DSM 6.x und darunter Sicherheitswarnung OpenSSL

[martinkoenig]

Hallo zusammen,
ich betreibe ein DS715 mit dem DSM 7. Wegen der Warnung von Synology ende August, dass ein Angriff über das OpenSSL geschehen kann, habe ich mein Gerät vom Netz genommen.

Der Fix scheint ja noch eine Weile zu dauern. Ich brauche mein NAS aber langsam wieder am Netz.
Kann mir jemand ein Hinweis auf eine Anleitung geben, was ich deaktivieren muss, damit ich ohne ein Security Fix von Synology mein NAS wieder ans Internet hängen kann?

Herzlichen Dank für jeden Hinweis.
Martin

 

[Jagnix]

VPN

 

[martinkoenig]

VPN

Hallo Wadenbeisser, habe ich das richtig verstanden, ich muss das VPN deaktiveren?
Danke für die Klärung. Martin

 

[Jagnix]

Nein ich habe das so verstanden, das Deine NASe direkt aus dem Internet erreichbar ist. Deswegen würde ich das über eine VPN Verbindung zum Router lösen.

Also z.B. Handy -> VPN Router -> NAS

 

[heavy]

Naja, da beim VPN Protokoll ja auch openSSL (je nach Art des VPN Tunnels) verwendet wird ist es aktuell echt doof. Du müsstest schauen ob dein Router Hersteller eventuell schon einen patch geliefert hat oder nicht auf openSSL (bzw diese DLL) setzt.

 

[martinkoenig]

Vielen Dank für Eure Antworten. Das ist ja wirklich eine verzwickte Sache. Mein AVM FRITZ!Box 7530AX setzt offenbar kein openSSL ein.
D.h. dass ich zwischen der FRITZ!Box und dem NAS ein VPN Kanal einrichten muss?
Danke für die Erläuterungen!
Lieber Gruss, Martin

 

[heavy]

D.h. dass ich zwischen der FRITZ!Box und dem NAS ein VPN Kanal einrichten muss?

Ähh? Sind deine Fritzbox und das Nas an getrennten Standorten über das Internet verbunden und das nas hat ein eigenes DSL modem? Wenn nein dann meinen wird dass du von deinem Laptop, Handy, externer PC im Internet eine VPN Verbindung zu deiner Fritzbox aufbaust und dann kannst du direkt auf dein NAS zugreifen so als wärst du in dem selben Netzwerk. Damit braucht das NAS keine Portweiterleitungen oder ähnliches im Router um vom Internet aus erreichbar zu sein. Und nur wer die VPN Daten kennt kann sich dann bei dir einwählen.

 

[martinkoenig]

Ähh? Sind deine Fritzbox und das Nas an getrennten Standorten über das Internet verbunden und das nas hat ein eigenes DSL modem? Wenn nein dann meinen wird dass du von deinem Laptop, Handy, externer PC im Internet eine VPN Verbindung zu deiner Fritzbox aufbaust und dann kannst du direkt auf dein NAS zugreifen so als wärst du in dem selben Netzwerk. Damit braucht das NAS keine Portweiterleitungen oder ähnliches im Router um vom Internet aus erreichbar zu sein. Und nur wer die VPN Daten kennt kann sich dann bei dir einwählen.

Danke heavy für die Klärung, das hat mir geholfen. Mein NAS sitzt hinter dem Router mit Firewall und Port-Forwading für den Zugriff.
D.h. ich muss auch die Namensauflösung im "Synology Drive Client" von https://QuickConnect.to/xxx auf die IP Adresse des NAS im Netzwerk hinter dem Router umstellen, korrekt?

Letzte Frage: Hat Synology eine Timeline für diesen Fix in Aussicht gestellt?
Euch allen herzlichen Dank, super Eure Hilfe!
Lieber Gruss, Martin

 

[heavy]

Also nochmal als Zusammenfassung.

--Ist dein NAS in deinem Netzwerk und du willst bei dir zwischen NAS und Rechner Drive einrichten, Ja dann reicht die Interne IP vom NAS.
Portweiterleitungen im Router brauchst du dann nicht.

--Quickconnect ist ein Dienst der durch die Verwendete Technologie keine Portweiterleitungen braucht da das NAS im Prinzip die ganze Zeit ins Internet ruft "hallo hier bin ich" und damit ist sie dann für dich, und eben allen anderen auch, aus dem Internet heraus erreichbar. Und somit auch direkt angreifbar.

-- Willst du jetzt drive nutzen ohne dass das Nas ständig per Quicconnect ins Internet schreit oder eben über einen DDNS Service direkt erreichbar ist dann musst du eben ein VPN zu/mit deinem Router aufbauen. Dann ist der Router das Gerät was aus dem Internet heraus erreichbar ist und ja wenn dann die Verbindung aufgebaut ist brauchst du in drive wieder die interne IP vom NAS

-- Eine Timeline ist mir nicht bekannt habe aber auch nur die öffentlichen Quellen die jeder sehen kann.

 

[martinkoenig]

Also nochmal als Zusammenfassung.

--Ist dein NAS in deinem Netzwerk und du willst bei dir zwischen NAS und Rechner Drive einrichten, Ja dann reicht die Interne IP vom NAS.
Portweiterleitungen im Router brauchst du dann nicht.

--Quickconnect ist ein Dienst der durch die Verwendete Technologie keine Portweiterleitungen braucht da das NAS im Prinzip die ganze Zeit ins Internet ruft "hallo hier bin ich" und damit ist sie dann für dich, und eben allen anderen auch, aus dem Internet heraus erreichbar. Und somit auch direkt angreifbar.

-- Willst du jetzt drive nutzen ohne dass das Nas ständig per Quicconnect ins Internet schreit oder eben über einen DDNS Service direkt erreichbar ist dann musst du eben ein VPN zu/mit deinem Router aufbauen. Dann ist der Router das Gerät was aus dem Internet heraus erreichbar ist und ja wenn dann die Verbindung aufgebaut ist brauchst du in drive wieder die interne IP vom NAS

-- Eine Timeline ist mir nicht bekannt habe aber auch nur die öffentlichen Quellen die jeder sehen kann.

Super, herzlichen Dank!