j-Serie Sicherheitsrisiko gefunden

[Frogman]

Yep, dabei geht's um die Art der Schlüsselausweitung von 128 auf 256 Bit. Deswegen würde ein theoretischer Angriff auf AES128 (der aber bisher nicht mal im Ansatz möglich ist) mit hoher Wahrscheinlichkeit auch AES256 kompromittieren.

 

[Puppetmaster]

PPTP ist in 5 Minuten eingerichtet. OpenVPN kann schon mal eine Weile dauern.

Sitze gerade im Hotel und es ist (wieder einmal) nicht möglich, mit dem vorhandenen WLAN über PPTP eine Verbindung aufzubauen, die anschließend auch einen Datentransfer zulässt.
Soviel zum Nutzen von PPTP.

 

[heavy]

Das hat aber nichts mit PPTP zu tun sondern mit dem WLan des hotels. Sonst könnte ich ja auch sagen scheiß VPN geht gar nicht. Sitze beim Mac Donalds und kann nur ungeschütz ins internet, da die Telekom kein VPN außer ihrem eigenen Zulässt, und das ist dann auch nur zum Router im Restaurant

 

[Frogman]

OpenVPN bietet in vielen Situationen, wo Ports nicht in WLAN-Netzen zur Verfügung gestellt werden, eine Menge Vorteile - einfach den eigenen Server und den Client umkonfiguriert auf TCP Port 443 und schon sollte man weiterkommen.

 

[Puppetmaster]

Das hat aber nichts mit PPTP zu tun sondern mit dem WLan des hotels.

Ja, was war denn nun zuerst da, Henne oder Ei?
Es liegt natürlich am Hotel-WLAN und PPTP, denn andere Protokolle funktionieren hier.

 

[stefanghh]

So, meine Synology wollte das ich Port 1723 öffne und VPN funtioniert, zumindest zeigen mir das der PC Laptop und mein Smartphone an. Mal abgesehen davon ,daß ich das Problem habe das das Zusammenspiel von Dyndns und meiner O2 Homebox nicht immer funktioniert (habe das in einem anderen Thread gepostet), meine Frage jetzt.

Welche Ports kann (und sollte) ich zumachen? Denn wenn ich das richtig verstehe greife ich per VPN über den Port 1723 von ausserhalb zu. Allerdings sollte der IMAP Server / Roundcube nicht gestört werden.

 

[heavy]

Du kannst alle zumachen die du nicht erreichbar haben willst ohne VPN zugriff. Also wenn du imap haben willst, dann musst du die offen lassen, außer du willst nur per VPN auf deine Mails zugreifen, dann kannst du auch die zu machen. Denn bist du per VPN im Netz, dann hast du auf alles zugriff.

 

[stefanghh]

Jetzt muss ich nur noch die entsprechenden IMAP Einstellungen für Outlook rausfinden . Dann noch etwas Anderes. Ich versuche gerade über https und meiner internen IP Adresse für die DSM auf diese das erste mal zuzugreifen. Es erscheint erscheint ein Bildschirm mit "Web Station wurde aktiviert. Unter DSM Hilfe finden sie........ ihrer Webseite fertig zu stellen". Ich war in der DSM Hilfe - aber habe nicht heraus gefunden was bitte meine DSM von mir erwartet.

 

[Frogman]

Nichts erwartet sie - dort wird eine Standardseite eingeblendet, die Du im root-Ordner des Webservers /volume1/web findest. Du kannst, wenn Du möchtest, dann eigene Seiten dort ablegen bzw. auch in Unterordnern, die Du dann mit http://IP/Ordnername aufrufen kannst.

 

[stefanghh]

Öhm und wie komme ich auf meine Ordner Struktur? Also im Grunde das was ich sehe wenn ich über meinen PC / Synology / Laufwerk gehe??

 

[heavy]

Imap: Port 993 (ssl verschlüsselt) und deine dyndns Adresse
DSM über https muss erst in der DS aktiviert werden.

 

[stefanghh]

Ich bekomme diese wunderbare Seite. Frage - wie komme ich von da aus auf meine Ordner Struktur der DSM -also auf das was ich sonst auch sehe?

 

[goetz]

Hallo,
http://192.168.1.119:5000
https://192.168.1.119:5001

Gruß Götz

 

[stefanghh]

So ich habe mal etwas an der DSM und dem Router rum gebastelt und einiges geschlossen. Anbei mal die Liste meiner (noch) geöffneten Ports. Vielleicht hat ja einer der "Götter" noch eine Idee - oder Tipp.

 

[Frogman]

110 und 143 kannst Du schließen (zunächst unverschlüsselte Pop/IMAP), da Du 995/993 auf hast. Port 80 brauchst Du nur, wenn Du unverschlüsselt Webdienste anbieten willst, ansonsten reicht 443. Port 1723 deutet auf PPTP-VPN hin - das solltest Du besser ersetzen durch OpenVPN über UDP-Port 1194. Port 6690 (DS Cloud) brauchst Du nur, wenn Du nach extern syncen willst.Die Ports 50001/2 (Medienserver) brauchst Du nur, wenn Du von extern auf den Medienserver zugreifen willst (was ich nicht denke, weil Port 1900 bei Dir zu ist).

 

[stefanghh]

Erst einmal danke . DS Cloud ist so ziemlich das wichtigste Programm auf meiner DSM - von daher lasse ich es offen. Was VPN oder Open VPN angeht, so scheint es hier im Forum geteilte Meinungen zu geben. Ich habe für mich beschlossen bei VPN zu bleiben, es läuft - auf allen Geräten.

 

[Frogman]

Da scheinst Du etwas zu verwechseln - ob nun VPN über PPTP oder VPN über OpenVPN, das sind beides VPN-Verfahren, eben nur andere Protokolle. Und unterschiedlicher Meinung kann man hier eigentlich nicht sein... PPTP ist bereits vor Jahren kompromittiert worden, das Knacken einer solchen Verbindung konnte jeder bereits 2012 für 200 Dollar bestellen (Link), inzwischen sind die Attacken noch sehr viel besser und vor allem schneller geworden. Deine Entscheidung, was Dir Deine Daten wert sind, aber in jedem Fall passt sie in diesem Punkt keinesfalls zu Deinem eingangs geäußerten Sicherheitsbedürfnis

 

[Puppetmaster]

Und unterschiedlicher Meinung kann man hier eigentlich nicht sein... PPTP ist bereits vor Jahren kompromittiert worden, das Knacken einer solchen Verbindung konnte jeder bereits 2012 für 200 Dollar bestellen (Link),

Hm, ich denke schon, dass man das unterschiedlich bewerten kann.
Ich setzte teilweise auch noch auf PPTP, weil es einfach und schnell an Windows-Kisten eingerichtet ist. Wenn ich darüberhinaus davon ausgehen kann, dass die Verbindung für Aussenstehende nicht sonderlich interessant ist (also kein Firmenrechner mit tollen Geheimnissen, sondern eher die Familienbilder der letzten Hochzeit), dann fühle ich mich immer noch ziemlich sicher.

200$ wird kaum einer aus Spaß in die Hand nehmen um an Daten zu kommen, die er nicht vermutet. Darüberhinaus kostet es Zeit und Vorarbeit. Du musst z.B. den Anmeldevorgang der VPN Verbindung einmal mitgeschnitten haben, um daraus die geeigneten Daten extrahieren zu können, damit du erst jemanden mit dem "Knacken" des Passworts beauftragen kannst.

In meiner Welt ist das alles zusammen genommen unwahrscheinlicher, als dass ich noch heute von einem Bus überfahren werde oder einen ansehnlichen Betrag im Lotto gewinne.

Wenn es allerdings völlig wurscht ist, ob man nun openVPN oder PPTP einsetzen will, dann sollte man in der Tat zu openVPN greifen, meine ich.

 

[Frogman]

Das war 2012! Ich will das hier nicht verlinken, aber heutzutage gibt's das schon für Pappnasen für weniger als 'n Fuffi für den Baukasten - Anyway, hier gilt wie so oft "Jeder ist seines Glückes Schmied, aber nicht jeder Schmied hat Glück...". Ich hatte den TE so verstanden - jedenfalls erweckt ein Blick auf den Threadtitel diesen Eindruck -, dass er ein besonderes Interesse in Bezug auf Sicherheit hat.

 

[Puppetmaster]

Nichtsdetsotrotz musst du immer noch den Verkehr zunächst mitgeschnitten haben. Ich setze einfach eine gezielte, kriminelle Vorgehensweise voraus, damit da ein Schuh draus wird.

Und jetzt muss man sich eben fragen, wie wahrscheinlich es ist, dass man mit seiner privaten DS ein solches Ziel darstellt.

Grundsätzlich gebe ich Dir auch zu nahezu 100% Recht: openVPN sollte vorgezogen werden (dessen Sicherheitlücken sind eben noch nicht (großflächig) bekannt).
Mein Aufhänger war auch mehr das "man kann da keiner geteilten Meinung sein". Ich sage eben: doch, kann man! ;-)

Und nochmal: Empfehlen würde ich derzeit auch openVPN.