Optimale Sicherheitseinstellungen

[kaylark]

Hallo!

Ich habe seit einigen Tagen eine DS 209, welche ich inzwischen so konfiguriert habe, dass ich über das Internet zugreifen kann - und das möchte ich grundsätzlich auch von jedem beliebigen Rechner aus machen können.

Welche Sicherheitseinstellungen kann / sollte ich vornehmen, dass ich bestmöglich geschützt bin?

Mein Router (Netgear 614V9) hat eine integrierte Firewall.

Ich nutze die File-Station, Audio-Station und Photo-Station. Dazu habe ich im Router den Port 5001, 443 (Photo-Station) und 5000 (damit ich vom Iphone auf mit DS Audio zugreifen kann) freigegeben. Ansonsten nutze ich keine anderen Dienste, wie z.B. FTP.

im DSM 2.3 habe ich "Automatische Blockierung" aktiviert.

Habt ihr noch Tipps für mich, um mein System vor unberechtigten Zugriffen zu schützen?

Besten Dank für eure Hilfe

Kaylark

 

[itari]

Habt ihr noch Tipps für mich, um mein System vor unberechtigten Zugriffen zu schützen?

Da die Ports 5000 und 5001 ins Internet freigegeben sind, wird der Zugang nur durchs Kennwort geschützt. Daher:

- Verwende ein starkes Admin-Kennwort: 12 Zeichen lang und kombinieren Buchstaben mit 'guten' Sonderzeichen und Ziffern.
- Ändere das Admin-Kennwort häufig (alle 2-3 Tage).

Eine Änderung der Portnummern wird häufig empfohlen; aus meiner Sicht eher unbedeutsam, da ich mit einem Portscanner eh immer über alle Ports gehen würde ... aber man kann ja ganz feste dran glauben.

Itari

 

[nas-newbie]

Zusätzlich würde ich das NAS ausgeschaltet lassen und nur bei Bedarf per Magic Packet hochfahren lassen.

Damit reduzierst du auch das Interesse.

Gruss
NAS-Newbie

 

[jahlives]

@kaylark
Nach Möglichkeit solltest du nur https Verbindungen für den DSM zulassen. Ich würde also Port 5001 und 7001 (Filestation) erlauben, nicht aber 5000 und 7000. Du musst dir einfach folgendes bewusst sein: Port 5000/5001/7000/7001 werden vom Apache mit root Rechten bedient. Damit ist es also immer ein potenzielles Risiko solche Dienst aus dem Web erreichbar zu machen! Wenn also die App einen Bug hat und z.B. ungeprüfte remote Shell Kommandos zulässt, dann läuft ein solches Kommando mit root Rechten und kann damit ALLES anstellen auf der DS

Ports umbiegen, bringt - wie itari schon anmerkte - nicht so viel. Offene Ports findet man schnell und hat auch schnell festgestellt was für ein Typ von Applikation auf dem Port lauscht.
Einzig den ssh Port habe ich bei mir umgebogen, da ich einfach zuviele chinesische Loginversuche auf Port 22 hatte. Seitdem ist Ruhe im Karton

 

[kaylark]

@jahlives


"Du musst dir einfach folgendes bewusst sein: Port 5000/5001/7000/7001 werden vom Apache mit root Rechten bedient. Damit ist es also immer ein potenzielles Risiko solche Dienst aus dem Web erreichbar zu machen! Wenn also die App einen Bug hat und z.B. ungeprüfte remote Shell Kommandos zulässt, dann läuft ein solches Kommando mit root Rechten und kann damit ALLES anstellen auf der DS"

Ich muss gestehen, dass ich das nicht so gant verstanden habe. Ich bin kein Netzwerkspezialist...remote Shell Kommandos...root Rechte...kann mit den Begriffen leider nicht so viel anfangen. Kannst Du es vielleicht mit einfachen Worten beschreiben?

Besten Dank.

Gruß
Kay

 

[kaylark]

Zusätzlich würde ich das NAS ausgeschaltet lassen und nur bei Bedarf per Magic Packet hochfahren lassen.

Damit reduzierst du auch das Interesse.

Gruss
NAS-Newbie

Magic Packet...hab ich gerade mal in google gesucht. Wake on LAN. Wie stelle ich das bei der DS 209 an?

Gruß
Kay

 

[_Homer_]

Meines Wissens nach gar nicht, weil die 209 keine geeignete Hardware besitzt.

 

[amarthius]

Richtig, das unterstützen nur die neuen Modelle.

 

[jahlives]

Ich muss gestehen, dass ich das nicht so gant verstanden habe. Ich bin kein Netzwerkspezialist...remote Shell Kommandos...root Rechte...kann mit den Begriffen leider nicht so viel anfangen. Kannst Du es vielleicht mit einfachen Worten beschreiben?

Auf der DS laufen zwei unterschiedliche Webserver: Einer mit den Rechten von nobody und einer mit root Rechten. Jeder Prozess muss unter einem User laufen. nobody ist dabei relativ ungefährlich weil der fast keine Rechte hat im Dateisystem deiner DS. Anders schaut dies bei root aus. root ist Gott auf einem Linux/Unix System. Der darf schlicht alles auch die Kiste plätten Er darf vorallem auf alle Files der gesamten DS lesend/schreibend zugreifen, also auch auf wichtige Systemfiles.
Die Sache mit den Remote Kommandos war nur ein Beispiel und soll für einen Lücke in einer Applikation stehen. Da die Applikation (z.B. deine Webseite) auf dem Server läuft, läuft sie unter einem der beiden Nutzer. Tritt jetzt eine "Lücke" in der Applikation auf, dann läuft diese mit den Rechten unter denen die Applikation läuft d.h. also entweder root oder nobody.
Mit root Rechten kann alles passieren, mit den Rechten von nobody beinahe nichts

 

[kaylark]

@ jahilves

Danke für deine Ausführungen.

Da ich bisher nur die Anwendungen
- PhotoStation
- AudioStation
- FileStation
über die DSM nutze, logge ich mich darüber auch immer ein=> Https über Port 5001.

Für die Photostation musste ich den Port 443 freigeben.
Habe für die Iphone App DS Audio noch Port 5000 freigegeben.

Alle anderen Dienste wie Webstation, Downloadstation oder FTP habe ich bewußt nicht aktiviert,

Wenn ich aber über den Browser von extern odern intern auf die Synology zugreife, dann mache ich das immer über den Port 5001, der ja verschlüsselt wird. Zudem habe ich mir einen Benutzer eingerichtet (damit ich nicht immer über den admin einloggen muss). Gehen wir mal davon aus, dass Synology jetzt keinen Bug in der DSM hat, dann müsste das doch weitestgehend sicher sein, oder?

Wenn ich z.B. Internetbanking mache, dann gehe ich ja auch über eine https Verbinung und logge mich mit Name und Passwort ein. Ist doch vom Prinzip her vergeichbar, oder?