Toggle sidebar

Sicherheit der NAS von außen testen - alter Thread

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Sequoia

Sequoia

Benutzer
Registriert
14. Dez. 2017
Beiträge
1.046
Reaktionspunkte
92
Punkte
74
Hallo Zusammen,

Ich bin durch die Suche auf diesen Thread gestoßen, der schon geschlossen ist:
https://www.synology-forum.de/threads/security-check-auf-eigenes-system.111961/

Ich habe mir die selbe Frage gestellt, denn man hört immer und überall: Ports nie so offen lassen, so viel wie möglich schließen, nicht betreiben, usw.
Ich verzeichnet (lt. Protokollen) keinerlei Angriffe auf mein System. Ich habe Blocklist laufen & die Firewall restriktiv konfiguriert.
Was ich habe: externe Freigaben, wo Leute auch mal ein Video (Erklärvideo für Foren, Beispiel-Screen-Aufnahmen) runter laden können. Aber auch das sollte doch sicher sein.

Ist es möglich, dass Jemand das testen kann? Das hatte ich mich gefragt, denn man wird immer gewarnt, jedoch ohne konkrete Beispiele, wie das passiert sein kann.
Besten Dank.
 
In unserem Bereich hast vornehmlich mit den Themen Bruteforce & Exploits zu tun, die man verhindern möchte.
Bei Bruteforce versucht man mittels automatisiertem Erraten von Benutzer und Kennwort Zugang zum System zu verschaffen. Das geht über Kennwortlisten oder "Durchprobieren". Bei Exploits hat eine Software eine Sicherheitslücke, die dazu führen kann dass man ohne echtem Login Zugang zum System hat.
Bei Bruteforce helfen Blocklisten, 2FA und generelle Firewallregeln (z.B. Zugang über Ausland verhindern = Zahl der Angriffe limitieren).
Bei Exploits wird es schwieriger. Es gibt bekannte oder unbekannte Lücken. Bei bekannten Lücken helfen nur Updates / Korrekturen, insofern der Softwarehersteller diese anbietet. Problematisch wird es dann, wenn die Lücken "nur" der Hacker kennt. Es wird sich hier kein "Hacker" bei dir melden und schauen, ob dein System up-2-date ist.

Übrigens bieten solche Penetrationstests Sicherheitsexperten nicht für unter 1000 Euro im Tagessatz an - du fragst hier ob man das mal so nebenbei testen kann.
 
Ich frage das, weil ich keine Ahnung habe, dass Leute für solch Hobby-Sachen Geld nehmen. Dass es übertrieben klingt, >1000€ zu zahlen, um zu sehen, ob Jemand an eines meiner Familienbilder gelangen kann, wenn er einen Freigabelink zu einem Freigegebenen Ordner auf meiner NAS hat, klingt schon etwas drüber. Aber Deine Erklärung klingt gut. Führt aber dann die hier mantramäßige Aussage: „um Gottes Willen, Du nutzt Standard-Ports“ völlig ad absurdem.
 
Sequoia schrieb:
Führt aber dann die hier mantramäßige Aussage: „um Gottes Willen, Du nutzt Standard-Ports“ völlig ad absurdem.
Zum Vergrößern anklicken....
Nein tut es nicht. Wenn du standard Ports nutzt. Also z.B. 5000/5001 und es gibt ein Exploit oder Zero-Day-Exploit bei DSM, dann ist den meisten klar, dass die Changen groß sind, wenn man Server mit offenen Ports findet. Bei einem Zero-Day-Exploit weißt du eben nicht mal, dass es diesen gibt..... Daher keine standard Ports verwenden, damit nicht allen direkt klar ist was da läuft.
 
Okay. Also gesetzt des Falles, es gibt kein Zero-Day-Exploit, wovon ich bis dato ausgehe, denn es gibt keine ungewöhnliche Aktivität auf keiner NAS (sonst könnte man ja auch davon ausgehen, dass mein TV, mein Router, usw. Angegriffen wird; einfach mal ins Blaue hinaus), dann spielt es keine Rolle.
 
Sequoia schrieb:
wovon ich bis dato ausgehe
Zum Vergrößern anklicken....
Davon geht man immer aus, sonst wär es kein Zero-Day..... Du kannst dich nie drauf verlassen.
Sequoia schrieb:
sonst könnte man ja auch davon ausgehen, dass mein TV,
Zum Vergrößern anklicken....
Ist diese von außen erreichbar? Dein Router bekommt wahrscheinlich mehr Anfragen als du denkst.....
Sequoia schrieb:
dann spielt es keine Rolle.
Zum Vergrößern anklicken....
Wenn dich die Ungewissheit nicht stört......
 
Mich stört viel mehr, dass es wie reine Panikmache aussieht.
Die Erfahrungen sprechen doch für sich, dass es nicht passiert. Und da, wo es dokumentiert zu Hacks kam, war es nie die Schuld der Ports, oder Zero-Day-… Sondern durch die Unachtsamkeit der User.
 
Sequoia schrieb:
Mich stört viel mehr, dass es wie reine Panikmache aussieht.
Zum Vergrößern anklicken....
Naja wenn jemand nicht mal weiß welche Folgen sowas haben kann, ist wahrscheinlich auch nicht in der Lage sowas abzusichern. Daher sehe ich das nicht als reine Panikmache.
Sequoia schrieb:
Die Erfahrungen sprechen doch für sich,
Zum Vergrößern anklicken....
Tuen sie das? Welche Erfahrungen sind das?
Sequoia schrieb:
Und da, wo es dokumentiert zu Hacks kam, war es nie die Schuld der Ports, oder Zero-Day-
Zum Vergrößern anklicken....
Und es sind natürlich alle Hacks bekannt. Wie viele Leute haben einfach nichts gepostet? Oder wissen es eventuell auch nicht. Wenn es einen erwischt, dann ist es zu spät. Was stört dich denn dran, wenn du die Ports änderst? Oder wieso muss DSM überhaupt von außen erreichbar sein. Für ein Link um eine Datei zu teilen, kannst du doch auch explizit die Filestation freigeben.
Mir ist es am Ende egal wer was macht. Aber irgendwie finden es oft die Leute die es nicht beurteilen können, das es nicht so schlimm ist. Leute die sich damit befassen wollen nicht alles direkt ins Netz stellen.
 
Das Thema ist ja nicht mehr das von mir angesprochen, aber noch mal: wo gibt es denn aktuell Berichte, Dokumentationen, dass ein 5001er Port bei DSM Auslöser für einen Hack war.

Das ist doch ein reines Schrödingers Katze Thema.
Man weiß es nicht, aber vermutet es.
 
Du gehst einfach davon aus, dass DSM zu 100% sicher ist und es ist immer bleibt. Wenn morgen eine Schwachstelle gefunden wird (aber nicht publiziert), dann hast du halt ein Problem.
Ein Grundsatz in der IT/Netzwerksicherheit/Entwicklung ist, dass man niemanden trauen sollte. Wieso sollte ich ein Risiko eingehen und DSM freigeben unter einem Port wo es alle vermuten? Kann Synology mir garantieren, dass sie NIEMALS eine Lücke/Bug haben? Nein? Wieso sollte ich dann drauf vertrauen....... Wieso mach ich es den Bots nicht schwerer und nutze einen anderen Port und gebe auch nur das frei was wirklich nötig ist.......

Sequoia schrieb:
dass ein 5001er Port bei DSM Auslöser für einen Hack war.
Zum Vergrößern anklicken....
Wieso immer die Vergangenheit? Es geht doch eher um die Zukunft. Und das kann halt niemand sicherstellen. Wie geschrieben. Wenn morgen eine Lücke auftaucht, ist es doch egal ob bis gestern kein Hack da war......
 
Mir geht es nicht um Panikmache und auch nicht um ein Hobbyprojekt. Die Frage ist simpel: Welche realistische Angriffsfläche habe ich von außen auf ein Standard-Setup mit aktivem QuickConnect, DDNS und offenen Diensten wie Drive oder Photos?

Ich suche keine theoretischen Extremfälle, sondern konkrete Szenarien:
– Welche Dienste sind erfahrungsgemäß die häufigsten Einfallstore?
– Reicht 2FA plus starke Passwörter aus?
– Macht es sicherheitstechnisch einen Unterschied, ob ich QuickConnect oder reines Portforwarding nutze?
– Gibt es bekannte Fälle, bei denen DSM ohne Fehlkonfiguration kompromittiert wurde?
Ich möchte das Risiko sauber einschätzen und nicht auf „könnte, möglich, im Paralleluniversum…“ hören.
 
Was bringt es dir immer vom IST Zustand auszugehen? Diese Zustand kann sich jederzeit ändern.....

Ich bin hier raus. Du beharrst nur auf deinem IST Zustand. Du willst gar nicht verstehen, welche Risiken es geben KÖNNTE. Und darum geht es bei dieser Empfehlung.
Sequoia schrieb:
Ich möchte das Risiko sauber einschätzen und nicht auf „könnte, möglich, im Paralleluniversum…“ hören.
Zum Vergrößern anklicken....
Dazu gehört eben auch KÖNNTE und MÖGLICH...... Darauf basieren doch die Sicherheitskonzepte. Wenn du dich auf das KÖNNTE vorbereitest, dann musst du dir da keine Gedanken machen bzw. weniger.....

Wie dem auch sei, ich bin raus.
 
Sich einer Diskussion zu entziehen, ist natürlich auch ein gangbarer Weg, ohne Antworten zuzulassen. Kann man schon machen 😉
Wir reden gerade aneinander vorbei. Natürlich basiert Sicherheit auf ‚könnte‘. Mir geht es aber um Eintrittswahrscheinlichkeit und reale Häufigkeit, nicht um theoretische Möglichkeit.
Jedes System kann kompromittiert werden. Die Frage ist: Wie oft passiert das bei einem aktuellen DSM mit 2FA, starken Passwörtern und ohne exotische Konfiguration?
Wenn es konkrete Fälle oder Statistiken gibt, gerne her damit. Genau das suche ich. Ich möchte das Risiko quantifizieren und nicht nur abstrakt absichern. Aber das fehlt hier.
 
Sequoia schrieb:
Sich einer Diskussion zu entziehen, ist natürlich auch ein gangbarer Weg, ohne Antworten zuzulassen. Kann man schon machen
Zum Vergrößern anklicken....
Nee, nur bringt es mir nichts, wenn du keine Argumente akzeptierst. Du willst, so kommt es mir halt vor, dass man einfach sagt, dass es keine Probleme gibt und fertig.
Sequoia schrieb:
Mir geht es aber um Eintrittswahrscheinlichkeit und reale Häufigkeit, nicht um theoretische Möglichkeit.
Zum Vergrößern anklicken....
Das kann dir doch keiner direkt sagen. Siehe doch alleine PWN2OWN. Da werden jedes Jahr die Systeme geknackt. Willst du dich drauf verlassen, dass es ja aktuell nicht bekannt ist? Es gibt nicht nur die PWN2OWN Teilnehmer, sondern auch welche die es für sich ausnutzen.
Sequoia schrieb:
Wie oft passiert das bei einem aktuellen DSM mit 2FA, starken Passwörtern und ohne exotische Konfiguration?
Zum Vergrößern anklicken....
Kann dir doch auch keiner sagen..... Aber wenn du der erste bist, was hast du davon?
Sequoia schrieb:
Wenn es konkrete Fälle oder Statistiken gibt, gerne her damit. Genau das suche ich. Ich möchte das Risiko quantifizieren und nicht nur abstrakt absichern.
Zum Vergrößern anklicken....
Und wieso willst du dein System nicht einfach so sicher wie möglich absichern? Wieso willst du nur das sicher machen, was wirklich in irgendwelchen Statistiken auftaucht....

Mir bringt eine Diskussion einfach nichts, wenn du immer nur eine Statistik von mir haben willst. Ich habe da einen völlig anderen Ansatz wie es aussieht. Ich vertraue einfach keiner Software zu 100%. Alles was nicht von außen erreichbar sein muss (dafür gehört FÜR MICH eben auch DSM), ist nicht erreichbar. Ob 2FA oder 3FA ist mir da egal. Und alles was von außen erreichbar ist, läuft in einer Sandbox (Container) oder hat kein Zugriff auf andere Systeme. Statt DSM/Filestation freizugeben, habe ich Copyparty in einer VM laufen. Diese VM hat auf nichts Zugriff. DSM hat einen Ordner als Remote Ordner aber drin. Und alles was du da ablegst, kann freigegeben werden. Wenn das eine Lücke hat, dann hast du aber keinen Zugriff auf alle Daten, sondern nur die zum freigeben.....
Befass dich doch erstmal mit den Grundlagen, dann kannst du das vielleicht auch selber einschätzen und welche Risiken es gibt.
 
Deine Subjektivität bzgl.
JohneDoe schrieb:
Mir bringt eine Diskussion einfach nichts,
Zum Vergrößern anklicken....
Kann ich Dir natürlich nicht nehmen. Dann bitte nicht mehr antworten.

Wenn wir konsequent auf das absolute Restrisiko gehen, dann dürfte man ein NAS tatsächlich nicht aus dem Internet erreichbar machen. Das ist technisch die sauberste Lösung.

Die Frage ist nur: Ist das für einen Privatanwender verhältnismäßig?
Ich versuche gerade, zwischen theoretischem Maximalschutz und realistischem Risiko abzuwägen. Ein aktuelles DSM, 2FA, keine Default-Ports, keine unnötigen Dienste, saubere Updates. Wie hoch ist unter diesen Bedingungen die reale Kompromittierungsquote?
Dass Software grundsätzlich angreifbar ist, steht außer Frage. Aber Sicherheitsentscheidungen basieren auf Risikoabschätzung, nicht auf dem Worst-Case-Szenario allein.

Wenn es belastbare Zahlen, bekannte Angriffsmuster oder dokumentierte Fälle bei sauber konfigurierten Systemen gibt, interessiert mich genau das.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten