Sicherheit!

[perry]

Hallo Zusammen

ich muss sagen, dass ich nach einer Woche DS209 sehr enttäuscht bin!
Es existiert keine Möglichkeit, bestimmte Netzlaufwerke oder auch Ordner, strikt von dem Zugriff von aussen zu schützen.
Die Antwort, die ich bis jetzt recherchiert habe, lautet:einfach keine relevanten Daten auf den Server legen. Auch einen User mit eingeschränkten Rechten für die relevanten Ordner anzulegen ist keine Lösung, da mindestens ein User auf alle Daten zugreifen muss. zumindest von intern, also aus dem LAN und somit könnte sich dieser Account auch von Aussen (internet) anmelden udn hat somit zugriff auf alle Order / Laufwerke.
Wie habt ihr das gelöst?
Über viele Vorschläge und vor allen Dingen eine Lösung würde ich mich freuen!

 

[Matthieu]

Alle Nutzer die von außen zugreifen, können den Zugang über "Anwendungseinstellungen" gesperrt bekommen. Wer weder über FileStation noch über FTP kommt (wie dort einstellbar), hat im Normalfall keine Chance an die Daten zu gelangen.

Außerdem: Wie hättest du es denn gerne? Ich denke es ist dank "Automatischer Blockierung" und genauem Rechtemanagement schon sehr viel für die Sicherheit getan. Wer Sicherheitsprobleme bekommt, ist meist selbst dran schuld.

MfG Matthieu

 

[perry]

Hallo Matthieu
vielen Dank für deine Antwort.
Die 'Anwendungseinstellungen' habe ich nicht gefunden. es wäre nett, wenn du mir einen Tip gibst wo ich die finde.
Um konkret zu werden ein Beispiel wie ich mir den NAS optimal vorstelle:

es liegen Bulkdaten (Fotos, Musik) in einem Order/Netzlaufwerk
es liegen persönliche, kritische Daten in einem anderen Order/Netzlaufwerk

Auf die Bulkdaten sollen aus dem Internet zugegriffen werden können.
Auf die persönliche, kritische Daten darf nicht aus dem Internet zugegriffen werden können.

Klar kann ich keinen User einrichten, dem es untersagt ist auf das Netzlaufwerk mit den kritischen Daten zuzugreifen. mit dem komme ich - über ftp oder auch über Filestation aus dem Internet.
Was ab ist mit dem User, der - aus dem LAN zunächst - auf alle Daten zugreifen kann? der kann doch auch von aussen genutzt werden, oder?

 

[Matthieu]

Deine Firmware ist aber schon aktuell, oder?
Was du willst versteh ich, mir gings aber darum, wie man das realisieren sollte.

Wenn du über die "Anwendungeseinstellungen" dem Nutzer FTP und FileStation verbietest, ist das schon ein großer Schritt.
Unter "Berechtigungen" als letzter Punkt ist das zu finden.

MfG Matthieu

 

[perry]

Meine FW ist aktuell, vermute ich: DSM 2.2-0965
Wenn ich dich richtig verstehe, schlägst du vor, einen User 'Aussen' zu erstellen, der Filestation und ftp darf, der allerdings nur auf den Order 'unwichtige daten' zugreifen darf.
Der User 'innen' oder 'Admin' darf auf alle Order zugreifen, hat allerdings die Anwendungseinstellungen 'filestation' und 'ftp' verboten. richtig?

 

[Matthieu]

Ja. Und vergiss die "Automatische Blockierung" nicht.

MfG Matthieu

 

[perry]

Das hört sich ganz gut an, doch einen habe ich noch:
was ist mit dem Benutzer 'admin'?
Dieser erscheint nicht in den Anwendungseinstellungen! Somit kann ich ihm auch nich ftp, filestation etc untersagen! das ist doch noch ein Sicherheitsloch, oder?

 

[itari]

Für den FTP kann man Benutzer über die Datei /etc/ftpuser ausschließen. Ansonsten kann muss man sich halt überlegen, ob man die FileStation nach außen hin überhaupt freigibt. Der Rest ist eigentlich eher ungefährlich.

Itari

 

[perry]

ich bin windowsnutzer. ich denke ich habe keine etc/ftpuser. kann ich admin dennoch für ftp ausschliessen?

 

[itari]

ich bin windowsnutzer. ich denke ich habe keine etc/ftpuser. kann ich admin dennoch für ftp ausschliessen?

Auch als Windows-Nutzer geht das. Weil es ja auch der DiskStation eiungetragen wird und die läuft unter Linux. Man muss dazu allerdings auf die Kommandozeile der DS und diese Datei /etc/ftpuser ändern.

Ansonsten kann man auch in den Benutzer-Berechtigungen mit Bearbeiten in der Karte 'Privilegieneinstellungen' eine Menge schrauben.

Itari

 

[perry]

ja schon, aber die Benutzerberechtigungen und die Anwendungseinstellungen lassen ein Bearbeiten des default users 'admin' nicht zu. Somit ist via ftp und filestation des Server nur durch ein Passwort geschützt.
das kann es doch nicht sein, oder?

 

[jahlives]

ja schon, aber die Benutzerberechtigungen und die Anwendungseinstellungen lassen ein Bearbeiten des default users 'admin' nicht zu. Somit ist via ftp und filestation des Server nur durch ein Passwort geschützt.
das kann es doch nicht sein, oder?

Also zumindest bei FTP kannst du afaik verbieten, dass der admin zugreifen kann. Dazu dient die Datei /etc/ftpusers. Diejenigen User die dort eingetragen sind erhalten keinen FTP Zugriff

 

[perry]

dann würde ich gerne den admin für ftp ausschliessen. ich weiß allerdings noch nicht einmal, wie ich auf eine kommandozeile komme, geschweige denn, wie ich mich dort bewege. habt ihr eine Anleitung für mich?

 

[jahlives]

Eine gute Anlaufstation für deine Fragen könnte unser Wiki sein. Such dort mal nach telnet und Kommandokonsole

 

[perry]

Zwischenlösung (für alle, denen ähnlich geht):
kostenloses Program Putty besorgen
Lokale IP Adresse des Servers eintragen, ssh anklicken
Auf dem Server ssh erlauben (Terminal)
dann 'verbinden' anklicken im Program Putty

login as: root
Password: [=Passwort des Adminaccounts]

cd /etc

vi ftpuseres

[den Account in eine neue Zeile einfügen, der NICHT via ftp auf den Server darf - in meinem Fall Admin]

speichern (wq!)

exit




Offen ist jetzt noch, wie ich das Feature Filestation nutzen kann. Sicher!

 

[Matthieu]

"Automatische Blockierung" einschalten und nur https zulassen?

MfG Matthieu

 

[perry]

dazu kenne ich mich mit https nicht gut genug aus. Was hätte das für Vorteile.
Die automatische Blockierung blockt den Zugriff nach n Fehlversuchen (und schickt eine Mail).
Der 'admin' käme mit seiner Vollberechtigung ja doch noch von aussen überall hin...
Was hätte https also für ein Vorteil? Welche Ports müssten dann im Portforwarding konfiguriert werden? 7001?

 

[Matthieu]

Die Passwörter werden nur verschlüsselt übertragen und der größte Teil der möglichen Angriffspunkte werden durch die "Automatische Blockierung" geschützt.

MfG Matthieu

 

[jahlives]

Und ein genügend komplexes Passwort nicht vergessen. Weil was nützen die besten Sicherheitsmechanismen, wenn das PW leer oder zu einfach gewählt ist
Auch nicht vergessen darf man, dass die Filestation unter root läuft. Der root Apache wird dafür verwendet. Wenn jetzt die Applikation (Filestation) einen Bug hat und sich irgendwie Code injecten liesse, dann würde dieser Code unter root laufen und du kannst die DS als gehacked ansehen
Ich denke die bestmögliche Sicherheit wäre wie matthieu bereits geschrieben hat, https und automatische Blockierung. Zusammen mit einem starken Passwort. Noch besser die Filestation nicht vom Internet her erreichbar machen, aber gewisse Kompromisse muss man eigehen

 

[perry]

unter filestation habe ich https aktiviert.
Aber ich glaube, ich muss es noch unter webdienste aktivieren.
Doch hier weiss ich nicht wie ich mit dem 'zertifikat importieren' umgehen muss.