Absicherung der DiskStation mittels "mod_geoip 2" ?

[mskassel]

Guten Tag,

hat bereits jemand Erfahrungen sammeln können, mit dem absichern der DiskStation? Wie bei euch sicher auch, nervt es mich, ständig eine Email zu bekommen, dass eine IP Adresse blockiert wurde. Ich habe mir dazu diverse Gedanken gemacht und begonnen, nicht benötigte Ports abzuschalten.

Schritt 1 war es den Port 5000 und 5001 zu schließen und den DSM auf Port 443 umzuleiten. Das bringt echt viel, denn nicht wenige versuchen einen direkten burteforce auf den DSM.

Schritt 2 war, den Port 22 (SSH) mittels Zertifikat abzusichern. Auch das bringt einen nennenswerten Fortschritt.

Schritt 3 folgt, was schlagt ihr vor?

Genau zum Schritt 3 habe ich jetzt meine Frage. Ich würde gerne mittels mod_geoip 2 diverse Länder aus meiner DiskStation verbannen und gar nicht erst in die Nähe lassen... Hat jemand damit Erfahrungen gemacht? Ich würde ungern die IP Adressen aus dem Bereich der größten deutschen Provider von Hand eintragen.

Gerne nehme ich auch andere Vorschläge zur Absicherung entgegen.

Liebe Grüße
Markus

 

[maku]

Hallo,

auch wenn es nichts mit deiner eigentlich Frage zu tun hat....Wie hast du die DSM auf Port 443 bekommen?

Gruß von einem ExKasseler der auch Markus heißt ;-)

 

[mskassel]

Hallo maku,

der Zauber heißt LoadModule proxy_module modules/mod_proxy.so & LoadModule proxy_http_module modules/mod_proxy_http.so
Sofern du den DSM 4.1 hast sollten beide Module aktiviert sein und du musst nur noch deine /usr/syno/apache/conf/extra/httpd-ssl.conf-user anpassen.

ProxyPass /dsm/ http://127.0.0.1:5000/webman/
ProxyPassReverse /dsm/ http://127.0.0.1:5000/webman/
ProxyPass /scripts/ http://127.0.0.1:5000/scripts/
ProxyPassReverse /scripts/ http://127.0.0.1:5000/scripts/
ProxyPass /webfm/ http://127.0.0.1:5000/webfm/
ProxyPassReverse /webfm/ http://127.0.0.1:5000/webfm/
ProxyPass /webapi/ http://127.0.0.1:5000/webapi/
ProxyPassReverse /webapi/ http://127.0.0.1:5000/webapi/

copy & paste in die vorletzte Zeile, danach sollte nur noch </VirtualHost> stehen. Es bleibt dir natürlich frei auch noch andere Verzeichnisse und Ports umzuleiten. Wichtig dabei ist, dass du auch im Browser http://deinediskstation.synology.me/dsm/ eingibst. Der letzte / ist ein muss! sonst funktioniert es nicht. Mit dem proxy module sei aber vorsichtig, denn nicht alles funktioniert darüber, wann immer im DSM ein "Hardlink" angegeben ist, bekommst du eine Fehlermeldung, so z.B. beim Abmelden von der Diskstation. Dieser Weg ist als "Ausweg" zu verstehen, sofern man z.B. von der Arbeit aus über eine Firewall, wo der Port 5001 geblockt wird, versucht auf seine Diskstation zuzugreifen

Letzte Amtshandlung

/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart

Weitere Informationen dazu und ggf. auch andere Ansätze sind hier recht gut beschrieben
http://blog.olandese.nl/2012/11/22/access-synology-dsm-from-the-internet-with-a-reverse-proxy/

 

[tomtom00]

Also ich muss sagen, ich hab auch 5000 und 5001 nicht offen.
Für die AudioStation,CloudStation etc. habe ich nur die entsprechenden https Ports offen aber habe die auf jeweils einen xxxxx Port geleitet und bislang noch absolut gar keine Probleme gehabt mit blockierten IP-Adressen.

 

[itari]

ich würde die DS - hier ist der DSM-Apache mit den Ports 5000/5001 gemeint - auch nicht unbedingt ins Internet hin öffnen

hast dir schon mal genau angeschaut, was die Firewall so alles kann?

wenn es arg eng ist und du sehr sicher sein willst, dann musst dein Konzept auf zwei DiskStations erweitern ... die eine mit deinen Daten/Datenbanken und dem ganzen internen Zeugs - und die andere mit dem Notwendigsten an Daten ins Web hinein ... am besten nur mit normalen Web-Anwendugen, die auch gehackt werden dürfen und dann die beiden miteinander synchronisieren, wenn es notwendige Daten für beide Systeme gibt (Mailzeugs zum Beispiel) - gut wäre dann auch ein gutes Linux/Netzwerk-Verständnis, um das eine oder andere auch auf der Kommandozeile zaubern zu können ... es gibt sie ja, die Proxies als IPKG-Anwendungen

Itari

 

[mskassel]

Halten wir mal zwei Dinge fest. Mit den oben beschriebenen Maßnahmen, bekommt man seine Synology soweit abgesichert, dass man prima die Funktionen nutzen kann, sich aber über geblockte Accounts (Brute Force & Portscan) keine Sorgen machen muss. Port 80 & 443 erscheinen für die Bots als unwichtig. Den DSM mittels .htaccess abgeischert bringt auch noch mal eine gewisse Sicherheit. Die Ports 5000 & 5001 nicht auf xxxx Ports umleiten, sondern auf 443 in ein Verzeichnis /DSM/ oder /WARTUNG/ umleiten. Gleiches für die Photostation, xxxstation und hastenichtgesehenstation SSH Zugang mit Zertifikat abgesichert und sonstige Ports geschlossen halten.

Ich denke damit sind wir gut aufgestellt und müssen uns keine Sorgen machen. Wenn es jemand gezielt auf dich abgesehen hat und sich zudem mit dem System auskennt, wird er einen Weg finden! Schwachstellen in MySQL oder dem Apache mal ganz ausgenommen. Was hier auch mal ganz klar gesagt sein sollte. Synology ist das Maß aller Dinge aus meiner Sicht im Bereich der NAS Systeme. QNap und wie sie sonst alle heißen, Medion reiht sich ja auch gerade ein, haben nicht mal im Ansatz das Paket was Synology bietet! Ich meine damit auch den Bereich Sicherheit!

so far

Thema kann geschlossen werden haben fertig ...