Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?

[RichardF]

@RichardF
Na ja, ist ja noch überschaubar. Dem könnte ich als Hardliner ja noch zustimmen, wenn du die äusseren Ports etwas verfremdest

Obwohl?
- Bilder, die ich teilen möchte, lagere ich in die Cloud aus, z.B. auf meine 1TB bei 1&1 - ist auch irgendwie gleich ein Backup.

Was du nutzt eine Cloud für sowas? Das ist der Hauptgrund warum ich eine DS betreibe. Damit hast du die Bilder gleich automatisch ins Netz gestellt.
Die Clients sichern sich zusätzlich mit der Backupfunktion der DS Photoapp. --> äusserst praktisch

@RichardF

- Chat über die eigene DS braucht kein Mensch. Dafür gibt's WhatsApp & Co

Schonmal die Nutzungsbedingungen von Whatsapp gelesen --> deswegen nutze ich Chat

@RichardF
- und VPN hatte ich ja eh schon gesagt. Ich würde es aber, wenn möglich, eher auf dem Router machen, also nicht durch bis zur DS.

Könnte ich mit USG umsetzen aber worin siehst du den mehrwert an Sicherheit wenn die DS am USG hängt?
würdest du dann die DS in ein VLAN hängen?

 

[RichardF]

Oftmals sind es ja irgendwelche Schadprogramme, die man sich über E-Mail Anhänge, ominöse Websites oder weiß der Geier noch was einfängt und die sich dann von innen heraus einen Weg nach draußen bomben.

Tommes

Das klingt ja nicht so toll, aber geht das so einfach in einer Unify Netzwerkumgebung mit Mac (ausschliesslicher Admin zugriff), IOS, linux und Android Clients (mit gut eingeschränkten Berechtigungen)?
Woher nimmt ein solches Schadprogramm die Berechtigungen um Einstellungen umzukonfigurieren?

 

[Benares]

Photostation:
Deswegen schrieb ich ja "Bilder, die ich teilen möchte ..." und in der Cloud gibt's die ganzen Mechanismen wie Freigabelinks usw. auch.

Chat:
Keiner meine Freunde/Bekannte nutzt Chat auf der DS, alle nur WhatsApp. Warum das Rad neu erfinden? Man muss halt wissen, was man darüber macht.

DS/VLAN usw.:
Mach's nicht so kompliziert. Am Ende blickst du selbst nicht mehr durch. Du betreibst kein Rechenzentrum, sondern ein kleines Heimnetz mit i.d.R. 1+x Usern.
Lass die Haustür zu, dann gibt's auch keine Überraschungen

Edit:
Auch noch was von mir zum Thema "innere Feinde".
Etwas gesunder Menschenverstand beim Lesen von Mails/Web-seiten reicht i.d.R. Aktueller Virenschutz (Defender reicht) ist obligatorisch. Keine permanent über Laufwerksbuchstaben verbunden NAS-Shares, und immer ein halbwegs aktuelles Image des eigenes PCs irgendwo, falls man sich doch mal was einfangen sollte.

 

[RichardF]

Photostation:
Deswegen schrieb ich ja "Bilder, die ich teilen möchte ..." und in der Cloud gibt's die ganzen Mechanismen wie Freigabelinks usw. auch.

Mit wem ist dort die Frage... also mit dem den du den link schickst und den anderen IT Beauftragten des Cloud Betreibers.
Warum sollte ich das machen wollen? Mit der Photostation habe ich es im Griff mit wem ich was teile und dort bin ich der "IT Beauftragte" der bei Bedarf einsehen kann.

Chat:
Keiner meine Freunde/Bekannte nutzt Chat auf der DS, alle nur WhatsApp. Warum das Rad neu erfinden? Man muss halt wissen, was man darüber macht.

Weißt du das auch? Whatsapp liesst schonmal deine Telefonbuchdaten aus, weil du dem zustimmst. Damit hast du deinen Bekanntenkreis schonmal freiwillig bereitgestellt. zudem behält sich Whatsapp vor diese wie auch andere Daten an 3. herauszugeben wenn sie der Ansicht sind es wäre notwendig sowie deren Nutzung für eigene Zwecke?... Dem hast du auch zugestimmt. --> bei Chat ist das wohl nicht der Fall.

DS/VLAN usw.:
Mach's nicht so kompliziert. Am Ende blickst du selbst nicht mehr durch. Du betreibst kein Rechenzentrum, sondern ein kleines Heimnetz mit i.d.R. 1+x Usern.
Lass die Haustür zu, dann gibt's auch keine Überraschungen

Ich dachte du hast eine Begründung für "der VPN Server soll eher auf dem Router laufen" als auf der DS.

 

[Benares]

@RichardF
Du scheinst mir etwas paranoid zu sein, sorry. Wenn ich Urlaubs-Bilder zum Austausch in die Cloud lege, ist mir bewusst, dass da evtl. auch Admins Zugriff haben könnten. Das ist mir egal. Aber meine Bank-Daten mit den PINs für die Millionen-Konten würde ich nie dort ablegen - und deshalb auch keinem anderen Zugriff auf mein NAS erteilen

Bei WhatsApp sehe ich das genauso. Ein paar Namen mit Telefonnummern sehe ich nicht als besonders schutzwürdig an. Die haben die doch eh schon. Aber auf den Komfort, nur ein Adressbuch bei Google pflegen zu müssen, dass auf allen Geräten bekannt ist, möchte ich nicht verzichten. Jeder muss daher selbst wissen, was er wo ablegt.

Warum "VPN über Router", dazu hatte ich oben schon was geschrieben.

 

[Tommes]

@RichardF
Du musst dich mal selber reden hören. Du bist anscheinend so belesen was WhatsApp, Cloud Anbieter und sowas angeht und machst dementsprechend einen großen Bogen um solche Institutionen. Das ist auch absolut okay und völlig legitim. Ich hab auch eine Zeit lang WhatsApp mit Missachtung gestraft und hab auf Threema gesetzt. Nur doof, wenn deine Freunde das anders sehen. Aber gut... ich schweife ab.

Was das Thema DiskStation ins Internet stellen alles für Fallen mit sich zieht, darin hast du dich anscheinend noch nicht belesen, was ja auch nicht verwerflich ist, Aber auf der einen Seite verteufelst du o.g. Institutionen, auf der anderen Seite willst du aber auch nicht war haben, das eine DS im Internet auch noch nicht der Weisheit letzter Schluss ist. Da hast du in meinen Augen nicht zu Ende gedacht. Bitte nicht falsch verstehen.

Tommes

 

[RichardF]

Deswegen würde ich hier ja gerne eine Diskussion darüber führen wie ich sie sicherer machen kann, welche Fallen es gibt und ob das Risiko für mich vertretbar ist.
Mit Aussagen wie las die Tür zu, komm ich an der Stelle nicht weiter.

Verteufeln tu ich gar nichts, ich hab hier nur schlechte Erfahrungen gemacht. Hier dann die Argumentation zu lesen ich geb die Daten gleich her dann brauch ich sie nicht zu schützen halte ich da für nicht so optimal und von der gleichen Stelle kommen dann Sicherheitstipps.

Da bin ich zugegebenermaßen gerade etwas genervt von Benares Aussagen vor allem wenn auf Nachfrage kein Wissen erkenntlich wird.

 

[Tommes]

Wie gesagt, ich wollte dir damit nicht auf die Füße treten und Benares bestimmt auch nicht.

Aber es bleibt halt wie es ist. Am besten ist es, die Tür zu zu halten, oder zumindest den Ball flach um keine Aufmerksamkeit im Internet zu erregen. Die Wege, die dahin führen, sind nun mal nicht damit abgetan, indem man einen Port umbiegt und auf einen höheren legt. Und hier wurden bereits einige Punkte diesbezüglich angesprochen.

Bei VPN ist das im Prinzip nicht anders, denn VPN ist nicht gleich VPN, da gibt es viele unterschiedliche Protokolle bzw. Vorgehensweisen. Eine FritzBox macht z.B. "nur" IPSec, die DS kann aber auch OpenVPN und anders. Je nach Vorliebe, darf hier jeder das nehmen, was einem zusagt. Nur musst du bei einem VPN, welcher von deiner DS verwaltet wird, auch wieder Ports weiterleiten, was ich z.B. bei meiner FritzBox mit IPSec nicht muss. Sicherlich sind hier auch offene Port mit im Spiel, die Angriffsfläche ist aber kleiner, da hier kein weiteres Gerät involviert ist. Es gibt immer ein Pro und ein Contra. Das ist halt so und daher wirst du hier wohl auch nie alle Fragen beantwortet bekommen, weil jeder seine eigene Paranoia in sich trägt und diese vertritt.

Das einzige was hilft ist, lesen, lesen und nochmals lesen. Daraus kannst du dir dann eine Meinung bilden und Dinge umsetzten. Hier bekommst du nur Ratschläge von Leuten mit unterschiedlichen Erfahrungswerten und Wissensständen. Eine abschließende Antwort wird es hier wohl nicht geben. Das ist leider so...

Tommes

 

[RichardF]

Aber es muss doch möglich sein ein Sicherheitskonzept zu skizzieren das grundlegende Angriffsmöglichkeiten schonmal eindämmt auch wenn das nicht der Weisheit letzter Schluss ist könnte es helfen seine eigene Konfiguration zu hinterfragen und somit die potentielle Angriffsfläche zu reduzieren.

Lg Richard

 

[Benares]

Zu #27 (ihr seid mir heute einfach zu schnell, oder bin ich in zu vielen Foren unterwegs?):
Die Diskussion führen wir doch bereits.

Dein letzter Satz stört mich aber etwas - aber zumindest hatte ich in den letzten 30 Jahren noch keine "Besucher".
Ich predige immer, einfach den gesunden Menschenverstand nicht abzuschalten, aber auch nicht in Paranoia zu verfallen. Viele halten ihre paar Daten auf dem NAS für das ultimative Geheimnis schlechthin, was sie aber wiederum jedem preisgeben möchten. Wieso?

Ich hab immer gesagt, jeder muss selbst wissen, was er von sich preisgeben möchte und was nicht. Da gehen die Meinungen durchaus auseinander. Datenschutz ist immer ein Kompromiss zwischen Komfort und Angst, dass was unbeabsichtigt abgegriffen wird oder beschädigt werden könnte. Da muss man sich einfach entscheiden.

@RichardF: Sag doch einfach mal, wie viele "Fremde" oder "Freunde" dein NAS von extern wirklich nutzen sollen und wozu das nötig sein sollte. Ich bin mir sicher, der Hauptnutzer wirst du selber sein, wenn du ehrlich bist. Und dafür ist der VPN-Zugriff einfach das Beste.

 

[Tommes]

Du hast dein Sicherheitskonzept ja bereits im Beitrag #4 ausgerollt und das ist ja quasi das, was Synology auf ihren Seiten predigt. Das ist vom Grundgedanken ja schon mal nicht schlecht. Das allein reicht aber nicht, das dir hier jemand guten Gewissens einen Freifahrtsschein ausstellt. Ich hoffe, du verstehst was ich’s damit meine. Luft nach Oben wird es immer geben und mit den Bordmitteln von Synology oder deines Routerherstellers kommst du halt nicht weit, oder eben nicht weit genug um ruhig schlafen zu können. Portweiterleitung bzw. Umbiegung, IP Sperre, https, und solche Dinge sind halt die Mindestanforderungen aber auch die maximalen Möglichkeiten, die du mit Bordmitteln erreichen kannst. Da kommt dann auch nicht mehr viel. Wenn dir das reicht, dann setz das so um. Ich für meinen Teil würde aber weiter schauen und über Dinge wie Hardware Firewall oder DMZ nachdenken, Das wäre das, wo ich meine DS lieber sehen würde. Aber der Weg dorthin ist steinig und sicherlich nicht in einem Thread wie diesem abschließen zu klären. Ich meine, wir sind alles nur kleine Lichter, die keine Ahnung vom bösen Internet haben. Wir haben halt alle Angst um unsere Daten, der eine mehr, der andere weniger.

Es gibt nicht DIE Lösung. Es gibt nur Wege, die du gehen kannst. Das was Synology und dir irgendwelche Plastik- Router bieten ist halt auch ein Weg. Du kannst damit. Glück haben oder auch nicht, Sicherlich ist es auch nicht die Lösung, einen Serverschrank in den Keller zu stellen um gegen alle Angreifer geschürzt zu sein. Daher nochmal... es gibt nicht die eine Lösung. Wie ich immer zu sagen pflege - der Weg ist das Ziel.

Tommes

 

[RichardF]

Zu #27 (ihr seid mir heute einfach zu schnell, oder bin ich in zu vielen Foren unterwegs?):
Die Diskussion führen wir doch bereits.

Dein letzter Satz stört mich aber etwas

@RichardF: Sag doch einfach mal, wie viele "Fremde" oder "Freunde" dein NAS von extern wirklich nutzen sollen und wozu das nötig sein sollte. Ich bin mir sicher, der Hauptnutzer wirst du selber sein, wenn du ehrlich bist. Und dafür ist der VPN-Zugriff einfach das Beste.

Na komm nimm es mir nicht übel .... alles gut.

Es sind 5 Permanente via chat / davon 3 auch mit Photostation und weitere 10 mit denen hin und wieder Fotos von privaten Events geteilt werden die bekommen dann jeweils einen temporären Zugriff + einer mit separater Photostation
Also max.16
Ich selbst noch per VPN brauch ich aber eher selten, da kein Bedarf.

 

[Arwed!]

Ich hatte jahrelang einen US DynDNs Anbieter gratis wo man sich alle 30 Tage melden mußte um seinen DynDNS zu behalten.Zu der Zeit gab es täglich ein bis zwei Dutzend Anmeldeversuche als Admin auf meinen DS. Jetzt habe ich einen DynDNS bei meinem Domain Hoster inwx.de in Deutschland. Ich habe jede Menge Domains, die bieten jetzt einen gratis DynDNS an, für Domainkunden.
Kann für jede beliebige Domain genutzt werden.
Weitere DynDns kosten 1 Euro je Monat.
Mittlerweile habe ich auch alle IPs ausserhalb Deutschland und Österreich gesperrt, keine versuche mehr auf meine DSen zuzugreifen.
Chat auf der DS nutze ich auch, HiDrive von Strato auch, amerikanische Dienste nutze ich nicht mehr.
Wer WhatsApp nutzt bekommt von mir keine Telefonnummer, unter anderem mein Einsatzleiter und diverse Kollegen. Ich nutze nichts davon, kein Facebook, besuche ich auch nicht, Versuche diese Datenkraken zu meiden.
Mein Handy läuft mit Bada als Betriebssystem, da nutze ich ohnein kein Internet drauf und auch null Apps. Das Ding ist nur Telefon, sonst nichts.Ist noch ein Samsung Wave II.
Habe auch noch Motorola Razr V3 auch ohne Internet.

 

[peterhoffmann]

Oh, der Thread wächst ja schneller wie man F5 drücken kann...

Ich bin bei einer DS, die zwei offene Ports (WebDav, DSM) nach außen hat, die beide durch die Fritzbox (täglicher IPv4-Wechsel, kein IPv6) im Bereich über 40.000 liegen, im Protokollcenter die Protokolle durchgegangen.
Test weise habe ich versucht mich mit falschen Daten per WebDav zu verbinden, sowie im DSM anzumelden. Beide Versuche fand ich im Protokollcenter wieder. Aber ansonsten seit 12/2017 keine weiteren Einträge von fehlgeschlagenen Versuchen.

 

[Tommes]

Gut durchgeführte Angriffe hinterlassen bestenfalls keine Spuren in irgendwelchen Protokollen... aber gut, wollen wir mal die Kirche im Dorf lassen.

Wie ich weiter oben bereits andeutete, ist die Gefahr von außen wohl geringer als man denkt, aber wissen tut man das halt nie so genau. Jedes System hat seine Schwachstellen. Daher muss das jeder für sich entscheiden ob und was er mit welchem Aufwand ins Internet lässt. Ich für meinen Teil bin wohl zu paranoid um das ruhigen Gewissens so zu handhaben, wobei... meine FritzBox ist ja auch per myFritz erreichbar. Da sollte ich vielleicht noch mal eine Nacht drüber schlafen... wenn ich denn kann

 

[peterhoffmann]

meine FritzBox ist ja auch per myFritz erreichbar.

Ich meide gerne die Dienste, die vom Hardwareanbieter angeboten werden. Daher nutze ich z.B. auch kein Quickconnect.
Das liegt an meiner "Paranoia" und Überzeugung, dass 99,999% aller Angriffe auf Standardszenarien aufbauen und die Masse im Auge haben. Wer sich "neben dem Mainstream" bewegt, bleibt davor schon verschont.

 

[NSFH]

Ein Sicherheitskonzept aufzustellen ist was anderes als es umzusetzen, zu pflegen und auch auf Schwachstelle zu testen.
Wenn ich dir jetzt schreibe, dass meine Konfigurationen grundsätzlich so aussehen
Modem > VPN Router > Switche und Server hilft das nichts.
Fragt man sich ob es sinnvoll ist per Portweiterleitung (die sind ungefiltert und ungeprüft) direkt Web-Anfragen auf die Syno weiter zu leiten.
In jedem Fall ein klares Nein, jeder Intruder ist dann schon gleich da wo er hin möchte, auf deinem Fileserver.
Das Argument meine Syno zeigt in den Protokollen keine Eindringversuche an ist keines. Die Eindringversuche laufen so ab, dass der Protokolldienst deiner Syno es nicht anmeckert. Dein Router ja auch nicht, denn an dem und dessen Firewall hast du ja den Traffic bereits zum Fileserver weiter geleitet.
Bleibt also nur VPN, das aber nicht im Fileserver sondern im Router.
Die Synos bieten dann noch netter Weise 2 Nw-Ports. Davon kann man einen per VLAN abtrennen und nur für den Internetzugang nutzen, den anderen für das LAN.
In der Firewall der Syno lassen sich dann auch getrennte Regelwerke aufstellen.
Falsch machen kann man indes trotzdem noch so einiges. Feststellen wird man das dann per Penetration test von Aussen. Dafür gibt es einige nette Tools in die man sich aber einarbeiten muss.
Ein Restrisiko verbleibt immer, welches aber eher durch eingeschleppte trojaner per Mail verursacht wird.
Hier rächen sich dann die billigen SoHo Router, da ich mit deren simplen Firewalls den outbound traffic nicht kontrollieren kann.
IT-Sicherheit kostet also auch Geld. Kein kleines Problem bei der geiz-ist-geil Mentalität beim Hardwarekauf.

 

[RichardF]

Ein Sicherheitskonzept aufzustellen ist was anderes als es umzusetzen, zu pflegen und auch auf Schwachstelle zu testen.
Wenn ich dir jetzt schreibe, dass meine Konfigurationen grundsätzlich so aussehen
Modem > VPN Router > Switche und Server hilft das nichts.

Das würde ich maximal als eine Auflistung von Komponenten nennen aber kein Sicherheitskonzept.

Fragt man sich ob es sinnvoll ist per Portweiterleitung (die sind ungefiltert und ungeprüft) direkt Web-Anfragen auf die Syno weiter zu leiten.
In jedem Fall ein klares Nein, jeder Intruder ist dann schon gleich da wo er hin möchte, auf deinem Fileserver.

Das versteh ich nicht, Verwendest du diesen Begriff jetzt als Synonym für die Diskstaion oder wie soll er den auf den Fileserver kommen wenn dieser nicht durch geschliffen wird?

Das Argument meine Syno zeigt in den Protokollen keine Eindringversuche an ist keines. Die Eindringversuche laufen so ab, dass der Protokolldienst deiner Syno es nicht anmeckert. Dein Router ja auch nicht, denn an dem und dessen Firewall hast du ja den Traffic bereits zum Fileserver weiter geleitet.

Also wird hier hier auf einer tieferen Ebene angegriffen als das versucht wird über einen Anmeldedienst/Screen den Benutzer und das Passwort zu knacken (Brute-Force-Attacke) ?
Den an der Stelle wird es ja erstmal schwierig wenn man dem hier glauben darf.

https://www.1pw.de/brute-force.php
"Zitat"
Ein Blick in die Tabelle verrät da schon einiges: Um ein 13-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, das aus Ziffern, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 2.953.626 Jahren.
"Zitat Ende"

Jetzt ist meine DS so konfiguriert das sie die IP nach 5 Anmeldeversuchen erstmal für 5 Tage sperrt.
Also an der Stelle wird so einfach nichts gehen.

Das Argument meine Syno zeigt in den Protokollen keine Eindringversuche an ist keines. Die Eindringversuche laufen so ab, dass der Protokolldienst deiner Syno es nicht anmeckert. Dein Router ja auch nicht, denn an dem und dessen Firewall hast du ja den Traffic bereits zum Fileserver weiter geleitet.

Hilft an der Stelle das Intrusion Prevention System
( Erklärung: UniFi´s "Intrusion Prevention System" (IPS) schützt Ihr Netzwerk vor Angriffen und bösartigen Aktivitäten. Es blockiert und beendet Verbindungen, die Ihre Sicherheit gefährden könnten.)

Hilft an der Stelle auch ein Geo Flip Filter?

Bleibt also nur VPN, das aber nicht im Fileserver sondern im Router.

Warum im Router habe ich noch nicht verstanden, wenn dieser kompromittiert würde, wäre das doch noch verheerender.
An der Stelle kann das Gesamte Netzwerk geöffnet werden.

Die Synos bieten dann noch netter Weise 2 Nw-Ports. Davon kann man einen per VLAN abtrennen und nur für den Internetzugang nutzen, den anderen für das LAN.
In der Firewall der Syno lassen sich dann auch getrennte Regelwerke aufstellen.

Damit muß ich mich noch auseinandersetzen...

 

[peterhoffmann]

Warum im Router habe ich noch nicht verstanden, wenn dieser kompromittiert würde, wäre das doch noch verheerender.
An der Stelle kann das Gesamte Netzwerk geöffnet werden.

VPN über den Router: Wenn der Router überwunden wird, ist der Angreifer zwar im Netzwerk, muss nun aber noch die DS überwinden.

VPN über die DS: Wenn die DS überwunden ist, ist der Angreifer sofort in der DS und nebenbei auch im Netzwerk.

 

[TheGardner]

Huhhhh Richard....

Auch wenn ich jetzt mit meinem Beitrag die Tips und Warnungen der anderen User hier "zerstöre", dann doch mal eine Antwort, welche Du scheinbar haben willst. Du bist allerdings zu ängstlich bei diesem ganzen Thema und verstehst wiederum aber die Warnungen der anderen User nicht einzuordnen!

Eine DS ist erstmal sicher auch wenn sie völlig frei im Netz steht und als Sicherungen

- User mit ordentlichen Passwörtern
- eine aktive Firewall
- eine ordentlich (durchdachte) Routerkonfiguration
- eine aktive Kontoschutz/Auto-Blockierung

hat! Ich habe seit 2001 meinen Rechner so am Netz, wie Du es machen willst und da gab es bisher keine Probleme. Klar ist, dass immer irgendwas passieren könnte - dann werden die hier aufgezeigten Warnungen der anderen User tatsächlich eintreten können. Aber laut meinem Dafürhalten ist das ein "negativer" Lottogewinn. Möglich, aber doch sehr unwahrscheinlich. Um dieser Möglichkeit aus dem Weg zu gehen, gibts VPN - willst Du aber nicht machen... Ich habs auch fast 20 Jahre ohne geschafft, was nicht heisst, dass ichs nicht parallel trotzdem aktiv am Laufen habe.