DS211j genug Sicherheit?

[Balasim]

Hallo,

ich möchte mich kurz vorstellen. Mein Name ist Tom ich komme aus der Nähe von Köln und besitze die DS211j.
Darauf habe ich jetzt meine Lokalen Computer vernetzt und pro Computer einen Nutzer + Homeverzeichnis angelegt, um dort die Daten zu speichern.
Dann habe ich den FTP Server aktiviert und bei dyndns eine Domain registriert, die auf mein Nas zugreift.
Dann hab ich das VPN center noch installiert um eine VPN - Verbindung zwischen meinem Dienstlaptop / DienstPc und meinem Nas, bzw. meinem HomeNetzwerk herzustellen.

Jetzt habe ich Angst, dass die Sicherheit zu kurz kommt...

Was kann ich noch tun um die Sicherheit zu erhöhen?

 

[TobiasReich]

Okay, ich bin sicher kein Experte dafür, aber was ich für mich ganz günstig fand, war zum einen, die Firewall in der DS einzurichten, zum anderen zu prüfen, welche Ports Du offen hast. Beides geht in der Konfigurationsoberfläche der DS.
Den Guest-Account hast Du ja hoffentlich deaktiviert, oder?

 

[Balasim]

Hallo,

also an Ports hab ich die 5000 freigegeben, für die Oberfläche. Den 1723 für VPN , die 72 für FTP ... Die Firewall hab ich wie folgt eingestellt:

Den Port 1723 und 72 für alle zugänglich.
Den rest nur für 192.168.1.1 / 255.255.255.0 zugänglich.

Guestaccount ist off, genau!

Edit: Und natürlich noch 55536-55663 für den Passivmodus vom FTP...

 

[TobiasReich]

Bei mir hab ich den 5001 freigegeben, da das der Https Port ist. Ist vielleicht auch ein wenig sicherer, aber von dem ganzen Zertifikatsgedöns abgesehen, geht dann sowas wie Videostreaming in der Webstation nicht mehr so wirklich.
Ist vielleicht trotzdem noch ne gute Sache.
Hast Du nur Deinen Account oder noch andere? Ist vielleicht gut, die Domainrechte bzw. Anwendungsbrechtigungen zu prüfen. Und falls Dus noch nicht hast, ist es vielleicht empfehlenswert, Dir neben dem admin auch einen benutzeraccount (ohne Adminrechte) zu machen.

 

[Balasim]

Ich habe den Adminaccount zwar noch, jedoch nutze ich diesen nur für die Lokale Administration....
Zur Zeit läuft noch ein testaccount, aber der wird gleich gelöscht.

Ansonsten habe ich nur noch lokale nutzer, für die Lokalen Clients (Anwendungsberechtigung : Nur Dateibrowser) und einen webnutzer, der noch FTP - Rechte hat...

 

[Matthieu]

Sehr nützlich ist auch die Vergabe von Richtlinien zur Passwortstärke (müsste bei den Benutzern sein, nicht weit weg vom Button zum Neu Anlegen eines Users) sowie die "Automatische Blockierung" zum Schutz gegen Attacken wie sie sich vor allem gegen FTP richten wenn wild Passwörter probiert werden.

MfG Matthieu

 

[Balasim]

Die Automatische Blockierung ist aktiviert, habe ich vergessen zu erwähnen.

User lege sowieso nur ich an. Und meine Passwörter bestehen immer aus Gr0ßUndKlEinbuchstaben und aus Zah1en

 

[TobiasReich]

Und Du hast in den Systeminformationen auch die (Verbindungs-)Protokolle. Ist natürlich kein Schutz, wenn Du ggf. im Nachinein was erfährst, aber mitunter gut zu kennen.

 

[Balasim]

Ob, sehr gut.

Bei Linux gibt es zum Beispiel LogWatcher oder LogRotater.. Gib es auch sowas bei Synology? Ich kann mir zwar schon Mails schicken lassen wenn was passiert, jedoch suche ich etwas wo mit dann bei der kleinsten Kleinigkeit eine Benachrichtigung gesendet wird...
Zum Beispiel bei falscher Passworteingabe, bei einer VPN - Verbindung, etc...

 

[Matthieu]

Die naheliegendste Lösung sollte es sein, den Syslog Server gemeinsam mit der Beta zu installieren. Wenn man dann mittels Modding den internen syslog auf den Server verbiegt, könnte man über diesen die Meldungen abfragen. Ist aber noch eine Theorie, hab noch nicht die Zeit gefunden es zu probieren.

MfG Matthieu

 

[Balasim]

Die Beta?

Hat die denn große Vorteile?

 

[Matthieu]

Die Beta?

Hat die denn große Vorteile?

Für mich sind Syslog-Server und LDAP-Server durchaus ein Grund. Bin aber auch der Beta-Tester-Typ, der bereit ist bei Problemen ein paar Stunden zu investieren.

MfG Matthieu

 

[Balasim]

Okay, kann ich mir eigentlich mal anschauen, schadet nichts denk ich

 

[Matthieu]

Okay, kann ich mir eigentlich mal anschauen, schadet nichts denk ich

Schau dir mal die Bugs an welche wir im Forum so gefunden haben. Gerade die Probleme bei NFS sind schon massiv wenn einen das selbst betrifft.

MfG Matthieu

 

[Balasim]

Okay, werde ich gleich mal schauen.
Dann kann ich mal gucken welche Vor und Nachteile die Beta hat...

 

[TobiasReich]

Das hier hast Du schon gelesen vielleicht, oder?

http://www.synology-wiki.de/index.php/Grundsätzliches_zum_Thema_Netzwerksicherheit

 

[Balasim]

Oh, nein. Habe ich noch nicht. Aber das werde ich gleich nachholen.

Dankeschön. Hab ich im Wiki garnicht gesehen

 

[Holgo]

Die Firewall der DS hab ich nicht in Gebrauch. Ich hab im Router aber auch nur den http-Server mit Port 80 offen und im web Verzeichnis sind nur ausgewählte Inhalte zugänglich. Der Rest ist entweder per htaccess passwortgeschützt oder generell nur lokal freigegeben. Unabhängig davon hab ich am Router(Fritzbox) noch einen Onlinespeicher hängen. Intern ist dafür ein einziger Ordner der DS per WebDAV an die Fritzbox angebammelt und von außen ist dieses über ftps erreichbar. Sachen wie irgendwelche Mediaserver, Photo- und Blogdingsbums hab ich nicht aktiv und auch administrativ hab ich nix von außen Erreichbares eingerichtet.