Diskstation gehackt

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ein Portscan für meinen Server würde z.B. ergeben, dass der Server https, teamspeak und jabber anbietet.

Hach wat schön... in Zeiten von diesen komischen Web-Messengern bin ich nicht der einzigste der noch auf XMPP setzt (obwohl ich dafür regelmässig kritisiert werde, weil es ja so "altbacken" ist) ?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.246
Punkte für Reaktionen
912
Punkte
174
Mir ist auch ehrlich gesagt, noch nicht klar, wie ein Reverse Proxy zur Sicherheit beitragen soll. Gut, der Port ist geschlossen, aber nur nach außen. Mit der richtigen Subdomain lande ich doch vor dem genau gleichen Dienst, und dieser ist doch gar potentielle Risiko und nicht der Port als solcher.
Sagen wir mal so: I.d.R. passieren Portscans über IP-Bereiche. Wenn jetzt also der Hacker versucht über DEINE-EXTERNE-IP:8081 auf dein System zuzugreifen, steht er vor verschlossenen Toren. Er müsste jetzt hier über den Reverse Proxy die passende Domain kennen. Wobei genau genommen das auch keine 100% Sicherheit ist. Stichwort: Reverse-DNS
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Sollen wir nicht mal lieber einen "Wir drehen uns im Kreis"-Thread dafür aufmachen? Hier geht es ja "eigentlich" auch um etwas anderes. Die Themen die hier auf dem Tisch landen führen ja sowieso alle wieder nur zu einem einzigen Ergebnis... 100%ige Sicherheit gibt es nicht. ?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Ja, das habe ich zwar auch eingerichtet über die Fritzbox, aber am Smartphone darfste jedesmal über Einstellungen gehen und über VPN eine Verbindung aufbauen. Dauerhaft geht ja nicht. Ist man wieder Zuhause schaltet er ja wieder aufs WLan automatisch um und VPN ist dann natürlich weg. Also das Spielchen jedesmal von neuen. Wenn es hier was automatisches geben. würde, sobald man das Haus verlässt, er wieder auf Mobil schaltet und er automatisch dann auch das VPN zuschaltet. Habe nix gefunden ohne irgendwelche Zusatz App
Wireguard hat Optionen für „Persistent keep alive“, das heißt der Tunnel wird gehalten, auch wenn er nicht benutzt wird (kleines Datenpaket alle x Sekunden), und für on-demand-activation, getrennt nach cellular und wifi. Man kann also z.B. festlegen, dass bei Mobilnetz VPN standardmäßig aus bleibt, bei einem WLAN sich aber einschaltet, und der Tunnel auch bei Inaktivität gehalten wird. Man kann davon IPs ausschließen, die als „Privat“ vorgegeben werden, z.b. Heim- und Büro-WLAN.

Die Einstellungen werden im Client vorgenommen, den man sich auf sein Handy lädt.

Ist bei mir alles aus. Wenn ich meine, zu Hause vorbei schauen zu müssen, ist der kleine Klick auf eines meiner VPNs nicht so wild. IPSec über die FB läuft über die iPhone Einstellungen, ohne weitere App, Wireguard bringt eine kleine App mit. Der WG-Server (eigentlich ist es ein Peer) läuft bei mir auf einem Raspi, der Port ist frei gewählt in den hohen 5stelligen Portbereichen. Daraus kann niemand ableiten, dass da ein VPN-Server wartet. OpenVPN habe ich mal getestet, fand ich aber eher komplex und habe es wieder auf die Seite gepackt.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
Bei mobilen clients ist für mich gefühlt die Gefahr des Diebstahls oder Verlustes höher. Deswegen WILL ich gar kein automatisiertes anmelden zum tunnel Aufbau. Ich muss immer ein Passwort plus 2fa eingeben, bevor ich den Tunnel aufmachen kann. Dauert ein paar clicks mehr, ist dafür aber sicher denn das pw ist auf dem Handy nicht drauf... In der wetware gespeichert.
;)
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
964
Punkte für Reaktionen
176
Punkte
63
@Speicherriese
hi, google mal nach "Kurzbefehle: Erledigte Erinnerungen löschen, On-Demand-VPN anlegen"

dort wird mit Bordwerkzeug bei iOS ein VPN on Demand angelegt: in eigenen Wlan aus, sobald ich rausgehe, gehts an..
Sync mit Kontakte, Kalender Mail usw. laufen dann über VPN (interne IP), wenn ich es nicht brauche, wird's ausgeschaltet.
= dauerhaft geht

wie die letzten Beiträge: OT ; - )
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Naja... Nachteil ist die Speicherung des Users/Passwort, sowie die Freigabe des "gesamten" Netzwerkes (wenn man nicht noch an der VPN-Config der Fritzbox rumfummeln will). Normalerweise wird sowas meist mit Userzertifikaten gemacht (dann eben ohne Login, nur mit Zertifikat und auch "nur" zum entsprechend benötigten System über bestimmte Ports/Anwendungen, z.B. interner Mailserver). Praktisch ist es aber auf jeden Fall (wobei ich persönlich sowas auch nicht nutze, alle Jubeljahre mal VPN auf dem Handy an, da muss ich keine Logindaten speichern).
 
  • Like
Reaktionen: the other

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Nein - wenn man schon das VPN des Routers nutzt, sollte man nur in die DMZ kommen, nicht ins LAN!
 

youthman

Benutzer
Mitglied seit
19. Jul 2018
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Äh, was ist jetzt eigentlich mit dem Beitragsschreiber? Hat er schon ne Nachricht von den Hackern wie bei dem anderen Fall, oder konnte er es selbst mit Tools wieder entschlüsseln?

Keine Nachricht von den Hackern.. Ich hab sie glaube ich zu früh gestört.. mein "home" Ordner ist nämlich noch Frei..
Der Support sieht es sich gerade an, aber wie vermutet werden die auch nichts machen können.
Selbst entschlüsseln negativ.. gibt es da etwas was ich versuchen kann?
Ich bin gerade dabei die Daten die ich noch habe auf eine andere Platte zu kopieren dann werde ich alles neu machen :(
 

ebusynsyn

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
346
Punkte für Reaktionen
173
Punkte
99
Könntest ja LutzHase nach dem Schlüssel fragen, vielleicht ist es ja der gleiche ?
Das wäre ja der Supergau für den Typen ... :ROFLMAO::ROFLMAO::ROFLMAO::ROFLMAO: aber wer weiss ... vielleicht kocht er ja auch nur mit Wasser.
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
  • Like
Reaktionen: Synchrotron

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Erkläre mal bitte. Sinn von VPN ist doch, dass ich Zugriff auf mein Netzwerk habe...
Die Idee ist wohl die, den Router als Bestandteil der Internetzone sozusagen als "per Definition kompromittiert" zu betrachten.
Viele Firmen und einige Nerds zu Hause kaskadieren daher entweder zwei Router oder schotten hinterm Router das LAN wenigstens durch eine zusätzliche Firewall ab, so dass es für den Durchgriff ins LAN eine weitere Schwelle zu überschreiten gilt.

Ich persönlich sehe zwar auch den Sinn darin nicht, mich zwar per VPN einzuwählen und dann doch nicht ins LAN zu gelangen, aber es gibt dazu zumindest einen weiteren Erklärungsansatz: wer sich die Mühe mit der Routerkaskade bzw. der zusätzlichen Firewall macht, der hat eine DMZ etabliert, und in die gehören genau die wenigen Server, die dir genau die auch per VPN benötigten Dienste bereitstellen. Im LAN befinden sich dann nur noch die Clients sowie die ausschliesslich intern nutzbaren Server. Der IoBroker des TO hätte auf diese Weise beispielsweise nichts in der DMZ zu suchen gehabt, sondern wäre nur im LAN nutzbar gewesen.
Für Privatpersonen Overkill, ich kenne aber selbst auch jemanden, der genug Platz und Geld für solche Spässchen hat, und als mein Anschluss noch als DS Lite konfiguriert war, hatte ich auch eine solche Routerkaskade laufen, jedoch keinen Serverdienst in diese DMZ gepackt.

Zum "Hacker": ich würde in Erwägung ziehen, dass es kein Ransom-Hacker gewesen ist, sondern ein rein vandalistischer Akt.
Und so besch......en die Situation für den TO nun auch ist (ich wäre ziemlich hässig, wenn ich alle meine Fotos meiner Kinder und Ferienerinnerungen verlieren würde), resultieren daraus hoffentlich ein paar wichtige Lektionen für die Zukunft:
* ein NAS ist kein Backupsystem
* eine permanent ans NAS angeschlossene externe Festplatte ist kein Backup des NAS, sondern dessen integraler Bestandteil
* ein einzelnes Backup reicht nicht
* wirklich wichtige und unersetzbare Daten (neben Familienfotos auch alle relevanten Dokumente einschl. Scans wichtiger Papierdokumente) gehören nicht exklusiv auf ein NAS und in Backups, sondern sollten über geeignete Werkzeuge gespiegelt auf mehreren Rechnern gleichzeitig liegen - meinetwegen so, dass die Version auf dem NAS nur readonly ist, bei einem Hack also nicht die gesyncten weiteren Kopien ebenfalls zerstört werden.

Ein gesundes Mass an Paranoia hat noch niemandem geschadet. Ich sichere die unersetzbaren Dateien per Sync auf zwei NAS (im genannten Readonly-Modus für die NAS), auf dem Backup-NAS läuft der Snapshotmodus, so dass ich bis zu einem Jahr zurück kann, und zusätzlich werden regelmässig Backups auf externe Platten (Plural ist wichtig) gemacht, die niemals länger als bis zum Ende der Sicherung am NAS hängen.
Selbst meine Ex hat mit Ausbruch der Pandemie und dem ersten Lockdown begriffen, dass ich nicht paranoid gewesen bin, sondern meine Vorsicht ein Ausdruck gesunden Misstrauens gegenüber ausufernder Staatsgewalt ist.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Renalto

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Ok, danke für ihre Erklärung. Aber beim TO wäre die NAS ja dann im DMZ gewesen, weil er iobroker aus dem Internet erreichbar machen wollte.
Bei vielen Routern sind doch alle Ports zur DMZ offen? Macht es das nicht noch riskanter?
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Wir sind jetzt schon beim Thema Sicherheitsarchitektur, aber leider muss man diese imho auch haben, sobald man irgendwelche Dienste nach aussen verfügbar macht, denn dann muss man damit rechnen, dass diese auch komprimittiert werden können.

In die DMZ gehören genau die Geräte bzw. Dienste, die von aussen erreichbar sein sollen. Natürlich werden auch nur die entsprechenden Dienste freigeschaltet. Wenn das bei Euch das LAN sein soll, bitte sehr; dann aber bitte nicht jammern, wenn alles weg ist!
Im vorliegenden Fall hätte nach diesem Konzept der ioBroker in die DMZ gehört und die NAS eben nicht. Somit hätte der ioBroker übernommen werden können und die NAS wäre gar nicht erreichbar gewesen.

Wie man selber die Aufteilung DMZ/LAN macht, muss jeder selber wissen, aber ich denke schon, dass jeder gewisse "Kronjuwelen" hat, die er weder verschlüsselt haben möchte, noch irgendwo mal im Internet finden möchte. Das funktioniert nur durch strikte Trennung in eine Zone, die von aussen erreichbar ist (DMZ) und eine, die weder vom Internet noch von der DMZ erreichbar ist. Und dazwischen gehört kein Router sondern eine Firewall; letztere ist natürlich auch ein Router - erweitert um klar definierte Regeln, welcher Traffic erlaubt ist. Ich halte diese Trennung keinesfalls für overkill, jedenfalls dann nicht, wenn man Dienste im Netz bereitstellt. Für mich gilt der Router des Providers, der meist mit automatischen Updates versorgt wird, zudem als 'untrusted' und gehört damit in eine durch eine Firewall geschützte Zone.
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Das offene Port 8081 vom iobroker war es bei mir und von dort kam er über einen installierten Adapter auf die nas. Hatte auch den synology Adapter installiert und gar nicht genutzt.
Er verwendete einen Port Scanner und scannt Standart Ports ab. 8081 und die 5000er der synology usw.
Das hat er mir so bestätigt. Natürlich keine Garantie ist klar...
Beim iobroker gibt es aber auch die netten bezahl Dienste für iot. Damit kommt man dann überall auf der Welt auf sein iobroker.
Und wenn man das selbst kann, können das andere auch. Dieser cloud Dienst kann genau so anfällig sein.
Iobroker und Telegramm haben ihren Ursprung in Russland und jetzt kommen die "Angriffe" dort her, ist schon komisch oder?
Ich finde die Entwicklung der Adapter wichtig und toll, aber auch dort kann man riesen Tore einbauen. Das kann doch niemand prüfen!
Das ist bestimmt face, oder goog weil sie neidisch sind...??
 
