Grundsätzliches zum Thema Netzwerksicherheit: Unterschied zwischen den Versionen

Aus
(Die Seite wurde neu angelegt: Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man [http://www.synology-forum.de/showthread.html?t=44...)
 
 
(65 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man [http://www.synology-forum.de/showthread.html?t=4442 hier].
Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man [http://www.synology-forum.de/showthread.html?t=4442 hier].
Interessante externe Links befinden sich in diesem Artikel ganz unten unter [[Grunds%C3%A4tzliches_zum_Thema_Netzwerksicherheit#Weblinks|Weblinks]].


==Warum Netzwerksicherheit==
==Warum Netzwerksicherheit==
Zeile 5: Zeile 7:
Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln.
Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln.
Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.
Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.
Beispiel: Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.
 
Beispiel:
<pre>Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.</pre>


==Konfigurationsempfehlungen==
==Konfigurationsempfehlungen==
===Router===
Am Router sollte ein Passwort gesetzt sein, aber nicht das Standardpasswort (admin/admin). Der Router sollte regelmäßig (sofern verfügbar) mit aktueller Firmware ausgestattet werden. Bei Router-Modellen die längere Zeit keine Firmwareupdate mehr erhalten haben, nach ein Nachfolgemodell beim Provider (wo man diesen gemietet hat, bspw. Telekom) nachfragen.
===Zugriff nur auf bestimmte Länder und IPs beschränken===
[http://apfelcheck.de/technik/synology-mehr-sicherheit-durch-geoip/ Zur Anleitung]
<br>
Den Adressbereich der privaten IPs nicht vergessen hinzuzufügen (Standard: 192.168.1.1 - 192.168.1.254 ; Fritzbox: 192.168.178.1 - 192.168.178.254)!
===Firewall===
===Firewall===
Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen.
Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen.
Manche Router unterstützen auch IDS (Erkennen von Eindringlingen) welches auch aktiv gesetzt sein sollte.
Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann.
Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann.
PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.
PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.


===Portforwarding===
=== Portforwarding ===
Um nur die notwendigen Ports für die verschiedenen Dieste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen:
[[Bild:Portforwarding_router.jpg|right|frame|Beispiel für Port Forwarding]]
Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?
* Um nur die notwendigen Ports für die verschiedenen Dienste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die [[Port-Tabelle]] zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen.
Diese Ports können am Router meist unter "Applikationen und Spiele" verwaltet werden.
* Unverschlüsselte Ports wie Port 80 oder 5000 ermöglichen das Abhören des Logins und sollten für kritische Dienste geschlossen bleiben.
* Hinweis: Bei jedem Router sieht die Port-Maske etwas anders aus.
 
===IDS===
Durch "Denial of Service" (DoS-Attacke) wird das Zielsystem sehr stark durch Zugriffe von außen bombardiert, wodurch das System abstürzen kann und somit die Sicherheit und Produktivität gestört wird. Ein Schutz gegen diese diese Angriffsart ist ein [http://de.wikipedia.org/wiki/Intrusion_Detection_System IDS System] (Erkennen von Eindringlingen) in Kombination mit Firewall und Sicherheits-Backup der Daten.
Manche Router unterstützen auch IDS welches auch aktiv gesetzt sein sollte.
<br>
Beispiele für Attacken aus dem Netz:
<br>
[[Bild:Ids_Router.jpg|600px]]


===Passwort===
===Passwort===
Benutze IMMER ein starkes Passwort (nicht nur für die CS/DS, auch Router usw.)
Benutze IMMER ein [http://de.wikipedia.org/wiki/Kennwort starkes Passwort] (nicht nur für die Synology Station, auch Router usw.). Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu, ebenso personenbezogene Angaben, wie Geburtstag, Wohnort, Geburtsort, Haustiername usw.
Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu!
<br>
Passwörter regelmäßig wechseln.
Passwörter sollten regelmäßig gewechselt werden. Das selbe Passwort bei mehreren Diensten (wie E-Mail, sozialen Netzwerken, Shops usw.) zu verwenden, sollte vermieden werden.
 
===Benutzer und Rechte===
Über den Disk Station Manager lassen sich Benutzer und Freigaben einrichten.
Es empfiehlt sich, die Zugänge nicht wahllos wie Zuckerl zu verteilen. Benutzer sollten immer nur so viele Rechte haben wie sie auch wirklich brauchen!
Schreibrechte im Zweifelsfall deaktivieren.
<br>
Der Administrator "admin" sollte nur zur Verwaltung verwendet werden (Hinweis: Aktuell mit Audio Station nicht möglich).
<br>
<br>
Screenshot des Disk Station Managers:
<br>
[[Bild:Setzen_privilegien.jpg|1024px]]


===Automatische IP-Blockierung===
===Automatische IP-Blockierung===
Über Firmware-Aktualisierungen wurde auch eine automatische IP-Blockierung für den FTP-Dienst auf den Synology-Boxen eingeführt.
Automatische IP-Blockierung wird wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach z.B. 5 fehlgeschlagenen Login-Versuchen innerhalb von 5 Minuten. Auf Wunsch kann die Blockierung nach gewissen Tagen automatisch aufgehoben werden und eine E-Mail-Benachrichtigung aktiviert werden.
Diese ist wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach (einstellbaren) 10 fehlgeschlagenen Login-Versuchen für einen einstellbaren Zeitraum. Somit wird ein Wörterbuchangriff uninteressant, weil es zu lange dauern würde bis das richtige Passwort erraten wird.
 
===Sicherheitsberater des DSM nutzen (ab DSM 5.1)===
Dieser sollte in regelmäßigen Abständen verwendet werden, um die Sicherheit der NAS zu überprüfen.


===Webserver und Sicherheit===
===Webserver und Sicherheit===
Wiki: Zugriffsschutz für Webseiten einrichten
Die Themen Webserver und Sicherheit werden bereits an andere Stelle im Wiki ausführlich behandelt:
*[[Zugriffsschutz für Webseiten einrichten]]
*[[DSM Zugriff auf IP-Ebene beschränken]]
*[[3rd Party Applications absichern]]
 
===https-Verbindung beim "Disk Station Manager"===
Die Synology-Weboberfläche "Disk Station Manager" ist normalerweiser über eine unverschlüsselte Verbindung (http://NAS-IP:5000) erreichbar.
Zusätzliche Sicherheit wird durch "HTTPS-Verbindung aktivieren" im Menü "Webdienste" erreicht.
Somit ist die Administrationsoberfläche über https://NAS-IP:5001 erreichbar. Für den Zugriff über Internet sollte (wenn überhaupt) nur die gesicherte Verbindung über HTTPS Port 5001 genutzt werden. Der Port 5000 sollte nicht im Router weitergeleitet werden und vom Internet aus nicht erreichbar sein.
 
===Fernwartung===
Dienste wie Telnet oder rlogin ermöglichen eine Fernverbindung zum eigenen Server, doch leider wird damit das Passwort im Klartext übertragen. Es könnte also von einem Dritten gesnifft werden. Mit einem SSH-2 Client werden die Anmeldepasswörter sicher und nicht im Klartext übertragen. Ein populärer SSH-Client für Windows ist z.B. [http://www.putty.org Putty]. Linux und Mac OS X haben bereits einen Client integriert. Einfach in der Konsole/Terminal "ssh benutzername@ip" eingeben. Der Telnet-Port (Port 23) sollte nicht im Router an die Synology Station weitergeleitet werden! Bitte vom Internet her immer nur den SSH-Port (Port 22) benutzen. Das Aktivieren des SSH-Dienstes erfolgt im Disk Station Manager auf der Seite "Terminal".


===Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container===
===Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container===
Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen.
Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen.
Zum Verschlüsseln eignen sich AES-verschlüsselte Container z.B. mit [http://www.truecrypt.org/ Truecrypt].
Zum Verschlüsseln eignen sich verschlüsselte Container z.B. mit [http://www.truecrypt.org/ Truecrypt].
Nachteile: Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll.
Nachteile:
Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler im Dateisystem des Containers ist oder das Passwort vergessen wurde.
* Ein verschlüsselter Container kann nie mehr entschlüsselt werden, wenn ein Fehler in der Containerdatei ist oder das Passwort vergessen wurde.
Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich.
* Verschlüsselte Partitionen sind auf NAS-Boxen zur Zeit nicht möglich.
Durch Ausfall einer Raid-HDD kann der Raid-Verbund mit Truecrypt eventuell nicht mehr hergestellt werden!
'''Daher: Verschlüsselte Daten unbedingt nochmal als Backup vorhalten (was natürlich auch verschlüsselt sein kann).'''
Daher: Verschlüsseln nur was nochmal als Backup vorhanden ist (was natürlich auch verschlüsselt sein kann).


===Sichere Verbindungen aktivieren===
===Sichere Verbindungen aktivieren===
Benutze, wenn möglich, immer den sicheren Kanal:
Benutze bei einer Verbindung von außerhalb des lokalen Netzwerks immer den sicheren Kanal:
Im Disk Station Manager:
Im Disk Station Manager:
<br>
'''Web''' => HTTPS-Verbindung aktivieren - Hinweis: Lediglich der verschlüsselte Port 5001 sollte (wenn überhaupt) im Router auf die interne IP der Synology Station weitergeleitet werden.
<br>
'''Web''' => automatisch zu einem sicheren Kanal umleiten - Diese Einstellung ist eigentlich nicht zwingend notwendig. Wird der Port 5000 nicht am Router auf die DS umgeleitet, so kann man von außen nicht auf diesen Port zugreifen. Im lokalen Netz kann dann weiterhin mit der schnelleren unverschlüsselten HTTP-Verbindung über Port 5000 gearbeitet werden.
<br>
[[Bild:Aktivieren https.jpg|1024px]]
<br>
<br>
'''FTP''' => Nur SSL/TLS-Verbindung erlauben.
<br>
[[Bild:Aktivieren ftpes.jpg|1024px]]
<br>
Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP).
<span style="color:#ff0000;"> FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe!</span>


Web => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten.
Sichere Alternativen bieten die nachstehend aufgeführten Übertragungsarten:
Port: 5001
Hinweis: Nach Umstellung System neu booten


* '''FTPES (FTP über explizites SSL/TLS)''' -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.
* '''SFTP (FTP über SSH)''' -> wird standardmäßig von den Synology Stations nicht unterstützt, SFTP kann aber über IPKG nachinstalliert werden -> [[SFTP_SCP|SFTP SCP]]
* '''FTPS (FTP über implizites SSL/TLS)''' -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem Standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.


FTP => Nur SSL/TLS-Verbindung erlauben
Anonymous FTP lässt Datenzugriff ohne sichere Passworteingabe auf entsprechend freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.
Hinweis: Nach Umstellung System neu booten


Info
Gegebenenfalls kann auch der Standard-Port 21 auf einen anderen gelegt werden um das Verbinden von unberechtigten Clients zu erschweren. Bei berechtigten Clients muss dann in dem FTP Programm die Änderung auch vorgenommen werden.


* Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip.
===SSH Port ändern===
Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20).
Der SSH Port kann leider erst ab DSM 5.1 direkt in DSM auf einen anderen Port gelegt werden. DSM <=5.0: Abhilfe schafft das Ändern unter
FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe!
'''/etc/ssh/sshd_config''':<br>
Sichere Alternativen bieten FTP über SSH, SCP, sFTP, Secure FTP und FTPS
Einfach Zeile 14 auskommentieren und beispielsweise '''Port 650''' reinschreiben.
<p>
Nun verbindet man sich unter Linux und Mac OS X mit:
'''ssh root@ip-adresse -p650'''<br>
Unter Putty kann der Port auch angegeben werden.


*SSH steht für Secure Shell und ist sowohl Protokoll (TCP-Port 22) als auch Programm. SSH ermöglicht eine gesicherte verschlüsselte Daten-Verbindung zwischen 2 Rechnern. Bei Secure FTP, welches wieder auf FTP aufbaut, werden die Authentifizierung und der Verzeichniswechsel über einen SSH-Tunnel verschlüsselt, der Rest der Kommunikation inklusive Datentransfer läuft unverschlüsselt ab. Die beteiligten Rechner werden dadurch nicht in so starkem Maße durch die Verschlüsselung belastet, wie es bei einer vollständigen Verschlüsselung der Kommunikation wäre. Man unterscheidet explizites und implizites Secure FTP. Beim impliziten Secure FTP ist die Verschlüsselung per SSL/TLS zwingend bei der Anmeldung an einer Domäne erforderlich, beim expliziten Secure FTP ist auch eine unverschlüsselte Anmeldung an einer Domäne möglich, die Verschlüsselung kann aber per AUTH-Signal vom FTP-Client initialisiert werden. Der Standard-Port für Secure FTP ist Port 990. So wie es HTTPS gibt, existiert auch FTPS, eine per SSL/TLS gesicherte FTP-Verbindung, mit der verschlüsselte Datenübertragung möglich ist. In Kombination mit Secure FTP wird eine sichere Kommunikation zwischen 2 Rechnern möglich. Die CS/DS-Boxen unterstützen sichere Verbindungsmöglichkeiten des FTP-Server und Clients nach Aktivierung per SSL/TLS.
==Hinweis==
* SFTP/SCP nachinstallieren. Info: sFTP (SSH File Transfer Protokoll) nutzt SSH zu Verschlüsselung der Authentifizierung, Kommunikation und Datentransfer zwischen 2 Rechnern. Es ist ein komplett eigenständiges Protokoll, das anders als FTP funktioniert. Es gibt nur eine Verbindung für den Steuer- und Datenkanal und auch nur ein Port wird genutzt (Port 22).
Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müsse sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen. Weiterhin sollte man unbedingt über ein zeitlich und räumlich getrenntes Backup der Daten verfügen. Der alleinige Einsatz eines Raid-Systems ist nicht ausreichend!<br>
* Anonymes FTP lässt Datenzugriff ohne sichere Passworteingabe auf freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.
<span style="color:#ff0000;"> Ein Raid-System ist kein Backup! </span>
* FTP für allgemein bekannte Benutzer guest, admin, administrator etc sperren.
<br>
Wenn man 'Großes' vor hat, dann wären drei Disk-Stations eigentlich der richtige Ansatz: eine DS für die interne Datenhaltung ohne Zugang zum Web; eine DS als Web-Server in der DMZ des Routers; eine als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten. Vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.


===Hinweis===
==Weblinks==
Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen.
Wie erreicht man ein Extra an Sicherheit für den Synology NAS: [https://www.synology.com/de-de/knowledgebase/tutorials/615]
Neueste Informationen zum Themen Internet und Netzwerksicherheit: [http://www.heise.de/security/]

Aktuelle Version vom 31. Oktober 2014, 10:30 Uhr

Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man hier.

Interessante externe Links befinden sich in diesem Artikel ganz unten unter Weblinks.

Warum Netzwerksicherheit

Sobald man einen NAS-Dienst (Server) im Netz hat, kann ihn quasi jeder sehen - auch wenn ihn sonst niemand kennt. Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln. Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.

Beispiel:

Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.

Konfigurationsempfehlungen

Router

Am Router sollte ein Passwort gesetzt sein, aber nicht das Standardpasswort (admin/admin). Der Router sollte regelmäßig (sofern verfügbar) mit aktueller Firmware ausgestattet werden. Bei Router-Modellen die längere Zeit keine Firmwareupdate mehr erhalten haben, nach ein Nachfolgemodell beim Provider (wo man diesen gemietet hat, bspw. Telekom) nachfragen.

Zugriff nur auf bestimmte Länder und IPs beschränken

Zur Anleitung
Den Adressbereich der privaten IPs nicht vergessen hinzuzufügen (Standard: 192.168.1.1 - 192.168.1.254 ; Fritzbox: 192.168.178.1 - 192.168.178.254)!

Firewall

Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen. Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann. PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.

Portforwarding

Beispiel für Port Forwarding
  • Um nur die notwendigen Ports für die verschiedenen Dienste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen.
  • Unverschlüsselte Ports wie Port 80 oder 5000 ermöglichen das Abhören des Logins und sollten für kritische Dienste geschlossen bleiben.
  • Hinweis: Bei jedem Router sieht die Port-Maske etwas anders aus.

IDS

Durch "Denial of Service" (DoS-Attacke) wird das Zielsystem sehr stark durch Zugriffe von außen bombardiert, wodurch das System abstürzen kann und somit die Sicherheit und Produktivität gestört wird. Ein Schutz gegen diese diese Angriffsart ist ein IDS System (Erkennen von Eindringlingen) in Kombination mit Firewall und Sicherheits-Backup der Daten. Manche Router unterstützen auch IDS welches auch aktiv gesetzt sein sollte.
Beispiele für Attacken aus dem Netz:

Fehler beim Erstellen des Vorschaubildes: Datei fehlt

Passwort

Benutze IMMER ein starkes Passwort (nicht nur für die Synology Station, auch Router usw.). Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu, ebenso personenbezogene Angaben, wie Geburtstag, Wohnort, Geburtsort, Haustiername usw.
Passwörter sollten regelmäßig gewechselt werden. Das selbe Passwort bei mehreren Diensten (wie E-Mail, sozialen Netzwerken, Shops usw.) zu verwenden, sollte vermieden werden.

Benutzer und Rechte

Über den Disk Station Manager lassen sich Benutzer und Freigaben einrichten. Es empfiehlt sich, die Zugänge nicht wahllos wie Zuckerl zu verteilen. Benutzer sollten immer nur so viele Rechte haben wie sie auch wirklich brauchen! Schreibrechte im Zweifelsfall deaktivieren.
Der Administrator "admin" sollte nur zur Verwaltung verwendet werden (Hinweis: Aktuell mit Audio Station nicht möglich).

Screenshot des Disk Station Managers:

Fehler beim Erstellen des Vorschaubildes: Datei fehlt

Automatische IP-Blockierung

Automatische IP-Blockierung wird wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach z.B. 5 fehlgeschlagenen Login-Versuchen innerhalb von 5 Minuten. Auf Wunsch kann die Blockierung nach gewissen Tagen automatisch aufgehoben werden und eine E-Mail-Benachrichtigung aktiviert werden.

Sicherheitsberater des DSM nutzen (ab DSM 5.1)

Dieser sollte in regelmäßigen Abständen verwendet werden, um die Sicherheit der NAS zu überprüfen.

Webserver und Sicherheit

Die Themen Webserver und Sicherheit werden bereits an andere Stelle im Wiki ausführlich behandelt:

https-Verbindung beim "Disk Station Manager"

Die Synology-Weboberfläche "Disk Station Manager" ist normalerweiser über eine unverschlüsselte Verbindung (http://NAS-IP:5000) erreichbar. Zusätzliche Sicherheit wird durch "HTTPS-Verbindung aktivieren" im Menü "Webdienste" erreicht. Somit ist die Administrationsoberfläche über https://NAS-IP:5001 erreichbar. Für den Zugriff über Internet sollte (wenn überhaupt) nur die gesicherte Verbindung über HTTPS Port 5001 genutzt werden. Der Port 5000 sollte nicht im Router weitergeleitet werden und vom Internet aus nicht erreichbar sein.

Fernwartung

Dienste wie Telnet oder rlogin ermöglichen eine Fernverbindung zum eigenen Server, doch leider wird damit das Passwort im Klartext übertragen. Es könnte also von einem Dritten gesnifft werden. Mit einem SSH-2 Client werden die Anmeldepasswörter sicher und nicht im Klartext übertragen. Ein populärer SSH-Client für Windows ist z.B. Putty. Linux und Mac OS X haben bereits einen Client integriert. Einfach in der Konsole/Terminal "ssh benutzername@ip" eingeben. Der Telnet-Port (Port 23) sollte nicht im Router an die Synology Station weitergeleitet werden! Bitte vom Internet her immer nur den SSH-Port (Port 22) benutzen. Das Aktivieren des SSH-Dienstes erfolgt im Disk Station Manager auf der Seite "Terminal".

Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container

Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen. Zum Verschlüsseln eignen sich verschlüsselte Container z.B. mit Truecrypt. Nachteile:

  • Ein verschlüsselter Container kann nie mehr entschlüsselt werden, wenn ein Fehler in der Containerdatei ist oder das Passwort vergessen wurde.
  • Verschlüsselte Partitionen sind auf NAS-Boxen zur Zeit nicht möglich.

Daher: Verschlüsselte Daten unbedingt nochmal als Backup vorhalten (was natürlich auch verschlüsselt sein kann).

Sichere Verbindungen aktivieren

Benutze bei einer Verbindung von außerhalb des lokalen Netzwerks immer den sicheren Kanal: Im Disk Station Manager:
Web => HTTPS-Verbindung aktivieren - Hinweis: Lediglich der verschlüsselte Port 5001 sollte (wenn überhaupt) im Router auf die interne IP der Synology Station weitergeleitet werden.
Web => automatisch zu einem sicheren Kanal umleiten - Diese Einstellung ist eigentlich nicht zwingend notwendig. Wird der Port 5000 nicht am Router auf die DS umgeleitet, so kann man von außen nicht auf diesen Port zugreifen. Im lokalen Netz kann dann weiterhin mit der schnelleren unverschlüsselten HTTP-Verbindung über Port 5000 gearbeitet werden.
Aktivieren https.jpg

FTP => Nur SSL/TLS-Verbindung erlauben.

Fehler beim Erstellen des Vorschaubildes: Datei fehlt


Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP).

FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe!

Sichere Alternativen bieten die nachstehend aufgeführten Übertragungsarten:

  • FTPES (FTP über explizites SSL/TLS) -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.
  • SFTP (FTP über SSH) -> wird standardmäßig von den Synology Stations nicht unterstützt, SFTP kann aber über IPKG nachinstalliert werden -> SFTP SCP
  • FTPS (FTP über implizites SSL/TLS) -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem Standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.

Anonymous FTP lässt Datenzugriff ohne sichere Passworteingabe auf entsprechend freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.

Gegebenenfalls kann auch der Standard-Port 21 auf einen anderen gelegt werden um das Verbinden von unberechtigten Clients zu erschweren. Bei berechtigten Clients muss dann in dem FTP Programm die Änderung auch vorgenommen werden.

SSH Port ändern

Der SSH Port kann leider erst ab DSM 5.1 direkt in DSM auf einen anderen Port gelegt werden. DSM <=5.0: Abhilfe schafft das Ändern unter /etc/ssh/sshd_config:
Einfach Zeile 14 auskommentieren und beispielsweise Port 650 reinschreiben.

Nun verbindet man sich unter Linux und Mac OS X mit: ssh root@ip-adresse -p650
Unter Putty kann der Port auch angegeben werden.

Hinweis

Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müsse sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen. Weiterhin sollte man unbedingt über ein zeitlich und räumlich getrenntes Backup der Daten verfügen. Der alleinige Einsatz eines Raid-Systems ist nicht ausreichend!
Ein Raid-System ist kein Backup!
Wenn man 'Großes' vor hat, dann wären drei Disk-Stations eigentlich der richtige Ansatz: eine DS für die interne Datenhaltung ohne Zugang zum Web; eine DS als Web-Server in der DMZ des Routers; eine als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten. Vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.

Weblinks

Wie erreicht man ein Extra an Sicherheit für den Synology NAS: [1] Neueste Informationen zum Themen Internet und Netzwerksicherheit: [2]