Thema Netzwerksicherheit in der wiki?

Status
Für weitere Antworten geschlossen.

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo,
wäre es möglich ein eigenes Thema über Netzwerksicherheit als Unterpunkt bei "Vorbereitung vor der ersten Installation" einzurichten. Suche nämlich selber soetwas und habe mich jetzt sehr lange durch diverse Foren geackert um herauszufinden, dass ich das NAS nicht einfach so ins Netz hängen kann ohne dass mir früher oder später jemand versucht aufs NAS zu kommen.
Darum wäre es glaube ich in der wiki Traumhaft für Netzwerk-Rookies wie mich einige Basics und Dont's beim Betrieb des NAS zu beschreiben.
Das Aktivieren der Firewall und IDS am Router und Portforwarding der wichtigen Ports war mir beim Kauf der NAS kein Begriff.
Auch das verschlüsseln sensibler Daten in Containern am NAS zu Sicherheit habe ich schon über das Forum als Möglichkeit herausgefunden.
Ich denke, dass es mehrere 0815-User gibt die wenig auf Sicherheit achten, das zeigt schon wieviel WLAN-Netze ungesichert verfügbar sind.
Würde daher gerne den wiki Artikel selber machen, aber ich glaube mein Wissen ist nicht gerade ausreichend. :eek:
Mein Anliegen wäre dass es einen kleinen, einfachen wiki-Artikel gibt, schon allein zur Sensibilisierung mancher User (wie mich).
lg Pappl
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo,
wäre es möglich ein eigenes Thema über Netzwerksicherheit als Unterpunkt bei "Vorbereitung vor der ersten Installation" einzurichten. Suche nämlich selber soetwas und habe mich jetzt sehr lange durch diverse Foren geackert um herauszufinden, dass ich das NAS nicht einfach so ins Netz hängen kann ohne dass mir früher oder später jemand versucht aufs NAS zu kommen.
Darum wäre es glaube ich in der wiki Traumhaft für Netzwerk-Rookies wie mich einige Basics und Dont's beim Betrieb des NAS zu beschreiben.
Das Aktivieren der Firewall und IDS am Router und Portforwarding der wichtigen Ports war mir beim Kauf der NAS kein Begriff.

Das wäre ziemlich aufwändig weil wohl nicht jeder den gleichen Router hat. Da müsste man Beschreibungen für jeden Router einzeln machen. Ausserdem ist das ja nicht wirklich auf der Diskstation zu machen ;)

Auch das verschlüsseln sensibler Daten in Containern am NAS zu Sicherheit habe ich schon über das Forum als Möglichkeit herausgefunden.
Ich denke, dass es mehrere 0815-User gibt die wenig auf Sicherheit achten, das zeigt schon wieviel WLAN-Netze ungesichert verfügbar sind.
Würde daher gerne den wiki Artikel selber machen, aber ich glaube mein Wissen ist nicht gerade ausreichend. :eek:

Sicherheit ist so ein grosses und umfassendes Thema, dass man das gar nicht in ein einzelnes Wiki, geschweige denn einen Wiki-Beitrag bringen könnte ;) Da gibt es im Internet schon sehr viel zum Thema zu finden

Mein Anliegen wäre dass es einen kleinen, einfachen wiki-Artikel gibt, schon allein zur Sensibilisierung mancher User (wie mich).
lg Pappl
Sorry aber ich finde nicht, dass dies ins Wiki müsste, da es ja keine "Synology"-Sache ist.

Gruss

tobi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ich denke schon, dass ein paar grundlegende Gedanken zum Thema Sicherheit unserem Wiki nicht schaden könnten. Insbesondere solche Dinge wie z.B. die notwendigen Ports könnte man wohl auch noch stärker herausarbeiten. Auf die genaue Konfiguration des Routers kann man dort natürlich nicht eingehen.

Wenn Du mal mit einem solchen Artikel beginnen würdest, würde ich bestimmt mithelfen...

Trolli
 

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Okay, kann das nochmal ein Profi aus dem Forum prüfen ob da keine Fehler drinnen sind?

Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten:

Warum Netzwerksicherheit:
Sobald man einen NAS-Dienst (Server) im Netz hat, kann ihn quasi jeder sehen - auch wenn ihn sonst niemand kennt.
Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln.
Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.
Beispiel: Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.

Firewall:
Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen.
Manche Router unterstützen auch IDS (Erkennen von Eindringlingen) welches auch aktiv gesetzt sein sollte.
outer sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann.
PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.

Portforwarding:
Um nur die notwendigen Ports für die verschiedenen Dieste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen:
Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?
Diese Ports können am Router meist unter "Applikationen und Spiele" verwaltet werden.

Passwort
Benutze IMMER ein starkes Passwort (nicht nur für die CS/DS, auch Router usw.)
Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu!
Passwörter regelmäßig wechseln.

Automatische IP-Blockierung
Über Firmware-Aktualisierungen wurde auch eine automatische IP-Blockierung auf den Synology-Boxen eingeführt.
Diese ist wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach (einstellbaren) 10 fehlgeschlagenen Login-Versuchen für einen einstellbaren Zeitraum. Somit wird ein Wörterbuchangriff uninteressant, weil es zu lange dauern würde bis das richtige Passwort erraten wird.

Webserver und Sicherheit
Wiki: Zugriffsschutz für Webseiten einrichten

Verschlüsseln der Daten mit einem Truecrypt-Container
Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen.
Zum verschlüsseln eignen sich AES-verschlüsselte Container z.B. mit Truecrypt 6.1 Portable.
Nachteile: Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll.
Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler im Dateisystem des Containers ist oder das Passwort vergessen wurde.
Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich.
Durch Ausfall einer Raid-HDD kann der Raid-Verbund mit Truecrypt eventuell nicht mehr hergestellt werden!
Daher: Verschlüsseln nur was nochmal als Backup vorhanden ist (was natürlich auch verschlüsselt sein kann).

Sichere Verbindungen aktivieren
Benutze, wenn möglich, immer den sicheren Kanal:
Im Disk Station Manager:

Web => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten.
Port: 5001
Hinweis: Nach Umstellung System neu booten


FTP => Nur SSL/TLS-Verbindung erlauben
Hinweis: Nach Umstellung System neu booten

Info
  • Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip.
    Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20).
    FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe!
    Sichere Alternativen bieten FTP über SSH, SCP, sFTP, Secure FTP und FTPS

    SSH steht für Secure Shell und ist sowohl Protokoll (TCP-Port 22) als auch Programm.
    SSH ermöglicht eine gesicherte verschlüsselte Daten-Verbindung zwischen 2 Rechnern.
    Bei Secure FTP, welches wieder auf FTP aufbaut, werden die Authentifizierung und der Verzeichniswechsel über einen SSH-Tunnel verschlüsselt, der Rest der Kommunikation inklusive Datentransfer läuft unverschlüsselt ab.
    Die beteiligten Rechner werden dadurch nicht in so starkem Maße durch die Verschlüsselung belastet, wie es bei einer vollständigen Verschlüsselung der Kommunikation wäre.
    Man unterscheidet explizites und implizites Secure FTP.
    Beim impliziten Secure FTP ist die Verschlüsselung per SSL/TLS zwingend bei der Anmeldung an einer Domäne erforderlich,
    beim expliziten Secure FTP ist auch eine unverschlüsselte Anmeldung an einer Domäne möglich, die Verschlüsselung kann aber per AUTH-Signal vom FTP-Client initialisiert werden.
    Der Standard-Port für Secure FTP ist Port 990.
    So wie es HTTPS gibt, existiert auch FTPS, eine per SSL/TLS gesicherte FTP-Verbindung, mit der verschlüsselte Datenübertragung möglich ist. In Kombination mit Secure FTP wird eine sichere Kommunikation zwischen 2 Rechnern möglich.
    Die CS/DS-Boxen unterstützen sichere Verbindungsmöglichkeiten des FTP-Server und Clients nach Aktivierung per SSL/TLS.

  • SFTP/SCP nachinstallieren
    Info: sFTP (SSH File Transfer Protocol) nutzt SSH zu Verschlüsselung der Authentifizierung, Kommunikation und Datentransfer zwischen 2 Rechnern.
    Es ist ein komplett eigenständiges Protokoll, das anders als FTP funktioniert.
    Es gibt nur eine Verbindung für den Steuer- und Datenkanal und auch nur ein Port genutzt (Port 22).

  • Anonymes FTP lässt Datenzugriff ohne sichere Passworteingabe auf freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.

  • FTP für allgemein bekannte user guest, admin, administrator etc sperren

Hinweis: Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Hört sich doch sehr gut an! Kompliment.

Zu der Schlussfolgerung am Ende könnte man noch hinzusetzen, dass Backups natürlich auch sehr wichtig sind.

Wenn man 'Großes' vor hat, dann wären 3 Disk Stations eigentlich der richtige Ansatz: 1 DS für die interne Datenhaltung ohne Zugang zum Web; 1 DS als Web-Server in der DMZ des Routers; 1 als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten; vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.

itari
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Woher stammt die Information, dass SFTP (FTP über SSH) nur den Kontrollkanal aber nicht die Datenübertragung selbst verschlüsselt? Das ist meines Wissens nach nicht richtig?!?

Trolli
 

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo,
die Infos über FTP habe ich von hier und Wikipedia zusammengefasst.



Da steht:
Rich (BBCode):
Es gibt auch noch Secure FTP, 
welches wieder auf FTP aufbaut. 
Dabei werden die Authentifizierung und der Verzeichniswechsel 
über einen SSH-Tunnel verschlüsselt, 
der Rest der Kommunikation inklusive Daten-
transfer läuft unverschlüsselt ab.

Die FTP-Arten waren für mich auch etwas verwirrend. Es ist mir auch nicht klar geworden welche Art von sicherem FTP die Synology-Boxen unterstützen, da bei Secure FTP und bei FTPs von SSL und TLS gesprochen wird. Secure FTP benötigt Port 990, das Synology im Menü nicht aktiviert. :confused:
Auch explizit und implizit wird bei Secure FTP beschrieben. Dachte eigentlich das ist eine Funktion von FTPs, oder ist Secure FTP eine Art von FTPs?

Der Punkt Schlussfolgerung von itari wäre ein schöner Abschluss am Ende des Artikels.
lg Pappl
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Du bist herzlich eingeladen, den Wiki-Artikel weiter mit zu verbessern. ;)

Das Thema FTP ist in der Tat etwas verzwickt. Es gibt folgendes:
  • SFTP (FTP über SSH) -> wird standardmäßig von den Synology Stations nicht unterstützt, kann aber über IPKG nachinstallier werden.
  • FTPS (FTP über implizites SSL/TLS) -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.
  • FTPES (FTP über explizites SSL/TLS) -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.
Einen Artikel über den Unterschied zwischen FTPS und FTPES findet man hier: http://help.globalscape.com/help/secureserver2/Explicit_versus_implicit_SS.htm

Der von Dir zitierte Abschnitt über Secure FTP ist in meinen Augen falsch.

Trolli

EDIT:
Was noch fehlt ist in meinen Augen noch (nicht vollständig):
  • eine genauere Erklärung, welche Ports denn nun benötigt werden und welche nicht
  • Die zusätzliche Absicherung des Disk Station Managers (hat Jahlives gestern reingestellt)
  • die Möglichkeit zum Einsatz vom Black- und Whitelisten für FTP
  • Grundsätzliches zum Thema Backup
  • etwas zur DMZ
 
Zuletzt bearbeitet:

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo,
habe ich gerade gemacht, mit deiner Info über sicheres FTP ist mir das auch gelungen.
Ist der Artikel bereit für den "Release"?
lg Pappl

Die zusätzliche Absicherung des Disk Station Managers übersteigt meine Kenntnisse. Wäre es möglich wenn Jahlives die Absicherung direkt verständlich für Anfänger in die Wiki stellt?

lg Pappl
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ich hab nochmal diverse Sachen geändert. ;)
Hoffe das ist ok so für Euch! Ein paar Worte zum Thema DMZ fände ich noch passend...

Ich hab den Artikel jetzt auch im Inhaltsverzeichnis hinterlegt.

Trolli
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
PAPPL, Du hast gerade den Abschnitt über das Portforwarding gelöscht. Das brauchen wir aber noch! Aber vielleicht arbeitest Du ja grad noch dran - mal abwarten...
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ist schön geworden im Wiki *freu*

2 Anmerkungen, weil ichs grad so sehe:

(1) Die Geschichte mit dem RAID-1/5/6. Wir reden immer davon, dass es keine Backup ersetzt und das ist auch richtig so. Aber es ist natürlich auch eine Form der Datensicherung, weil es eine Kopie ist (und damit natürlich auch ein Backup im weiteren Sinne); es hat nur nicht den Charme eines 'richtigen' Backups: nämlich räumliche und zeitliche vollständige Trennung vom Original und daher ersetzt ein RAID kein Backup. So wäre es in meinen Augen verständlich und einfach für jedermann/frau nachzuvollziehen.

(2) In den verschiedenen Beiträgen wird zwischen 'Sie' und 'Du' hin- und hergehüpft. Ich würde vorschlagen, dass wir das 'Du' verwenden, wie es auch im Forum üblich ist. Schließlich ist das ein Gemeinschaftswerk von und für Gleichgesinnte und nicht die Herausgabe eines Wissensspeichers von einer Firma oder Organisation.

itari
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ja. Hört sich doch gut an. Bin dafür.

Wir haben in dem Artikel ja eh an einigen Stellen ein wenig übertrieben. Gerade wenn ich die Erklärungen zum Thema Passwort lese... Auch muss man nicht unbedingt ein Router-Passwort benutzen, wenn die Remote-Administration nicht aktiviert ist.

Trolli
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Auch muss man nicht unbedingt ein Router-Passwort benutzen, wenn die Remote-Administration nicht aktiviert ist.
Einspruch Euer Ehren ;)
Es gibt mittlerweile JS-Schädlinge, die Router angreifen können und Portweiterleitungen einrichten können. Wenn dann kein PW/oder das Default PW gesetzt ist, dann ist das eine Sicherheitslücke. Diese Schädlinge werden oft durch Drive-By-Downloads verarbeitet
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Gut. Dann ziehe ich meinen Einwand zurück. Schaden kann das ja eh nicht. Und nur zur Beruhigung: mein Router ist durchaus Passwortgeschützt...

Trolli
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Auch nochmal ein paar Sachen geändert: Weblinks, Automatische Blockierung, Router, Passwort, Sicherheitsberater und SSH Port ändern.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat