Wie mache ich meinen NAS möglichst sicher?

[gruetohr]

Hallo Leute

Ich versteh leider die Fachsprache in meiner NAS-Bedienungsanleitung sehr schlecht. Deshalb die Frage: Wie mach ich meinen NAS möglichst sicher im Internet, als Fernzugriff? Schon konfiguriert habe ich den Anschluss über https. Welche wichtigen Sachen sind noch zu beachten?

Danke für die Hilfe.

 

[Ap0phis]

Jede Zugriffsmöglichkeit von aussen ist eine potentielle Schwachstelle!

Also so wenig Ports wie möglich weiterleiten. Am besten gar keinen!
Sehr gute Passwörter und die "automatische Blockierung" in der Systemsteuerung der DS schützen da ein wenig. Wirklich "sicher" geht nicht! Maximal geht: relativ sicher!

 

[gruetohr]

Danke für die schnelle Antwort. Dann reichen wohl einfach Ports 80 und 5000. Zugriff auf Photo und Audiostation?

 

[Ap0phis]

Den Port 5000 solltest du am besten schonmal gar nicht benutzen!
Da kommt man auch auf den DSM und somit auf alle Daten!

Benutze lieber die entsprechenden https-Ports.

 

[jahlives]

also Port 5000 ist definitiv nicht zum empfehlen. Wenn schon 5001 (https), aber auch bei dem würde ich mir genau überlegen ob das wirklich sein muss. Denn der Webserver in dem der DSM (Port 5000 und/oder 5001) läuft, läuft unter dem User root!! Prozesse die unter root (Gott auf einem Linux) laufen haben imho im Internet nichts zu suchen. Solche Dienste würde ich nur via VPN von aussen zugänglich machen

 

[gruetohr]

Welcher Port eignet sich dann? Beispiel?

 

[Puppetmaster]

Wenn schon 5001 (https), aber auch bei dem würde ich mir genau überlegen ob das wirklich sein muss.

Hat man denn schonmal von einer Schwachstelle des Webservices der DS gehört?
Wenn das Passwort ausreichen sicher ist, sollte das doch ebenfalls ausreichend sicher sein über https?!
Ich finde das ganz schwierig einzuschätzen.
Meine online-Bank kann ich schließlich auch per https und passwort erreichen.

 

[jahlives]

Hat man denn schonmal von einer Schwachstelle des Webservices der DS gehört?

Und was ist mit Lücken im Apache? Allen Scripten vom DSM von Syno oder in Komponeten die sie nutzen (z.B. Perl)? Und was mit 3rd Party Apps? Potential gäbe es mehr als genug ;-)

Meine online-Bank kann ich schließlich auch per https und passwort erreichen.

aber deren Webserver läuft ned unter root, wetten? ;-)
Ich behaupte nicht, dass ein Webserver unter einem non-root "absolut" sicher wäre, nur ist es sehr viel aufwändiger ist eine Schwachstelle mit der Möglichkeit der Privilegienausweitung zu finden, als nur eine x-beliebige Schwachstelle. Sagen wir ein Script würde einen Userstring direkt als Kommando auf der cli ausführen. Läuft der Prozess des Scriptes als root, dann kann man "einfach" ein rm -rf / machen. Läuft das Script jedoch unter einem unprivilegierten User, dann musst du für den rm -rf / erstmal root Rechte erlangen können.
@topicstarter
welchen Port du verwendest spielt eigentlich keine Rolle. Entscheidend für die Sicherheit ist der Dienst der dahinter läuft. Ist es ein Dienst mit root Rechten dann muss man imho wirklich gut überlegen, ob man den Port unbedingt öffnen muss. Für Fälle wo man Dienste unter root von aussen erreichbar machen will, sollte man wenn immer möglich auf VPN Verbindungen ausweichen. Das erfordert mehr Konfigurationsaufwand bringt aber imho deutlich mehr Sicherheit weil 1. du mit VPN sehr starke Authentifizierungen umsetzen kannst und 2. (zumindest bei OpenVPN kann man das machen) man sieht von aussen keinen offenen Port.
Und wenn du schon den DSM unbedingt öffnen willst, dann verwende nur verschlüsselte Verbindungen (beim DSM via Port 5001)

 

[Puppetmaster]

Und was ist mit Lücken im Apache? Allen Scripten vom DSM von Syno oder in Komponeten die sie nutzen (z.B. Perl)? Und was mit 3rd Party Apps? Potential gäbe es mehr als genug ;-)

Lücken im Apache, ok? Kennt man die nicht und kann die schließen?
Und inwiefern klinken sich 3rd Party Apps oder Perl und Konsorten in den Apache ein? Denn der ist doch letztlich das Fenster nach draußen.
Oder verstehe ich das falsch? Wenn ich ausschließlich den DSM über https nach außen öffne, muß ich doch zunächst durch den Apachen durch, bevor ich was anderes anstellen kann. Wo spielen Perl und Co. da eine Rolle, wenn ich noch vor dem Apachen stehe?
Entschuldige meine 'dummen' Fragen. Aber das ist jetzt auch nicht soo mein Gebiet und ich sehe die Zusammenhänge noch nicht wirklich.

 

[ubuntulinux]

Es tauchen immer mal wieder Lücken auf, die man noch nicht kennt

 

[jahlives]

Der DSM selber besteht ja aus etlichen Scripten. Es gibt viele cgi Scripte die meisten zwar als Binary, dürfte das meiste aber wohl Perl sein. Jetzt startet ein Apache unter root ein solches Script und damit wird das Script selber auch unter root laufen. Wenn du eine 3rd Party App via DSM installiert, dann erfolgt zumindest die Installation mit root Rechten, somit könnte ein böses Installerscript ziemlich üble Sachen anstellen (z.B. das root PW neusetzen). Das Problem ist, dass diese root Rechte für den DSM unabdingbar sind, denn du willst damit ja deine Kiste verwalten können und viele dieser Aufgaben erfordern root Rechte

 

[fpo4711]

Hallo Jungs,

ich denke mal die Lösung die Synology mit ihrem Login und der automatischen Blockierung anbietet ist schon "relativ sicher", ....... aber ich muß hier jahlives Recht geben ein Apache unter 'root' ist wahrscheinlich nötig für die Verwaltung der DS sollte aber wenn möglich nicht von Aussen erreichbar sein. Und der Port 5000 bzw. 5001 für https ist ja unter den bösen Buben völlig unbekannt , übrigens auch https ist nicht der Gral.

Deshalb wäre eigentlich das Thema des Threads "Wie mache ich meinen NAS möglichst sicher?" sicherlich ganz klar zu beantworten. Entweder garnicht von Aussen erreichbar oder aber zumindest mit den maximalen Möglichkeiten für diesen Anwendungszweck und ich denke das ist im Augenblick eine VPN-Verbindung.

Und wie üblich irren ist menschlich.
Gruß Frank

 

[Puppetmaster]

Guten Morgen!

Um das Thema für mich mal abzuschließen: es gibt keine echte Sicherheit.
Man kann ein paar Dinge beachten um es bösen Jungs schwerer zu machen, wenn es allerdings einer auf dich abgesehen hat, dann hast du kaum eine Chance. Nur schätze ich dieses Risiko für mich als Privatmenschen doch eher gering ein. Da sind die Infos, die du bei facebook u.a. hinterläßt vielleicht im Endeffekt 'gefährlicher'.
Irgendwo muß man eben den Schnitt ziehen. Für mich ist der bei https. Da mache ich mir ehrlich gesagt wenig Sorgen. Wenn ich nur noch VPN zulassen würde (kann man auch knacken), was habe ich dann von PhotoStation, WebDAV, ftp, ... und all den anderen Diensten und Dingen, die meine DS mir bietet und für die ich sie letztlich auch gekauft habe? Dazu muß ich notwendigerweise einige Ports öffnen.
Im Übrigen nutzt auch das alles nichts, wenn Angreifer direkt den Router im Visier haben und die Sicherheitslücken erstmal dort suchen und finden. Dazu muß ja noch nicht mal UPnP oder eine Fernwartung aktiviert sein; ein 'schlechter' Chipsatz mit bekannten Sicherheitslücken reicht ja schon. Kürzlich wurde doch noch von 4,5 Millionen gekaperten Router in Brasilien berichtet (hier).
Die Grenze muß also jeder für sich selbst ziehen. http soll's für die DSM Administration von außerhalb nicht sein, aber https ist für mich ok, zumal VPN nicht immer funktionieren kann. Von meinem Büro aus geht es nicht, letzter Urlaub mit Hotelaufenthalt: vorhandenes Netzwerk ließ kein VPN zu. Damit komme ich dann auch nicht weiter.
Fazit: Augen und Ohren auf, ein System immer mal wieder unter die Lupe nehmen, Verbesserungen vornehmen, ausprobieren. Und alles was sicher aufbewahrt werden muß dann auch nicht unbedingt auf die DS legen, die Zugang 'nach draußen' hat.

 

[jan_gagel]

Hallo,

ich will auch mal was zum Thema Sicherheit sagen. Wurde ja schon viel gesagt, nur eins wäre wichtig zu verstehen. Der Port 5000 (oder auch 5001) ist für Verwaltungsaufgaben gedacht. Als für administrative Aufgaben, die dann über das administrative Webinterface erledigt werden. Administrative Tätigkeiten macht man normalerweise nicht von unterwegs aus, denn da kann man den Zugriff nicht begrenzen. D. h. jeder PC, der am Internet hängt kann dann auf den Port 5000 oder 5001 zugreifen und könnte sich anmelden. Das Anmelden selbst klappt ja mit jedem Benutzer, den man im DSM anlegt. Also würde EIN sicheres Admin-Kennwort hier schon mal nicht ausreichen. Zwar haben die anderen User hoffentlich keine administrativen Berechtigungen, aber anmelden können die sich dann theoretisch zumindest wenn das Kennwort leer oder einfach ist. Und der Zugriff ist dann erlaubt, auf die Ordner und Anwendungen, die für den entsprechenden User freigegeben sind. Ob das dann über eine verschlüsselte (https/5001) oder unverschlüsselte (http/5000) läuft, ist egal.

Von Synology ist der Port 80 mit dem entsprechenden nicht administrativen Apache vorgesehen, um evtl. von außen Zugriff auf die PhotoStation und / oder die selbst erstellte Homepage zuzugreifen. Ich selbst sehe sogar die FileStation als kritisch an und der FTP-Server ist auch nicht sonderlich sicher. Zumindest so lange sich der admin dort anmelden kann. Wenn man den admin aber in /etc/ftpusers explizit aussperrt, kann schon mal weniger Schindluder damit getrieben werden. Die Übertragung an sich ist aber noch riskant, zumindest wenn man unverschlüsselt überträgt.

Fazit: Alles, was am Internet hängt ist potentiell gefährlich. Man kann dies oder jenes etwas absichern und den Zugang erschweren (autom. Blockierung, VPN, nur unkritische Daten auf öffentliche Verzeichnissen ablegen). Prinzipiell kann überall eine Sicherheitslücke gefunden werden, die auch ausgenutzt werden kann. Will man auf der sicheren Seite sein, kann man mit einer speizellen Firewall-Lösung (z. B. IPCop, IPFire, Endian-Firewall) ein System aufbauen und die DS fürs Internet in die DSM hängen. Denn jeder weitergeleitete Port ins LAN ist auch schon eine potentielle Gefahr. Die DMS-Funktion vieler Heim-Router an sich ist da nicht sonderlich sicher, da man hier oft einen "exposed host" angeben kann, der sich wiederum ebenfalls im LAN befindet. Ich persönlich würde niemals den Port 5000 / 5001 vom Internet aus zugänglich machen. Und einen solchen öffenlichen Port zu "verstecken" bringt auch nicht viel, denn schnell ist eine IP nach offenen Ports abgescannt.

Ciao Jan

 

[Puppetmaster]

Ich persönlich würde niemals den Port 5000 / 5001 vom Internet aus zugänglich machen. Und einen solchen öffenlichen Port zu "verstecken" bringt auch nicht viel, denn schnell ist eine IP nach offenen Ports abgescannt.

Und was außer Brute-Force sollte da gefährlich werden?
Gute Zugangsdaten sind natürlich das A und O.

 

[janosch111]

Hi Ho!

Ich persönlich würde nie den vom Hersteller eingerichteten Default Port verwenden um Dienste über's Internet erreichbar zu machen.
Meine Lösung, wenn ich soetwas überhaupt mal bräuchte, wäre im vorgeschalteten Router einen hohen Port aus dem fünf-stelligen Bereich auf den Syno-Port weiterzuleiten.
Also z.B. den Dienst https der außen auf Port 25826 anfragt auf die interne Synology IP (z.B. 192.168.2.10) auf Port 5001 weiterleiten.
So würde ich zumindest sicherstellen, dass Portscan-Kiddies, die es auf Schwachstellen von Geräten bestimmter Hersteller abgesehen haben, nicht auf die einfachste Art und Weise in einer IP Range alle Synos finden, indem man z.B. mit nmap nur die Ports 5000-5001 scannt.

That's it!

Beste Grüße,
Janosch111

 

[itari]

ein Port ist so sicher wie der andere (Port kommt von Wortstamm port := für einerseits portare tragen, andererseits porta, Tor, Eingang bzw. portus Hafen ... Portugal := vom römischen Namen Portus Cale; "Schöner Hafen") *gg*

Portscan-Kiddies sind auch nicht die wirklich gefährlichen ... gefährlich sind die Geheimdaemonen (Daemon = böser Geist) und Monstercrawler (Crawler = Kriechtiere, Schleimer), die man nicht merkt ... gut dass sich das Thema demnächst erledigt, wenn die Provider 'deep packet inspection' vornehmen sollen

Itari

 

[devNull]

Wie bereits erwähnt wirst du nie eine 100% Sicherheit haben.

Ich möchte hier nur ein paar Inputs geben, evtl. auch zu Paranoid.
5001/https solltest du Verwenden um den Datenverkehr zu verschlüsseln.

• Zb kann in einem öffentlichen Wlan nicht jeder ohne weiteres mitlesen.

Den Defaultport (5000/5001) würde ich dennoch ändern und gegen aussen sonstwohin legen.

• Portscanner wissen nicht sofort welcher "Dienst" auf diesem Port läuft
• Wird eine Lücke bekannt, suchen scripte gezielt nach IP:5000 & IP:5001und werden dann Angreifen. (Brutforce fällt hier weg)

Die Dienste von Ausserhalb nur per VPN zugänglich machen.

• VPN ermöglicht einen verschlüsselten Tunnel (alle Aktionen mit dem NAS werden verschlüsselt)
• es müssen keine weiteren Ports freigegeben werden
• natürlich ist auch VPN nicht 100% sicher

 

[itari]

Portscanner wissen nicht sofort welcher "Dienst" auf diesem Port läuft

ich denke, sie werden es nicht sehr schwer haben, darauf zu kommen, dass da ein Webserver werkelt, oder?

Itari

 

[devNull]

ich denke, sie werden es nicht sehr schwer haben, darauf zu kommen, dass da ein Webserver werkelt, oder?

Itari

Wie gesagt

Portscanner wissen nicht sofort welcher "Dienst" auf diesem Port läuft

Es ist einfach eine Frage der Effizienz (es geht schon ein weilchen bis 65000 Ports gescannt und bei Erfolg geprüft worden sind).
Natürlich ist es auch ein Unterschied ob ein Angreifer dich aussucht oder generell Systeme mit Defaulteinstellungen angegriffen werden.