Zuletzt bearbeitet:

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Danke für die Infos. Das Unglück verbirgt sich in diesem Fall wohl in der Kombination: ioBroker im Web - kann man machen (muss man aber nicht), Syno im Web - kann man machen (muss man aber nicht), Syno-Adapter mit administrativem Account - kann man machen, aber eben nicht, wenn der ioBroker im Web steht!
Bei mir wäre (hoffentlich) schon der Portscan gescheitert und Geoblocking wäre vermutlich auch erfolgreich gewesen.

Im Endeffekt ist bei Dir aber der Syno-Adapter das Problem: Auslesen der Login-Daten ist ein NoGo, Nutzung eines administrativen Accounts ebenso. Vielleicht hätte man sich mit einem speziellen Admin-Account, dem das Login per DSM entzogen wurde, behelfen können, wohl aber nur wenn man gleichzeitig SSH in der Firewall geschlossen hätte?!?

Im 2. Fall (youthman) war aber wohl nicht der Syno-Adapter im Spiel. Hier stellt sich natürlich die Frage: Wie kam es hier zur Ermittlung des Passwortes?

P.S. Wenn eine Trennung zwischen ioBroker und NAS bestanden hätte, bspw. ioBroker darf nur per SNMP auf die Syno zugreifen, wäre der Super-Gau (Administrativer Zugriff für den Hacker) ausgeblieben. Was will ich damit sagen: Man kann Vieles machen, leider aber nicht in der Standard-Konfiguration.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Also Router mit Firewall sowie deren Durchgang nur in die DMZ ist für den Normalanwender Overkill!
Eine nachgeschaltete Firewall kann auch nichts anderes machen als Portweiterleitung zum Server.
Der Grundgedanke ist bei diesem Konstrukt verhindern zu wollen, dass wenn ein Gerät wie der erste Router kompromittiert würde nicht gleich die gesamte Sicherheitsarchitektur zusammenbricht.
Es wäre schön, wenn die Gemeinde daher mal verstehen würde, dass eine Syno viele Optionen bietet, was aber nicht heisst, dass sie alles machen sollte!
Genau hier liegt die Schwachstelle, hinter einer kleinen Firewall die durch Portweiterleitungen auch noch durchlöchert wird, steht eine eierlegende Wollmilchsau, welche auf Grund ihrer vielen Funktionen garantiert irgendwo eine Schwachstelle aufweist, bei darauf laufenden Fremdprodukten sowieso. Dieses Konstrukt hängt dann "ungeschützt" direkt im Internet. Wer da nicht versteht, dass diese Kopmfiguration fahrlässig ist, dem ist einfach nicht mehr zu helfen.

Etwas mehr Sicherheit erreicht man, wenn man (einen richtigen Router vorausgesetzt und keine Blackbox wie Fritz) in der Syno 2 Nw-Ports nutzt.
1 Port hängt im LAN und 1 Port ist für alle Verbindungen aus dem Web zuständig (geht nur mittels VLAN, was dann auch der Router können muss).
Dadurch kann man den Zugriff von Aussen auf die notwendigsten Protokolle beschränken und auf alles was im LAN läuft besteht kein Zugriff.
Immerhin kann man so verhindern, dass sensible Protokolle wie SMB nicht in den Zugriff des Hackers gelangen.
(Man könnte versuchen an einer Fritz statt VLAN den Gastzugang zu nutzen. Ich weiss aber nbicht, ob sich da Portweiterleitungen einrichten lassen. Ist halt ne Blackbox.)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: the other


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat