Frage zu Synology Diensten

[Swp2000]

Hallo zusammen,

Unsere DS bietet neben der Dateiablage ja immer mehr Möglichkeiten und somit Dienste an um weitgehend auf die Cloud-Modelle von Google und Co. verzichten zu können.
Was ich hier immer wieder lese ist, das Portweiterleitungen ein gewisses Risiko bzw. Angriffsfläche bieten.
Nun hat man die Möglichkeit ja ebenso über verschlüsselte Ports sich Zugang zur DS zu verschaffen was sicherlich ein erster Weg zu mehr Sicherheit ist.
Was mich allerdings etwas ratlos dastehen lässt, einerseits bietet die DS viele Möglichkeiten und Dienste um Kontakte,Kalender Fotos, Datei zu synchronisieren und dies von überall, gleichzeitig wenn man hier manche Beiträge liest sollte man jedoch auf diese Portweiterleitungen aus Sicherheitsgründen verzichten. Hier fallen somit ja wieder sämtliche Dienste weg und die NAS ist nichts weiter als eine Dateiablage.
Für mich mal interessant zu wissen wäre, welche Hardware (Security Gateway etc.)benötige ich zuhause um die Dienste und deren Freigaben trotzdem verwenden zu können?

Denn sollte man die Dienste von Synology alle nutzen wollen, so kann dies nur mit Verzicht auf Sicherheit geschehe (Portweiterleitungen, Moments, Drive, Carddav, Kalender etc.), so jedenfalls was ich zwischen den Zeilen lesen... Also für was bietet man solche Dienste an wenn man sie eigentlich nicht nutzen sollte.

 

[THDev]

Du kannst die Dienste nutzen. Nur halt im eigenen LAN...oder eben mit VPN.

 

[Swp2000]

Das macht das Ganze aber irgendwie wieder umständlicher.
Mal angefangen vom CardDAV in der Fritz!Box, möchte ich hier mit den Kontakten am Handy synchronisieren, muss ich dort statt der dyndns ja die ip als Server eintragen. Hier möchte er jedoch eine Adresse beginnend mit "https://" wie stelle ich dies dann ein? https://192.168.178.x funktioniert ja nicht.

 

[the other]

Moinsen,
für die genannten Dienste wird einmalig ein VPN Server auf der Fritzbox eingerichtet und NUR darüber von außerhalb der eigenen Furzbude zugegriffen. Dann kannst du das alles nutzen, am Handy sind das dann 2-3 Touch-Moves mehr, sollte also auch für die gaaaaanz Faulen unter uns noch vertretbar sein.
Alternativ lässt du die Fritzbox weg und setzt auf eine andere VPN Server Lösung (openVPN, wireguard auf dem Pihole oder auf nem "richtigen" Router.
Einrichten des VPN Servers dauert am Anfang etwas. Stimmt. Danach aber eigentlich ein Selbstläufer.
Ich nutze zB. Contacts, Calendar, zentrale Passwortmanager Datenbank und File Manager über VPN, alles gut, alles easy.
Warum nutzt du den CardDAV der Fritzbox und nicht vom NAS?

 

[Tommes]

Das macht das Ganze aber irgendwie wieder umständlicher.

Das ist leider immer das Problem mit der Sicherheit. Sicherheit kostet Zeit, Geld und oftmals Nerven. Die Frage ist halt immer, wie hoch man sich die Latte selber legt - wie groß ist deine Risikobereitschaft, wie stark ausgeprägt deine Paranoia?

Einen Port zu öffnen, ist immer mit einem gewissen Risiko verbunden. Das ist nun mal so. Hast du dir im Vorfeld aber ein paar Gedanken darüber gemacht, welche Konsequenzen das evtl. für dich haben könnte und hast ein paar sinnvolle Vorkehrungen bzw. Gegenmaßnahmen auf den Weg gebracht, die einen möglichen Schaden auf ein Minimum begrenzen können (Backups, Firewall, GeoIP, 2FA, starke Passwörter, nur verschlüsste Verbindungen etc.), dann könnte es am Ende ein gangbarer Weg werden. Aber ein bitterer Beigeschmack wird bleiben. Daher ist es wirklich das Sinnvollste, wenn auch aufwendigere, das alles über VPN zu lösen. Danach kämen dann nur noch richtig aufwendige Maßnahmen, die noch wesentlich umständlicher sind, als ein VPN aufzuspannen... um mal DMZ in den Raum zu werfen.

Hier möchte er jedoch eine Adresse beginnend mit "https://" wie stelle ich dies dann ein? https://192.168.178.x funktioniert ja nicht.

Ich nutze den CardDAV Server zwar nicht, aber dieser sollte sich analog zum WebDAV Server verhalten. Der https Port für den CardDAV Server sollte der Port 8443 sein. Daher müsste die Adresse folgender Maßen aussehen...

https://192.168.178.x:8443

Evtl. folgt noch ein Pfad zum Ordner... aber wie gesagt, da bin ich raus.

 

[the other]

Moinsen,
also, wenn du zB statt carddav Server als Paket das neue Contacts nutzt....(wobei, war corher auch so), dann war immer Port 5001 (https) nötig (wenn denn https aktiviert wurde).
Meine Empfehlung daher: zentral auf Contacts setzen zur Pflege der Adressbuchdatei, diese dann an die Clients freigeben und sync im eigenen WLAN/LAN oder extern via VPN. Die Fritzkiste bekommt dann die Adresseinträge nach Export vom NAS zur Verfügung gestellt...
Vorteil: EIN ORT für die zentrale Adressbuchsammlung.

 

[blurrrr]

Das macht das Ganze aber irgendwie wieder umständlicher.

Oh nein!!! ... Auto oder Haustür wird bestimmt auch nicht abgeschlossen, oder? Ich mein... ist doch auch irgendwie...."umständlich"?

Aber weil ich jetzt nicht so blöde sein will, als Stichwort mal in den Raum geschmissen "VPN-on-Demand" (VoD).

Für mich mal interessant zu wissen wäre, welche Hardware (Security Gateway etc.)benötige ich zuhause um die Dienste und deren Freigaben trotzdem verwenden zu können?

Das ist kein(!) Allheilmittel! Zudem muss man schon recht genau wissen, was man tut, ansonsten bringt das Ding nämlich "garnichts"... (Sogar eher gegenteilig... es könnte noch viel schlimmer werden, als es jetzt schon ist - je nachdem wie sehr man es verhunzt.)

 

[Swp2000]

Warum nutzt du den CardDAV der Fritzbox und nicht vom NAS?

Wenn das mit https://192.168.178.x:8443 funktionieren würde hätte ich damit kein Problem, tut es aber nicht. Ich möchte und der FB ja den CardDAV vom NAS angeben und da ich hier ja nicht über dyndns gehen sollte zzgl. Portfreigabe muss ich bei aufgebauter Verbindung ja die IP des Nas eingeben.
VPN macht ja nur in der FB einzurichten Sinn da ich beim Verwenden des VPN Server im NAS ja auch wieder die entsprechenden Ports eingeben muss. Richtig?
Was würdet ihr den vorziehen IPSec oder OpenVPN?

 

[Swp2000]

Moinsen,
also, wenn du zB statt carddav Server als Paket das neue Contacts nutzt....(wobei, war corher auch so), dann war immer Port 5001 (https) nötig (wenn denn https aktiviert wurde).
Meine Empfehlung daher: zentral auf Contacts setzen zur Pflege der Adressbuchdatei, diese dann an die Clients freigeben und sync im eigenen WLAN/LAN oder extern via VPN. Die Fritzkiste bekommt dann die Adresseinträge nach Export vom NAS zur Verfügung gestellt...
Vorteil: EIN ORT für die zentrale Adressbuchsammlung.

D.h. Die Verbindung zum CardDAV muss nicht dauerhaft online sein, es reicht diese zu synchronisieren und ich hab die Kontakte dann lokal auf dem Handy. Sollten Änderungen außerhalb des Zuhause passieren synchronisiert er diese sobald ich mich wieder im LAN/WLAN befinde?

 

[Ulfhednir]

Die Grundhaltung, dass eine Portfreigabe per se? schlecht ist, finde ich abstrus. Auch zum Gebrauch des VPN der Fritzbox ist eine Portfreigabe notwendig. Aus Usability-Gründen macht die Fritzbox das für dich automatisch. Keiner kommt allerdings hier auf die Idee von einem Sicherheitsdefizit zu sprechen. Die reine Portfreigabe macht kein Sicherheitsdefizit aus, sondern es ist die Anwendung welche den Port bedient, wenn schlecht programmiert oder nicht gewartet.

Wir haben in unserem Rechenzentrum mit Sicherheit ca. 20 Ports offen. Daran weitergeleitet steht jeweils ein proprietärer REST-Server.
Wenn man der Logik Folge leisten würde, dass Portfreigaben grundsätzlich schlecht sind, dürfte man keine Dienste im WWW anbieten.
Ergo: Das Internet würde nicht funktionieren. Wie stelle ich einen Webserver ohne Portfreigabe für HTTP(80)/HTTPS(443) zur Verfügung?

Bei Gelegenheit schaue bitte in deiner FritzBox nach, welche Ports unter Diagnose -> Sicherheit zwangsweise geöffnet sind. Du wirst feststellen, da stehen einige.

Wie gehabt: Das potentielle Risiko liegt bei der Anwendung. Wenn ich also als Beispiel die Verwaltungsoberfläche (welches kein Login besitzt) für mein Smarthome freigebe, bin ich schön blöd, wenn ich gehacked werde.

Nicht "zielgerichtete" Hacks erfolgen oftmals über IP-Scan bzw. über shodan. Hier ist also deine IP-Adresse + Port (der mutmaßlich einen speziellen Dienst bedient) im Fokus. Du bist hier also einer von x IP-Adressen im Internet. Bei Verwendung eines Reverse-Proxys kann man hier auch schon einigen Wind aus den Segeln nehmen. Der Proxy gibt dem Blackhat bei Verwendung von IP + Ports letztlich nur mit, dass dort ein Webserver lauscht.

Wenn nun ein "zielgerichteter" Hack passiert... Dann bist du eh am Arsch. Aber ich glaube nicht, dass du soweit von Interesse bist.

P.S.: Ich habe vor vielen, vielen Jahren als "Scriptkiddie" das ein oder andere Forum down genommen. Ich weiß also wie der Hase läuft.

 

[Jagnix]

Auch zum Gebrauch des VPN der Fritzbox ist eine Portfreigabe notwendig. Aus Usability-Gründen macht die Fritzbox das für dich automatisch. Keiner kommt allerdings hier auf die Idee von einem Sicherheitsdefizit zu sprechen.

Du darfst auch 3mal Raten warum.

 

[Benares]

@Ulfhednir
Ich bin da etwas anderer Meinung. Im Idealfall ist ja nur der VPN-Port für den Zugriff von außen offen. VPN-Server sind auch besonders gehärtet und geben nicht gleich jedem Portscanner Details zu ihrer Konfiguration preis.

Portweiterleitung sehe ich wirklich nur bei großer Benutzerzahl und Zugriff auf Webseiten.

Aber dazu gibt es schon einen ausführlichen Thread hier.

 

[Ulfhednir]

@Benares wenn man vom Idealfall ausgeht, dann wäre hier keine IP-Telefonie möglich oder müsste mit einem anderen VPN-Gateway getunnelt werden.
Es geht mir hier erstmal um den Grundsatz, dass für gewisse Dienste eine Portfreigabe notwendig ist. Genauso wie für den VPN ein Port geöffnet sein muss. Ich sprach übrigens auch davon, dass der Service hinter dem Port das Sicherheitsrisiko macht.
Im Falle eines VPN-Servers ist dieser natürlich besonders gehärtet, weil allen voran durch zig Millionen Installationen bewährt und durch etliche unabhängige Entwickleraugen geprüft. Das widerspricht meiner Aussage auch nicht. Jetzt muss man sich aber trotzdem nochmal die Frage gefallen lassen: Wer hackt meine Diskstation? Im Privatgebrauch sind das Personen, die offene Exploits oder unsichere Kennwörter, nicht wirklich zielgerichtet, abgrasen.

Hier heißt es also: Die Systeme up2date halten und vernünftige Kennwörter verwenden. Ich erwähne hier gerne nochmals, dass ich in jugendlicher Neugier das ein oder andere ausprobiert habe. Da war dann auch schon mal eine ungeschützte Diskstation im Ausland dabei, welche eine Wordpress-Installation besaß. Wie kommt man an die Wordpress-Seite? Man prüft auf den gängigen Plattformen, wo phpMyAdmin erreichbar ist und geht nach dem Schema Try&Error vor. Bei 100 Installationen waren 10 dabei, wo der User root kein Kennwort verwendete. Über die MySQL-Datenbank kannst du den MD5-Hash des Admin-Users ändern und zack hast du Zugang zur Wordpress-Seite.

Ein vernünftiges Kennwort hätte hier schon gereicht. Ein Reverse-Proxy hätte sein weiteres beigetragen, dass die Seite erst nicht als Victim gelistet würde. Wenn das getan wird, sind die meisten "Hacker" schon vor verschlossenen Pforten. Wer dann versucht in die Pforte einzudringen: Der ist vermutlich professionell(er) am Gange. Bei solchen potentiellen Zielen sind wir aber wiederum im Business-Sektor unterwegs. Hier gelten dann andere Standards.

In deinem genannten Thread habe ich mich übrigens auch schon geäußert. Interessanter dürfte dann wohl dieser hier sein:
https://www.synology-forum.de/threads/brainstorming-sicherer-fernzugriff-ohne-vpn.112757/

 

[THDev]

Dann versuch mal die OpenVPN /Wireguard keys zu knacken...viel spaß.

Das Problem ist nicht einen Port offen zu haben sondern dass die meisten den Port auf machen und dann war es das. Das wird nichts gewartet. Ich weiß du meinst es nur gut aber die meisten nutzen eben KEINE guten passwörter, kein 2FA, machen nicht direkt updates, nutzen kein geoblocking.
sondern machen nur den port auf und fertig.

 

[the other]

Moinsen,
natürlich ist ne Portfreigabe nicht per se schlecht. Ist ne Pistole auch nicht. Oder ein Laster...
Schlecht wird das erst im laienhaften setting und durch sorglose / doofe user oder sorglose/rücksichtslose Menschen.

Na klar, ohne erreichbare server kein Netz. Nur hat ja ne (vernünftige) Firma den webserver für die online Präsenz das Ding (hoffentlich) nicht im eigenen Netzwerk stehen, sondern idR im strikt getrennten Bereich, abgeschottet vom eigentlichen Firmennetz.
Das wäre schon mal Unterschied Nr. 1 zu den hier oft gelesenen "hab 20 Dienste aktiv, also auch 20 Port offen" Themen.
Nr 2 wäre, dass da oft Menschen mit knoff-hoff arbeiten, hier aber oft Menschen sind, die sich "mal ne NAS kaufen und online stellen wollen"...ohne background Wissen, was da eigentlich mit gemeint ist.
Nr 3 wäre, dass auch VPN einen (oder zwei) offene Ports braucht, ja. Aber das ist a) besser als 20, b) eben oft besser gehärtet und c) mit zusätzlichen Maßnahmen abgesichert.
Schließlich Nr 4: die Dienste auf dem NAS (oder sonstwo) müssen natürlich aktuell sein, Updates drauf usw. Nur: gerade die "Eierlegende-Synology-Wollmich-Sau" ist bei der Aktualität einiger Dienste auch...nunja...etwas der Zeit hinterher. Da kannste dann noch so oft auf "Aktualisieren" drücken, wenn die Repo veraltet ist, dann ist eben doof.
Und die Wahrscheinlichkeit steigt, sich da was auf zu machen, was lieber nicht offen sein sollte.

Nicht zuletzt zeigt ja auch der jährliche Portscan von zB der Zeitschrift ct, dass im Netz ALLES möglich offen rumsteht, vom NAS über Arztpraxen bis hin zu kritischen Industrieanlagen. Natürlich: warum sollte jemand MEIN NAS hacken? Anderseits: bei der schnellen Verfügbarkeit von vorgefertigten "Hacking-Tools" gibt es eben auch leichteren Zugang, das "mal so zum Spass" zu versuchen...

Meine persönliche Erfahrung nach einigen Jahren hier im Forum: die Regel ist eher " hab ich, kann ich, mach ich" und nicht " ich könnte wenn ich wüsste und mich kümmern würde". Und das sind Dinge wie "Reverse-Proxy" eben nicht auf der Rechnung.
Oder anders: wenn ich schon ein paar hundert Euro für den Kram ausgebe, dann will ich das auch voll nutzen und dann stell ich eben das Ding ins Netz. Mit Adminuser als Standarduser, mit Passwort 1234PASSWORT, ohne Aktualisierung des Dienstes, ohne Firewall, alles auf einem Gerät usw.

Am Ende: soll jeder machen was er will! Unbedingt! Aber dann nicht rumheulen, wenn er das neue Turbomodell gegen den ersten Brückenpfeiler setzt und sich gleich mit. Wer "no risk, no fun" aka "wer bremst hat Angst" aka "live fast, die young" leben will, nur zu...wir schneiden Sie dann raus und flicken Sie wieder zusammen (oder spenden Ihre Organe).

 

[blurrrr]

@Ulfhednir Das Du nun den Scriptkiddie-Ruf weg hast, ist aber schon klar, oder? ? Zumal Du davon noch garnicht "so" weit entfernt sein kannst, denn sooo lange gibt es Synology auch noch nicht (vor allem nicht mit WP und phpmyadmin) ??

 

[Ulfhednir]

@blurrrr das "Skript-Kiddy"-Dasein war zu Ausbildungszeiten und zur der Zeit wo jedwedes Forum ein WoltLab Burning Board benutzte.
Und zu Synology: 8 Jahre, 6 Bier kombiniert mit Neugier und Langeweile. Spielt hier aber auch keine Geige.

 

[blurrrr]

Positiv sehen - dann bist Du ja quasi noch immer "taufrisch" (nicht so wie die Leute mit den grauen Haaren hier) ??

 

[the other]

Moinsen,
Hat jemand nach mir gerufen??!!??
??