Wie sicher ist eine Diskstation wenn sie über Internet erreichbar ist?

[RichardF]

hallo

Ich frage mich wie sicher meine Ds im Netz vor Angriffen ist?

Welche Möglichkeiten sind gegeben eine DS anzugreifen?

Wie konfiguriert ihr eure DS um sie zu schützen?

Gibt es eine Statistik darüber wie oft DS gehackt wurden?

Ist ein bestandener Sicherheitscheck in der Stufe Unternehmen ausreichend um beruhigt zu sein oder gibt es noch andere Stellschrauben die beachtet werden müssen?

Wie sinnvoll ist das aktiveren der DS Firewall wenn davor noch 2 firewalls scharf geschalten sind ( eine chinesische und eine eines amerikanischen Herstellers.)

Danke vielleicht kann man mir ein paar Anregungen dazu geben, vielleicht kann hier auch eine Checkliste für DS Sicherheitstipps entstehen?!

Danke!
Lg Richard

 

[Benares]

Kurze Antwort: Keine Portweiterleitungen, nur VPN.

 

[peterhoffmann]

Keine Portweiterleitungen

Und falls Portweiterleitungen doch nötig sind, Standardports nach außen vermeiden, sondern immer durch den Router nach "oben" legen, z.B. Port 45501 im Router, der auf Port 5001 der DS zeigt.

 

[RichardF]

Hier benötige ich dann noch mehr Funktionalität, es soll ja auch für die Familie und Bekannte, das ein oder andere bereit gestellt werden, und denen werde ich keine VPN Verbindung einrichten.

Meine derzeitige Vorgehensweise innerhalb der DS ist:

1.) Nur Dienste aktivieren die benötigt werden
2.) schwere Passwörter 20+
3.) Admin Konto deaktivieren
4.) Ausschließlich verschlüsselte Verbindungen
5.) Protokolle täglich kontrollieren
6.) Sicherheitsberater min. 1x / Woche u. Anmeldedeanalyse
7.) Berechtigungen für die Benutzer festlegen
8.) DSM auf dem aktuellsten Stand halten
9.) Pakete auf dem aktuellsten Stand halten
10.) SSL Zertifikat von Lets encrypt
11.) DOS Schutz aktivieren
12.) Anmeldeversuchsbeschränkung
13.) Kernel Page-Table Isolation - Aktivieren von KPTI (Meltdown Sicherheitlücke )
14.) Terminal & SNMP deaktiviert

 

[Tommes]

Könntest du deine Aussage diesbezüglich etwas spezifizieren?

Wie sinnvoll ist das aktiveren der DS Firewall wenn davor noch 2 firewalls scharf geschalten sind ( eine chinesische und eine eines amerikanischen Herstellers.)

Und hier gleich noch die Frage, warum 2 Firewalls vorgeschaltet? Wie genau sieht das bei dir aus? Hast du die DS vielleicht in einer DMZ oder einem VLAN, getrennt von deinem "privaten" Netzwerk?

Tommes

 

[RichardF]

Und falls Portweiterleitungen doch nötig sind, Standardports nach außen vermeiden, sondern immer durch den Router nach "oben" legen, z.B. Port 45501 im Router, der auf Port 5001 der DS zeigt.

Warum nach oben?

 

[Benares]

Weil die Portscanner im Internet eher auf die Low-Ports (<1024) bzw. Well-Known-Ports abzielen als auf die High-Ports.
Alle Ports bei jedem zu scannen, würde einfach zu lange dauern.

 

[RichardF]

Könntest du deine Aussage diesbezüglich etwas spezifizieren?



Und hier gleich noch die Frage, warum 2 Firewalls vorgeschaltet? Wie genau sieht das bei dir aus? Hast du die DS vielleicht in einer DMZ oder einem VLAN, getrennt von deinem "privaten" Netzwerk?

Tommes

Nein ich betreibe sie im Heimnetzwerk, nicht gesondert getrennt.
Warum 2 , weil ich übers Modem die Internetverbindung herstelle und dahinter noch ein fähigeres Gerät mit mehr Einstellmöglichkeiten betreibe.

Wlan ist hier wohl eine Schwachstelle oder warum sprichst du das an?

 

[Benares]

Deine Auflistung in #4 liest sich so, als würdest du zuhause lieber die Haustür offen stehen lassen und mit Türstehern zu bestücken, dafür aber die Zimmertüren absichern zu wollen. Mach lieber die Haustür zu.

 

[Tommes]

Ich habe mich die letzten Tage ebenfalls mit dem Thema beschäftigt, wie ich eine DiskStation (relativ) sicher ins Internet stellen kann. Ich bin derweilen zu dem Schluss gekommen, das grade im SOHO Bereich, also dort wo in der Regel einfache Plastik-Router wie z.B. eine Fritzbox werkeln, man besser auf VPN setzt, so wie Benares es Eingangs bereits erwähnt hat, oder man es besser lässt. Sicherlich kommt es immer darauf an, was man für Dienste anbieten will und wie gut man die DS selber vor Angriffen schützen kann, so wie du im Beitrag #4 bereits aufgeführt hast. Es bleibt aber immer ein Restrisiko, das ist nun mal Fakt.

Man muss halt seine eigene Paranoia hinterfragen und dann entscheiden, welchen Weg man gehen will. Auch ist ja interessant, welche Art Daten du auf die Menschheit loslassen willst. Sensible Daten wären hier bereits ein NoGo! Dinge, die du auch auf eine Postkarte schreiben würdest, wären da schon etwas anderes. Am Ende muss jeder für sich entscheiden, ob man einen Port ins Internet öffnet oder nicht. Diese Entscheidung wird dir keiner abnehmen und daher wirst du hier auch kein... das ist absolut sicher... kannst du so machen... hören!

Tommes

 

[Benares]

@Tommes
Das hast du aber wieder schön und treffend ausgedrückt

 

[Tommes]

@Benares: Mir war deine Antwort aus Beitrag #2 einfach zu oberflächlich

 

[RichardF]

Also ich konkretisiere mal.
Ich hab eine USG hinter dem Modem und ich stelle 5 Dienste bereit welche von extern erreicht werden können.

Photostation für Familie auf dem nativen DSM
Photostation für Bekannte in einer VM
Chat für Familie auf dem nativen DSM
Chat für Testzwecke in einer VM
VPN Server auf dem nativen DSM

Würdet ihr das kritisch sehen?

 

[Tommes]

Naja, so ein USG hatte ich vor längerer Zeit auch mal ins Auge gefasst. Das Ding mag ja vielleicht nicht schlecht sein, aber mittlerweile bin ich da wieder davon ab, jedoch das ist wohl auch wieder meiner eigenen Paranoia geschuldet.

Ein Virtual DSM hatte ich auch bereits ins Auge gefasst. Ist mit Docker oder dem VMM ja möglich und auf jeden Fall eine Steigerung in Sachen Sicherheit... wobei man sich hier auch wieder drüber streiten kann.

In den letzten Tagen kaufte ich mir in Gedanken ein Vigor165 Modem, woran ich dann ein APU.2D4 Board mit pfSense als Hardware Firewall hängen würde. Dann weiter... ein Kanal für das private Heimnetz, ein Kanal für Gäste LAN/WLAN und ein Kanal für die DMZ in der ich dann einer meiner DiskStations reinhängen würde. Dazu benötige ich dann wohl auch noch den ein oder anderen Managed Switch um mir noch gewünschte VLAN's einzurichten und und und... Unterm Strich würde mich das alles eine ganze Stange Geld kosten und das nur um meiner eigenen Paranoia gerecht zu werden.

Alternativ hatte ich überlegt, das APU.2D4 Board mit pfSense an den Exposed Host der Fritzbox zu hängen, aber auch das ist nur mit Kompromissen, Einschränkungen und Entbehrungen verbunden. Daher überlasse ich sowas lieber dem Profi mit dem nötigen Equipment und dem nötigen Background Wissen um sowas guten Gewissens abnicken zu können. Von daher bleib ich bei meinem VPN und gut ist und das würde ich dir auch empfehlen außer du hast Bock, dir all das anzutun um am Ende besser schlafen zu können. Deine Entscheidung!

Tommes

 

[Benares]

@RichardF
Na ja, ist ja noch überschaubar. Dem könnte ich als Hardliner ja noch zustimmen, wenn du die äusseren Ports etwas verfremdest

Obwohl?
- Bilder, die ich teilen möchte, lagere ich in die Cloud aus, z.B. auf meine 1TB bei 1&1 - ist auch irgendwie gleich ein Backup.
- Chat über die eigene DS braucht kein Mensch. Dafür gibt's WhatsApp & Co
- und VPN hatte ich ja eh schon gesagt. Ich würde es aber, wenn möglich, eher auf dem Router machen, also nicht durch bis zur DS.

 

[Tommes]

Ähm... vielleicht eins noch... bei aller Sicherheit!

Die Wahrscheinlichkeit, das deine DS oder gar dein privates Netzwerk kompromittiert wird, lässt sich wohl nicht in Prozent ausdrücken. Auch wenn ich mich jetzt etwas weit aus dem Fenster lehne, so halte ich die Gefahr eines Angriffs von außen für geringer als von innen. Oftmals sind es ja irgendwelche Schadprogramme, die man sich über E-Mail Anhänge, ominöse Websites oder weiß der Geier noch was einfängt und die sich dann von innen heraus einen Weg nach draußen bomben.

Ich kenne ein paar Leute, die ihre DS im Internet hängen haben und bis auf das normale Hintergrundrauschen des Internets noch keine, jedenfalls offensichtliche, Angriffe stattgefunden haben. Auch wirst du hier im Forum glaube ich keinen Beitrag finden in dem steht... Hilfe, ich wurde gehackt!

Wie gesagt, Sicherheit ist immer relativ zu betrachten und hat viele Facetten. Am Ende bleibt es aber dabei. Entscheiden und verantworten musst du das selber.

Tommes

 

[Swp2000]

Nutze ich den VPN Server bzw. Das Paket auf der DS, habe ich ja wiederum auch wieder an Sicherheit eingebüßt, da ich dessen Port auch wieder zur DS weiterleiten muss!?

EDIT: @Tommes
Man sieht ja ausschließlich in der Rubrik Verbindung in den Protokollen ob Angriffe stattgefunden haben oder nicht?

 

[Tommes]

@Swp2000
...und ich möchte glaub ich garnicht wissen, was mir z.B. die Protokolle einer pfsense alles so auspucken Ich glaub, dann würd ich gleich den Stecker ziehen. Ich hatte mir mal den Spaß gemacht, auf meinem Raspberry Pi mit iptables und logwatch rumzuspielen und da sträubten sich mir bereits die Nackenhaare, was da alles in den Protokollen auftauchte.

 

[Benares]

Ja, schon etwas. Der Router ist der bessere VPN-Endpoint, weil man da nur eine Stelle hat, die man einrichten und monitoren muss.
Außerdem flexibler, wenn es noch mehr als nur eine DS im LAN gibt. Aber zugegeben auch langsamer, da die Router meist nicht so CPU-stark sind wie modernere DSen.

Edit:
Tommes ist irgendwie immer etwas schneller

 

[Tommes]

Tommes ist irgendwie immer etwas schneller

Ich hab mich ja auch lange genug ausgeruht indem ich in letzter Zeit mit Abwesenheit glänzte.