Hallo TheGarder
Ich will verstehen welche Angriffsziele eine DS bietet um sie dann möglichst so zu konfigurieren das sie nicht im vorbei gehen von irgendwelchen standard Angriffszenarien Abgefrühstückt wird.
Lg
Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?
- Ersteller RichardF
- Erstellt am
- Status
Hallo TheGarder
Ich will verstehen welche Angriffsziele eine DS bietet um sie dann möglichst so zu konfigurieren das sie nicht im vorbei gehen von irgendwelchen standard Angriffszenarien Abgefrühstückt wird.
Lg
Hallo RichardF,
Bücher und Hardware zum Thema gibt es bei Amazon: Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?
Bücher und Hardware zum Thema gibt es bei Amazon: Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?
TheGardner
Benutzer
- Mitglied seit
- 30. Nov 2012
- Beiträge
- 1.833
- Punkte für Reaktionen
- 49
- Punkte
- 74
Also aus meiner Sicht geht ein Hacker (oder was immer sich illegal Zugriff auf die DS verschaffen will) erstmal über einen PortScan an eine mögliche Internetadresse ran! Dabei werden dort meisst nur IP-Adresse im Netz durchpflügt. Mitunter gibt es auch DNS Adresse, welche irgendwo in Blogs/Darknet oder ähnlichem aufgetaucht sind benutzt.
Durch den PortScan wird dem Gegner dann mitgeteilt, auf welchen Ports die Adresse lauscht und eventuell angreifbar ist. Du kannst das bei Dir selbst testen, indem Du einmal folgende Internetadresse auf rufst und dort Deine IP eingibst:
https://www.grc.com/x/ne.dll?bh0bkyd2
Dort machst Du quasi einen solchen Portscan selbst und siehst dann, welche Ports Dir als Offen oder Geschlossen angezeigt werden! Lediglich die Offenen Ports sind zu untersuchen. Alles was dort grün auftaucht kann vernachlässigt werden, weil Dein System dort als sicher gilt.
Ich würde mir erstmal die Zeit nehmen und einen kompletten Scann über alle kleineren Ports machen (1 - 1024).
Ausserdem gibt es noch eine zweite Seite, wo Du innerhalb einer Suchmaschine alle möglichen DS aufgelistet bekommst, die gerade im Internet "frei" herumstehen! Das sind praktisch "schöne Angriffziele", welche aber auch erstmal Passwort-mäßig geknackt werden müssen! Einige dieser Inhaber sind "sicherlich" auch so naiv, dass sie als Hauptuser natürlich noch admin verwenden (damit wüssten die Angreifer zumindest schonmal den Usernamen) und (was noch viel schlimmer ist) oftmals auch noch die Synology Updates seit Jahren nicht mehr durchgeführt haben und somit die Platformen (DSM) so veraltet sind, dass dort evt. über mittlerweile öffentlich diskutierte und über die Zeit entstandene Sicherheitslücken Zugriff zu bekommen wäre.
Durch den PortScan wird dem Gegner dann mitgeteilt, auf welchen Ports die Adresse lauscht und eventuell angreifbar ist. Du kannst das bei Dir selbst testen, indem Du einmal folgende Internetadresse auf rufst und dort Deine IP eingibst:
https://www.grc.com/x/ne.dll?bh0bkyd2
Dort machst Du quasi einen solchen Portscan selbst und siehst dann, welche Ports Dir als Offen oder Geschlossen angezeigt werden! Lediglich die Offenen Ports sind zu untersuchen. Alles was dort grün auftaucht kann vernachlässigt werden, weil Dein System dort als sicher gilt.
Ich würde mir erstmal die Zeit nehmen und einen kompletten Scann über alle kleineren Ports machen (1 - 1024).
Ausserdem gibt es noch eine zweite Seite, wo Du innerhalb einer Suchmaschine alle möglichen DS aufgelistet bekommst, die gerade im Internet "frei" herumstehen! Das sind praktisch "schöne Angriffziele", welche aber auch erstmal Passwort-mäßig geknackt werden müssen! Einige dieser Inhaber sind "sicherlich" auch so naiv, dass sie als Hauptuser natürlich noch admin verwenden (damit wüssten die Angreifer zumindest schonmal den Usernamen) und (was noch viel schlimmer ist) oftmals auch noch die Synology Updates seit Jahren nicht mehr durchgeführt haben und somit die Platformen (DSM) so veraltet sind, dass dort evt. über mittlerweile öffentlich diskutierte und über die Zeit entstandene Sicherheitslücken Zugriff zu bekommen wäre.
TheGardner
Benutzer
- Mitglied seit
- 30. Nov 2012
- Beiträge
- 1.833
- Punkte für Reaktionen
- 49
- Punkte
- 74
Also Fazit:
Du solltest die folgenden Punkte nacheinander befolgen und hättest erstmal alles abgedeckt um die DS ohne Angst im Netz laufen lassen zu können
- User mit ordentlichen Passwörtern - dabei aber Deinen eigenen User zum Administrator zu erheben und den User admin auf der DS zu deaktivieren
- eine aktive Firewall - nur die wirklich benötigten Ports sollten nach außen frei zugänglich sein (z.B. 80 und 443 für Webzugriff, 21 für FTPS und ein kaschierter 22 - also z.B. 922 für SFTP, usw.) und in den Firewall-Regeln am Ende den Punkt bei "alles andere blockieren" setzen
- eine ordentlich (durchdachte) Routerkonfiguration - wie oben geschrieben, nur die Ports freischalten die benötigt werden
- eine aktive Kontoschutz/Auto-Blockierung - z.B. ein User kann 5x seine User/Pass Kombination falsch eingeben, bevor seine IP für 100 Tage gesperrt wird
Du solltest die folgenden Punkte nacheinander befolgen und hättest erstmal alles abgedeckt um die DS ohne Angst im Netz laufen lassen zu können
- User mit ordentlichen Passwörtern - dabei aber Deinen eigenen User zum Administrator zu erheben und den User admin auf der DS zu deaktivieren
- eine aktive Firewall - nur die wirklich benötigten Ports sollten nach außen frei zugänglich sein (z.B. 80 und 443 für Webzugriff, 21 für FTPS und ein kaschierter 22 - also z.B. 922 für SFTP, usw.) und in den Firewall-Regeln am Ende den Punkt bei "alles andere blockieren" setzen
- eine ordentlich (durchdachte) Routerkonfiguration - wie oben geschrieben, nur die Ports freischalten die benötigt werden
- eine aktive Kontoschutz/Auto-Blockierung - z.B. ein User kann 5x seine User/Pass Kombination falsch eingeben, bevor seine IP für 100 Tage gesperrt wird
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
Das kommt drauf an was du für Services anbietest. Hast du z.B. eine Mailstation im Internet könntest du für Spamer interessant sein. Mach dir eine Liste was du für Services anbietest, welche Ports offen hast (nmap oder ein Online-Scannen), wie du es absichern kannst/willst, Gegenmassnahmen durchführen.
Wie schon in den vorangegangenen Beiträgen erwähnt, so wenig Angriffsfläche bieten, wie möglich. Was aber nützt die besten Vorkehrungen, wenn man das Backup vergisst? Solche Überlegungen gehören auch zum Thema Sicherheit. Solltest du im Worstcase Szenario gehackt werden und deine Daten gelöscht/verändert (Ransomware) werden musst du ja den Service/Daten wiederherstellen können.
Für den Home-Bereich reicht in der Regel ein kostengünstiger Router mit einem Opensource OS (dd-wrt, open-wrt). Willst du mehr Services nach aussen anbieten, dann eher eine Firewall wie pfSense, IPFire mit mehr Intelligenz. SoHo würde ich eher eine Firewall kaufen die auch DPI integriert haben. Die sind mit einem Abonoment gekoppelt und auch nicht gerade billig. Jede Form des Schutzes bedingt das man weiss was man tut und es gibt keine allgemein gültige Lösung.
Gruss Dany
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 3.985
- Punkte für Reaktionen
- 517
- Punkte
- 174
@RichardF:
Du fragst: Hilft an der Stelle das Intrusion Prevention System
( Erklärung: UniFi´s "Intrusion Prevention System" (IPS) schützt Ihr Netzwerk vor Angriffen und bösartigen Aktivitäten. Es blockiert und beendet Verbindungen, die Ihre Sicherheit gefährden könnten.)
IPS macht jeder gute (teure) Router, allerdings hilft er gar nicht, wenn man Ports aus dem Router direkt an die Synology weiterleitet für zB WebDav, Kalender, Web- oder Mailserver. Mit der Weiterleitung wird auch die Verantwortung der Sicherheit vom Router an die Syno übergeben.
DAS ist der Grund, warum ausnahmslos alle Ports immer über die Firewall des Routers laufen sollten.
Aus diesem Grund ist es am sichersten ausser VPN nichts anderes von Aussen zugänglich zu machen, aber das über einen VPN Router und wie beschrieben nicht über die Synology.
VPN Verbindungen sind mit den SoHo Routern allerdings nicht sehr performant. Unter 300€ kenne ich kein einziges, empfehlenswertes Gerät.
Du fragst: Hilft an der Stelle das Intrusion Prevention System
( Erklärung: UniFi´s "Intrusion Prevention System" (IPS) schützt Ihr Netzwerk vor Angriffen und bösartigen Aktivitäten. Es blockiert und beendet Verbindungen, die Ihre Sicherheit gefährden könnten.)
IPS macht jeder gute (teure) Router, allerdings hilft er gar nicht, wenn man Ports aus dem Router direkt an die Synology weiterleitet für zB WebDav, Kalender, Web- oder Mailserver. Mit der Weiterleitung wird auch die Verantwortung der Sicherheit vom Router an die Syno übergeben.
DAS ist der Grund, warum ausnahmslos alle Ports immer über die Firewall des Routers laufen sollten.
Aus diesem Grund ist es am sichersten ausser VPN nichts anderes von Aussen zugänglich zu machen, aber das über einen VPN Router und wie beschrieben nicht über die Synology.
VPN Verbindungen sind mit den SoHo Routern allerdings nicht sehr performant. Unter 300€ kenne ich kein einziges, empfehlenswertes Gerät.
Unify sagt
USG: 85 MBit/s, USG-Pro: 250 MBit/s, USG-XG-8: 1 GBit/s.
Das würde meine Internetverbindung (50/10) nicht verlangsamen oder ist das irgendwie anders zu deuten?
Edit: Grad was durcheinander gebracht das bezieht sich auf aktiviertes IPS
Bevor ich den VPN Server auf das USG verlege - Wie siehts da mit der Performance aus?
Zuletzt bearbeitet:
Wie zu erwarten 80/443
Also erstmal die 2 roten entfernt
Was ist mit den blauen muß ich hier auch handeln?
Also erstmal die 2 roten entfernt
Was ist mit den blauen muß ich hier auch handeln?
NormalZeit
Benutzer
- Mitglied seit
- 15. Okt 2012
- Beiträge
- 361
- Punkte für Reaktionen
- 17
- Punkte
- 24
Wow - das ging ja echt schnell hier.
Falls jemand meinen Senf noch hören will: Meines Erachtens muss man sich - sobald man Dienste ins www stellt - immer die Frage stellen, was passiert wenn Gerät X kompromittiert ist?! Wenn vorne die berühmt berüchtigte Fritte steht, sollte die erstmal als unsicher deklariert werden und ist als VPN-Server gänzlich ungeeignet.
Danach kommt dann ein Gateway-Router. Dieser sollte VPN-Dienste bereitstellen, Portscans und weitere Angriffe detektieren (IDS) und auch blockieren, ggf. Geoblocking vornehmen. Das ist die erste Instanz und sollte nur „guten“ Traffic durchlassen. Wer also Port 22 anfragt, obwohl ihr nur nen Webserver betreibt, wird geblockt. Ebenso kann die Nutzung von blacklists sinnvoll sein.
Danach kommt bei mir noch eine transparente Firewall (UTM), ist aber ggf. obsolet.
Dann kommt der LAN-Router, der die unterschiedlichen Netze im Heimnetzwerk voneinander trennt (IoT, WLAN, LAN und NAS). Dieser ist so konfiguriert, dass er immer noch schützt, sollte der Gateway-Router gefallen sein. Ebenso schützt dieser vor einer weiteren Infektion sollte bspw. eine NAS oder ein IoT-Gerät gefallen sein. Eine NAS mit Diensten im www darf auf keinen Fall gleichzeitig als Fileserver mit sensiblen Daten fungieren! Notfalls kann man dies über Virtualisierung lösen - das ist aber nur die zweitbeste Option. Ich habe meine NASen kpl. getrennt. Und ja - natürlich ist die NAS genau dafür gebaut, Dienste im www bereitzustellen. Leider kommt es immer wieder mal vor, dass fehlerhafte Software bereitgestellt wird; daher ist es wichtig, eine mehrstufige Verteidigung unterschiedlicher Hersteller aufzubauen.
Was ich noch wichtig finde ist, keinerlei ausgehenden Direktzugriff für IoT-Geräte (auch die Synos sind IoT devices) ins www zuzulassen. Diese sollten nur über einen Proxy oder eine Firewall mit automatisch aktualisierten Filterlisten ins Netz gehen (aus Datenschutzgründen nur anonym geroutet).
Falls jemand meinen Senf noch hören will: Meines Erachtens muss man sich - sobald man Dienste ins www stellt - immer die Frage stellen, was passiert wenn Gerät X kompromittiert ist?! Wenn vorne die berühmt berüchtigte Fritte steht, sollte die erstmal als unsicher deklariert werden und ist als VPN-Server gänzlich ungeeignet.
Danach kommt dann ein Gateway-Router. Dieser sollte VPN-Dienste bereitstellen, Portscans und weitere Angriffe detektieren (IDS) und auch blockieren, ggf. Geoblocking vornehmen. Das ist die erste Instanz und sollte nur „guten“ Traffic durchlassen. Wer also Port 22 anfragt, obwohl ihr nur nen Webserver betreibt, wird geblockt. Ebenso kann die Nutzung von blacklists sinnvoll sein.
Danach kommt bei mir noch eine transparente Firewall (UTM), ist aber ggf. obsolet.
Dann kommt der LAN-Router, der die unterschiedlichen Netze im Heimnetzwerk voneinander trennt (IoT, WLAN, LAN und NAS). Dieser ist so konfiguriert, dass er immer noch schützt, sollte der Gateway-Router gefallen sein. Ebenso schützt dieser vor einer weiteren Infektion sollte bspw. eine NAS oder ein IoT-Gerät gefallen sein. Eine NAS mit Diensten im www darf auf keinen Fall gleichzeitig als Fileserver mit sensiblen Daten fungieren! Notfalls kann man dies über Virtualisierung lösen - das ist aber nur die zweitbeste Option. Ich habe meine NASen kpl. getrennt. Und ja - natürlich ist die NAS genau dafür gebaut, Dienste im www bereitzustellen. Leider kommt es immer wieder mal vor, dass fehlerhafte Software bereitgestellt wird; daher ist es wichtig, eine mehrstufige Verteidigung unterschiedlicher Hersteller aufzubauen.
Was ich noch wichtig finde ist, keinerlei ausgehenden Direktzugriff für IoT-Geräte (auch die Synos sind IoT devices) ins www zuzulassen. Diese sollten nur über einen Proxy oder eine Firewall mit automatisch aktualisierten Filterlisten ins Netz gehen (aus Datenschutzgründen nur anonym geroutet).
Da einer meiner synos wegen fotofreigaben durch entsprechende portweiterleitungen des firewallls im netz zugaenglich ist (Dyn DNS ip weiterleitung), arbeitete ich zuerst auch mit blacklist geoblocking (fortlaufend ergaenzt). Da aber die firewall bald am anschlag der erfassten adressen war habe ich in der zwischenzeit auf eine Geo Whitelist (heimatland) mit definierten whitelist IP's aus dem ausland und als ergaezung mit blacklist inland (einzelne Ip's, bei mehrmaligen vorkommen, sprich zugriffen auf mein fw/syno in aehnichen IP-bereichen mit ranges) umgestellt. Fernzugriff auf die Syno resp mein meim netz (VPN) benoeige ich sonst nicht. Der rest wurd hier ja schon erwaehnt mit deaktiveren des standart admin accounts und entsprechenden passwoerten swie fuer den aktiven adminaccount zweiweg authentifizeirung.
Zusaetlich befindet sich dieses NAS in einem eigenem Vlan das von den restlichen heimnetzen getrennt ist und es finden periodische backups euf ein anderes nas statt, dass aber nur dann aktiv ist wenn die backups laufen sollen.
Zusaetlich befindet sich dieses NAS in einem eigenem Vlan das von den restlichen heimnetzen getrennt ist und es finden periodische backups euf ein anderes nas statt, dass aber nur dann aktiv ist wenn die backups laufen sollen.
TheGardner
Benutzer
- Mitglied seit
- 30. Nov 2012
- Beiträge
- 1.833
- Punkte für Reaktionen
- 49
- Punkte
- 74
Naja, wenn Du nur darauf aus warst, die DS nach außen hin unsichtbar zu machen, dann hättest Du auch jegliche Portweiterleitungen in der Fritzbox deaktivieren können!
Was empfiehlst du stattdessen? (Ordner, die von 10 Benutzern genutzt werden, alles Windows 10)
lol - wer Win10 im Netz hat braucht sich um Schutz von aussen nicht sorgen, da er ja schon von innen kompromittiert ist.
Mit ‚keine permanent über Laufwerksbuchstaben verbundene shares’ ist eben gemeint, dass Du bspw. auf Deine Videos nicht per V:/ zugreifst, sondern per //NAS/video/ also UNC-Pfade nutzt. Der Zugriff erfolgt dann nur im Bedarfsfall - schützt ggf. gegen Crypto-Trojaner bspw.
Mit ‚keine permanent über Laufwerksbuchstaben verbundene shares’ ist eben gemeint, dass Du bspw. auf Deine Videos nicht per V:/ zugreifst, sondern per //NAS/video/ also UNC-Pfade nutzt. Der Zugriff erfolgt dann nur im Bedarfsfall - schützt ggf. gegen Crypto-Trojaner bspw.
Ja LOL, betrifft halt dann nur fast jedes Unternehmen 
Hast du einen Link für mich? Sind die Ordner dann trotzdem im Explorer sichtbar? Ich glaube ich bräuchte dazu dann aber einen DNS oder müsste die Host Datei bearbeiten.
Der Synology assistant verwendet auch laufwerksbuchstaben: https://www.synology.com/de-de/know..._to_map_network_drives_from_your_Synology_NAS
Hast du einen Link für mich? Sind die Ordner dann trotzdem im Explorer sichtbar? Ich glaube ich bräuchte dazu dann aber einen DNS oder müsste die Host Datei bearbeiten.
Der Synology assistant verwendet auch laufwerksbuchstaben: https://www.synology.com/de-de/know..._to_map_network_drives_from_your_Synology_NAS
Zuletzt bearbeitet:
@whitbread Das Schützt dich nicht, da die Anmeldedaten für den Ordner trotzdem im System gespeichert werden. Die verschiedenen Trojaner sind schon lange über das Level raus, dass sie sich nur um den lokalen PC kümmern.
Zugriff auf das NAS per \\NAS\... bei Bedarf. Das erschwert es einem Trojaner & Co schon sehr. Normalerweise scannen die nur alle Laufwerksbuchstaben durch.
Die meisten Dialoge merken sich doch die Historie. Natürlich musst du ein wenig tippen. Tipp mal oben im Explorer "\\NAS\..." ein. Beim nächsten Mal werden dir deine letzte Auswahlen meist schon nach Eingabe von "\\N" zur Auswahl angeboten. Ähnlich wie bei den URLs in Chrome oder anderen Browsern.
Edit:
Mit "NAS" ist natürlich der Name deiner DS oder sonstiger Geräte gemeint
Edit:
Mit "NAS" ist natürlich der Name deiner DS oder sonstiger Geräte gemeint
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
