Wieso? Die bots scannen alle IP Kombination einfach.... Zu wem die IP gehört ist denen doch egal. Aber so wie du es schreibst, hast du auch dein DSM freigegeben. Das würde ich halt nicht machen. Wenn da irgendwo eine Lücke ist (muss ja nicht bekannt sein) dann kommt man an deine Daten. Das war damit gemeint, dass man nicht alles unter den Standard Ports frei gibt.
Plex hat zu wenig Bandbreite
- Ersteller GRB
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
@GRB das hat nichts mit dir zu tun und ist auch kein Unsinn. Da wurden IObroker-Installationen völlig offen und ungeschützt ins Internet gestellt. Auf den IObroker-Installationen war eine Erweiterung installiert, mit der man den Zustand eines Synology-NAS überwachen kann. Dummerweise war dafür ein Benutzer mit Adminrechten nötig und damit war dann das Kind in den Brunnen gefallen. Dass die Zugangsdaten unverschlüsselt gespeichert wurden, war nicht mehr kriegsentscheidend, das hat es einem Angreifer nur besonders einfach gemacht. Bei den ersten bekannt gewordenen Fällen hatte IObroker tatsächlich eine Sicherheitslücke, mit der man die Authentifizierung (welche man erst aktivieren und einrichten muss) umgehen konnte. Die war aber für die Fälle nicht relevant, da die IObroker-Installation eh schon völlig offen und ungeschützt war.
Danke Dir für diesen Tipp. Ich vermute dann mal das meine DS1517+ dieses Hardware Transcoding unterstützt? Ich weiß nämlich noch nichtmal um was es sich dabei handelt bzw. für was dies gut ist. Sorry, meine Ausbildung liegt 35 Jahre zurück und ich habe mich damals noch mit Cobol und C rumschlagen müssen. Mit meiner Synology konnte ich mich zeitmäßig noch nie so richtig befassen, ich schlage mich halt so durch wenn ich etwas mit ihr arbeiten muss.
Das mit den IPs ist mir schon klar und wie ich schrieb kommen da auch täglich Meldungen rein das die DS derartige Anfragen blockiert hat. Deshalb würde mich interessieren was sie mit meiner IP anfangen können wenn sie weder meinen Benutzer noch mein Passwort haben geschweige denn den Code von SecureSignIn?
Aber natürlich werde ich die anderen Ports schließen so wie man es mir hier empfiehlt. Danke
- Registriert
- 13. Juli 2019
- Beiträge
- 5.554
- Reaktionspunkte
- 2.491
- Punkte
- 259
Also um das hier mal etwas sortieren zu helfen:
Dass die Meldung „unbefugter Zugriffsversuch“ kommt ist zu erwarten, weil genau das passiert: Bots scannen ALLE möglichen IPv4 Adressen und Ports ab. Ist einer offen, versuchen sie halt, sich da anzumelden. So weit, so unaufgeregt.
Dumm ist es, wenn die Anwendung, die an dem Port lauscht, eine Schwäche hat. Schlecht ist zusätzlich, wenn man den Originalport einfach so nach außen verwendet. Denn die Portnummer läßt Rückschlüsse auf die Anwendung zu. Also wenn „4711“ oft von App Blöd verwendet wird, und App Blöd hat eine Schwachstelle, dann verkündet man mit „4711“ der Hackwerwelt, dass dahinter die angreifbare Anwendung läuft.
Das kann dumm ausgehen.
Abhilfe:
Greift man alleine zu (oder nur wenige, bekannte Benutzer) kann man ein VPN vorschalten. Man wählt sich dann in das eigene VPN ein, und dann die Anwendung. Damit muss überhaupt nichts nach außen geöffnet werden. Stand der Technik bei VPNs ist WireGuard. Man kann es auf der DS zum Beispiel nutzen, indem man das Tailscale-Paket installiert. Es ist bei den Drittanwendungen im Paketcenter zu finden, die private Nutzung ist kostenlos. Man wählt sich zuerst ins VPN ein, hat damit einen abgesicherten „Tunnel“ ins eigene Netzwerk, und kann damit in sicherer Umgebung die Anwendung starten.
Greifen mehrere, unbekannte Nutzer zu, sollte man immer noch den Port und die Anwendung nicht nach außen geben. Best practice ist in dem Fall der „Reverse Proxy“. Der ist auf der DS bereits vorhanden und kann aufgesetzt werden. Nach außen ist dann nur der Port 443 (und 80) sichtbar, der niemandem etwas sagt, weil er für jede Internetkommunikation genutzt wird. Man muß die genaue Webadresse kennen, dann gibt der Reverse Proxy die Anfrage an die Anwendung weiter.
So, das sollte dir als Lesestoff reichen. In beiden Fällen bekommst du einen sicheren Zugriff, und musst nicht unbedingt auf Docker umstellen. Das kannst du trotzdem tun, ist aber ein anderes Projekt.
Wie genau was geht, das findest du im Internet bzw. in der Synology Knowledge Base.
Dass die Meldung „unbefugter Zugriffsversuch“ kommt ist zu erwarten, weil genau das passiert: Bots scannen ALLE möglichen IPv4 Adressen und Ports ab. Ist einer offen, versuchen sie halt, sich da anzumelden. So weit, so unaufgeregt.
Dumm ist es, wenn die Anwendung, die an dem Port lauscht, eine Schwäche hat. Schlecht ist zusätzlich, wenn man den Originalport einfach so nach außen verwendet. Denn die Portnummer läßt Rückschlüsse auf die Anwendung zu. Also wenn „4711“ oft von App Blöd verwendet wird, und App Blöd hat eine Schwachstelle, dann verkündet man mit „4711“ der Hackwerwelt, dass dahinter die angreifbare Anwendung läuft.
Das kann dumm ausgehen.
Abhilfe:
Greift man alleine zu (oder nur wenige, bekannte Benutzer) kann man ein VPN vorschalten. Man wählt sich dann in das eigene VPN ein, und dann die Anwendung. Damit muss überhaupt nichts nach außen geöffnet werden. Stand der Technik bei VPNs ist WireGuard. Man kann es auf der DS zum Beispiel nutzen, indem man das Tailscale-Paket installiert. Es ist bei den Drittanwendungen im Paketcenter zu finden, die private Nutzung ist kostenlos. Man wählt sich zuerst ins VPN ein, hat damit einen abgesicherten „Tunnel“ ins eigene Netzwerk, und kann damit in sicherer Umgebung die Anwendung starten.
Greifen mehrere, unbekannte Nutzer zu, sollte man immer noch den Port und die Anwendung nicht nach außen geben. Best practice ist in dem Fall der „Reverse Proxy“. Der ist auf der DS bereits vorhanden und kann aufgesetzt werden. Nach außen ist dann nur der Port 443 (und 80) sichtbar, der niemandem etwas sagt, weil er für jede Internetkommunikation genutzt wird. Man muß die genaue Webadresse kennen, dann gibt der Reverse Proxy die Anfrage an die Anwendung weiter.
So, das sollte dir als Lesestoff reichen. In beiden Fällen bekommst du einen sicheren Zugriff, und musst nicht unbedingt auf Docker umstellen. Das kannst du trotzdem tun, ist aber ein anderes Projekt.
Wie genau was geht, das findest du im Internet bzw. in der Synology Knowledge Base.
Zuletzt bearbeitet:
Ok, vielleicht habe ich es auch nur falsch verstanden. Mir hat aber leider noch immer keiner verraten wie jemand auf meine DS kommen will selbst wenn er die IP samt meinem Login hat ohne den Code von Secure SignIn. Das würde mich echt interessieren. Dafür gibt es doch überall diese Sicherheitsmaßnahmen. Ich denke ohne das jemand mein Handy in die Hand bekommt kommt auch niemand auf meine DS. Oder sehe ich das noch immer falsch?
- Registriert
- 30. Dez. 2012
- Beiträge
- 18.003
- Reaktionspunkte
- 8.866
- Punkte
- 679
Da verlass ich mich mal auf die Stochastik ;-) Das müsste schon mit dem Teufel zugehen.
Bei mir sind es nicht ganz soviel das liegt aber wohl daran das ich in höheren Lagen zuhause bin und die Highlander sind böse Jungs.
Eine Frage zum Verständnis, was würde denn ein anderer Port ändern? Und Revers Proxy sagt mir ehrlich gesagt gar nichts, leider. Ich beschäftige mich nicht wirklich intensiv mit so Sachen, habe leider anderweitig genug um das ich mich kümmern muss. Pflege, Family etc.
Woher hast denn die schönen grafischen Anzeigen wenn ich fragen darf? Ist da bei der DS etwas dabei?
- Registriert
- 30. Dez. 2012
- Beiträge
- 18.003
- Reaktionspunkte
- 8.866
- Punkte
- 679
Hihihi, das sind jetzt alles böhmische Dörfer für mich aber trotzdem Danke für die Info. Darf ich fragen wie hoch Deine Stromrechnung ausfällt?
- Registriert
- 30. Dez. 2012
- Beiträge
- 18.003
- Reaktionspunkte
- 8.866
- Punkte
- 679
Ca. 20€/Monat für IT
Edit: ca. 100 W, aber ohne Clients (Laptops, IPads, etc.)
Edit: ca. 100 W, aber ohne Clients (Laptops, IPads, etc.)
Zuletzt bearbeitet:
- Registriert
- 30. Dez. 2012
- Beiträge
- 18.003
- Reaktionspunkte
- 8.866
- Punkte
- 679
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
