DSM 6.x und darunter Ausspionieren persönlicher Daten durch Synology Hersteller?!

[whitbread]

Äh nöö - es ist genau eine FW-Regel und die IP's gehören in eine Adressliste.

Ausserdem ist ja schon relevant, was die einzelne NAS so macht (DNS, Proxy, Mail, etc.) - da muss man mal genauer hinsehen.

 

[Arnie99]

Vielen Dank an alle, die zu dem Thema etwas posten, seien es IP-Listen oder andere Tipps. Allerdings bin ich überfordert damit, wie ich verhindern kann, dass Daten an Synology abfließen, ohne gleich der ganzen DS den WAN-Zugriff zu verbieten. Ich habe einige Personen, die z.B. auf die Fotostation zugreifen. Denen würde ich nur ungern diese Möglichkeit nehmen. Andere Dienste nutze ich auch selbst von unterwegs (Calendar, Cloud Station uvm.) und würde das gerne auch weiterhin tun.

In der Fritzbox habe ich die Möglichkeit, die DS komplett zu blockieren oder Blacklisten anzulegen. In der DS habe ich die Firewall und -zumindest theoretisch- auch die Möglichkeit, unter "Konto" Blockierlisten anzulegen. Letzteres scheint mir aber aufgrund der Menge der vom Anwender "internet" oben geposteten Subnetze kein gangbarer Weg zu sein.

Habt ihr Tipps für mich, wie ich beim Blockieren der Synology-Kommunikation vorgehen muss und weiterhin für meine Zwecke von außen die DS nutzen kann?

 

[elevator]

Du kannst dir eine pfSense Firewall zulegen und nur das erlauben was du benötigst.

 

[whitbread]

Firewall heisst die Lösung, ob nun pfSense, Sophos UTM, Mikrotik, Synology Router o.a. darfst Du dir aussuchen. Je nach Know-How sollte deine beste Lösung dabei sein.
Dann musst Du noch schauen, ob Du bestimmte Destinationen und / oder Ports sperren willst.

 

[peterhoffmann]

Wer macht mit beim Support-Ticket schreiben?
"Sehr geehrte Damen und Herren, ich hätte da mal eine Frage..."

Da wirst du eh keine zufriedenstellende Antwort erhalten.

Es geht weniger darum eine zufriedenstellende Antwort zu bekommen, sondern um Druck aufzubauen. Wenn Synology merkt, dass sich das hochschaukelt, ist man eher gewillt auf den User zuzugehen.

Ich sehe Daten als mein Eigentum und möchte nicht, dass man sich ohne mein Wissen an meinem Eigentum vergreift.

 

[Puppetmaster]

Die Antwort wird ja in etwa so lauten: Es werden keine persönlichen Daten übertragen, sondern nur Daten, die für die Zuverfügungstellung und die Funktion der Dienste von Synology notwendig sind.

Hallo? Die operieren in Asien, da ist ein deutsches Datenschutzgesetz genauso unbekannt und ungewollt wie Arbeitnehmervertretungen.Irgendwer schrieb das doch schon hier.
Aber ich möchte das Vorhaben nicht bremsen. Nur zu. Ich werde mich nur nicht beteiligen. Für mich sind kurze Wege die effektivsten. Also Schotten dicht, wenn es mir zuviel wird

"Ohne Wissen" passiert das aber auch m.E. nicht, oder hast du die AGB des Paketzentrums nicht gelesen bevor du sie akzeptiert hast?

 

[ted37783926]

gibts eigentlich vergleichbare deutsche hersteller von nas systemen?

hallo,
ich bin neu hier und wollte mir eigentlich ne ds216j als backup und netzwerkspeicher kaufen und einrichten. nach dem hier bisher gelesenen bin ich von dem vorhaben wieder abgekommen - zu viele ungereimtheiten und löcher, die zu stopfen wären...

das ist ja gerade so, als ob ich mir ne rostlaube kaufe und mit dem kaufvertrag gleich ne adac-mitgliedschaft abschließen muss...

gibt es denn deutsche hersteller, die in diesem preissegment die notwendigerweise mit einem solchen produkt verbundenen sicherheitskriterien gewährleisten können?
gruß,

chris

 

[Falkenfelser]

@ ted37783926
Wenn du absolute Sicherheit willst, musst du alles selbst machen. Aber das Problem ist ja schon an vernünftige Hardware zu kommen > siehe https://www.heise.de/newsticker/mel...-vielen-Intel-Systemen-seit-2010-3700880.html

Die Synology Produkte sind ja an sich gut... man sollte eben nur ein paar Firewallregeln anlegen.

 

[Falkenfelser]

Also im Synology Router sieht die Regel so aus:



Vielleicht könnte jahlives, der Pro den passenden IPtables Befehl dazu schreiben?
Zur Not könnte man dann die DS direkt über SSH absichern.

 

[peterhoffmann]

Die Antwort wird ja in etwa so lauten: Es werden keine persönlichen Daten übertragen, sondern nur Daten, die für die Zuverfügungstellung und die Funktion der Dienste von Synology notwendig sind.

Ich wiederhole mich nur ungern => Eine zufriedenstellende Antwort wirst du jetzt nicht bekommen und darum geht es auch nicht.
Aber was passiert, sieht man schon am nachfolgenden Posting (User ted37783926). Und das wird nicht im Sinne von Synology sein. Es kann nicht schaden, wenn das Thema größere Kreise zieht. Dann kommt man seitens Synology unter Druck und muss reagieren. Und genau das ist Sinn der Sache.

"Ohne Wissen" passiert das aber auch m.E. nicht, oder hast du die AGB des Paketzentrums nicht gelesen bevor du sie akzeptiert hast?

Ich habe schon lange aufgehört die AGBs von Unternehmen zu lesen. Da arbeiten Profis dran, die erstens ihre Betrügereien schön umschreiben und zweitens dies in tonnenweiser unnützer Information versenken um den User mit staubtrockenem Text totzuschlagen, damit er auf gar keinen Fall alles liest. Und das klappt auch in 99,9% der Fälle.

Aber ich bin mir sicher, du bist das 0,1% und liest das natürlich alles, jedes Mal, bei jedem Gerät im Haushalt, bei jedem Portal im Internet, bei jeder Software auf dem PC, bei jeder App auf dem Handy, natürlich auch bei jeder Änderung.

 

[Falkenfelser]

Also ich werde heute mal ein Ticket schreiben... aber ich rechne nicht mit einer Antwort.
Wenn Synology`s Masterchief of Tracking immer mehr Geräte offline gehen sieht auf seinem Dashboard, werden die sich schon in Bewegung setzen.

 

[Puppetmaster]

Sorry, den Zwiespalt zwischen "da arbeiten Profis daran, um mich für dumm zu verkaufen" und "ich habe aufgehört mich zu informieren" kann ich für dich nicht auflösen.

Viel Erfolg beim "Unter-Druck-setzen".

@Falkenfelser: +1

 

[peterhoffmann]

den Zwiespalt [...] kann ich für dich nicht auflösen.

Ich brauche keinen Rabulisten um für mich was aufzulösen. Vielleicht entwirrst du für dich erst mal dein Verständnis und Vorgehensweise im Forum.

Man begegnet dir recht häufig im Forum, bei 12.000 Beiträgen kein Wunder. Aber positiv habe ich dich nicht in Erinnerung. Was bei mir die letzten Male hängen geblieben ist, dass du dich gerne ohne Not einmischst, selten was Konstruktives beiträgst und am Ende deiner Fahnenstange schlicht und schnell die Segel streichst. Aber vielleicht ist es ja auch nur eine Momentaufnahme meinerseits und ich habe mich getäuscht.

Eine Frage stellt sich mir aber noch: Arbeitest du für Synology?

Viel Erfolg beim "Unter-Druck-setzen".

Sarkasmus kann man aber schöner verpacken.
Nichts desto Trotz, ich kann nur hoffen, dass viele Tickets aufgemacht werden und das Thema auch im englischen Synology-Forum angestoßen wird.

 

[Falkenfelser]

Immer gleich diese Vorwürfe wegen unterschiedlicher Meinungen. Das ist doch jedem seine Sache.
Präsentiert lieber Lösungsvorschläge, schreibt Tickets oder Amazon Rezensionen usw.
anstatt euch immer gegenseitig anzupissen.

 

[Arnie99]

Du kannst dir eine pfSense Firewall zulegen und nur das erlauben was du benötigst.

Firewall heisst die Lösung, ob nun pfSense, Sophos UTM, Mikrotik, Synology Router o.a. darfst Du dir aussuchen.

Danke Euch. Leider muss ich das momentan mit den vorhandenen Geräten "Fritzbox" und "DS Firewall" lösen. Ich habe gestern (das erste Mal in meinem Leben) Wireshark verwendet und musste leider feststellen, dass die DS eine ganz schöne Datenschleuder ist. Neben Adressen von Synology selbst, z.B. deren DDNS-Dienst, den ich gar nicht nutze, werden viele IPs der Amazon-Cloud aufgerufen, daneben aber auch Google und andere Adressen, hinter denen weiß was ich für Dienste stehen. Weil ich den Mailserver nutze, wird z.B. irgendein Spam-Dienst aufgerufen.

Durch Nutzen der Blacklist der Fritzbox und Verbieten (fast) aller Ports konnte ich die Kommunikation nach außen sehr weit einschränken. Ein paar Kandidaten sind aber sehr hartnäckig, z.B. payments.synology.com. Obwohl ich die Domäne auf der Blacklist habe, kommuniziert meine DS über einen eigentlich gesperrten Port mit ihr. Hat jemand einen Tipp, wieso dass am Fritzbox-Filter vorbei möglich ist und wie ich das abstellen könnte?

Edit: an eine Support-Anfrage habe ich auch schon gedacht. Nachdem ich aber gesehen habe, wohin überall Kommunikation aufgebaut wird, halte ich es für aussichtslos, sich vom Support etwas zu versprechen. Meine Erfahrung ist, dass es die weitaus meisten Leute schlicht nicht interessiert, wohin ihre Geräte Daten senden. Cloud-Dienste werden als positiv wahrgenommen und nicht als Datenschutzproblem. Die Handvoll von Leuten, denen das sauer aufstößt, kämpfen auf verlorenem Posten. Meine Konsequenz aus diesem Thread wird sein: blockieren, was mir technisch möglich ist und zukünftig mache ich um Synology einen großen Bogen.

 

[Puppetmaster]

Natürlich arbeite ich für Synology, was denkst denn du?

Das für dich nichts konstruktives bei meinen Beiträgen herumkommt, glaube ich auch sofort.
Das Ende der Fahnenstange ist im Übrigen schwer zu beurteilen wenn man maximal das liest, was hier geschrieben steht. Oft kommt man hier halt auch an einen Punkt, an dem das Weiterdiskutieren imho keinen weiteren Nährwert mehr ergibt (s. Mangelhaftung beim heißdiskutierten Intel-Bug). Da kann man dann letztlich auch mit einer abweichenden Meinung einfach einmal Schweigen.

Meine Wünsche zum Erfolg für das Unterfangen, Synology unter Druck zu setzen, war im Übrigen kein Sarkasmus. Das war exakt so gemeint wie geschrieben. Es ist nur so, dass meine Erfahrungen mit Synology derart sind, dass es eben wenig Aussicht auf Erfolg hat. Druck erzeuge ich anders als durch Tickets ... Von mir bekommt Synology jedenfalls schon länger weder Daten noch weitere Kohle.

Und ehrlich gesagt verstehe ich auch nicht so ganz, wie man allen Ernstes so aus allen Wolken fallen kann ob der Dinge die Synology denn dort treibt - bis dato unbewiesenermaßen, denn welche Daten hier übertragen werden hat ja noch niemand dargestellt. Das Ganze ist Gang und Gäbe im digitalen Zeitalter und jeder, der z.B. ein Smartphone mit Internetzugang hat und nutzt, bei facebook und Konsorten Mitglied ist, oder sich seine Informationen über google holt sollte einfach weiterschlafen und braucht m.E. auch keine AGB zu lesen.

So, und wenn das nun genauso unnütz für dich ist, wie alles andere von mir, dann schlage ich doch vor, dies geflissentlich zu ignorieren, den moralischen Sieger zu geben und einfach gar nicht mehr hierauf zu antworten.

 

[Puppetmaster]

Obwohl ich die Domäne auf der Blacklist habe, kommuniziert meine DS über einen eigentlich gesperrten Port mit ihr. Hat jemand einen Tipp, wieso dass am Fritzbox-Filter vorbei möglich ist und wie ich das abstellen könnte?

Das finde ich jetzt in der Tat interessant. Nutzt du dazu die Firewall der DS oder hast du das im Router gelöst?

 

[Arnie99]

Auf der Blacklist der Fritzbox stehen "payments.synology.com" und -nach dem der Eintrag nichts gebracht hat- sogar "synology.com". Mit dieser Einstellung werden -angeblich- feste IP-Aufrufe (also ohne erst über einen DNS-Server zu gehen) ebenfalls von der Fritze blockiert.

Als das nichts geholfen hat, habe ich eine neue "Netzwerkanwendung" extra für die DS in der Fritzbox angelegt und (testweise) alle Ports gesperrt, die nicht vom Mailserver benötigt werden. Dennoch ruft die DS erfolgreich payments.synology.com über einen Port jenseits von 34000 auf und erhält Antwort.

In der Firewall der DS hatte ich alle Kommunikation von außen gesperrt und nur meine internen Netzwerkadressen zugelassen. Auch das hat (wie erwartet) nicht viel gebracht.

 

[peterhoffmann]

Natürlich arbeite ich für Synology, was denkst denn du?

Da du keine klare Aussage triffst und es versuchst ins Lächerliche zu ziehen, wird schon was Wahres dran sein.
Also noch mal: Arbeitest du für Synology?

Das für dich nichts konstruktives bei meinen Beiträgen herumkommt, glaube ich auch sofort.

Oje, nu kommt noch die Gottmasche, der allwissende Puppenspieler.

Das Ganze ist Gang und Gäbe im digitalen Zeitalter und jeder, der z.B. ein Smartphone mit Internetzugang hat und nutzt, bei facebook und Konsorten Mitglied ist, oder sich seine Informationen über google holt sollte einfach weiterschlafen und braucht m.E. auch keine AGB zu lesen.

Ein Smartphone in der Tasche mit laufendem Fratzenbook und Googleleine ist ein großer Unterschied zu einem unbeweglichem Datengrab im eigenen Netzwerk, was für seinen Betrieb in der Regel überhaupt nicht funken braucht. Auch die Qualität der Daten ist eine völlig andere.

 

[peterhoffmann]

Auf der Blacklist der Fritzbox stehen "payments.synology.com"

Es müsste payment.synology.com sein.