Grundsätzliches zum Thema Netzwerksicherheit: Unterschied zwischen den Versionen

Aus
KKeine Bearbeitungszusammenfassung
(überarbeitung, Linkfix)
Zeile 5: Zeile 5:
Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln.
Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln.
Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.
Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.
Beispiel: Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.
Beispiel: Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.


Zeile 10: Zeile 11:
===Firewall===
===Firewall===
Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen.
Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen.
Manche Router unterstützen auch IDS (Erkennen von Eindringlingen) welches auch aktiv gesetzt sein sollte.
Manche Router unterstützen auch [http://de.wikipedia.org/wiki/Intrusion_Detection_System IDS] (Erkennen von Eindringlingen) welches auch aktiv gesetzt sein sollte.
Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann.
Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann.
PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.
PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.
Zeile 16: Zeile 17:
===Portforwarding===
===Portforwarding===
Um nur die notwendigen Ports für die verschiedenen Dieste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen:
Um nur die notwendigen Ports für die verschiedenen Dieste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen:
Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?
 
[http://www.synology.com/deu/support/help-page_deu.php?q_id=299 Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?]
 
Diese Ports können am Router meist unter "Applikationen und Spiele" verwaltet werden.
Diese Ports können am Router meist unter "Applikationen und Spiele" verwaltet werden.


===Passwort===
===Passwort===
Benutze IMMER ein starkes Passwort (nicht nur für die CS/DS, auch Router usw.)
Benutze IMMER ein starkes Passwort (nicht nur für die CS/DS, auch Router usw.)
Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu!
Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu!
Passwörter regelmäßig wechseln.
Passwörter regelmäßig wechseln.


Zeile 29: Zeile 34:


===Webserver und Sicherheit===
===Webserver und Sicherheit===
Wiki: Zugriffsschutz für Webseiten einrichten
[[Zugriffsschutz_f%C3%BCr_Webseiten_einrichten|Wiki: Zugriffsschutz für Webseiten einrichten]]


===Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container===
===Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container===
Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen.
Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen.
Zum Verschlüsseln eignen sich AES-verschlüsselte Container z.B. mit [http://www.truecrypt.org/ Truecrypt].
Zum Verschlüsseln eignen sich AES-verschlüsselte Container z.B. mit [http://www.truecrypt.org/ Truecrypt (Portable)].
Nachteile: Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll.
Nachteile: Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll.
Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler im Dateisystem des Containers ist oder das Passwort vergessen wurde.
Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler im Dateisystem des Containers ist oder das Passwort vergessen wurde.
Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich.
Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich.
Durch Ausfall einer Raid-HDD kann der Raid-Verbund mit Truecrypt eventuell nicht mehr hergestellt werden!
Durch Ausfall einer Raid-HDD kann der Raid-Verbund mit Truecrypt eventuell nicht mehr hergestellt werden!
Daher: Verschlüsseln nur was nochmal als Backup vorhanden ist (was natürlich auch verschlüsselt sein kann).
'''Daher: Verschlüsseln nur was nochmal als Backup vorhanden ist (was natürlich auch verschlüsselt sein kann).'''


===Sichere Verbindungen aktivieren===
===Sichere Verbindungen aktivieren===
Zeile 44: Zeile 49:
Im Disk Station Manager:
Im Disk Station Manager:


Web => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten.
'''Web''' => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten.
Port: 5001
Port: 5001
Hinweis: Nach Umstellung System neu booten
Hinweis: Nach Umstellung System neu booten




FTP => Nur SSL/TLS-Verbindung erlauben
'''FTP''' => Nur SSL/TLS-Verbindung erlauben
 
Hinweis: Nach Umstellung System neu booten
Hinweis: Nach Umstellung System neu booten


Info
Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP). FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe! Sichere Alternativen bieten SFTP (FTP über SSH), SCP, FTPS (FTP über implicit SSL) und FTPES (FTP über explicit SSL/TLS). Ohne Modifikation beherrschen die Synology Stations die Kommunikation über unverschlüsseltes FTP und FTPES.
 
 
* '''SFTP (FTP über SSH)''' -> wird standardmäßig von den Synology Stations nicht unterstützt, SFTP kann aber über IPKG nachinstalliert werden -> [[SFTP_SCP|SFTP SCP]]
* '''FTPS (FTP über implizites SSL/TLS)''' -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.
* '''FTPES (FTP über explizites SSL/TLS)''' -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.
 
Einen Artikel über den Unterschied zwischen FTPS und FTPES findet man hier: [http://help.globalscape.com/help/secureserver2/Explicit_versus_implicit_SS.htm].


* Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP). FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe! Sichere Alternativen bieten SFTP (FTP über SSH), SCP, FTPS (FTP über implicit SSL) und FTPES (FTP über explicit SSL/TLS). Ohne Modifikation beherrschen die Synology Stations die Kommunikation über unverschlüsseltes FTP und FTPES.
Anonymes FTP lässt Datenzugriff ohne sichere Passworteingabe auf freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.
*SSH steht für Secure Shell und ist sowohl Protokoll (TCP-Port 22) als auch Programm. SSH ermöglicht eine gesicherte verschlüsselte Daten-Verbindung zwischen 2 Rechnern. Bei Secure FTP, welches wieder auf FTP aufbaut, werden die Authentifizierung und der Verzeichniswechsel über einen SSH-Tunnel verschlüsselt, der Rest der Kommunikation inklusive Datentransfer läuft unverschlüsselt ab. Die beteiligten Rechner werden dadurch nicht in so starkem Maße durch die Verschlüsselung belastet, wie es bei einer vollständigen Verschlüsselung der Kommunikation wäre.
 
* Man unterscheidet explizites und implizites Secure FTP. Beim impliziten Secure FTP ist die Verschlüsselung per SSL/TLS zwingend bei der Anmeldung an einer Domäne erforderlich, beim expliziten Secure FTP ist auch eine unverschlüsselte Anmeldung an einer Domäne möglich, die Verschlüsselung kann aber per AUTH-Signal vom FTP-Client initialisiert werden. Der Standard-Port für Secure FTP ist Port 990. So wie es HTTPS gibt, existiert auch FTPS, eine per SSL/TLS gesicherte FTP-Verbindung, mit der verschlüsselte Datenübertragung möglich ist. In Kombination mit Secure FTP wird eine sichere Kommunikation zwischen 2 Rechnern möglich. Die CS/DS-Boxen unterstützen sichere Verbindungsmöglichkeiten des FTP-Server und Clients nach Aktivierung per SSL/TLS.
FTP für allgemein bekannte Benutzer guest, admin, administrator etc sperren.
* SFTP/SCP nachinstallieren. Info: sFTP (SSH File Transfer Protokoll) nutzt SSH zu Verschlüsselung der Authentifizierung, Kommunikation und Datentransfer zwischen 2 Rechnern. Es ist ein komplett eigenständiges Protokoll, das anders als FTP funktioniert. Es gibt nur eine Verbindung für den Steuer- und Datenkanal und auch nur ein Port wird genutzt (Port 22).
* Anonymes FTP lässt Datenzugriff ohne sichere Passworteingabe auf freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.
* FTP für allgemein bekannte Benutzer guest, admin, administrator etc sperren.


===Hinweis===
===Hinweis===
Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen.
Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen.
===Schlussfolgerung===
Wenn man 'Großes' vor hat, dann wären 3 Disk-Stations eigentlich der richtige Ansatz: eine DS für die interne Datenhaltung ohne Zugang zum Web; eine DS als Web-Server in der DMZ des Routers; eine als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten; vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.

Version vom 4. Dezember 2008, 12:23 Uhr

Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man hier.

Warum Netzwerksicherheit

Sobald man einen NAS-Dienst (Server) im Netz hat, kann ihn quasi jeder sehen - auch wenn ihn sonst niemand kennt. Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln. Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.

Beispiel: Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.

Konfigurationsempfehlungen

Firewall

Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen. Manche Router unterstützen auch IDS (Erkennen von Eindringlingen) welches auch aktiv gesetzt sein sollte. Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann. PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.

Portforwarding

Um nur die notwendigen Ports für die verschiedenen Dieste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen:

Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?

Diese Ports können am Router meist unter "Applikationen und Spiele" verwaltet werden.

Passwort

Benutze IMMER ein starkes Passwort (nicht nur für die CS/DS, auch Router usw.)

Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu!

Passwörter regelmäßig wechseln.

Automatische IP-Blockierung

Über Firmware-Aktualisierungen wurde auch eine automatische IP-Blockierung für den FTP-Dienst auf den Synology-Boxen eingeführt. Diese ist wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach (einstellbaren) 10 fehlgeschlagenen Login-Versuchen für einen einstellbaren Zeitraum. Somit wird ein Wörterbuchangriff uninteressant, weil es zu lange dauern würde bis das richtige Passwort erraten wird.

Webserver und Sicherheit

Wiki: Zugriffsschutz für Webseiten einrichten

Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container

Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen. Zum Verschlüsseln eignen sich AES-verschlüsselte Container z.B. mit Truecrypt (Portable). Nachteile: Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll. Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler im Dateisystem des Containers ist oder das Passwort vergessen wurde. Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich. Durch Ausfall einer Raid-HDD kann der Raid-Verbund mit Truecrypt eventuell nicht mehr hergestellt werden! Daher: Verschlüsseln nur was nochmal als Backup vorhanden ist (was natürlich auch verschlüsselt sein kann).

Sichere Verbindungen aktivieren

Benutze, wenn möglich, immer den sicheren Kanal: Im Disk Station Manager:

Web => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten. Port: 5001

Hinweis: Nach Umstellung System neu booten


FTP => Nur SSL/TLS-Verbindung erlauben

Hinweis: Nach Umstellung System neu booten

Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP). FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe! Sichere Alternativen bieten SFTP (FTP über SSH), SCP, FTPS (FTP über implicit SSL) und FTPES (FTP über explicit SSL/TLS). Ohne Modifikation beherrschen die Synology Stations die Kommunikation über unverschlüsseltes FTP und FTPES.


  • SFTP (FTP über SSH) -> wird standardmäßig von den Synology Stations nicht unterstützt, SFTP kann aber über IPKG nachinstalliert werden -> SFTP SCP
  • FTPS (FTP über implizites SSL/TLS) -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.
  • FTPES (FTP über explizites SSL/TLS) -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.

Einen Artikel über den Unterschied zwischen FTPS und FTPES findet man hier: [1].

Anonymes FTP lässt Datenzugriff ohne sichere Passworteingabe auf freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.

FTP für allgemein bekannte Benutzer guest, admin, administrator etc sperren.

Hinweis

Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen.

Schlussfolgerung

Wenn man 'Großes' vor hat, dann wären 3 Disk-Stations eigentlich der richtige Ansatz: eine DS für die interne Datenhaltung ohne Zugang zum Web; eine DS als Web-Server in der DMZ des Routers; eine als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten; vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.