Wie sicher sind eure Diskstations?

Status
Für weitere Antworten geschlossen.

laurooon

Benutzer
Mitglied seit
24. Feb 2019
Beiträge
126
Punkte für Reaktionen
2
Punkte
18
Hallo zusammen,

ich wollte mal nicht zum Thema Sicherung, sondern zum Thema Sicherheit etwas fragen. Wenn ihr eure Diskstation "sicher" machen wollt, also verhindern wollt, dass jemand darauf zugreift, vielleicht über eine Hintertür, wie macht ihr es? Was sind die Einstellungen, die man auf jeden Fall gesetzt haben sollte, damit das Ding sicher ist. Meine Diskstation z.B. könnte komplett offline arbeiten, wenn da nicht die Surveillance Station wäre, auf die ich Fernzugriff brauche.

Aber ansonsten brauche ich mobil keinen Zugriff auf meine Daten. File Server o.ä. nutze ich auch nicht. Ich würde das Ding gerne so gut es geht "verrammeln". Weder soll von außen drauf zugegriffen werden können, noch soll die Diskstation von sich aus irgendwohin funken.

Gruß,
laurooon
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wenn Zugriff von Aussen dann ist nur VPN einiger massen sicher. Dazu gibt es keine Alternative.
Allerdings ist der VPN ZUgang direkt über die Syno als VPN Server wieder als Sicherheitsrisiko einzustufen, da die Zugangsports ungefiltert vom Router zur Syno weitergereicht werden. Damit hängt die Syno also direkt am Web.
Optimaler Weise ist der VPN Server entweder der Router oder ein eigener VPN Server als ein Stück Hardware.
 

laurooon

Benutzer
Mitglied seit
24. Feb 2019
Beiträge
126
Punkte für Reaktionen
2
Punkte
18
Ok, ich habe eine FritzBox! 7590. Diese unterstützt scheinbar eine VPN Funktion. Ich lege also einen VPN Benutzer in der Fritzbox an. Dadurch kann ich mit meinen Endgeräten über einen VPN Tunnel in mein Netzwerk. OK.
Aber wie verhindere ich, dass die Fritzbox verbindungen blockiert, die vom Netzwerk rauswollen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Allerdings ist der VPN ZUgang direkt über die Syno als VPN Server wieder als Sicherheitsrisiko einzustufen, da die Zugangsports ungefiltert vom Router zur Syno weitergereicht werden. Damit hängt die Syno also direkt am Web.
Optimaler Weise ist der VPN Server entweder der Router ...
Die Aussage würde ich gerne von Dir ein wenig ausgeführt haben wollen. Nach welchen Kriterien stufst Du nach Deiner Ansicht die Sicherheit eines VPN Tunnels mit Endpunkt Router als sicher ein und den Tunnel mit Entpunkt VPN Server auf der DS als Sicherheitsrisiko?
 
Zuletzt bearbeitet:

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Nach meiner bescheidenen Meinung liegt der Unterschied u.a. in der Anzahl der zu nehmenden Hürden.

VPN über Router: Hier muss man die VPN-Funktion vom Router überwinden und dann noch einen Weg in die DS finden.

VPN über DS: Hier muss nur die VPN-Funktion der DS überwunden werden und man ist drin.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Das was peter schreibt kann man so stehen lassen.

Wenn VPN nur über DS geht, kann man hier aber zB. eigene Benutzer anlegen, die nur ins vpn dürfen aber sonst keine Lese-/Schreibrechte auf der DS haben.

Wer das Ganze überhaupt vernünftig absichern möchte, sollte OpenVPN mit zusätzlichen Client Certs betreiben. Im Idealfall natürlich am Router.
Dafür gibt es schon genug Anleitungen, nur geht es bei Syno leider nur per Bash, da Syno dieses eigentlich super wichtige Feature nach wie vor nicht übers GUI unterstützt.
Wenn dann kein kompletter Low Level Fehler in OpenVPN vorhanden ist, der da ausgenutzt werden kann, wird grundsätzlich jeder Verbindungsaufbau ohne Cert beendet- was somit natürlich den Angriffsvektor stark einschränkt.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Eben darum ging's mir. Ganz ehrlich, ich vertraue der OpenVPN Implementierung der DS - verbunden mit einer entsprechenden Konfig und Clientzertifikat - doch schon mehr als dem, was mancher Router macht. Selbstverständlich nimmt man dafür einen User, der nur den VPN öffnet.
Darüber hinaus ist jemand, der über eines Hack des Routers ins LAN kommt, nicht minder gefährlich. Von dort ist die Kompromittierung eines weiteren Gerätes, auch der DS, in der Regel nur eine geringe Hürde.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ihr denkt zu einfach.
Alle Penetrationsversuche (erfolgreiche) auf einen Server funktionieren nicht weil man ein Pw errät sondern weil man den zum Web offenen Port erfolgreich zur Fehlfunktion gebracht hat. VPN ist der originäre Zweck, mehr nicht.
Ein Synology VPN wo mir bis heute der Support nicht erklären kann wieso es u.U. möglich ist ohne shared key Zugriff zu bekommen, obwohl das Protokoll es so verlangt kann man wohl nicht als sicher einstufen.
Und ja, Peter hat Recht, der Vorteil der Trennung VPN vom Server ist die doppelte Sicherheit durch Firewall Kaskadierung durch dann sogar 2 unterschiedliche Firewallsysteme. Der VPN Router (zumindest ein guter) alarmiert mich auch bei derartigen Penetrationsversuchen. Schon mal versucht die Syno zu penetrieren? Unabhängig vom Erfolg meldet die Kiste gar nix! Ich kann stundenlang die VPN Ports beschäftigen und keiner merkt was.

An den TE: Die Fritz ist ein Familienrouter, einfach einzustellen, läuft zuverlässig und ist ansonsten eine Blackbox, in der du nicht viel einstellen kannst. Wenn du auch genau regeln willst, was aus deinem LAN raus darf musst du schon eine Preisregion höher investieren, wo die Firewall sowas auch überwachen kann respektive du das konfigurieren kannst.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...sondern weil man den zum Web offenen Port erfolgreich zur Fehlfunktion gebracht hat. ...
Gleiches würde auch für einen Router gelten. Auch die Fritzbox hat da so ihre Erfahrungen machen müssen.

Ein Synology VPN wo mir bis heute der Support nicht erklären kann wieso es u.U. möglich ist ohne shared key Zugriff zu bekommen, obwohl das Protokoll es so verlangt ...
Kannst Du das ausführen? Und das gleiche soll bei einem Client-Zertifikat auch so sein?

Und ja, Peter hat Recht, der Vorteil der Trennung VPN vom Server ist die doppelte Sicherheit durch Firewall Kaskadierung durch dann sogar 2 unterschiedliche Firewallsysteme.
Hier denkst Du zu einfach. Ob nun für die Tunneletablierung am Router oder an der DS, in beiden Fällen läßt die "Firewall" des Routers die Daten passieren - einmal laufen sie auf den VPN Server des Routers, im anderen Fall auf den der DS. Wird der VPN-Server am Tunnelende kompromittiert, hat der Angreifer gewonnen.

...
An den TE: Die Fritz ist ein Familienrouter, einfach einzustellen, läuft zuverlässig und ist ansonsten eine Blackbox, in der du nicht viel einstellen kannst.
Du sagst es! Und deshalb sind Deine Ausführungen zwar nett, sind für den TE aber gänzlich unerheblich. Für ihn ist der VPN Server praktisch gleich einzustufen wie der auf der Fritzbox. Welchen er wählt, macht da keinen Unterschied. Und in diesem Zusammenhang dürfte auch ein Webservice auf dem Apachen (verschlüsselt, mit starkem Passwort und den üblichen Absicherungen des DSM) nicht weniger sicher sein.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Wird der VPN-Server am Tunnelende kompromittiert, hat der Angreifer gewonnen.
Wenn der Tunnel in der DS endet => Ja
Wenn der Tunnel im Router endet => Nein. Er ist im internen Netzwerk, was natürlich schlecht ist, aber er hat noch keinen Zugriff auf die DS.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Du reduziert alles auf eine Fritzbox, wo steht das im Eröffnungsthread? Es gibt "vernünftige" Router in denen es erheblich detaillierter zu konfigurieren ist als in der einfachen Blackbox von AVM.
Und eine richtige Firewall die auch noch alle Arten von Angriffen erkennen kann ist was ganz anders als das Home-"Spielzeug" was die meisten so kaufen. Allerdings überschreitet man für sowas dann auch die 350€ Marke.
Du irrst wenn du meinst ein VPN Port eines solchen Systems sei vergleichbar mit dem der Syno. Auch diese ist eine Blackbox, wo du zwar einige Dinge einstellen kannst, ein Systemdurchblick besteht hier jedoch nicht!
Ich sage es mal so, ohne jemandem zu nahe treten zu wollen: Wenn man nicht weiss wie ein komplett konfiguriertes Firewallsystem mit Kontrolle aller in und out Ports funktioniert (dazu gehören auch automatisierte Erkennungs- und Schutzmassnahmen gegen die typischen Port Attacken) kann man den Unterschied auch nicht beurteilen.

Ich habe so ein Scenario bei einem Kunden schon erlebt, wo über 5 Stunden versucht wurde den Router zu hacken. Nach 10 Minuten habe ich die Alarmierungs-SMS bekommen. Dann habe ich drei Stunden zugeschaut was passiert. Die Firewall hatte da schon die Art des Angriffs erkannt und automatisch alle Zugriffe nach Innen gesperrt. Passiert wäre sowieso nichts, da die Syno abends runterfährt, der Intruder hätte also zu diesem Zeitpunkt noch nicht mal was im LAN gefunden. By the way ein guter Tipp bei einem derartigen Angriff die automatische Abschaltung des Servers zu veranlassen. Muss halt nur mit dem Geschäftsbetrieb des Nutzers vereinbar sein,

Ich verstehe schon, dass jetzt jeder seinen direkten VPN Portzugang ins Web verteidigt (denn sonst müsste man ja zugeben dass es doch nicht sicher ist), das Verhalten entspricht aber eher einer Vogel-Strauss-Politik denn Realismus.
Eines noch, ich habe hier Bezug zu #1 genommen. Das Otto Normalverbraucher mit einem von mir geschilderten System überfordert ist ist klar, aber das war ja auch nicht die Fragestellung.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich denke, hier werden einfach zu oft Profitipps an Heimanwender bzw. Amateure vergeben. Das macht nicht nur keinen Sinn, sondern geht dann ggf. sogar nach hinten los.

Wer, der gerade mal so seine Fritzbox beherrscht und im echten Leben vielleicht Bäcker ist, möchte sich denn ernsthaft mit einer selbst zu managenden Firewall im Router etc. beschäftigen? Das kann ja im Zweifelsfall noch schlimmer enden als einfach mal nur ein paar Ports auf die DS weitergeleitet zu haben.

Verhältnismäßigkeit ist hier für mich das Zauberwort.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Zwischen dem was du denkstz und dem was in #1 steht scheint mir aber ein Unterschied zu bestehen.
@Puppetmaster wegen Verhältnismässigkeit. Nichts anderes habe ich in dem Post vorher geschrieben. Allerdings habe ich auf die Unterschiede hingewiesen, die zwischen einer möglichst sicheren Konfiguration bestehen und dem, was hier so im SoHo Bereich immer beschrieben wird. Und wenn da jemand schreibt eine direkte Portanbindung der Syno an das Web wäre "sicher" stimmt das ganz einfach nicht.

Mal ganz abgesehen davon wie und in welchem Umfang Firewalls konfigurierbar sind, der grösste Schaden entsteht immer durch verseuchte E-Mails. Hat man sich die ins System geholt ist man ohne IDS ziemlich verloren.
 

laurooon

Benutzer
Mitglied seit
24. Feb 2019
Beiträge
126
Punkte für Reaktionen
2
Punkte
18
Nochmal kurz eine Frage. Heute hat die Diskstation ohne mein Zutun mich darüber informiert, dass die Archievrotation beginng. Ich verstehe das so, dass meine alten Aufnahmen gelöscht werden? Das möchte ich nicht. Wie kann ich es so einstellen, das erst dann gelöscht wird, wenn meine Festplatte voll ist und vorher nicht?
 

Swp2000

Benutzer
Mitglied seit
29. Nov 2013
Beiträge
1.972
Punkte für Reaktionen
27
Punkte
74
Ich möchte an dieser Stelle auch mal etwas in Erfahrung bringen. Ich habe an meiner FB fürs Lets Encrypt Zertifikat die Ports 80, sowie 443 freigegeben. Zudem auch der OpenVPN Port 1194.
Nun bekomme ich, da ich die Mitteilungen in der FB aktiviert habe, in unregelmäßigen Abständen, manchmal nachts manchmal am Tag, ein Mail in welcher Steht das Port Freigaben von Internet Geräten eingerichtet wurden und ich diese prüfen soll!

Heißt das das dieser Kanal/Port immer dann genutzt wurde und ich deswegen die Mail bekomme. Es sind dabei alle 3 Ports aufgelistet.
2.) Habt ihr eure Firewall an der DS Privat aktiviert oder deaktiviert?
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
796
Punkte für Reaktionen
15
Punkte
44
Diese Mails habe ich auch schon bekommen. Ich glaube es liegt an einer Macke der Fritzbox, denn direkt vor dem zustellen der Mail hat die Fritzbox anscheinend einen ungeplanten Neustart hingelegt. Das Protokoll der Fritzbox war leer und die Internetverbindung wurde erst kurz vor dem Versand der Mail hergestellt.
Aktive Portnutzung löst keine Mail aus, ich würde dann sekündlich Mails bekommen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat