ich wo ändern müsste, wenn ich von ausserhalb auf die DSM (Arbeitsplatz) zugreifen will. Stichtwort "Never change a running System".

Dann erklärt mir mein Sicherheitsberater noch "Unverschlüsselter WEB DAV" ist aktiviert (Wenn ich es richtig in Erinnerung habe, habe ich den wegen irgend einer Zertifikatssache aktiviert, ich glaube Win muckte doer so).

Und zum Schluß LAN Dienste sind über das Internet zugänglich.

Meine Frage jetzt an die Experten. Ignorieren oder etwas ändern - und wenn ja was?

P.S. Bei mir läuft DSM 5.2 - 5644

 

[heavy]

Starke (oder überhaupt eins) Passwörter sind das A und O. Das umlegen von Ports bringt "nichts" (Sicherheit durch Unbekanntheit, na dann suche ich halt bis ich den offenen Port finde wenn ich dich geziehlt angreifen will.) Port 22 ist schnell mal der letzte Anker um die DS zu retten, vorallem wenn man den jdownloader falsch eingerichtet hat. (Der speichert dann alles in der DSM partition und ist die dann voll geht nichts mehr)
Ich wüsste nicht warum webdav was mit zertifikaten zu tun hätte außer du hättest es so in win eingebunden.
Die Lan dinste sind schon eher interressant klicke mal darauf und schaue welche dienste er da angibt. Ansonsten habe ich genau die gleichen Meldungen und seit zwei jahren kein Problem mit Angriffen außer als der Port 22 nach außen (internet) offen war, da ging dann die Post ab.

 

[Frogman]

Ich habe Port 22 auch offen und mich durch diverse Foren, das Wiki, etc. gewühlt. Wenn ich das richtig sehe ist es wichtiger ein starkes Passwort zu haben, als den Port zuzumachen - bzw. zu verlegen? Sehen das Andere auch so?

Wozu brauchst Du den Port 22 extern? SSH? Umlegen auf einen 4 oder 5stelligen Port kann helfen, den vielen Portscans aus dem Weg zu gehen. Auf jeden Fall ist ein starkes Passwort für alle(!) Benutzer Pflicht.

Zum Anderen wüsste ich nicht, was ich wo ändern müsste, wenn ich von ausserhalb auf die DSM (Arbeitsplatz) zugreifen will. Stichtwort "Never change a running System".

DSM-Zugriff von extern ist in 99% der Fälle unnötig. Für File Station & Co. kann man separate Ports einstellen (und dann bitte immer die SSL-verschlüsselten Varianten verwenden). Und wenn Du Port 5000/5001 nicht im Router weiterleitest, kommt von extern auch niemand auf das DSM.

Dann erklärt mir mein Sicherheitsberater noch "Unverschlüsselter WEB DAV" ist aktiviert (Wenn ich es richtig in Erinnerung habe, habe ich den wegen irgend einer Zertifikatssache aktiviert, ich glaube Win muckte doer so).

Der läuft üblicherweise auf Port 5005 - und kann auch laufen, aber bitte nur lokal. Von extern sollte man nur SSL-verschlüsselt arbeiten (Port 5006), d.h. diesen Port dann im Router auf die DS weiterleiten. Eine Zertifikatsprüfung (die auch nur für verschlüsselte Ports gemacht wird) kann man in den meisten Clients deaktivieren, dann geben auch selbstsignierte Zertifikate keine Warn-/Fehlermeldung. Ansonsten einfach das CA-Zertifikat im Client importieren, dann kann man auch die Zertifikatsprüfung aktiviert lassen.

Und zum Schluß LAN Dienste sind über das Internet zugänglich.

Das soll was heißen?

 

[magick]

@Heavy Vor dem Umlegen des Ports 22 auf einen anderen hatte ich jeden Tag Besuch aus China, danach nicht mehr. Klar, das ist security by obscurity aber die ganzen Angriffsscripte machen sich nicht die Mühe, einen kompletten Portscan zu machen. Ergo bringt das Umlegen schon ein bischen was.

 

[heavy]

Ich habe ihn einfach zu gemacht (von extern intern ist er offen) , da ich ihn nicht extern brauche, klar wenn die "Angriffe" nur Bots/Portscanner sind ist mit dem Umlegen auch Ruhe ich habe immer nur bedenken, dass man irgendwann nicht mehr weiß wohin man ihn umgebogen hat. Oder wie ein anderer User hier im Forum so viel verbiegt, dass man sich dann selber ausschließt. (Er hatte alles in der DS verbogen und dann nochmal im Router so dass er auf die DSM Oberfläche nur noch in einem ganz bestimmten Szenario kam aber sonst nichts mehr lief /Webstation/Photostation etc.)

 

[jahlives]

die Sache mit den hohen Ports hat imho eine entscheidende Schwachstelle: und zwar, dass man sich in falscher Sicherheit wiegt. Ich habe schon bei Kunden Server gesehen, die den SSH Port umgebogen haben, aber dann nur schwache Passworte verwendeten. "Den Port findet man ja nicht, also wieso ein komplexes Passwort?" Ich bin nicht gegen das Umbiegen des SSH Ports, aber VIEL wichtiger ist ein komplexes Passwort oder gleich besser ein Zertifikatslogin! Auch nicht vergessen: die Bösen finden diesen Port weniger, aber auch der Admin selber findet ihn nicht wenn man mal schnell einen Portscan macht um zu sehen welche Ports man offen hat

 

[stefanghh]

Also ich greife relativ häufig extern via Browser auf die DSM zu. Vor allem wenn ich auf unserem Büro PC Excel Tabellen bearbeite lade ich sie dann auf die DSM hoch um Zuhause (oder unterwegs) weiter daran arbeiten zu können. Nach meinem verständniss läuft der Zugriff darauf über den Port 22. mein Sicherheitsberater spuckt folgendes aus:



Ich habe jetzt einmal bei meiner O2 Box 5005 zu gemacht. Mal schauen was passiert . (in der Synology kann ich ihn demnach offen lassen??)

Und das sagt sie mir in Sachen LAN Dienste:

 

[heavy]

SSH ist für konsolen/Telnet zugriff da (um zum Beispiel mit WinSCP unter windows auf die DS in die DSM System Ordner zu kommen) und nicht für den Normalen Dateitransfer. Somit kannst du den in der DS firewall für den externen Zugriff ruhig sperren, und nur fürs Lan offen lassen.

 

[Puppetmaster]

SSH ist [...] nicht für den Normalen Dateitransfer. Somit kannst du den in der DS firewall für den externen Zugriff ruhig sperren, und nur fürs Lan offen lassen.

Es sei denn, du machst eine externe Datensicherung über einen verschlüsselten Transfer, dann benötigst du einen offenen SSH Port.

 

[magick]

Die hohen Ports dürfen natürlich nur das letzte Steinchen sein. Es bringt auch keine Sicherheit, nur Ruhe vor 99% der Angriffs-Scripte. Das sollte schon klar sein. Ich nutze sehr häufig den ssh von außen, deswegen muss der bei mir offen sein. Ist auch der einzige verbogene Port bei mir.

 

[heavy]

Das ist für mich dann nicht ein normaler Dateitransfer, er hatte ja auch geschrieben, dass er eine exel tabelle hochlädt. Das würde ich eher über die Filestation oder FTP machen als über SSH

 

[Puppetmaster]

Aber "ruhig sperren" kann man den Port extern dann eben auch nur, wenn man keine Datensicherung über verschlüsselten Transfer betreibt - neben des beschriebenen Dateizugriffen.
Das war gemeint.

 

[stefanghh]

Also ich mache meine Datensicherung auf ein WD Book über den USB 3.0 Anschluss.