MeisterKühler

Sicherheitsaspekte zu Heim-NAS

Willkommen in der Mk-Community Foren Software div. Betriebssysteme Sicherheitsaspekte zu Heim-NAS

Ansicht von 17 Antwort-Themen
  • Autor
    Beiträge
    • #503281
      fax
      Teilnehmer

      Hawk;520951 said:
      die Synology greift direkt auf den Router zu und konfiguriert einem das richtige Portforwarding für die einzelnen Anwendungen :d:

      Ürgs, klingt vor allem nach einem Sicherheitsrisiko. Solche Geschichten macht man besser über ein richtiges VPN. (Hat die Synology eingebaut? Da muss man allerdings auch erst durch den Router durch.) Mit Port Forwarding schafft man sich Angriffspunkte.

      Hawk;520959 said:
      Da mein Linksys WRT160N Router aber nur 100Mbit ports hat hab ich mir jetzt auch noch einen neuen Router zugelegt

      Hat sich ja erledigt, aber ich hätte einfach einen Gigabit Switch davorgehängt. Ist auf lange Sicht flexibler, sicherer und die Dinger bekommt man heutzutage für 10 € neu nachgeschmissen.

    • #949683
      ThaRippa
      Keymaster

      fax;520969 said:

      Hawk;520951 said:
      die Synology greift direkt auf den Router zu und konfiguriert einem das richtige Portforwarding für die einzelnen Anwendungen :d:

      Ürgs, klingt vor allem nach einem Sicherheitsrisiko. Solche Geschichten macht man besser über ein richtiges VPN. (Hat die Synology eingebaut? Da muss man allerdings auch erst durch den Router durch.) Mit Port Forwarding schafft man sich Angriffspunkte.

      Schon, und Sicherheit ist immer unbquem oder teuer oder beides. Aber je nachdem, was man da auf dem Share liegen hat, kann man das Risiko durchaus eingehen. Dafür kommt man ohne VPN-Gedöns an sein Zeug, also im Zweifel von fremden Rechnern aus. Auch das ist potentiell höchst unsicher – könnt ja n Keylogger drauf sein. Egal, genau dafür ist diese Funktion gemacht. Für Mutti, die die Urlaubsfotos auch bei Tante Erna zeigen können möchte.

      fax;520969 said:

      Hawk;520959 said:
      Da mein Linksys WRT160N Router aber nur 100Mbit ports hat hab ich mir jetzt auch noch einen neuen Router zugelegt

      Hat sich ja erledigt, aber ich hätte einfach einen Gigabit Switch davorgehängt. Ist auf lange Sicht flexibler, sicherer und die Dinger bekommt man heutzutage für 10 € neu nachgeschmissen.

      Frisst aber auch wieder eine Steckdose, ein paar Watt und ne Menge WAF, wegen der zusätzlichen Kabel.

    • #949685
      fax
      Teilnehmer

      ThaRippa;520974 said:
      Aber je nachdem, was man da auf dem Share liegen hat, kann man das Risiko durchaus eingehen. Dafür kommt man ohne VPN-Gedöns an sein Zeug, also im Zweifel von fremden Rechnern aus. Auch das ist potentiell höchst unsicher – könnt ja n Keylogger drauf sein. Egal, genau dafür ist diese Funktion gemacht.

      Ne, also so einfach sollte man es sich dann doch nicht machen. Ein direkter Zugang zu einem System, auf dem wahrscheinlich alle privaten Daten liegen und das dann auch noch deinen Router neu konfigurieren kann. Da braucht’s nur eine unbekannte Lücke in irgendeiner Komponente auf dem Teil und alle Systeme in deinem Netz sind kompromittiert. Also entweder würde ich das in eine DMZ hinter eine zuverlässige Firewall stecken oder besser einfach alle meine Fotos, Videos, etc. bei Dropbox & Co hochladen. Kann die Synology ja wahrscheinlich auch. Und ja, wer jemals ein Passwort in einem Internetcafe eingibt, dem kann man nicht mehr helfen.

      ThaRippa;520974 said:
      Frisst aber auch wieder eine Steckdose, ein paar Watt und ne Menge WAF, wegen der zusätzlichen Kabel.

      Dafür aber 40 € bei der Anschaffung gespart, da ist der WAF wieder zurecht gerückt. ;)Ach ja, hatte ich noch vergessen:

      Hawk;520951 said:
      Meine externe HDD läuft so langsam voll, außerdem kaum was vernünftig gesichert am PC

      Aber pass auf, dass du von den wichtigen Daten noch eine zweite Kopie hast. So ein RAID stirbt zwar nicht so leicht, aber vor einer versehentlichen Löschaktion schützt es auch nicht.

    • #949689
      Christoph!
      Keymaster

      Und ja, wer jemals ein Passwort in einem Internetcafe eingibt, dem kann man nicht mehr helfen.

      Wenn man nie nie nie ein Passwort im Internetcafe eingibt was macht man dann überhaupt im internetcafe? Keine emails kein Facebook??

    • #949692
      ThaRippa
      Keymaster

      Ich weiß ja nicht was Fax sich vorstellt, aber so eine Synology veröffentlicht einen Webserver. Das ui zum konfigurieren kann man natürlich auch freigeben aber muss man ja nicht. Nun könnte sich tatsächlich eine Lücke in der Implementierung befinden, aber dass meine Daten bei Dropbox sicherer sein sollen erklärt sich mir nicht. Dropbox betreibt ja auch “nur” nen “Webserver”.

    • #949691
      fax
      Teilnehmer

      Eigenes Gerät mitbringen, für den WLAN Zugang zahlen und dann eine VPN aufziehen. Die VPN gibt’s auch kostenlos, z.B.: http://www.vpngate.net/en/. So eine VPN ist sowieso eine gute Idee bei jedem WLAN Zugang, bei dem einem das Netzwerk nicht selbst oder dem Arbeitgeber gehört.

    • #949693
      fax
      Teilnehmer

      ThaRippa;520983 said:
      Nun könnte sich tatsächlich eine Lücke in der Implementierung befinden, aber dass meine Daten bei Dropbox sicherer sein sollen erklärt sich mir nicht. Dropbox betreibt ja auch “nur” nen “Webserver”.

      Dein Beispiel waren die Urlaubsfotos von Tante Erna gewesen. Wenn jemand in Ernas Dropbox einbricht, sind wenigstens nicht auch gleich alle anderen Daten auf ihrer NAS zugänglich. Aber gut, ich halte jetzt die Klappe, weil ich das Thema schon lange genug gekapert habe. :+

    • #949694
      Christoph!
      Keymaster

      Na dann halt alles mit Truecrypt verschlüsseln 😉

    • #949703
      ThaRippa
      Keymaster

      Was dir ja auch nicht hilft, wenn du davon ausgehst, dass der Webserver aufgeknackt ist und selbst den Schlüssel kennt (bzw. bis zum Reboot autorisiert ist).

      Das ist aber alles zu viel Paranoia und zu wenig Kommerz hier, daher docke ich das mal ab.

    • #949706
      ThaRippa
      Keymaster

      Das ist uPnP, ganz einfach. Das muss man im Router aktiviert haben, und auch dann geht das natürlich bei Implementierung mit Menschenverstand nur von “innen”. Man kann es leider afaik nicht wieder deaktivieren, sobald alles läuft. Also es ist nicht so, dass die DS normale Portfreigaben konfiguriert, sondern das sind separate uPnP-Dinger.

    • #949705
      fax
      Teilnehmer

      Jau, die Synology kann doch sicher auch Laufwerke verschlüsseln, aber nutzt halt nichts, wenn jemand in das laufende System eindringt. Laufwerke verschlüsseln hilft eigentlich nur gegen Einbrecher, die das Gerät mitnehmen. Und man kann verschlüsselte Images rumreichen. Mache ich mit Truecrypt und Dropbox so.

      Also naja, falls jemand mal im großen Stil eine Sicherheitslücke ausnutzt, hört man sicher davor, wie bei den Fritzboxen neulich. Sehr problematisch wird es dann, wenn der Support vom Hersteller ausgelaufen ist. Ich frage mich allerdings schon, wie sicher diese Synology Teile wirklich sind. Wenn ich so Sachen wie Router rekonfigurieren höre, dann scheint der Hersteller nicht sehr viel Wert auf Sicherheit zu legen.

    • #949707
      fax
      Teilnehmer

      Das ist also das hier: https://de.wikipedia.org/wiki/IGD-Protokoll

      Ich persönlich finde das ziemlich riskant: https://de.wikipedia.org/wiki/IGD-Protokoll#Sicherheitsrisiken. Das ist exakt die Art Lücke, die die Fritzboxen letztes Jahr getroffen hat. Das wäre kein direkter Angriff auf die Synologys, aber damit das automatische Port Forwarding mit den Synologys klappt, muss man den Router so konfigurieren, dass der Fritzbox Hack möglich wird. Und wenn man sich auf die letzte Heise Meldung vom April 2014 verlassen kann, gibt es wohl immer noch ein paar Millionen ungepatchte Fritzboxen da draußen.

    • #949709
      ThaRippa
      Keymaster

      Exakt. Und genau sowas sollte man halt wissen, wenn man uPnP einschaltet. Ist es aber per default nicht.

    • #949716
      Renovatio
      Teilnehmer

      Hab bei meiner synology den Port für VPN selbst im Router eingestellt, damit ich von mobil darauf zugreifen kann. Mehr hab ich nicht freigegeben.

    • #949749
      EdeFall
      Teilnehmer

      Naja von Portfreigaben halte ich persönlich nicht wirklich viel. Richtiges VPN ist mir lieber, nur manchmal geht es auch nicht anders, aus welchen Gründen auch immer…Im Endeffekt muss einem das selbst ja nur klar sein, ob man sich dann dafür entscheidet das zu machen oder nicht bleibt ja jedem selbst überlassen.

    • #949777
      littledevil
      Teilnehmer

      Bisher habe ich kein NAS frei gegeben – gin bisher immer anders. Praktisch wäre es schon, wenn man da zumindest für ausnahmefälle ran kommt. Kann dann auch etwas umständlicher sein.

    • #949780
      ThaRippa
      Keymaster

      Dann darf es auch VPN sein für dich. Das ist etwas kompliziert und erfordert, dass du das Gerät vorher vorbereitest, was nach Hause verbinden können soll. Aber dafür ist es recht sicher und erlaubt dann ungeahnte Möglichkeiten. Zum Beispiel kann ich so Contentfilter im WLAN umgehen 😀

    • #949781
      Renovatio
      Teilnehmer

      Mich würde mal interessieren wie ihr das anders gelöst habt. Gibt ja viele Wege zum Ziel.

Ansicht von 17 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.
 
Zur Werkzeugleiste springen