Toggle sidebar

DS gegen Hacker absichern

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
T

tirola

Benutzer
Registriert
08. Juni 2012
Beiträge
65
Reaktionspunkte
2
Punkte
8
Hallo, aufgeschreckt durch die verschiedenen Berichte von Hackerangriffen/verschlüsselten NAS eine Frage an die Experten hier: Ich greife mit den Apps DS File, DS Audio, DS Photo, DS Video auf meine Synology zu, Zugriff gibt es auch über das Web mittels Quickconnect möglich. Admin hat 2FA, alle Verbindungen sind https, die Firewall ist aktiv, es gibt ein wöchentliches manuelles Backup, die Festplatte wird danach entfernt. Router ist Fritzbox

  • Gibt es ein paar Empfehlungen, um die Synology gegen Angriffe von außen abzusichern?
  • Wie macht ihr das?
  • Sind die DS-Apps Schwachstellen?
 
QC ist ein relay dienst. Deine DS ist also nicht zwingend "offen" .. im Sinne von Portfreigaben.

Vorausgesetzt, du machst es wirklcih nur per QC. Am besten mal die Frotze anschauen ob da Portfreigaben
drin sind. Im schlimmsten Fall ist auch "selbstaendige Portfreigaben" aktiv. Das waere .. semioptimal.

Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.
 
Wollfuchs schrieb:
(...)
Schlauer, wenn man der einzige User ist, der auf die DS zugreifen will/muss von aussen, ist eine VPN
Verbindung auf die Frutze oder die DS .. ich bevorzuge die DS, weil man da eben alles in einer Oberflaeche macht.

Und .. weil die Frotze einfach zu schwach auf der Brust ist ... und ich die eigentlich nicht mag.
Zum Vergrößern anklicken....

Die fritzbox könnte tatsächlich etwas mehr Leistung haben, da hast Du Recht.

Allerdings: Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare?
 
Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.

Bei meinen Versuchen war es in der Regel so, dass die Bandbreite des benutzten (öffentlichen) WLANs der begrenzende Faktor war, nicht das VPN. Mein Anschluss zu Hause ist Gigabit von Vodafone, d.h. 1000/50 über eine FB 6591 cable (F!OS 7.13].
 
PeterPanther schrieb:
Ist es nicht so, dass es sicherer ist, das VPN auf der Fritzbox zu betreiben, weil ich mir damit schon mal wieder eine Portweiterleitung spare
Zum Vergrößern anklicken....
... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.
 
Für den normalen Benutzer ist der VPN-Server auf der FB eine gute Lösung. Warum ? Man kann da nicht viel falsch machen, die Einrichtung ist einfach, und die Firewall bleibt intakt.

Bei jedem VPN tiefer im System mit Portweiterleitung kommt es darauf an, dass einiges mehr richtig konfiguriert wird. Das ist machbar, nur muss ein Einsteiger sich dafür mehr aneignen. Und bei Fehlern kann man sich auch ein richtiges Loch aufreißen.

Wofür die FB-Lösung noch gut taugt: 2 Heimnetze sicher miteinander verbinden. Dafür gibt es die Bridge-Variante des VPNs. Wer also z.B. eh regelmäßig bei den Eltern den PC-Admin gibt, oder wer Medienspeicher teilen will, hat damit eine einfache Lösung verfügbar.

Wie üblich bei der FB lässt sich wenig parametrieren. Nur Hand aufs Herz: Wer im privaten Bereich braucht das wirklich ?
 
Synchrotron schrieb:
Wer auf der FB Fritz!OS 7.20 hat, bekommt damit auch eine schnellere VPN-Anbindung.
Zum Vergrößern anklicken....
Dachte das sollte erst mit der 7.21 und so ...
Verbesserung Stark verbesserte Leistung für VPN
Zum Vergrößern anklicken....

Wobei ich da etwas von "fast 3x so schnell" gelesen hatte, das scheint nun aber in die 7.22 gerutscht zu sein

Übertragungstempo von VPN-Verbindungen fast verdreifacht
Zum Vergrößern anklicken....

(Quelle: https://avm.de/service/downloads/up...OWQ0ZDBhYTMyZWQyMTZkNTA5NmFiM2FmNmZjMjIifQ==/)
 
Mag sein, meine schicke 6591 ist ISP-verwaltet und läuft noch unter 7.13.

Wenn ich mal irgendwo ein öffentliches WLAN erwische und etwas Zeit habe, teste ich immer gerne beide VPNs: IPSec auf der FB, WireGuard auf einem Raspi 4. WireGuard ist die schnellere Lösung - theoretisch. Denn praktisch werden die User in den öffentlichen WLANs immer so stark gedeckelt, dass man irgendwo bei 5-10 Mbps rauskommt, egal was die Gegenstelle kann.
 
Vpn an den Cable Fritzboxen wurde sogar extrem beschleunigt.
 

Anhänge

  • E8AC2F54-52DC-4DCD-9F24-20729E0DD21B.jpeg
    E8AC2F54-52DC-4DCD-9F24-20729E0DD21B.jpeg
    127,9 KB · Aufrufe: 22
  • 0C72272D-B806-4B6A-A788-1F7FF8C75F99.jpeg
    0C72272D-B806-4B6A-A788-1F7FF8C75F99.jpeg
    126,5 KB · Aufrufe: 22
Wollfuchs schrieb:
... hmja ... nein .. auch ned wirklich.
der port an sich ist ja weder was schlechtes noch unsicheres. es geht in der regel um den dienst dahinter und da bist du mit einem openvpn samt shared secret und user/pass ja ziemlich safe.

theoretisch (wobei das aktuell bei einem user ja nicht klappt) kann man in openvpn einrichten, dass man nicht von der nas aus ins lan darf. also auf das nas beschraenkt waere.

die frotze kennt so eine einschraenkung meines wissens nach nicht. ist man verbunden, ist man im lan und fertig.

da ich aber wie gesagt, die fritze nicht so mag .. aber halt eine hab, reduziert sich augenmerk auf das nas und was ich damit realisieren kann um ans ziel zu kommen, ohne luecken aufzureissen.
Zum Vergrößern anklicken....

Hhm. Zumindest bei mir wäre der NAS das sensibleste Element, weil da auch persönliche Daten drauf lagern.

Übrigens: So hundert Prozent im LAN ist man über die Fritz-Box nicht, für das Internet vollständig gesperrte Geräte erreicht man über das Fritz-VPN von außen nicht. Bei meinen fürs Internet gesperrten IP-Kameras mußte ich Port 443 freigeben, sonst hätte ich über VPN keinen Zugriff drauf (im LAN sehr wohl).
 
Ich habe diesen Account auf YouTube entdeckt, der eine sehr ausführliche und gute Anleitung zur Absicherung der Synology hat - in fast 40 Teilen. Hier einer davon

https://youtu.be/v6KKViXCK1U
 
also ich lese da von einem Synology Router .. nciht NAS.
Da Router da voelig andere Angrisspunkte liefern, wuerde ich es jetzt erst mal nicht auf
alle oder andere Syno Produkte uebertragen.

Oder hab ich den Absatz falhsc verstanden und es geht explizit um NAS? Wenn ja, welche
DMS Version?
 
Was ist eigentlich, wenn man seine Ordner selber verschlüsselt und den Schlüssel nicht auf der Synology oder auf einem angesteckten USB Stick speichert? Dann müssten die Ordner doch vor einer Verschlüsselung geschützt sein, oder?
 
@der_janosch : Wenn deine Ordner und Dateien verschlüsselt sind, siehst du die dann noch in deinem Inhaltsverzeichnis?
Ich beantworte das mal: JA
Was macht also eine Schadsoftware, die diese Dateien sieht? Drüber nachdenken, ach ja, die sind ja schon verschlüsselt, dann muss ich das nicht mehr tun?
Ich denke die Frage kannst du dir eigentlich selbst beantworten.
 
Das stimmt natürlich. Es gab hier ja nen Fall, wo die Ordner verschlüsselt wurden. Darauf bezog sich meine Frage eigentlich. An den anderen Weg hab ich nicht gedacht. Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?
 
Auf einer Folgeseite gab es das hier:

1600 - DEVCORE team targeting the Synology DiskStation DS418Play NAS
SUCCESS - The DEVCORE team used an elegant heap overflow to get arbitrary code execution on the Synology NAS. This earned him $20,000 and 2 points twowards Master of Pwn.

https://www.zerodayinitiative.com/b...o-live-from-toronto-schedule-and-live-results
Was lernen wir daraus ? Stell die DS nicht ins Schaufenster (Surprise, Surprise).
 
der_janosch schrieb:
............ Was passiert eigentlich mit den Snapshots? Sind die dann auch unbrauchbar?
Zum Vergrößern anklicken....
Alles was ein Schädling wie Emotet via Netzwerklaufwerk, SATA oder USB sieht ist verloren. Da gibt es keine Ausnahmen.
 
  • Like
Reaktionen: Synchrotron
Bleibt doch trotzdem ganz einfach und alles beim alten...: Geh vom schlimmsten aus und bereite Dich darauf vor - fertig ;)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten