j-Serie Sicherheitsrisiko gefunden

Alle Geräte der Einsteiger j-Serie (Junior). Geräte für Privatanwender bis hin zu kleinen Firmen.
Status
Für weitere Antworten geschlossen.

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Dann ist das für dich wohl irrelevant.
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.915
Punkte für Reaktionen
2.363
Punkte
829
Ich hatte vor ein paar Tage das Thema auch "am Hals", als ich von DSM 4.3 auf 5.1 upgedatet habe. Wenn man sein Backup auf eine externe Platte macht und kein Portforwarding auf ssh nutzt, kann man die Thema aus dem Test ausschließen und wird dann mit der Meldung nicht mehr behelligt.
 
  • Like
Reaktionen: monline

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wobei ich den ganzen Sicherheitsberater eher unglücklich finde, wie auch schon an anderer Stelle diskutiert wurde. Als Hilfe für unerfahrene User total ungeeignet, für erfahrene User eine Zumutung.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.805
Punkte für Reaktionen
179
Punkte
129
Ja wenn man alles beim Mailserver anklickt was er vorschlägt aber nicht das nötige extra dazu weiß und eben dann auch die DNS einstellungen etc. anpasst, dann kann man auf einmal keine Mails mehr senden und wundert sich dann.
 

stefanghh

Benutzer
Mitglied seit
09. Feb 2013
Beiträge
229
Punkte für Reaktionen
2
Punkte
18
Naja grundsätzlich will ich 3 Sachen.

1. Das die DSM läuft wofür ich sie brauche - tut sie.
2. Das Ganze mit recht wenig Aufwand und keiner Ausbildung zum System Admin. (Obwohl einiges muss man auch als "Otto Normal Anwender" lernen).
3. Die DSM möglichst sicher ist - und hier irritiert mich der Sicherheitsberater so ziemlich. Ich habe seit ca. 5 Jahren eine DSM und bis jetzt keine Sicherheits Probleme (ich weiss einmal ist immer das erste Mal)

Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.
 

stefanghh

Benutzer
Mitglied seit
09. Feb 2013
Beiträge
229
Punkte für Reaktionen
2
Punkte
18
P.S. Ich nutze Roundcube als Imap Mail Server und will auf keinen Fall das es da zu irgendwelchen Problemen kommt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

Die Thematik ist, dass du hier in einer recht komplexen Materie unterwegs bist. Nicht umsonst gibt es Studiengänge wie Informatik etc.
Man kann, insbesondere wenn man nicht genau weiß, was man tut, eben auch sehr viel Schaden anrichten. Womöglich ohne, dass man dies bemerkt. Das ist natürlich nicht gewollt.

Es kann also ganz sicher nicht schaden, wenn man sich das notwendige Wissen auch halbwegs aneignet um so zumindest abschätzen zu können, was man da eigentlich tut.
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.915
Punkte für Reaktionen
2.363
Punkte
829
Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.

Das stimmt überwiegend, hat aber auch damit zu tun, dass diejenigen "Nicht-Nerds", die ein Problem gelöst haben, relativ selten dann diese Lösung im Wiki verewigen. Cracks tun sich oft schwer damit, die nötige Ausführlichkeit und Wortwahl zu finden, so dass sie verständlich für "Nicht-Cracks" schreiben.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Was meiner Meinung nach (auch im Wiki) das problem ist, vieles ist von Cracks für Cracks geschreiben worden. Soll heissen manchmal sitze ich mit ziemlichen Fragezeichen davor und muss mir die Infos erst mühsam zusammen googeln, was überhaupt gemeint ist.
Da hilft auch fragen - dafür ist das Forum auch da. Und ist im Übrigen auch sinnvoller (weil da eben beim Betroffenen eigenes Wissen generiert wird) als die immer wieder gerne gefragten Schritt-für-Schritt-Anleitungen... denn die verführen zum tumben Abarbeiten, ohne zu hinterfragen - mit der Gefahr, unbeabsichtigt gefährliche Fehler einzubauen, bspw. dann, wenn sich bei anderen Versionen Veränderungen ergeben haben.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.805
Punkte für Reaktionen
179
Punkte
129
Oder die Variablen nicht berücksichtigt werden können siehe Mailserver.
 

stefanghh

Benutzer
Mitglied seit
09. Feb 2013
Beiträge
229
Punkte für Reaktionen
2
Punkte
18
Nun ja, bei Synology zahle ich eben auch für die Software die das Ganze auch nicht "Nicht Admins" (oder Linux Götter) relativ leicht bedienbar machen sollte. Was mich beispielsweise irritiert im Wiki steht Port 22 mit Geld -also sicheres Passwort dann geht`s - während der Sicherheitsberater "hoch" sagt.

Umgekehrt sagt der Sicherheitsberater bei Port 5005 "mittleres Risiko" und das Wiki rot - geht gar nicht. Wenn ich von außen (via Browser x beliebiger PC) auf meine Synology zugreifen will, wie soll ich da eine https verbindung generieren?

Und was mir der SIcherheitsberater mit LAN Diensten sagen will, kapiere ich gar nicht.

Den IMAP Server brauche ich definitiv (bin auf den Synology eigenen gespannt) von daher denke ich ich ignoriere den Sicherheitsberater. Oder gibt es konkrete Tipps (die ich auch verstehe :))
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

stefanghh

Benutzer
Mitglied seit
09. Feb 2013
Beiträge
229
Punkte für Reaktionen
2
Punkte
18
Naja sie läuft, macht was ich will, mein Passwort scheint stark genug zu sein für etwaige Angriffe (bekomme regelmäßig Mails über vergebliche Versuche des Einloggens) und den ganz großen Aufschrei im Sinne von "geht gar nicht" scheint es hier im Forum auch nicht geben - also ignorieren.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
...
Umgekehrt sagt der Sicherheitsberater bei Port 5005 "mittleres Risiko" und das Wiki rot - geht gar nicht. Wenn ich von außen (via Browser x beliebiger PC) auf meine Synology zugreifen will, wie soll ich da eine https verbindung generieren?...
Das macht der Browser doch von ganz alleine. (Port 5006 und/oder 5005 auf 5006 zeigen lassen)
Klar, dann kommt diese Warnung das dem Zertifikat nicht vertraut wird, aber das kann man dann ja zulassen.
Als ob eine Zertifikat vom den hunderten Registrierungsstellen die der Browser vertraut besser wären, leider denken das viele!
Ohne SSL würde ich nicht von extern zugreifen, die Passwörter werden dann im Klartext übertragen.
Die liegen dann (möglicherweise lange) im Browsercache. Im gesicherten WLAN kann ohne große Probleme der "Betreiber" des WLAN mitlesen.
In ungesicherten WLANs kann "jeder" mitlesen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...In ungesicherten WLANs kann "jeder" mitlesen.
Und daher sollte man sich in ungesicherten WLAN-Netzen auch nach Möglichkeit nicht mit dem einzelnen Aufruf verschlüsselter Seiten/Adressen begnügen, sondern den gesamten Datenverkehr über einen VPN-Tunnel zu Deiner DS leiten - denn nur so hast Du Kontrolle über die verwendete (starke!) Verschlüsselung.
 

stefanghh

Benutzer
Mitglied seit
09. Feb 2013
Beiträge
229
Punkte für Reaktionen
2
Punkte
18
Also ich benutze nie ungesicherte W-Lans, sondern nehme mein Smartphone als Hotspot wenn ich unterwegs bin. Ich habe mir eben mal die VPN anleitung bei Synology durch gelesen - klingt nicht gerade einfach (auf Windows Seite) Jedenfalls sollte ich dafür einen Abend Zeit haben :)
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.805
Punkte für Reaktionen
179
Punkte
129
Die Frage ist welches VPN Protokoll du verwenden willst. PPTP ist in 5 Minuten eingerichtet. OpenVPN kann schon mal eine Weile dauern.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Also ich benutze nie ungesicherte W-Lans, sondern nehme mein Smartphone als Hotspot wenn ich unterwegs bin.
Das kann im Ausland bzw. beim Roaming ein sehr teures Vergnügen werden ;) - abgesehen von den Unsicherheiten eines beliebigen Mobilfunknetze oder den Gefahren, wenn Du mit dem Smartphone einem IMSI-Cacher über den Weg läufst.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
OpenVPN kann schon mal eine Weile dauern.
Den OpenVPN-Server auf der DS mit Standardeinstellungen in Betrieb zu nehmen, dauert nicht länger als 5 Minuten. Nach weiteren 5 Minuten ist das Profil auf einem Smartphone und dort in einer App wie "OpenVPN für Android" importiert. Das ist dann schon recht sicher - und wenn man dann noch Lust hat, mehr zu erreichen, kann man in einer halben Stunde die Standardeinstellungen des Servers und des Clients in den Konfigurationsdateien noch verändern bzw. verbessern (Cipher für den Datenkanal von Blowfish auf AES ändern, Cipher für den Kontrollkanal auf eine hohe Sicherheit festnageln, bspw. eine mit PFS und SHA-2 wie TLS-DHE-RSA-WITH-AES-128-GCM-SHA256 mit DH-Parametern von 2048bit). Das muss man dann aber über die Konsole bzw. WinSCP machen. Hier gab's vor kurzem dazu Infos, wenngleich ich die dort erwähnte Bevorzugung von AES256 für unangebracht halte, da sie nicht wirklich mehr Sicherheit bringt (AES128 ist auf 20 Jahre ebenso sicher wie AES256), sondern eher Performancenachteil von ca. 40% gegenüber AES128 bringt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
. Hier gab's vor kurzem dazu Infos, wenngleich ich die dort erwähnte Bevorzugung von AES256 für unangebracht halte, da sie nicht wirklich mehr Sicherheit bringt
Theoretisch ist AES256 sogar unsicherer als AES128. Durch Angriffe mit verwandten Schlüsseln kann die Komplexität von AES256 und AES192 auf unter 2^100 gesenkt werden. Dann wären die 2^128 von AES128 stärker. Auf AES128 kann dieser Angriff bis heute nicht angewendet werden (https://cryptolux.org/index.php/FAQ_on_the_attacks).
Aber wichtig: praktikabel ist dieser Angriff trotzdem nicht
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat