Sicherheitsaspekte zu Heim-NAS
Willkommen in der Mk-Community › Foren › Software › div. Betriebssysteme › Sicherheitsaspekte zu Heim-NAS
- Dieses Thema hat 17 Antworten und 6 Teilnehmer, und wurde zuletzt aktualisiert vor 9 Jahren, 1 Monat von Renovatio.
-
AutorBeiträge
-
-
15. Februar 2015 um 23:02 Uhr #503281faxTeilnehmer
Hawk;520951 said:
die Synology greift direkt auf den Router zu und konfiguriert einem das richtige Portforwarding für die einzelnen Anwendungen :d:Ürgs, klingt vor allem nach einem Sicherheitsrisiko. Solche Geschichten macht man besser über ein richtiges VPN. (Hat die Synology eingebaut? Da muss man allerdings auch erst durch den Router durch.) Mit Port Forwarding schafft man sich Angriffspunkte.
Hawk;520959 said:
Da mein Linksys WRT160N Router aber nur 100Mbit ports hat hab ich mir jetzt auch noch einen neuen Router zugelegtHat sich ja erledigt, aber ich hätte einfach einen Gigabit Switch davorgehängt. Ist auf lange Sicht flexibler, sicherer und die Dinger bekommt man heutzutage für 10 € neu nachgeschmissen.
-
16. Februar 2015 um 0:02 Uhr #949683ThaRippaAdministrator
fax;520969 said:
Hawk;520951 said:
die Synology greift direkt auf den Router zu und konfiguriert einem das richtige Portforwarding für die einzelnen Anwendungen :d:Ürgs, klingt vor allem nach einem Sicherheitsrisiko. Solche Geschichten macht man besser über ein richtiges VPN. (Hat die Synology eingebaut? Da muss man allerdings auch erst durch den Router durch.) Mit Port Forwarding schafft man sich Angriffspunkte.
Schon, und Sicherheit ist immer unbquem oder teuer oder beides. Aber je nachdem, was man da auf dem Share liegen hat, kann man das Risiko durchaus eingehen. Dafür kommt man ohne VPN-Gedöns an sein Zeug, also im Zweifel von fremden Rechnern aus. Auch das ist potentiell höchst unsicher – könnt ja n Keylogger drauf sein. Egal, genau dafür ist diese Funktion gemacht. Für Mutti, die die Urlaubsfotos auch bei Tante Erna zeigen können möchte.
fax;520969 said:
Hawk;520959 said:
Da mein Linksys WRT160N Router aber nur 100Mbit ports hat hab ich mir jetzt auch noch einen neuen Router zugelegtHat sich ja erledigt, aber ich hätte einfach einen Gigabit Switch davorgehängt. Ist auf lange Sicht flexibler, sicherer und die Dinger bekommt man heutzutage für 10 € neu nachgeschmissen.
Frisst aber auch wieder eine Steckdose, ein paar Watt und ne Menge WAF, wegen der zusätzlichen Kabel.
-
16. Februar 2015 um 1:02 Uhr #949685faxTeilnehmer
ThaRippa;520974 said:
Aber je nachdem, was man da auf dem Share liegen hat, kann man das Risiko durchaus eingehen. Dafür kommt man ohne VPN-Gedöns an sein Zeug, also im Zweifel von fremden Rechnern aus. Auch das ist potentiell höchst unsicher – könnt ja n Keylogger drauf sein. Egal, genau dafür ist diese Funktion gemacht.Ne, also so einfach sollte man es sich dann doch nicht machen. Ein direkter Zugang zu einem System, auf dem wahrscheinlich alle privaten Daten liegen und das dann auch noch deinen Router neu konfigurieren kann. Da braucht’s nur eine unbekannte Lücke in irgendeiner Komponente auf dem Teil und alle Systeme in deinem Netz sind kompromittiert. Also entweder würde ich das in eine DMZ hinter eine zuverlässige Firewall stecken oder besser einfach alle meine Fotos, Videos, etc. bei Dropbox & Co hochladen. Kann die Synology ja wahrscheinlich auch. Und ja, wer jemals ein Passwort in einem Internetcafe eingibt, dem kann man nicht mehr helfen.
ThaRippa;520974 said:
Frisst aber auch wieder eine Steckdose, ein paar Watt und ne Menge WAF, wegen der zusätzlichen Kabel.Dafür aber 40 € bei der Anschaffung gespart, da ist der WAF wieder zurecht gerückt. ;)Ach ja, hatte ich noch vergessen:
Hawk;520951 said:
Meine externe HDD läuft so langsam voll, außerdem kaum was vernünftig gesichert am PCAber pass auf, dass du von den wichtigen Daten noch eine zweite Kopie hast. So ein RAID stirbt zwar nicht so leicht, aber vor einer versehentlichen Löschaktion schützt es auch nicht.
-
16. Februar 2015 um 7:02 Uhr #949689Christoph!Administrator
Und ja, wer jemals ein Passwort in einem Internetcafe eingibt, dem kann man nicht mehr helfen.
Wenn man nie nie nie ein Passwort im Internetcafe eingibt was macht man dann überhaupt im internetcafe? Keine emails kein Facebook??
-
16. Februar 2015 um 8:02 Uhr #949692ThaRippaAdministrator
Ich weiß ja nicht was Fax sich vorstellt, aber so eine Synology veröffentlicht einen Webserver. Das ui zum konfigurieren kann man natürlich auch freigeben aber muss man ja nicht. Nun könnte sich tatsächlich eine Lücke in der Implementierung befinden, aber dass meine Daten bei Dropbox sicherer sein sollen erklärt sich mir nicht. Dropbox betreibt ja auch “nur” nen “Webserver”.
-
16. Februar 2015 um 8:02 Uhr #949691faxTeilnehmer
Eigenes Gerät mitbringen, für den WLAN Zugang zahlen und dann eine VPN aufziehen. Die VPN gibt’s auch kostenlos, z.B.: http://www.vpngate.net/en/. So eine VPN ist sowieso eine gute Idee bei jedem WLAN Zugang, bei dem einem das Netzwerk nicht selbst oder dem Arbeitgeber gehört.
-
16. Februar 2015 um 9:02 Uhr #949693faxTeilnehmer
ThaRippa;520983 said:
Nun könnte sich tatsächlich eine Lücke in der Implementierung befinden, aber dass meine Daten bei Dropbox sicherer sein sollen erklärt sich mir nicht. Dropbox betreibt ja auch “nur” nen “Webserver”.Dein Beispiel waren die Urlaubsfotos von Tante Erna gewesen. Wenn jemand in Ernas Dropbox einbricht, sind wenigstens nicht auch gleich alle anderen Daten auf ihrer NAS zugänglich. Aber gut, ich halte jetzt die Klappe, weil ich das Thema schon lange genug gekapert habe. :+
-
16. Februar 2015 um 9:02 Uhr #949694Christoph!Administrator
Na dann halt alles mit Truecrypt verschlüsseln 😉
-
16. Februar 2015 um 11:02 Uhr #949703ThaRippaAdministrator
Was dir ja auch nicht hilft, wenn du davon ausgehst, dass der Webserver aufgeknackt ist und selbst den Schlüssel kennt (bzw. bis zum Reboot autorisiert ist).
Das ist aber alles zu viel Paranoia und zu wenig Kommerz hier, daher docke ich das mal ab.
-
16. Februar 2015 um 14:02 Uhr #949706ThaRippaAdministrator
Das ist uPnP, ganz einfach. Das muss man im Router aktiviert haben, und auch dann geht das natürlich bei Implementierung mit Menschenverstand nur von “innen”. Man kann es leider afaik nicht wieder deaktivieren, sobald alles läuft. Also es ist nicht so, dass die DS normale Portfreigaben konfiguriert, sondern das sind separate uPnP-Dinger.
-
16. Februar 2015 um 14:02 Uhr #949705faxTeilnehmer
Jau, die Synology kann doch sicher auch Laufwerke verschlüsseln, aber nutzt halt nichts, wenn jemand in das laufende System eindringt. Laufwerke verschlüsseln hilft eigentlich nur gegen Einbrecher, die das Gerät mitnehmen. Und man kann verschlüsselte Images rumreichen. Mache ich mit Truecrypt und Dropbox so.
Also naja, falls jemand mal im großen Stil eine Sicherheitslücke ausnutzt, hört man sicher davor, wie bei den Fritzboxen neulich. Sehr problematisch wird es dann, wenn der Support vom Hersteller ausgelaufen ist. Ich frage mich allerdings schon, wie sicher diese Synology Teile wirklich sind. Wenn ich so Sachen wie Router rekonfigurieren höre, dann scheint der Hersteller nicht sehr viel Wert auf Sicherheit zu legen.
-
16. Februar 2015 um 16:02 Uhr #949707faxTeilnehmer
Das ist also das hier: https://de.wikipedia.org/wiki/IGD-Protokoll
Ich persönlich finde das ziemlich riskant: https://de.wikipedia.org/wiki/IGD-Protokoll#Sicherheitsrisiken. Das ist exakt die Art Lücke, die die Fritzboxen letztes Jahr getroffen hat. Das wäre kein direkter Angriff auf die Synologys, aber damit das automatische Port Forwarding mit den Synologys klappt, muss man den Router so konfigurieren, dass der Fritzbox Hack möglich wird. Und wenn man sich auf die letzte Heise Meldung vom April 2014 verlassen kann, gibt es wohl immer noch ein paar Millionen ungepatchte Fritzboxen da draußen.
-
16. Februar 2015 um 16:02 Uhr #949709ThaRippaAdministrator
Exakt. Und genau sowas sollte man halt wissen, wenn man uPnP einschaltet. Ist es aber per default nicht.
-
17. Februar 2015 um 21:02 Uhr #949716RenovatioTeilnehmer
Hab bei meiner synology den Port für VPN selbst im Router eingestellt, damit ich von mobil darauf zugreifen kann. Mehr hab ich nicht freigegeben.
-
20. Februar 2015 um 8:02 Uhr #949749EdeFallTeilnehmer
Naja von Portfreigaben halte ich persönlich nicht wirklich viel. Richtiges VPN ist mir lieber, nur manchmal geht es auch nicht anders, aus welchen Gründen auch immer…Im Endeffekt muss einem das selbst ja nur klar sein, ob man sich dann dafür entscheidet das zu machen oder nicht bleibt ja jedem selbst überlassen.
-
23. Februar 2015 um 15:02 Uhr #949777littledevilTeilnehmer
Bisher habe ich kein NAS frei gegeben – gin bisher immer anders. Praktisch wäre es schon, wenn man da zumindest für ausnahmefälle ran kommt. Kann dann auch etwas umständlicher sein.
-
23. Februar 2015 um 16:02 Uhr #949780ThaRippaAdministrator
Dann darf es auch VPN sein für dich. Das ist etwas kompliziert und erfordert, dass du das Gerät vorher vorbereitest, was nach Hause verbinden können soll. Aber dafür ist es recht sicher und erlaubt dann ungeahnte Möglichkeiten. Zum Beispiel kann ich so Contentfilter im WLAN umgehen 😀
-
23. Februar 2015 um 16:02 Uhr #949781RenovatioTeilnehmer
Mich würde mal interessieren wie ihr das anders gelöst habt. Gibt ja viele Wege zum Ziel.
-
-
AutorBeiträge
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.