Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?

Status
Für weitere Antworten geschlossen.

RichardF

Benutzer
Mitglied seit
12. Mrz 2015
Beiträge
142
Punkte für Reaktionen
1
Punkte
18
Huhhhh Richard....

Auch wenn ich jetzt mit meinem Beitrag die Tips und Warnungen der anderen User hier "zerstöre", dann doch mal eine Antwort, welche Du scheinbar haben willst. Du bist allerdings zu ängstlich bei diesem ganzen Thema und verstehst wiederum aber die Warnungen der anderen User nicht einzuordnen!

Eine DS ist erstmal sicher auch wenn sie völlig frei im Netz steht und als Sicherungen

- User mit ordentlichen Passwörtern
- eine aktive Firewall
- eine ordentlich (durchdachte) Routerkonfiguration
- eine aktive Kontoschutz/Auto-Blockierung

hat! Ich habe seit 2001 meinen Rechner so am Netz, wie Du es machen willst und da gab es bisher keine Probleme. Klar ist, dass immer irgendwas passieren könnte - dann werden die hier aufgezeigten Warnungen der anderen User tatsächlich eintreten können. Aber laut meinem Dafürhalten ist das ein "negativer" Lottogewinn. Möglich, aber doch sehr unwahrscheinlich. Um dieser Möglichkeit aus dem Weg zu gehen, gibts VPN - willst Du aber nicht machen... Ich habs auch fast 20 Jahre ohne geschafft, was nicht heisst, dass ichs nicht parallel trotzdem aktiv am Laufen habe.

Hallo TheGarder

Ich will verstehen welche Angriffsziele eine DS bietet um sie dann möglichst so zu konfigurieren das sie nicht im vorbei gehen von irgendwelchen standard Angriffszenarien Abgefrühstückt wird.

Lg
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Also aus meiner Sicht geht ein Hacker (oder was immer sich illegal Zugriff auf die DS verschaffen will) erstmal über einen PortScan an eine mögliche Internetadresse ran! Dabei werden dort meisst nur IP-Adresse im Netz durchpflügt. Mitunter gibt es auch DNS Adresse, welche irgendwo in Blogs/Darknet oder ähnlichem aufgetaucht sind benutzt.
Durch den PortScan wird dem Gegner dann mitgeteilt, auf welchen Ports die Adresse lauscht und eventuell angreifbar ist. Du kannst das bei Dir selbst testen, indem Du einmal folgende Internetadresse auf rufst und dort Deine IP eingibst:

https://www.grc.com/x/ne.dll?bh0bkyd2

Dort machst Du quasi einen solchen Portscan selbst und siehst dann, welche Ports Dir als Offen oder Geschlossen angezeigt werden! Lediglich die Offenen Ports sind zu untersuchen. Alles was dort grün auftaucht kann vernachlässigt werden, weil Dein System dort als sicher gilt.
Ich würde mir erstmal die Zeit nehmen und einen kompletten Scann über alle kleineren Ports machen (1 - 1024).

Ausserdem gibt es noch eine zweite Seite, wo Du innerhalb einer Suchmaschine alle möglichen DS aufgelistet bekommst, die gerade im Internet "frei" herumstehen! Das sind praktisch "schöne Angriffziele", welche aber auch erstmal Passwort-mäßig geknackt werden müssen! Einige dieser Inhaber sind "sicherlich" auch so naiv, dass sie als Hauptuser natürlich noch admin verwenden (damit wüssten die Angreifer zumindest schonmal den Usernamen) und (was noch viel schlimmer ist) oftmals auch noch die Synology Updates seit Jahren nicht mehr durchgeführt haben und somit die Platformen (DSM) so veraltet sind, dass dort evt. über mittlerweile öffentlich diskutierte und über die Zeit entstandene Sicherheitslücken Zugriff zu bekommen wäre.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74
Also Fazit:

Du solltest die folgenden Punkte nacheinander befolgen und hättest erstmal alles abgedeckt um die DS ohne Angst im Netz laufen lassen zu können

- User mit ordentlichen Passwörtern - dabei aber Deinen eigenen User zum Administrator zu erheben und den User admin auf der DS zu deaktivieren
- eine aktive Firewall - nur die wirklich benötigten Ports sollten nach außen frei zugänglich sein (z.B. 80 und 443 für Webzugriff, 21 für FTPS und ein kaschierter 22 - also z.B. 922 für SFTP, usw.) und in den Firewall-Regeln am Ende den Punkt bei "alles andere blockieren" setzen
- eine ordentlich (durchdachte) Routerkonfiguration - wie oben geschrieben, nur die Ports freischalten die benötigt werden
- eine aktive Kontoschutz/Auto-Blockierung - z.B. ein User kann 5x seine User/Pass Kombination falsch eingeben, bevor seine IP für 100 Tage gesperrt wird
 

dany

Benutzer
Mitglied seit
31. Mrz 2008
Beiträge
352
Punkte für Reaktionen
0
Punkte
22
Ich will verstehen welche Angriffsziele eine DS bietet um sie dann möglichst so zu konfigurieren das sie nicht im vorbei gehen von irgendwelchen standard Angriffszenarien Abgefrühstückt wird.

Das kommt drauf an was du für Services anbietest. Hast du z.B. eine Mailstation im Internet könntest du für Spamer interessant sein. Mach dir eine Liste was du für Services anbietest, welche Ports offen hast (nmap oder ein Online-Scannen), wie du es absichern kannst/willst, Gegenmassnahmen durchführen.


Wie schon in den vorangegangenen Beiträgen erwähnt, so wenig Angriffsfläche bieten, wie möglich. Was aber nützt die besten Vorkehrungen, wenn man das Backup vergisst? Solche Überlegungen gehören auch zum Thema Sicherheit. Solltest du im Worstcase Szenario gehackt werden und deine Daten gelöscht/verändert (Ransomware) werden musst du ja den Service/Daten wiederherstellen können.


Für den Home-Bereich reicht in der Regel ein kostengünstiger Router mit einem Opensource OS (dd-wrt, open-wrt). Willst du mehr Services nach aussen anbieten, dann eher eine Firewall wie pfSense, IPFire mit mehr Intelligenz. SoHo würde ich eher eine Firewall kaufen die auch DPI integriert haben. Die sind mit einem Abonoment gekoppelt und auch nicht gerade billig. Jede Form des Schutzes bedingt das man weiss was man tut und es gibt keine allgemein gültige Lösung.

Gruss Dany
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
@RichardF:
Du fragst: Hilft an der Stelle das Intrusion Prevention System
( Erklärung: UniFi´s "Intrusion Prevention System" (IPS) schützt Ihr Netzwerk vor Angriffen und bösartigen Aktivitäten. Es blockiert und beendet Verbindungen, die Ihre Sicherheit gefährden könnten.)

IPS macht jeder gute (teure) Router, allerdings hilft er gar nicht, wenn man Ports aus dem Router direkt an die Synology weiterleitet für zB WebDav, Kalender, Web- oder Mailserver. Mit der Weiterleitung wird auch die Verantwortung der Sicherheit vom Router an die Syno übergeben.
DAS ist der Grund, warum ausnahmslos alle Ports immer über die Firewall des Routers laufen sollten.
Aus diesem Grund ist es am sichersten ausser VPN nichts anderes von Aussen zugänglich zu machen, aber das über einen VPN Router und wie beschrieben nicht über die Synology.
VPN Verbindungen sind mit den SoHo Routern allerdings nicht sehr performant. Unter 300€ kenne ich kein einziges, empfehlenswertes Gerät.
 

RichardF

Benutzer
Mitglied seit
12. Mrz 2015
Beiträge
142
Punkte für Reaktionen
1
Punkte
18
VPN Verbindungen sind mit den SoHo Routern allerdings nicht sehr performant. Unter 300€ kenne ich kein einziges, empfehlenswertes Gerät.

Unify sagt
USG: 85 MBit/s, USG-Pro: 250 MBit/s, USG-XG-8: 1 GBit/s.
Das würde meine Internetverbindung (50/10) nicht verlangsamen oder ist das irgendwie anders zu deuten?


Edit: Grad was durcheinander gebracht das bezieht sich auf aktiviertes IPS

Bevor ich den VPN Server auf das USG verlege - Wie siehts da mit der Performance aus?
 
Zuletzt bearbeitet:

RichardF

Benutzer
Mitglied seit
12. Mrz 2015
Beiträge
142
Punkte für Reaktionen
1
Punkte
18
Wie zu erwarten 80/443

Bildschirmfoto 2019-04-26 um 21.01.53.png


Also erstmal die 2 roten entfernt


closed.png

Was ist mit den blauen muß ich hier auch handeln?
 

RichardF

Benutzer
Mitglied seit
12. Mrz 2015
Beiträge
142
Punkte für Reaktionen
1
Punkte
18
So nochmal bei der Firewall etwas nachgeschärft

Closed2.png
 

NormalZeit

Benutzer
Mitglied seit
15. Okt 2012
Beiträge
361
Punkte für Reaktionen
17
Punkte
24
Sieht ja aus wie MineSweeper :rolleyes:

Hüte Dich vor den Bomben :p
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Wow - das ging ja echt schnell hier.
Falls jemand meinen Senf noch hören will: Meines Erachtens muss man sich - sobald man Dienste ins www stellt - immer die Frage stellen, was passiert wenn Gerät X kompromittiert ist?! Wenn vorne die berühmt berüchtigte Fritte steht, sollte die erstmal als unsicher deklariert werden und ist als VPN-Server gänzlich ungeeignet.
Danach kommt dann ein Gateway-Router. Dieser sollte VPN-Dienste bereitstellen, Portscans und weitere Angriffe detektieren (IDS) und auch blockieren, ggf. Geoblocking vornehmen. Das ist die erste Instanz und sollte nur „guten“ Traffic durchlassen. Wer also Port 22 anfragt, obwohl ihr nur nen Webserver betreibt, wird geblockt. Ebenso kann die Nutzung von blacklists sinnvoll sein.
Danach kommt bei mir noch eine transparente Firewall (UTM), ist aber ggf. obsolet.
Dann kommt der LAN-Router, der die unterschiedlichen Netze im Heimnetzwerk voneinander trennt (IoT, WLAN, LAN und NAS). Dieser ist so konfiguriert, dass er immer noch schützt, sollte der Gateway-Router gefallen sein. Ebenso schützt dieser vor einer weiteren Infektion sollte bspw. eine NAS oder ein IoT-Gerät gefallen sein. Eine NAS mit Diensten im www darf auf keinen Fall gleichzeitig als Fileserver mit sensiblen Daten fungieren! Notfalls kann man dies über Virtualisierung lösen - das ist aber nur die zweitbeste Option. Ich habe meine NASen kpl. getrennt. Und ja - natürlich ist die NAS genau dafür gebaut, Dienste im www bereitzustellen. Leider kommt es immer wieder mal vor, dass fehlerhafte Software bereitgestellt wird; daher ist es wichtig, eine mehrstufige Verteidigung unterschiedlicher Hersteller aufzubauen.
Was ich noch wichtig finde ist, keinerlei ausgehenden Direktzugriff für IoT-Geräte (auch die Synos sind IoT devices) ins www zuzulassen. Diese sollten nur über einen Proxy oder eine Firewall mit automatisch aktualisierten Filterlisten ins Netz gehen (aus Datenschutzgründen nur anonym geroutet).
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.060
Punkte für Reaktionen
3.873
Punkte
488
Und wenn er keinen Port mehr weiterleitet ist alles grün - super Spiel :rolleyes:
 

nögi

Gesperrt
Mitglied seit
05. Mai 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Da einer meiner synos wegen fotofreigaben durch entsprechende portweiterleitungen des firewallls im netz zugaenglich ist (Dyn DNS ip weiterleitung), arbeitete ich zuerst auch mit blacklist geoblocking (fortlaufend ergaenzt). Da aber die firewall bald am anschlag der erfassten adressen war habe ich in der zwischenzeit auf eine Geo Whitelist (heimatland) mit definierten whitelist IP's aus dem ausland und als ergaezung mit blacklist inland (einzelne Ip's, bei mehrmaligen vorkommen, sprich zugriffen auf mein fw/syno in aehnichen IP-bereichen mit ranges) umgestellt. Fernzugriff auf die Syno resp mein meim netz (VPN) benoeige ich sonst nicht. Der rest wurd hier ja schon erwaehnt mit deaktiveren des standart admin accounts und entsprechenden passwoerten swie fuer den aktiven adminaccount zweiweg authentifizeirung.
Zusaetlich befindet sich dieses NAS in einem eigenem Vlan das von den restlichen heimnetzen getrennt ist und es finden periodische backups euf ein anderes nas statt, dass aber nur dann aktiv ist wenn die backups laufen sollen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.846
Punkte für Reaktionen
56
Punkte
74

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
lol - wer Win10 im Netz hat braucht sich um Schutz von aussen nicht sorgen, da er ja schon von innen kompromittiert ist.

Mit ‚keine permanent über Laufwerksbuchstaben verbundene shares’ ist eben gemeint, dass Du bspw. auf Deine Videos nicht per V:/ zugreifst, sondern per //NAS/video/ also UNC-Pfade nutzt. Der Zugriff erfolgt dann nur im Bedarfsfall - schützt ggf. gegen Crypto-Trojaner bspw.
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
309
Punkte für Reaktionen
5
Punkte
18
Zuletzt bearbeitet:

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
@whitbread Das Schützt dich nicht, da die Anmeldedaten für den Ordner trotzdem im System gespeichert werden. Die verschiedenen Trojaner sind schon lange über das Level raus, dass sie sich nur um den lokalen PC kümmern.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.060
Punkte für Reaktionen
3.873
Punkte
488
Was empfiehlst du stattdessen? (Ordner, die von 10 Benutzern genutzt werden, alles Windows 10)

Zugriff auf das NAS per \\NAS\... bei Bedarf. Das erschwert es einem Trojaner & Co schon sehr. Normalerweise scannen die nur alle Laufwerksbuchstaben durch.
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
309
Punkte für Reaktionen
5
Punkte
18
Kannst du das bitte näher erläutern? Muss das dann jedes Mal eingegeben werden?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.060
Punkte für Reaktionen
3.873
Punkte
488
Die meisten Dialoge merken sich doch die Historie. Natürlich musst du ein wenig tippen. Tipp mal oben im Explorer "\\NAS\..." ein. Beim nächsten Mal werden dir deine letzte Auswahlen meist schon nach Eingabe von "\\N" zur Auswahl angeboten. Ähnlich wie bei den URLs in Chrome oder anderen Browsern.

Edit:
Mit "NAS" ist natürlich der Name deiner DS oder sonstiger Geräte gemeint
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat