Toggle sidebar

Online DS sicher?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

mdk86

Benutzer
Registriert
03. Nov. 2008
Beiträge
64
Reaktionspunkte
0
Punkte
0
Ich möchte mir ein zweites Nas kaufen, eine RS409+. Ich hab auch schon einen Housingservice gefunden, bei welchem ich das Nas günstig unterbringen kann. Nach Rücksprache mit dem Anbieter hat sich herausgestellt das es sich direkt um einen ungefilterten Internetanschluss handelt, also ohne jegliche Firewall/Portfilterung.

Nun möchte ich aber dennoch ein sichere Nas betreiben, welches mir nicht gekapert oder geräumt wird... betreffend dazu habe ich hier einige Sicherheits-postings gelesen, wo ich erfahren habe, das HTTPS,Nur SSL/TLS-Verbindung erlauben, Anonym user blocken, Automatische IP-Blockierung aktivieren die Sicherheit verstärken, etc... Ist es dann immer noch so sinnvoll oder zwingend eine Firewall vor das Nas zu koppeln?

thx
 
Die aktuellste Firmware hat bereits eine Firewall on Board. Die müsste eigentlich ausreichend sein
 
Hi Zusammen!

Ich habe auch seit kurzem eine DS109+ und fange an dies und jenes nun zu testen, also FTP-Zugang oder Photo Station usw.

Ich möchte nun natürlich auch, das keine Angriffe auf meine DS109+ möglich sind, wenn mein FTP-Zugang offen ist oder ähnliches....

Dahr meine Frage, gibt es a) eine Beschreibung hierzu und b) gibt es vielleicht eine Art Testmöglichkeit um einen Angriff zu simulieren?

Danke für Eure Hilfe!

Grüße Dany
 
Hallo,
alles was Du nach draußen freigibst ist angreifbar. Die Frage lautet dann eher was kann ich alles tun, damit der Angriff nicht zum Erfolg führt. Die einfachen Grundregeln:
- gib nur frei was absolut notwendig ist
- verwende sichere Passwörter
- verwende keine unsicheren Protokolle bei denen User und Passwort im Klartext übermittelt werden (telnet, ftp usw.)
- schalte automatische Blockierung ein


Gruß Götz
 
DonMyDog schrieb:
Ich möchte nun natürlich auch, das keine Angriffe auf meine DS109+ möglich sind, wenn mein FTP-Zugang offen ist oder ähnliches....

Dahr meine Frage, gibt es a) eine Beschreibung hierzu und b) gibt es vielleicht eine Art Testmöglichkeit um einen Angriff zu simulieren?
Zum Vergrößern anklicken....
Angriffe aus dem Internet sind immer möglich wenn du Dienste im Web verfügbar machst.
Das Risiko hängt von den Diensten an die du anbietest, da gibt es welche die sind potentiell gefährlicher als andere.

Das gefährlichste für eigentlich jedes System ist wenn Benutzer oder Dienste mit zuviel Rechten unterwegs sind. Bei Diensten wie z.B. ftp oder telnet läuft der jeweilige Prozess unter dem User der sich anmelden konnte. Es wäre also eine sehr schlechte Idee dem Benutzer root den ftp Zugriff zu gewähren, wenn der FTP Server vom Internet her erreichbar ist (das ist aber bei der Syno per default nicht erlaubt).

Du kannst die Sicherheit weiter erhöhen indem du die automatische Blockierung im DSM aktivierst. Gleiches gilt für die Firewall auf der DS.

Letzendlich musst du aber der Applikation die du ins Internet stellst vertrauen und dir bewusst sein, dass auch die beste Applikation einen Bug haben könnte, der sie angreifbar machen kann.
 
Hi jahlives,

dank Dir für die Tipps. Die "automatische Blockierung " war noch deaktiv, FW läuft.

Der Punkt "Es wäre also eine sehr schlechte Idee dem Benutzer root den ftp Zugriff zu gewähren...." ist wahrscheinlich genauso auch so zu verstehen, dass ich einem AD oder Fileserver konstant keinen Internet Zugang einrichten sollte.

Dank Dir!

Gruß Dany
 
DonMyDog schrieb:
Hi jahlives,

dank Dir für die Tipps. Die "automatische Blockierung " war noch deaktiv, FW läuft.

Der Punkt "Es wäre also eine sehr schlechte Idee dem Benutzer root den ftp Zugriff zu gewähren...." ist wahrscheinlich genauso auch so zu verstehen, dass ich einem AD oder Fileserver konstant keinen Internet Zugang einrichten sollte.

Dank Dir!

Gruß Dany
Zum Vergrößern anklicken....
Mit gut gesetzten Firewall Regeln hast du nach dem Router einen zweiten Schild für die DS und deren Dienste. Du kannst damit sehr gut unterschiedliche Regeln für's LAN und für Clients aus dem Internet definieren. Ich würde auf explizite Freigaben setzen und am Ende der Regelkette, wenn nichts zureffend war, die Verbindung verweigern.

Mit einer gut konfigurierten Firewall und so wenig wie möglich offenen Ports am Router, kannst du auch eine DS ins Internet stellen (z.B. für deine Webseite(n)), die auch "heikle" Dienste (z.B. telnet) für lokale Clients im LAN anbietet.
Wichtig wäre noch: Wenn du am Router die Fernwartungsoption aktiviert hast, dann solltest du mindestens ein 20 stelliges Passwort für den Zugriff auf das Konfig Interface haben. Am besten die Konfig nur aus dem LAN erlauben.
 
Hi jahlives,

okay, Logik soweit klar. Kannst Du mir aber vielleicht bitte sagen wie ich solch eine Regelkette erstelle. Gehen wir doch einmal von dem Beispiel aus, ich möchte meine Synology Photo Station permanent geöffnet lassen, mehr nicht.

Oder aber, ich möchte meine Synolgy von überall per ftp erreichen können, mehr nicht.

Voraussetzung hierzu ist also als erstes an meiner Fritzbox die Portfreigabe zu machen.

Für das Bsp "Synology Photo Station" musste ich den Port 80 öffnen. Ist das nun unsicher? Muss ich hier zur Sicherheit ggf. unter "Webdienste-Optionen HTTP-Dienst- HTTPS-Verbindung aktivieren" starten? Es heißt ja dann im Anschluss das es dann automatisch zu https umgeleitet wird.

:confused:
Sorry für diese Fragen über Fragen, aber dies ist hier noch ein Gebiet namens "Neuland".

Danke!
 
DonMyDog schrieb:
Hi jahlives,

okay, Logik soweit klar. Kannst Du mir aber vielleicht bitte sagen wie ich solch eine Regelkette erstelle. Gehen wir doch einmal von dem Beispiel aus, ich möchte meine Synology Photo Station permanent geöffnet lassen, mehr nicht.
Nur die Photostation? Die läuft auf Port 80. Also erstellst du im DSM in der Firewall eine Regel. Für IP wählst du alle, für Port nur 80 und als Aktion "zulassen". Dann wählst du unten den Radio-Button "wenn keine Regel zutrifft Verbindung verwerfen" und speicherst.

Oder aber, ich möchte meine Synolgy von überall per ftp erreichen können, mehr nicht.
Dann machst du das gleiche wie oben einfach mit den entsprechenden Ports, die für FTP benötigt werden.

Voraussetzung hierzu ist also als erstes an meiner Fritzbox die Portfreigabe zu machen.
Um einen Dienst aus dem Internet erreichbar zu machen, musst du den/die entsprechenden Port(s) öffnen und an die IP der DS weiterleiten. Anders geht es nicht.

 Für das Bsp "Synology Photo Station" musste ich den Port 80 öffnen. Ist das nun unsicher? Muss ich hier zur Sicherheit ggf. unter "Webdienste-Optionen HTTP-Dienst- HTTPS-Verbindung aktivieren" starten? Es heißt ja dann im Anschluss das es dann automatisch zu https umgeleitet wird.

:confused:
Sorry für diese Fragen über Fragen, aber dies ist hier noch ein Gebiet namens "Neuland".

Danke!
Zum Vergrößern anklicken....
HTTPS macht die Übertragung von Daten sicherer, schützt aber nicht die Applikation dahinter vor Angriffen. Wenn der Apache (Webserver) eine Sicherheitslücke aufweist, dann macht es keinen Unterschied ob http oder https.
 
:) D A N K E :)

Habe nun auch eine weitere Erfahrung gemacht. Auf meiner Fritzbox war bislang nur der Port 80 offen, folglich Zugriff über http://...

Jetzt habe ich permanent versucht es stattdessen über den Port 443 https://... zu machen, es ging aber nicht! Es kam eine Meldung "Konflikt.."

Woran lag es? Der Dienst "Fernwartung" war aktiv, als ich ihn deaktivierte ging es :). Jetzt ist natürlich nur die Frage, was tun wenn ich beides will.

ABER, das ist ein anderes Thema, jetzt bin ich soweit erst einmal wieder aufgeklärt.

HAB VIELEN DANK!!!

Noch eine gute Nacht!
 
Kannst Du beim Aktivieren der Fernwartung deiner FritzBox sagen über welchen Port Sie gehen soll? Wenn ja wäre der Port 443 wieder frei!
Du kannst keine Ports doppelt verwenden.
 
sprithaken schrieb:
Kannst Du beim Aktivieren der Fernwartung deiner FritzBox sagen über welchen Port Sie gehen soll? Wenn ja wäre der Port 443 wieder frei!
Du kannst keine Ports doppelt verwenden.
Zum Vergrößern anklicken....
Fernwartung auf der Router sollte wirklich abgeschaltet sein. Weisst du wieviele Leute die Fernwartung aktiviert haben und immer noch mit dem default Admin PW unterwegs sind, welches sich mit 2 Sekunden googeln finden lässt?
Klar wenn das PW genügend lang und genügend komplex ist, dann ist das was anderes. Welcher Otto-Normaluser legt sich jedoch ein 20-stelliges PW an und wechselt es dann noch regelmässig?
 
Hi jahlives,

YOHH, da gebe ich Dir recht. Habe einmal in einem größeren Unternehmen gearbeitet, da waren die HP Switche noch auf dem Standard-PW einegrichtet, uiuiuiui was da passieren kann.......

Hi sprithaken,

YOHH auch Dir, sehe gerade den Unterpunkt "Vom Standard HTTPS-Port 443 abweichenden HTTPS-Port verwenden", sollte also dann gehen, nur welchen port nutzt er denn dann ?

Grüße und Dank Euch!

Dany
 
Setze mal den Haken auf deiner Fritzbox bei "Vom Standard HTTPS-Port 443 abweichenden HTTPS-Port verwenden", danach hast Du die Möglichkeit den Port umzubiegen "abweichender HTTPS-Port .... (im Bereich von 450 bis 499)"
Angenommen Du nutzt den Port 450 kommst Du auf deine FritzBox mit "HTTPS://IP_Adresse:450". Somit wäre dann der Port 443 für eine andere Applikation frei.

Natürlich gebe ich jahlives recht, gebe nur das frei was Du brauchst!!! Sicherlich kann es aber für eine Testphase durchaus Sinn machen die FritzBox fernsteuern zu können.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten