Hi, weiß jemand, ob alle momentanen open ssl Sicherheitslücken mit der aktuellen DSM 5.2 5967 Update 2 behoben sind ? Oder nur in DSM 6.x
Danke !
Danke !
OPEN VPN SIcherheit
- Ersteller pitamerica
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
- Registriert
- 06. Apr. 2013
- Beiträge
- 14.228
- Reaktionspunkte
- 959
- Punkte
- 424
unbekannte aktuelle Sicherheitslücken also ausgenommen. 
Selbst alle bekannten Lücken sind vermutlich nicht behoben (und ja, auch DSM 5.2 und DSM 6 unterscheiden sich offensichtlich), sondern nur jene, welche Synology als relevant betrachtet, oder welche zufällig dann mitbehoben sind mit einem openssl update.
Finden sich ja auch immer noch fast jeden Monat neue, wenn man sich das so ansieht.
https://www.synology.com/de-de/support/security/OpenSSL_Vulnerabilities
https://www.openssl.org/news/vulnerabilities.html#y2016
Selbst alle bekannten Lücken sind vermutlich nicht behoben (und ja, auch DSM 5.2 und DSM 6 unterscheiden sich offensichtlich), sondern nur jene, welche Synology als relevant betrachtet, oder welche zufällig dann mitbehoben sind mit einem openssl update.
Finden sich ja auch immer noch fast jeden Monat neue, wenn man sich das so ansieht.
https://www.synology.com/de-de/support/security/OpenSSL_Vulnerabilities
https://www.openssl.org/news/vulnerabilities.html#y2016
weil ich eine DS mit 5.2 5967 Update 2 und eine DS mit 4.2 3256 laufen habe. Beide mit openvpn Server. Ist das dann potenziell unsicher ?
- Registriert
- 06. Apr. 2013
- Beiträge
- 14.228
- Reaktionspunkte
- 959
- Punkte
- 424
Potentiell unsicher ist es immer bzw jedes System, das einem Netzwerk ausgesetzt ist, solange es unbekannte Lücken/Bugs gibt.
Die OpenVPN Sicherheit hängt ja nicht direkt (is mir grad keine bessere Formulierung eingefallen) mit Lücken in OpenSSL zusammen. Da gilt es ja zu unterscheiden nach Angriffen auf die Verschlüsselung oder Angriffen mit dem Ziel ein System zu kapern.
Zumindest bei DSM 5 habe ich aktuell noch keine Sorge, dass das Risiko unnötig hoch wäre.
Ganz sicher gehen kann man wohl nur, wenn man sich anschaut, welche Versionen auf Synology installiert sind und welche Lücken diese aufweisen und welche Risiken dabei bestehen.
https://www.cvedetails.com/vulnerability-list/vendor_id-3278/Openvpn.html
Die OpenVPN Sicherheit hängt ja nicht direkt (is mir grad keine bessere Formulierung eingefallen) mit Lücken in OpenSSL zusammen. Da gilt es ja zu unterscheiden nach Angriffen auf die Verschlüsselung oder Angriffen mit dem Ziel ein System zu kapern.
Zumindest bei DSM 5 habe ich aktuell noch keine Sorge, dass das Risiko unnötig hoch wäre.
Ganz sicher gehen kann man wohl nur, wenn man sich anschaut, welche Versionen auf Synology installiert sind und welche Lücken diese aufweisen und welche Risiken dabei bestehen.
https://www.cvedetails.com/vulnerability-list/vendor_id-3278/Openvpn.html
Da würde ich mir als "normaler" User keine Gedanken machen!
Bei der wirklich schwerwiegenden Lücke "Heartbleed-Bug" gab es auch Patches für 4.2.
Bei der wirklich schwerwiegenden Lücke "Heartbleed-Bug" gab es auch Patches für 4.2.
Ja, die habe ich auch sofort nach Verfügbarkeit installiert.
Es gibt ja noch eine Lücke bzgl. der Cipher Encryption. Wisst ihr da bescheid ?
Falls du "FREAK" meinst
https://www.heise.de/security/meldu...n-Millionen-Webseiten-angreifbar-2566444.html
ja die ist auch geschlossen.
Die letzte 4.2 hat Openssl 1.0.1m
Aber selbst bei dieser Lücke glaube ich kaum das ein Angreifer den Aufwand betreibt um auf ein privates NAS zu kommen.
Aus OpenVPN
https://www.heise.de/security/meldu...n-Millionen-Webseiten-angreifbar-2566444.html
ja die ist auch geschlossen.
Die letzte 4.2 hat Openssl 1.0.1m
Aber selbst bei dieser Lücke glaube ich kaum das ein Angreifer den Aufwand betreibt um auf ein privates NAS zu kommen.
Aus OpenVPN
Das hört sich gut an. Vielen Dank. Nun hoffentlich die letzte Frage
Beim Export der Konfigurationsdateien aus DSM wird ja immer auch die ca.crt Datei mit exportiert. Das ist ja quasi das Zertifikat. Wenn ich diese Dateien in Tunnelblick OS X aktiviere funktioniert die Verbindung ohne Probleme. Aber im Log File von Tunnelblick ist zu lesen : warning no client certificate. Und etwas von nur 128bit lese ich auch. Das klingt seltsam.
Beim Export der Konfigurationsdateien aus DSM wird ja immer auch die ca.crt Datei mit exportiert. Das ist ja quasi das Zertifikat. Wenn ich diese Dateien in Tunnelblick OS X aktiviere funktioniert die Verbindung ohne Probleme. Aber im Log File von Tunnelblick ist zu lesen : warning no client certificate. Und etwas von nur 128bit lese ich auch. Das klingt seltsam.
- Registriert
- 06. Apr. 2013
- Beiträge
- 14.228
- Reaktionspunkte
- 959
- Punkte
- 424
Normal findet die Auth per user/pass statt. Man kann nun anstatt oder zusätzlich noch ein Client Zertifikat nutzen um sich gegenüber dem Server auszuweisen. Im Normalfall weist sich eben nur der Server gegenüber dem Client mit einem Zertifikat aus.
Nimm einen extra VPN Nutzer und ein starkes Passwort, dann bist du gut bedient.
"Irgendwas von 128 Bit" ist leider zu unpräzise, als dass man da was drauf antworten könnte.
Nimm einen extra VPN Nutzer und ein starkes Passwort, dann bist du gut bedient.
"Irgendwas von 128 Bit" ist leider zu unpräzise, als dass man da was drauf antworten könnte.
Das mit den 128 Bit ist schon richtig, default auf der Synology.
http://www.synology-wiki.de/index.php/OpenVPN_härten
http://www.synology-wiki.de/index.php/OpenVPN_härten
Genau so läuft es eben gerade bei mir. Dann bin ich ja erst mal beruhigt. Euch allen vielen Dank. Top hier
dany
Benutzer
- Registriert
- 31. März 2008
- Beiträge
- 352
- Reaktionspunkte
- 0
- Punkte
- 22
Hallo pitamerica
Ich habe vor ein paar Monaten mich mit dem Thema OpenVPN härten auseinander gesetzt. Theoretisch kannst du noch die tls-auth einrichten.
http://www.synology-wiki.de/index.php/OpenVPN_härten
Mit einer HMAC Signatur werden alle Pakete die bei der TLS Handshake involviert sind signiert. Werden Pakete ohne die richtige HMAC Signatur gesendet/empfangen werden sie auf der Stelle verworfen. Damit verhindert man:
Grundsätzlich wird die Verbindung fehlschlagen, da das Zertifikat falsch sein wird. Mit der tls-auth Methode wird aber die Verbindung schon an einem früheren Zeitpunkt gekappt.
Gruss Dany
Ich habe vor ein paar Monaten mich mit dem Thema OpenVPN härten auseinander gesetzt. Theoretisch kannst du noch die tls-auth einrichten.
http://www.synology-wiki.de/index.php/OpenVPN_härten
Mit einer HMAC Signatur werden alle Pakete die bei der TLS Handshake involviert sind signiert. Werden Pakete ohne die richtige HMAC Signatur gesendet/empfangen werden sie auf der Stelle verworfen. Damit verhindert man:
- DoS- Attacken oder Port-flooding auf dem OpenVPN UDP port.
- Port scanning um zu verhindern ob der Server UDP Port abhört
- Buffer overflow Sicherheitslecks in the SSL/TLS-Implementation
- SSL/TLS Handshake Initiierung eines nicht-autorisierenden Computers
Grundsätzlich wird die Verbindung fehlschlagen, da das Zertifikat falsch sein wird. Mit der tls-auth Methode wird aber die Verbindung schon an einem früheren Zeitpunkt gekappt.
Gruss Dany
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
