DSM 6.x und darunter Brute-Force Attacken auf Login seit DSM4.0

[brakeprofi]

Hi,

kann da nur VPN über den ROuter empfehlen, dann musst du auf der Synology keinerlei Ports freigeben oder forwarden und hast über VPN den kompletten Zugriff wie wenn du zu Hause im Netz bist. Braucht halt einen Router der VPN unterstützt, so wie die 7390 Fritzbox. Geht tadellos und dann kannst du auch https ausschalten...braucht man Intern dann eher weniger.

Tschööö

Wie sicher ist eigentlich diese VPN Geschichte an der Fritzbox. Ich hab auch die 7390 und interessiere mich dafür mein Handy ins Heimnetzwerk einzubinden.
Für VPN müssen ja auch irgendwelche " Tore " offen bereit stehen um mich von außen zu verbinden, auch wenn das jetzt keine üblichen TCP ports sind.

 

[jahlives]

Das Prinzip von (Open)VPN ist es, dass du nur Port(s) für VPN als Applikation selber öffnen musst. Für Applikationen die du via (Open)VPN ansprichst brauchst du keine Weiterleitung am Router, weil diese Zugriffe dann innerhalb des LANs resp VPN-Subs erfolgen. Das Konzept von VPN ist es um ein Datenpaket (z.B. Samba) eine weitere Schicht zu packen. Und nur diese zusätzliche Schicht wird von den Routern behandelt. Diese zusätzliche Schicht erfordert je nach Art des VPN unterschiedliche Ports. Bei OpenVPN wärs per default UDP 1194 und sonst nichts

 

[Pino72]

Wie sicher ist eigentlich diese VPN Geschichte an der Fritzbox. Ich hab auch die 7390 und interessiere mich dafür mein Handy ins Heimnetzwerk einzubinden.
Für VPN müssen ja auch irgendwelche " Tore " offen bereit stehen um mich von außen zu verbinden, auch wenn das jetzt keine üblichen TCP ports sind.

Kann Dir leider auch nur sagen dass das VPN der Fritzbox mit IPsec Profilen arbeitet, diese werden am Pc erstellt und dann als Konfiguration auf die Fritzbox geladen. Damit verbinde Ich mich mit dem IPhone (IPsec) und Mac OSX und Windows mit der Fritzbox. Du kannst für jeden Benutzer Profile anlegen.

Wie "sicher" das IPsec VPN der Fritzbox ist kann Ich nicht sagen....was meinen die Experten? Ist das vergleichbar mit OpenVPN?

 

[jahlives]

Das mit dem Experten lass ich jetzt mal dahingestellt
Ich denke man kann nicht grundätzlich sagen das Eine oder das Andere wäre sicherer. Das hängt stark auch davon ab wie die Implementation bei dir ist z.B. ein zu kurzes PW macht jede Schutztechnik schnell wirkungslos. Was für mich für OpenVPN spricht, ist dass es komplett offen ist und auf etablierte Softwarebibliotheken setzt v.a. openssl
Gerade bei IPSec und Routern von unterschiedlichen Herstellern habe ich es schon gehabt, dass IPSec je nach Hersteller etwas anders zu handhaben ist.
zudem finde ich persönlich die Einrichtung von OpenVPN einfacher und weniger fehlerträchtig als bei IPSec. Aber vom Standpunkt der Sicherheit nehmen sich die beiden Techniken nichts, solange beide sauber (sicher) und korrekt eingerichtet sind

 

[CaptainKrunch]

Wenn ich dein Resultat richtig interpretiere, dann hat dein nmap keinen Plan ob der Port offen oder gefiltert ist.

nmap sagt, dass der Port grundsätzlich offen ist, und erkennt anhand des nicht standardkonformen Verhaltens, dass "etwas" im Weg ist, das einer sauberen Kommunikation im Weg steht.

Das ist kein Security by Obscurity, denn die Verbindung ist für dich (ohne den korrekten Schlüssel) komplett unmöglich. Die wirst nie eine Antwort von meinem OpenVPN erhalten, wenn du nicht den korrekten Schlüssel hast. Und das ist der eigentliche Schutz: OpenVPN kann alles ohne Signatur sofort wegschmeissen. Erst wenn due diesen Schlüssel hast kommst du in einem weiteren Schritt überhaupt bis zur Auth von OpenVPN
Ich könnte deinen nmap sogar noch mehr an der Nase rumführen und openvpn dazu bringen bei fehlender Signatur ein icmp Port unreachable Paket zu senden. Dann geht nmap sogar von einem closed Port aus

OK, sofern ausschließlich signierte Pakete zugelassen werden, ist der Schutz wirksam. Das reine "Verstecken" eines Ports hingegen ist und bleibt security by obscurity. Wobei das zurücksenden eine ICMP Port Unreachable standardkonformes Verhalten für einen geschlossenen UDP-Port wäre, und das Entdecken der Verbindung so wesentlich erschwert würde, und in der von dir genannten Kombination sogar Sinn machen würde.

 

[jahlives]

Das reine "Verstecken" eines Ports hingegen ist und bleibt security by obscurity.

full ACK das bringt rein gar nichts

Gruss

tobi

 

[wolfda]

Wenn die Chinesen immer noch bei dir anheuern,
würde ich einfach "Automatische Blockierung" auf "1" setzen
und alle nicht notwendigen Dienste abschalten.
Dein Passwort sollte min. 20 Zeichen lang sein.