Noch mehr Senf bitte.
Hallo,
dieses Thema ist ein hervorragendes Beispiel dafür warum ich Foren manchmal nicht mag. Es zeigt, dass hier so einiges was man liest mit Vorsicht zu genießen ist und man versuchen sollte differenziert an das Thema heranzugehen.
Ich habe mir tatsächlich die Mühe gemacht alle Beiträge zu lesen und möchte doch empfehlen die Kirche im Dorf zu lassen.
Ich möchte hierbei zwei Beiträge beispielhaft herausnehmen:
Moin,
allen hier, deren Daten verschlüsselt wurden, mein Beileid. Man kann es leider nicht oft genug sagen, und es wurde auch schon so oft hier diskutiert: Ein simples NAS gehört einfach nicht ins Internet. Mittlerweile sollte bekannt sein…
- Im DSM ist ein Haufen veralteter Software vergraben
- Synology hat es bis heute nicht geschafft, ein ordentliches Patchmanagement auf die Beine zu stellen
- Updates sind immer noch nicht digital signiert (man möge mich korrigieren, falls es sich doch bereits geändert hat)
- Dienste laufen unnötigerweise größtenteils mit Root-Rechten (was bei Standard-Linux-Distributionen nicht der Fall ist)
- Synology hat einige proprietäre Treiber integriert, deren Nutzen nicht immer klar ist bzw. geheim gehalten wird
- Synology ist durch fest kodierte Standardpaßwörter negativ aufgefallen
- Synology verlangt im Supportfall Zugriff über Telnet
- Die Diskstation funkt regelmäßig über HTTP einen Ping-Server in Asien an
- Softwareaktualisierungen werden ohne Changelog ausgeliefert
- In der Vergangenheit: diverse Pufferüberläufe, Directory-Traversal-Lücken, … in unterschiedlichen Webdiensten
- Allseits bekannte Standardlücken von Webanwendungen sind/waren in der Weboberfläche verbaut
- ...
Meine Wahrnehmung ist, daß Synology aus bereits vergangenen Sicherheitsvorfällen nichts gelernt hat bzw. keine Investitionen in verbesserte Sicherheit tätigen möchte. Sicherheit kostet nun mal Geld. Genauso werden Tips aus Anwenderkreisen nicht umgesetzt. Im Gegenteil, immer neue Funktionen (Verkaufsargument) und halbgare Software scheinen wichtiger zu sein (Billiger. Software reift beim Kunden, wenn sie denn nicht schon vorher anfängt zu schimmeln).
So, wer mag zuerst draufhauen?
Viele Grüße,
Süno42
Welche Alternativen zu Synology und QNap gibt es, die alles besser machen und kein Informatikstudium abverlangen?
D.h. Du hast Deinen Port 22 öffentlich nach außen??? Warum? Wieso nicht 22222 oder 2022 oder oder oder?
PS.: Der Port 22 wird bei allen ziemlich oft als Einfallstor ausprobiert! Deshalb am Router dicht machen bzw. einen anderen Port wählen, welchen der Router dann an 22 der DiskStation durchreicht!
Ich habe auch einen Port 22 auf meiner Sicherungs-DS offen. Warum? Weil ich keine Zeit und Lust habe mich mit Linux näher auseindaerzusetzen, um den Port über das Terminal zu ändern. Denn über DSM ist das nicht realisierbar. Zudem nutze ich die Datensicherung der Synology, die Port 22 für verschlüsselten Transfer benötigt.
Aber es gibt eine simple Lösung mit der ich schon seit mehreren Monaten keine durch SSH gesperrten IPs habe. Ich habe nämlich nur meine IP Range, die ich von meinem ISP erhalte, erlaubt.
Aber ich habe auch eine Frage:
PS.: Wirklich genial, wieviele Anmeldebildschirme von DSen man auf
Google sehen kann! Denen gehört allen son Locker auf den Hals geschickt! Bloß gut, dass das allein noch nicht ausreicht!
5000 habe ich nicht offen, aber dafür 5001. Bisher hat noch keiner diesen Port bei mir ausprobiert. Kann ja noch kommen. Aber könnte Google z.B. auch meine IP mit Port 5001 anzeigen? Wenn ja, wie verhinder ich das?
Mein Fazit:
Wenn man betrachtet wer von diesem Problem betroffen ist, dann muß ich leider sagen: "Unwissenheit schützt vor Strafe nicht." Leider gilt das auch hier.
Eine NAS ist halt ein nettes Stück Hardware, nur man sollte sich bei einem solchen Gerät auch mit dessen Funktionen auseinandersetzen. Offensichtlich ist das dem einen oder anderen NAS Besitzer nicht klar genug. Man sieht das auch (m.M.n.) daran, dass die Geschädigten, die sich hier gemeldet haben, eben auch Foren-Neulinge sind mit ihrem ersten Beitrag zu überraschenderweise diesem Thema.
PS: Ich persönlich habe 5001, VPN IPSec/L2TP (alle 3 Ports), HTTP und HTTPS offen und fühle mich sicher. Auto IP Blocker eingeschaltet und kryptische Passwörter mit mind. 30 Zeichen. Führe ein Backup und habe immer die letzten Patches installliert. Und wenn die Firmware eine Lücke aufweist, gut, dann habe ich immer noch ein Backup.
Grüße
PPS: Etwas liegt mir am Herzen - ich halte es für absolut nicht zielführend der Masse Lösungen wie Sophos und ähnliches zu empfehelen. Ein Forum und vor allem ein solcher Beitrag ist für die Masse hilfreich, wenn sich mit ihren Anforderungen auseinadergesetzt wird. Aber nach dem Motto, alles scheiße, wenn Du keine Pro Ausrüstung hast, dann lass es lieber, ist komplett daneben.
Ich bin auch kein besserer Fussballspieler, nur weil ich die neusten Schuhe für 250,- EUR trage.
