Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12
  1. #1
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard Sicherheit und Netzwerk

    Hier im Forum gibt es ab und an heftige Diskussionen über Sicherheitsprobleme und Sicherheitsvorkehrungen, wenn die DS im Internet ihre Dienste offeriert. Dazu mal ein paar Bemerkungen:

    (1) Das Internet ist grundsätzlich 'unsicher'. Diese Aussage meint, dass wenn wir einen Rechner hin zum Internet öffnen (z. B. per Router), dann kann jeder per IP-Adresse des Routers oder dem Äquivalent dem DNS-Namen (DynDNS-Namen) und einer entsprechenden Portnummer einen Dienst (Server, Service, was auch immer) auf der DS anrufen und damit ist ein Zugang prinzipiell möglich. Ob der Dienst dann einfach antwortet (ohne Authentifizierung) oder sich verweigert, kann man entweder innerhalb der jeweiligen Dienste programmieren oder man benutzt 'Universalschweine' (Firewalls) dafür. Das ist auch auf der DiskStation so möglich. Allerdings nur in einem üblichen, begrenzten Umfang weist die Firewall dies auf der DiskStation ab (Schwarze oder weiße Liste mit IP/Teilnetzwerk-Adressen der Anrufer).

    (2) Die Server selbst können weitere benutzerbezogene Authentifizierungen vornehmen. Das kann ein einfacher Forum durch einen Konfiguration z.B. innerhalb des Webservers erfolgen; bei anderen Diensten ist es zwingend vorgesehen (SSH). Die Authentifizierung kann in einfacher Form durch ein Tupel 'Username, Kennwort' erfolgen oder in komplexerer Form z. B. durch den Vergleich von Schlüsseln auf der Basis von Zertifikaten. Internetserver-Anwendungen z. B. können zusätzlich Penetrationsversuche protokollieren und/oder statistische Verfahren verwenden, um entsprechende Usernamen oder IP-Adressen zu sperren (wird auch im DS-Manager angeboten). Es gibt aber auch Dienste, bei denen das nicht vorgesehen ist (UPnP/DLNA) und diese sich deswegen dann nicht eignen ohne eine weitere Vorkehrung, z. B. durch VPN tunneln.

    (3) Bei wichtigen (sensiblen) Daten, kann auch eine Session-Steuerung (z.B. innerhalb des Webservers) mit einer Glütigkeitsverweilzeit (Session-Token mit Verfallsdatum ... kennt ja jeder vom Online-Banking) zum Einsatz kommen. Meist wird das über Cookies im Browser realisiert. Auch das gibt es beim DiskStation-Manager (Benutzer-Anmeldung) und in vielen Webanwendungen. Allerdings fehlt bei bestimmtes Diensten diese Möglichkeit.

    (4) Grundsätzlich sollte man davon ausgehen, dass ein zum Internet hin geöffneter Rechner auch 'gehackt' wird. Deswegen sollte man eine Bewertung vornehmen, ob sich sensible Daten auf dem Server befinden und welche Auswirkungen eine Down-Zeit des Servers oder gar der DiskStation hat (das wären ja die sichtbaren maximalen Ausfälle/Verluste der Integrität). Wenn man feststellt, dass dies zu größeren Problemen führen kann, sind Überlegungen zur Parzellierung (rein interner Server - reiner Internetserver - keine internen Netzverflechtungen zwischen diesen Servern) zu überlegen. Solange keine virtuellen Maschinen auf den DiskStations hier das Hardware-Problem abstrahieren, muss man in Geräte-Einheiten denken (zwei, drei, viele DiskStations). Wichtig ist bei jeder Bedrohungslage zu überlegen, wie man im Ernstfall damit umgeht (Desaster-Szenario) und das auch mal übt (ist wie ein Restore beim Backup-Konzept).

    (5) Die Diskussion vom Wirken von Malware ist hier nicht vorgenommen worden, weil es sich noch nicht als Problem auf den DiskStation ergeben hat, ist aber prinzipiell natürlich auch wichtig.

    Sicherlich ist das nicht alles zu dem Thema und vielleicht fallen euch noch weitere wichtige Dinge hierzu ein. Dann bitte, die Diskussion ist eröffnet.

    Itari
    Geändert von itari (11.10.2011 um 11:22 Uhr)
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  2. #2
    Anwender Avatar von petehild
    Registriert seit
    17.03.2011
    Beiträge
    443

    Standard

    Danke für diese klasse Zusammenfassung

    Gruß
    Pete
    DS916+ (DSM 6.1) 8GB RAM, 4x 4TB IronWolf als SHR mit btrfs, Druckserver
    DS115j (DSM 6.1) WD Red (WD60EFRX-68L0BN1) als Basis, Local NetBackup
    DS211 (DSM 6.1) WD Red (WD40EFRX-68WT0N0) als Basis, WD Green (WD10EADX-22TDHB0) als Basis, Remote NetBackup
    DS214se (DSM 6.1) WD Green (WD10EADS-00L5B1), defekt ersteigert, repariert, jetzt zum Spielen
    USV APC Back-UPS BX700U-GR

  3. #3
    Anwender
    Registriert seit
    05.01.2011
    Beiträge
    1.661

    Standard

    Zuerst einmal finde ich es hervorragend, dass dieses Thema hier aufgegriffen wird.

    "Einfache" User, wie ich, stürzen sich in Bezug auf Sicherheit erst einmal auf die "'Universalschweine' (Firewall)". Hier ist mir aufgefallen, dass sich oftmals nur auf die Firewall des Router`s verlassen wird und ein Einsatz der DS internen Firewall daher nicht für notwendig gehalten wird (Zitat aus einem Beitrag "Welchen Sinn macht es, sich in der DS noch mit Firewall-Regeln zu ärgern? Netzintern verstehe ich das noch weniger.").
    Unter Berücksichtigung der Tatsache, das eine große Anzahl von Anwendern ein Wlan einsetzen, bin ich der Meinung, dass man über den zusätzlichen Einsatz der DS internen Firewall durchaus nachdenken sollte.
    Es gibt hier Beiträge, in denen Beschrieben wird, wie mit Hilfe des Fernzugriffs auf die Fritzbox die WoL-Funktion der DS realisiert werden kann. Reicht mir hier wirklich nur die Firewall in der Fritzbox, wohl kaum.

    Natürlich ist eine Firewall alleine nicht ausreichend für die Sicherheit, aber für "einfache" Anwender, wie mich, der erste Schritt.

    Letzt endlich muß sich jeder seine eigenen Gedanken darüber machen, welche Daten und wie "sicher" er sie freigibt.
    Gruß bohne

    DS918+ [DSM 6.2.2-23922; Update 3]
    DS418 [DSM 6.2.2-24922; Update 3]

  4. #4
    Anwender
    Registriert seit
    16.12.2010
    Beiträge
    6.723

    Standard

    Zitat Zitat von bohne Beitrag anzeigen
    ... Unter Berücksichtigung der Tatsache, das eine große Anzahl von Anwendern ein Wlan einsetzen, bin ich der Meinung, dass man über den zusätzlichen Einsatz der DS internen Firewall durchaus nachdenken sollte. ...
    Aber nur dann, wenn du einen Angriff von innerhalb deines LAN oder ein unzureichend gesichertes WLAN hast.
    Habe die Frage schonmal irgendwo gestellt: Hast du an deinem PC auch alle Ports geblockt?
    Gruß Ap0phis

    Synology DS111: DSM 5.2-5967 U2 mit 3TB WDred + eSATA: 4TB WDblue, Dreambox (E1), ClarkeTech ET9000 (E2), WDTV live HD MediaPlayer
    Synology DS411j DSM 5.2-5967 U2 mit 9TB div. HDDs (basic) im Aufbau als Video- und Backup-Server

    APC Back-UPS ES 550 VA (TV, DS, 2x SAT-Receiver, Mediaplayer) :: APC Back-UPS ES 325 VA (Router, Telefon)
    Daten ohne Backup sind unwichtige Daten! Ein RAID ersetzt kein Backup! ... sonst hieße es möglicherweise SAID!

  5. #5
    Moderator Avatar von thedude
    Registriert seit
    30.11.2009
    Beiträge
    2.237

    Standard

    Danke für Punkt 4 Itari. Danke. Wer nur eine DS hat und darauf seine wichtigsten Daten lagert, diese dann im Internet freigibt - sorry dem ist nicht zu helfen. Der handelt in meinen Augen auch fahrlässig.

    Grad hat die c't noch berichtet, unter vorgehaltener Hand sagen die Antivirus Hersteller das es nicht die Frage ist ob ein System im Internet gehackt wird - sondern wann. Ganz gleich auf welche Weise.

    Gruß
    Dude

    DS214play | 2x 2.0TB Seagate ST2000DL003
    DS916+ | 4x 3.0TB HGST HDN724030ALE640

  6. #6
    Anwender
    Registriert seit
    05.01.2011
    Beiträge
    1.661

    Standard

    @Ap0his
    Aber nur dann, wenn du einen Angriff von innerhalb deines LAN oder ein unzureichend gesichertes WLAN hast.
    Habe es schon mehrmals erlebt, das ein privates WLan gar nicht geschichert war.
    Das zeigt, daß es Anwender gibt, denen das notwendige Wissen zu dieser Materie fehlt oder die Materie nicht verstehen.
    Dennoch, so zeigt auch dieses Forum, teilweise bereit sind, sich damit auseinander zu setzten.
    Eben diesen Anwendern könnte der Beitrag von itari, Anregungen und Zusammenhänge darlegen, die sie veranlassen ihre Sicherheitseinstellungen zu überdenken.
    Gruß bohne

    DS918+ [DSM 6.2.2-23922; Update 3]
    DS418 [DSM 6.2.2-24922; Update 3]

  7. #7
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.275
    Blog-Einträge
    20

    Standard

    @Ap0phis
    oder wenn du einen Port am Router vergessen hast, der noch geöffnet ist. Dann kann der Angriff auch von aussen kommen. Sorry aber eine FW gehört auf einen Server (da gibts zumindest für mich nichts daran zu rütteln) :-)
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  8. #8
    Anwender
    Registriert seit
    16.12.2010
    Beiträge
    6.723

    Standard

    Zitat Zitat von jahlives Beitrag anzeigen
    @Ap0phis
    oder wenn du einen Port am Router vergessen hast, der noch geöffnet ist. Dann kann der Angriff auch von aussen kommen.
    Kein Thema!
    Aber ebenso wie die offenen Routerports sind dann die offenen Serverports immer im Auge zu behalten. Ich sehe da also schonmal keinen Unterschied. Im Gegenteil. Denn so muß ich 2 FW´s beachten.
    Sorry aber eine FW gehört auf einen Server (da gibts zumindest für mich nichts daran zu rütteln) :-)
    Persönliches Sicherheitsempfinden ist eigentlich immer entscheidend. Nur muß man damit auch umgehen können.

    Und wie bohne schon sagte gibt es in der Tat leider noch genügend unzureichend bis gar nicht gesicherte WLAN´s.
    Gruß Ap0phis

    Synology DS111: DSM 5.2-5967 U2 mit 3TB WDred + eSATA: 4TB WDblue, Dreambox (E1), ClarkeTech ET9000 (E2), WDTV live HD MediaPlayer
    Synology DS411j DSM 5.2-5967 U2 mit 9TB div. HDDs (basic) im Aufbau als Video- und Backup-Server

    APC Back-UPS ES 550 VA (TV, DS, 2x SAT-Receiver, Mediaplayer) :: APC Back-UPS ES 325 VA (Router, Telefon)
    Daten ohne Backup sind unwichtige Daten! Ein RAID ersetzt kein Backup! ... sonst hieße es möglicherweise SAID!

  9. #9
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Zitat Zitat von Ap0phis Beitrag anzeigen
    Und wie bohne schon sagte gibt es in der Tat leider noch genügend unzureichend bis gar nicht gesicherte WLAN´s.
    Im Grunde sind alle Funkgeschichten, ob WLAN, Bluetooth, Handy-Netze, TV- oder Fernlenkauto-Fernsteuerungen immer ein Unsicherheitsfaktor. Bildschirme, Mikrofone (Headsets), Tastaturen, Mäuse und Touchscreens natürlich auch ... Da mag im ersten Moment lustig klingen, ist es aber gar nicht ... überall, wo elektromagnetische Übertragungen (inkl. Licht - auch nicht sichtbares Licht) vorkommen, hast Induktionen, die mehr oder minder gut isoliert sind und ein Einfallstor sein können. Bei den heutigen Stromleitungsübertragungen (Powerline) bist schneller beim Nachbarn als du denkst ... wenn du da nicht gut verschlüsselst, ist die ganze Welt ganz dicht bei dir. Und Hand aufs Herz, wer ändert den Schlüssel seiner WLAN-Stationen regelmäßig???

    Itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  10. #10
    Anwender
    Registriert seit
    30.09.2009
    Beiträge
    13

    Standard

    Oder nutzt die MAC-Liste in seinem Router beim WLAN-Betrieb?
    Wo ist man bereit Bequemlichkeit aufzugeben um mehr Sicherheit zu bekommen?
    Das VPN-Addon halt ich aber schon für einen Schritt in die richtige Richtung.

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Erreichbarkeit über Internet und bedingte Sicherheit
    Von cutcreator im Forum Disk Station Manager
    Antworten: 9
    Letzter Beitrag: 16.08.2011, 18:42
  2. Cloud-Computing und die Sicherheit
    Von itari im Forum Off-Topic
    Antworten: 10
    Letzter Beitrag: 17.07.2011, 11:36
  3. Domain Änderung und Sicherheit des Netzwerks
    Von jamaram im Forum Photo Station und Blog
    Antworten: 1
    Letzter Beitrag: 07.03.2011, 23:58
  4. Sicherheit per IP-Filter und DynDNS
    Von mbihn im Forum Disk Station Manager
    Antworten: 3
    Letzter Beitrag: 08.01.2009, 20:31
  5. webserver und sicherheit
    Von securico im Forum Webserver
    Antworten: 21
    Letzter Beitrag: 02.09.2008, 08:28

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •