Sicherheitsrisiko Portfreigabe anhand des Beispiels FTP-Server

[mike3k]

Ist denn die Länge/Komplexität des Admin Passworts relevant, wenn man für FTP nur einen einzigen Account mit entsprechender Zutrittsberechtigung angelegt hat, welcher NICHT der Admin-Account ist?

Gegenfrage: Ist eine EC-Karten-Pin mit einer Stelle genauso sicher wie mit vier, obwohl die Karte "eigentlich" die ganze Zeit in deinem Portmonaie steckt? Denk mal drüber nach!

Ebenso in der Systemsteuerung bitte auch die "Automatische Blockierung" einschalten, falls noch nicht passiert. Automatisches Release nach 1 Tag oder einstellen.

 

[trininja]

Weil dir die Beste Sicherheitsimplementierung nix nutzt, wenn es ein schwaches Kennwort nutzt. Eine Kette ist nur so stark wie ihr schwächstes Glied, und das sind meistens die Kennwörter.

Ich hab lieber am Montagmorgen 50 Anfragen im HelpDesk wegen vergessener Kennwörter (Is auch so schwer von Freitag bis Montag was zu merken), als einen Zombierechner im Netzwerk aufgrund eines schwachen Kennworts.

 

[lord1024]

Gegenfrage: Ist eine EC-Karten-Pin mit einer Stelle genauso sicher wie mit vier, obwohl die Karte "eigentlich" die ganze Zeit in deinem Portmonaie steckt? Denk mal drüber nach!

Ebenso in der Systemsteuerung bitte auch die "Automatische Blockierung" einschalten, falls noch nicht passiert. Automatisches Release nach 1 Tag oder einstellen.

Die Gegenfrage beantwortet meine Frage zwar nicht.

Aber die Antwort zu deiner Gegenfrage ist wohl: "Unter bestimmten Umständen: Ja, ist genau so sicher."
Nämlich abhängig davon, wie schwer ich es einem potentiellen Angreifer mache, an das Portmonaie zu kommen. Liegt das Portmonaie beispielsweise standardmäßig in einem Bankschließfach, ist die Erhöhung der PIN Länge von 1 auf 4 Stellen sicherheitstechnisch zu vernachlässigen.

Um vielleicht dennoch meine ursprüngliche Frage beantwortet zu bekommen, formuliere ich sie jetzt mal anders:

Wir sind uns einige, dass die Länge/Komplexität des Admin Passworts sehr wichtig ist. Wird die Länge/Komplexität des Admin Passworts noch wichtiger, nachdem man für FTP nur einen einzigen Account mit entsprechender Zutrittsberechtigung angelegt hat, welcher NICHT der Admin-Account ist?

Danke für den Tipp mit der "Automatische Blockierung", welche ich allerdings schon längst aktiviert habe.

Weil dir die Beste Sicherheitsimplementierung nix nutzt, wenn es ein schwaches Kennwort nutzt. Eine Kette ist nur so stark wie ihr schwächstes Glied, und das sind meistens die Kennwörter.

Es tut mir wirklich Leid, allerdings will ich das scheinbar nicht kapieren. Ich hoffe, ihr habt Nachsicht und gebt mich noch nicht auf. Eine Kette ist nur so stark wie ihr schwächstes Glied. Allerdings ist das Admin-Passwort in der von mir beschriebenen Kette doch gar kein Glied. Zumindest erkenne ich den Zusammenhang (noch) nicht.

Mal anders formuliert: Ich zerstöre das angeblich so wichtige, schwache Glied jetzt völlig und verrate dir hiermit das Admin-Passwort. Es lautet Apf35elkuhc3n.

Meine WAN-IP ist 81.10.131.65.

Am Router ist nur der FTP Port 21 an die lokale IP der DiskStation geforwarded.

Den einzigen für FTP freigeschalteten Benutzernamen/Passwort verrate ich nicht.

Welche Angriffsmöglichkeiten gibt es bzw. warum soll die Kette jetzt angeblich reißen?

 

[trininja]

Ich könnte jetzt erstmal das in Deutschland nicht mehr "legale" (Die Gerichte sind sich immer noch nicht einig) Portscanning nutzen auf deine WAN IP um erstmal alle offenen Ports zu finden. Wäre ich schonmal soweit, das ich in Richtung FTP komme. Evtl. finde ich dabei noch irgendeinen Port, der mir eine weitere Möglichkeit bietet egal welcher Art. Wenn ich jetzt noch eine Schwachstelle oder einen Exploit haben würde um per FTP mich durchzuhangeln bis ins Wurzelverzeichnis als Admin und dort ein Script ablegen/austauschen kann, das beim nächsten Synostart oder besser noch als cron in ein paar Minuten von alleine startet und versucht weitere Ports per UPNP freizugeben oder aber direkt den FTP Port umbinded auf den SSH Dienst so das ich von aussen SSH Zugriff auf deine DS als admin bekomme.

Szenario klingt unglaubwürdig? Passiert aber dummerweise andauernd und hab ich schon paarmal live miterlebt. Wenn es eine sogenannten 0day Exploit für den FTP der Syno gibt, der es ermöglich oben beschriebenes Szenario zu ermöglichen, dann ist das leider auch machbar.

 

[lord1024]

Danke, das war die Antwort, auf die ich gewartet habe, denn es bringt mich zu dem Fazit zurück, dass ich schon in einem meiner ersten Posts hier erkannt habe.

Okay, das heißt aber für mich dann, dass abgesehen von 1.) Sicherheitslücken, die vielleicht seitens Synology in der FTP-Funktion des DSM verborgen sind und 2.) Sicherheitslücken, die ich selbst unbewusst mittels den DSM Einstellungen erschaffe, also beispielsweise versehentlich dem für FTP vorgesehenen User nicht nur Lese, sondern Lese- und Schreibzugriff gewähren oder auch mittels DSM Ordnerfreigaben zuteilen, die eigentlich nur meine zwei Augen etwas angehen, kann man eine derartige Portfreigabe doch ruhigen Gewissens verwenden.

Denn deine beschriebene Methode setzt (ungewollte bzw. unentdeckte) Schwachstellen oder einen Exploit seitens des Herstellers voraus, in deinem Beispiel, falls ich es richtig verstanden habe, zuerst einen Port, welcher eigentlich nicht freigeschaltet wurde, es aber doch ist.

Ist ja ganz aktuell wieder ein heißes Thema: http://www.heise.de/security/meldun...html?wt_mc=sm.feed.tw.security&from-classic=1

Wobei auch im verlinkten Fall die Länge/Komplexität des Passworts nicht sicherheitstechnisch relevant ist.

 

[101010]

Wenn Du jetzt einen der "Backdoor-Router" hast, kann man sich bei Dir einklinken und auf die NAS zugreifen. Also in dem Fall schnell das Passwort ändern

Im Idealfall sollte das für Deinen Anwendungsfalll mit dem Admin-Pwd passen. Aber leider gibt es keine 100 prozentige Sicherheit und in diesem Fall wäre jetzt der Router das schwächste Glied in der Kette. Wer sagt, dass die FTP Implementierung korrekt ist, und man nicht Stack-Overflow o.ä. Angriffen weiter kommt.

Mag vielleicht konstruiert klingen, aber die letzten Tage und Woche gab es bezüglich Sicherheit für viele ziemliche Überraschungen.

Deswegen: wenn schon Wert auf Sicherheit gelegt wird, dann sollten alle Komponenten abgesichert werden. Da muss jeder für sich den Kompromiss zwischen Sicherheit/Bequemlichkeit/Faulheit finden

 

[trininja]

Das muss nichtmals ein Fehler seitens Synology sein, da sie auch nur Standardanwendungen benutzen was FTP Server angeht, die millionenfach auf dieser Welt im Einsatz sind. Es geht dann auch garnicht um eine Backdoor oder einen Backdoorport, sondern darum, das jemand durch zum Beispiel nen Buffer Overflow erhöhte Rechte erhält oder ein Script ausführen kann, das dann deinen eigentlichen FTP Port zum SSH Port macht. Das hat rein garnichts mit ner offenen Backdoor zu tun.

Aber ich denke ich kapsel mich hier aus, muss jeder selber wissen wie er sich absichern will. Btw. sorry für den Ansturm auf deinen Router aus Singapoure, Schweden und Rumänien. *hust*

 

[101010]

Btw. sorry für den Ansturm auf deinen Router aus Singapoure, Schweden und Rumänien. *hust*

Den Rest verstehe ich und hast auch meine Zustimmung, blos was willst Du damit sagen? Grübel

 

[mike3k]

Ebenso könnte ich per Browser Exploit (im schlimmsten Fall per CSRF) und/oder Virus/Trojaner in deinem internen Netz in deine DS eindringen. Schwaches Passwort = schneller drin...

Siehe auch diverse Lecks in Routern zum Thema CSRF:
http://www.heise.de/security/artikel/Angriffe-auf-Router-271002.html

Der Artikel ist von 2008... Das das Thema immer noch aktuell ist, zeigen Berichte, dass es 4-5 Jahre danach immer noch solche Lecks gibt
http://blog.botfrei.de/2012/12/csrf-lucke-kann-router-manipulieren/
http://www.jakoblell.com/blog/2013/...ns-server-configuration-of-tp-link-routers-2/

Damit stell ich direkt erstmal deinen Router auf Durchzug und schon bin ich in deiner DS!

... So eine Lücke kann auch in der DS stecken, die letzen Monate/Wochen kamen ja auch krasse Dinger raus!
http://www.synology-forum.de/showth...nager-(DSM)-4.3-3776-Multiple-Vulnerabilities

Von daher verstehe ich diese Diskussion nicht... Sichere Passwörter sind IMMER Pflicht! Es gibt quasi keine No-Trust-Zone... Weiterhin ist dein PW oben auch nicht super sicher, da eine Ableitung eines Wortes, sowas knacken solche PW-Knackprogramme recht schnell... Gab mal einen interessanten Artikel dazu auch in der ct, wie weit diese veränderten Wörterbuchattacken bereits sind.

 

[trininja]

Den Rest verstehe ich und hast auch meine Zustimmung, blos was willst Du damit sagen? Grübel

Eh, er hat mich ja eingeladen mit seiner WAN IP, hab gerade mal nen Portscan gemacht. Sein Router ist recht verschwiegen. Ka obs seine echte war, entschuldige mich dann schonmal für den Scan. ^^ Hab vorsichtshalber aber per VPN gescannt, nicht das da sonstewer hintersitzt.

Und zum Thema PW Knacken: Mittlerweile sind Brute Force Methoden per GPU Computing am laufen, da graust es einen wie schnell die sind, wie bereits AMD FireStream oder auch NVIDIA Tesla, die beiden Wissenschaft GPUs für sowas haben die 6-10 fache Leistung ihrer Desktop Pendants beim berechnen. Mit speziell darauf ausgerichteten ASIC Umsetzungen erreicht man sogar eine 50-70 fache Leistung dessen, da ASIC nur für einen speziellen Grund optimiert und aufgebaut wird (Bekannt dürfte das aussem BitCoin Umfeld sein, wo selbst GPU Mining nichts mehr bringt und die Profis auf ASIC umsteigen.). Und Rainbow Table und Dictonary Attacks sind mit darauf ausgelegter ASIC Architektur auch nen Kinderspiel.

 

[101010]

OK. Aber er kann sich nicht beschweren. Das war eine Einladung und du hast kostenlos seine Sicherheit überprüft

 

[lord1024]

Wer auch immer eine kostenlose Überprüfung seiner Sicherheit erfahren hat, ich war es definitiv nicht.

@mike3k
Inwiefern habe diese von dir gelinkten Sicherheitslücken Zusammenhang mit einer Portfreigabe für beispielsweise FTP (um beim Topic zu bleiben und es für mich verständlich zu halten).

 

[mike3k]

@mike3k
Inwiefern habe diese von dir gelinkten Sicherheitslücken Zusammenhang mit einer Portfreigabe für beispielsweise FTP (um beim Topic zu bleiben und es für mich verständlich zu halten).

100% direkt nichts, aber über'n Tellerrand schauen hat schon immer gelohnt!

 

[trininja]

Jep, IT Sicherheit ist ein Thema, das viele nur in groben Zügen kennen, selbst gestandene Admins. Das Thema ist so extrem Vielschichtig, angefangen von einfachen Dingen wie Kennwörter, über getrennte Subnetze mit dedicated Firewalls, Hardwareport Monitoring (USB Ports der Clients überwachen.) bis hin zum Social Hacking, das wir hier noch am St. Nimmerleinstag sitzen und darüber diskutieren können oder bis wir rausschauen und wir wirklich 1984 haben.

 

[lord1024]

Hey Leute,

vielen Dank für eure rege Anteilnahme und für die entstandene Diskussion, welche, wenn auch teilweise am Topic vorbei, immer interessant geblieben ist.

Abschließend würde mich noch die Antwort darauf interessieren, dann lasse ich auch in Ruhe.

Wir sind uns einig, dass die Länge/Komplexität des Admin Passworts sehr wichtig ist. Wird die Länge/Komplexität des Admin Passworts noch wichtiger, nachdem man für FTP nur einen einzigen Account mit entsprechender Zutrittsberechtigung angelegt hat, welcher NICHT der Admin-Account ist?

 

[mike3k]

Auf die Frage wird dir keiner eine wirkliche Antwort geben können. Hängt vom konkreten Angriffsszenario mit einer konkreten Lücke ab! Ohne Definition derer, kann man keine befriedigende Antwort treffen.

Generell: Hängt die DS am Netz, über welchen Dienst auch immer, sollte das Admin PW möglichst "sicher" sein. Das gilt aber auch für die anderen Accounts, wobei wir jetzt wieder in die Endlos Diskussion abdriften würden.

 

[101010]

Ich würde sagen, die Antwort ist schon im Thread enthalten

 

[Frogman]

Exakt, wie ja oben auch schon skizziert wurde - der Admin-Account sollte immer mit einem starken Passwort gesichert sein (und die anderen besser auch), denn wenn ein Eindringling im LAN aufkreuzt, dann findet er auch die DS, die ins WAN nicht sichtbar ist.

 

[lord1024]

Da mir niemand eine direkte Antwort auf die Frage geben möchte, muss ich schon fast daraus schließen, dass die Antwort "nein" lautet.

Das "nein" natürlich unter der Voraussetzung, dass wir uns nach wie vor einig sind, dass die Länge/Komplexität des Admin Passworts sehr wichtig ist.

 

[Frogman]

Das artet langsam wirklich in Haarspalterei aus hier... - solange Du nicht meßbar "wichtiger" definieren kannst.