DS gegen Hacker absichern

[tirola]

Hallo, aufgeschreckt durch die verschiedenen Berichte von Hackerangriffen/verschlüsselten NAS eine Frage an die Experten hier: Ich greife mit den Apps DS File, DS Audio, DS Photo, DS Video auf meine Synology zu, Zugriff gibt es auch über das Web mittels Quickconnect möglich. Admin hat 2FA, alle Verbindungen sind https, die Firewall ist aktiv, es gibt ein wöchentliches manuelles Backup, die Festplatte wird danach entfernt. Router ist Fritzbox

• Gibt es ein paar Empfehlungen, um die Synology gegen Angriffe von außen abzusichern?
• Wie macht ihr das?
• Sind die DS-Apps Schwachstellen?

 

[Wollfuchs]

QC ist ein relay dienst. Deine DS ist also nicht zwingend "offen" .. im Sinne von Portfreigaben.

Vorausgesetzt, du machst es wirklcih nur per QC. Am besten mal die Frotze anschauen ob da Portfreigaben
drin sind. Im schlimmsten Fall ist auch "selbstaendige Portfreigaben" aktiv. Das waere .. semioptimal.

Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.

 

[PeterPanther]

(...)
Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.

Die fritzbox könnte tatsächlich etwas mehr Leistung haben, da hast Du Recht.

Allerdings: Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare?

 

[Synchrotron]

Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.

Bei meinen Versuchen war es in der Regel so, dass die Bandbreite des benutzten (öffentlichen) WLANs der begrenzende Faktor war, nicht das VPN. Mein Anschluss zu Hause ist Gigabit von Vodafone, d.h. 1000/50 über eine FB 6591 cable (F!OS 7.13].

 

[Wollfuchs]

Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare

... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.

 

[Synchrotron]

Für den normalen Benutzer ist der VPN-Server auf der FB eine gute Lösung. Warum ? Man kann da nicht viel falsch machen, die Einrichtung ist einfach, und die Firewall bleibt intakt.

Bei jedem VPN tiefer im System mit Portweiterleitung kommt es darauf an, dass einiges mehr richtig konfiguriert wird. Das ist machbar, nur muss ein Einsteiger sich dafür mehr aneignen. Und bei Fehlern kann man sich auch ein richtiges Loch aufreißen.

Wofür die FB-Lösung noch gut taugt: 2 Heimnetze sicher miteinander verbinden. Dafür gibt es die Bridge-Variante des VPNs. Wer also z.B. eh regelmäßig bei den Eltern den PC-Admin gibt, oder wer Medienspeicher teilen will, hat damit eine einfache Lösung verfügbar.

Wie üblich bei der FB lässt sich wenig parametrieren. Nur Hand aufs Herz: Wer im privaten Bereich braucht das wirklich ?

 

[blurrrr]

Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.

Dachte das sollte erst mit der 7.21 und so ...

Verbesserung Stark verbesserte Leistung für VPN

Wobei ich da etwas von "fast 3x so schnell" gelesen hatte, das scheint nun aber in die 7.22 gerutscht zu sein

Übertragungstempo von VPN-Verbindungen fast verdreifacht

(Quelle: https://avm.de/service/downloads/up...OWQ0ZDBhYTMyZWQyMTZkNTA5NmFiM2FmNmZjMjIifQ==/)

 

[Synchrotron]

Mag sein, meine schicke 6591 ist ISP-verwaltet und läuft noch unter 7.13.

Wenn ich mal irgendwo ein öffentliches WLAN erwische und etwas Zeit habe, teste ich immer gerne beide VPNs: IPSec auf der FB, WireGuard auf einem Raspi 4. WireGuard ist die schnellere Lösung - theoretisch. Denn praktisch werden die User in den öffentlichen WLANs immer so stark gedeckelt, dass man irgendwo bei 5-10 Mbps rauskommt, egal was die Gegenstelle kann.

 

[weyon]

Vpn an den Cable Fritzboxen wurde sogar extrem beschleunigt.

 

[PeterPanther]

... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.

Hhm. Zumindest bei mir wäre der NAS das sensibleste Element, weil da auch persönliche Daten drauf lagern.

Übrigens: So hundert Prozent im LAN ist man über die Fritz-Box nicht, für das Internet vollständig gesperrte Geräte erreicht man über das Fritz-VPN von außen nicht. Bei meinen fürs Internet gesperrten IP-Kameras mußte ich Port 443 freigeben, sonst hätte ich über VPN keinen Zugriff drauf (im LAN sehr wohl).

 

[tirola]

Ich habe diesen Account auf YouTube entdeckt, der eine sehr ausführliche und gute Anleitung zur Absicherung der Synology hat - in fast 40 Teilen. Hier einer davon

https://youtu.be/v6KKViXCK1U

 

[NSFH]

In dem Zusammenhang ist dieser Artikel vielleicht interessant. Da hat es auch Synology NAS erwischt.
https://www.zdnet.de/88389595/hacke...c134e96a1405957&pos=content-top_0_textContent

 

[Wollfuchs]

also ich lese da von einem Synology Router .. nciht NAS.
Da Router da voelig andere Angrisspunkte liefern, wuerde ich es jetzt erst mal nicht auf
alle oder andere Syno Produkte uebertragen.

Oder hab ich den Absatz falhsc verstanden und es geht explizit um NAS? Wenn ja, welche
DMS Version?

 

[der_janosch]

Was ist eigentlich, wenn man seine Ordner selber verschlüsselt und den Schlüssel nicht auf der Synology oder auf einem angesteckten USB Stick speichert? Dann müssten die Ordner doch vor einer Verschlüsselung geschützt sein, oder?

 

[NSFH]

also ich lese da von einem Synology Router .. nciht NAS.

wer lesen kann....

Gehackt wurden unter anderem Router von Netgear und TP-Link, NAS-Geräte von Western Digital und Synology

 

[NSFH]

@der_janosch : Wenn deine Ordner und Dateien verschlüsselt sind, siehst du die dann noch in deinem Inhaltsverzeichnis?
Ich beantworte das mal: JA
Was macht also eine Schadsoftware, die diese Dateien sieht? Drüber nachdenken, ach ja, die sind ja schon verschlüsselt, dann muss ich das nicht mehr tun?
Ich denke die Frage kannst du dir eigentlich selbst beantworten.

 

[der_janosch]

Das stimmt natürlich. Es gab hier ja nen Fall, wo die Ordner verschlüsselt wurden. Darauf bezog sich meine Frage eigentlich. An den anderen Weg hab ich nicht gedacht. Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?

 

[Synchrotron]

Auf einer Folgeseite gab es das hier:

1600 - DEVCORE team targeting the Synology DiskStation DS418Play NAS
SUCCESS - The DEVCORE team used an elegant heap overflow to get arbitrary code execution on the Synology NAS. This earned him $20,000 and 2 points twowards Master of Pwn.

https://www.zerodayinitiative.com/b...o-live-from-toronto-schedule-and-live-results
Was lernen wir daraus ? Stell die DS nicht ins Schaufenster (Surprise, Surprise).

 

[NSFH]

............ Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?

Alles was ein Schädling wie Emotet via Netzwerklaufwerk, SATA oder USB sieht ist verloren. Da gibt es keine Ausnahmen.

 

[blurrrr]

Bleibt doch trotzdem ganz einfach und alles beim alten...: Geh vom schlimmsten aus und bereite Dich darauf vor - fertig