Grundsätzliches zum Thema Netzwerksicherheit

Aus
Version vom 15. Dezember 2008, 10:40 Uhr von Trolli (Diskussion | Beiträge) (Link von Putty Portable auf das normale Putty geändert, Link zu WinSCP entfernt.)

Dieser Artikel soll Anfängerfragen zur Netzwerksicherheit beantworten. Die entsprechende Forumsdiskussion findet man hier.

Warum Netzwerksicherheit

Sobald man einen NAS-Dienst (Server) im Netz hat, kann ihn quasi jeder sehen - auch wenn ihn sonst niemand kennt. Dafür werden sogenannte Portscanner verwendet. Die schauen (oft automatisiert) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind und unter Umständen wird versucht diese auszuhebeln. Ob ein Angriff von außen stattgefunden sein könnte kann man in der Logdatei der Synology-Box sehen.

Beispiel:

Warning (Datum/Uhrzeit] User FTP client [User] from [64.28.200.xxx] failed to log in the server.

Konfigurationsempfehlungen

Router

Am Router sollte ein Passwort gesetzt sein, aber nicht das Standardpasswort (admin/admin).

Firewall

Um die NAS-Box sicher im LAN/WAN zu betreiben ist ein Router mit Firewall wichtig. Viele Standard-Modemrouter (Fritz-Box, Thomson) bieten einfache Firewall-Lösungen die über die Routermaske aktiv gesetzt werden müssen. Den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann. PC und Laptop im lokalen Netz mit Firewall und Virenscanner betreiben.

Portforwarding

Um nur die notwendigen Ports für die verschiedenen Dienste der DS/CS zu öffnen, empfiehlt es sich einen Blick auf die Port-Tabelle zu werfen, damit unliebsamen Gästen keine unnötigen Tore zum NAS offen stehen: Welche Ports im Netzwerk werden von den verschiedenen Diensten der Synology Produkte benutzt?

IDS

Durch "Denial of Service" (DoS-Attacke) wird das Zielsystem sehr stark durch Zugriffe von außen bombardiert wodurch das System abstürzen kann und somit die Sicherheit und Produktivität gestört wird. Ein Schutz gegen diese diese Angriffsart ist ein IDS System (Erkennen von Eindringlingen) in Kombination mit Firewall und Sicherheits-Backup der Daten. Manche Router unterstützen auch IDS welches auch aktiv gesetzt sein sollte.

Passwort

Benutze IMMER ein starkes Passwort (nicht nur für die Synology Station, auch Router usw.). Wörter aus dem Wörterbuch, Namen, etc. sind absolutes Tabu! Passwörter regelmäßig wechseln.

Automatische IP-Blockierung

Über Firmware-Aktualisierungen wurde auch eine automatische IP-Blockierung für den FTP-Dienst auf den Synology-Boxen eingeführt. Diese ist wirksam gegen Bruteforce-Attacken aus dem Web und sperrt die IP des Angreifers automatisch nach 3 fehlgeschlagenen Login-Versuchen.

Webserver und Sicherheit

Die Themen Webserver und Sicherheit werden bereits an andere Stelle im Wiki ausführlich behandelt:

Fernwartung

Dienste wie Telnet oder rlogin ermöglichen eine Fernverbindung zum eigenen Server, doch leider wird damit das Passwort im Klartext übertragen. Es könnte also von einem Dritten gesnifft werden. Mit einem SSH-2 Client werden die Anmeldepasswörter sicher und nicht im Klartext übertragen. Ein populärer SSH-Client ist z.B. Putty. Der Telnet-Port (Port 23) sollte nicht im Router an die Synology Station weitergeleitet werden! Bitte vom Internet her immer nur den SSH-Port (Port 22) benutzen.

Verschlüsseln der sensiblen Daten mit einem Truecrypt-Container

Sollte ein ungebetener Gast trotzdem Zugang zu den Daten am NAS erhalten, ist es ratsam wichtige Daten verschlüsselt oder am besten gar nicht auf der NAS-Platte abzulegen. Zum Verschlüsseln eignen sich verschlüsselte Container z.B. mit Truecrypt. Nachteile:

  • Es muss vor jeder Entschlüsselung der komplette Container auf den Host-PC runtergeladen werden, daher sind große Container nicht sinnvoll.
  • Ein verschlüsselter Container kann auch nie mehr entschlüsselt werden, wenn ein Fehler in der Containerdatei ist oder das Passwort vergessen wurde.
  • Verschlüsselte Partitionen sind auf NAS-Boxen nicht möglich.

Daher: Verschlüsselte Daten unbedingt nochmal als Backup vorhalten (was natürlich auch verschlüsselt sein kann).

Sichere Verbindungen aktivieren

Benutze bei einer Verbindung von außerhalb des lokalen Netzwerks immer den sicheren Kanal: Im Disk Station Manager:
Web => HTTPS-Verbindung aktivieren - Hinweis: Lediglich der verschlüsselte Port 5001 sollte (wenn überhaupt) im Router auf die interne IP der Synology Station weitergeleitet werden.
FTP => Nur SSL/TLS-Verbindung erlauben.
Das FTP-Protokoll basiert auf dem TCP-Protokoll und arbeitet nach dem Client-Server-Prinzip. Dabei werden 2 Verbindungen aufgebaut, der Steuerkanal (Port 21) und im Anschluss der Datenkanal (Port 20 bei aktiv FTP, ein Port aus dem passiven Bereich für passiv FTP).

FTP läuft normalerweise komplett unverschlüsselt ab (User & Passwort im Klartext) und ist anfällig für Lauschangriffe!

Sichere Alternativen bieten die nachstehend aufgeführten Übertragungsarten:

  • FTPES (FTP über explizites SSL/TLS) -> wird von den Synology Stations standardmäßig unterstützt. Die Kommunikation erfolgt über den normalen FTP-Port.
  • SFTP (FTP über SSH) -> wird standardmäßig von den Synology Stations nicht unterstützt, SFTP kann aber über IPKG nachinstalliert werden -> SFTP SCP
  • FTPS (FTP über implizites SSL/TLS) -> es wird ein spezieller Port für die verschlüsselte Übertragung benutzt, die Verbindung über diesen Port ist automatisch verschlüsselt. Die Synology Station können das mit dem Standard FTP-Server nicht. Möglicherweise beherrscht ein alternativer FTP-Server über IPKG diese Kommunikationsform, allerdings kann dann die Rechteverwaltung in der DS nicht mehr dazu verwendet werden.

Anonymous FTP lässt Datenzugriff ohne sichere Passworteingabe auf entsprechend freigegebene Ordner zu. Kann zur Sicherheit deaktiviert werden, wenn es nicht gebraucht wird.
Zur weiteren Sicherheit kann die umfangreiche Client-Software FileZilla Portable am USB-Stick verwendet werden, somit hinterlässt man keine Eingaben auf (verseuchten) Rechnern. Der Zugang zu FileZilla könnte mit einem U3-Stick nochmal mit einem Passwort gesichert werden.

Hinweis

Ein Restrisiko bleibt immer. Deshalb auch hier nochmal der Ratschlag: eine am öffentlichen Netz hängende Box sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Ein Hacker mit Know-How und Absicht wird immer Wege finden um auf eine Box zu kommen. Wer zusätzliche Sicherheit benötigt wird weitere Sicherheitsmaßnahmen setzen müssen. Weiterhin sollte man unbedingt über ein zeitlich und räumlich getrenntes Backup der Daten verfügen. Der alleinige Einsatz eines Raid-Systems ist nicht ausreichend!
Ein Raid-System ist kein Backup!
Wenn man 'Großes' vor hat, dann wären drei Disk-Stations eigentlich der richtige Ansatz: eine DS für die interne Datenhaltung ohne Zugang zum Web; eine DS als Web-Server in der DMZ des Routers; eine als Backup-Server für alle Daten. Das mag im ersten Moment etwas überraschen, aber so würde man auch in einer professionellen Server-Welt arbeiten. Vielleicht muss man dort nicht unbedingt in Hardware-Kategorien denken, aber virtuelle Systeme müssten es schon sein. Da das mit den virtuellen Systemen bei der DS (noch) nicht geht (in 2-3 Jahren reden wir wieder darüber), müsste man das solange mit der doch recht preiswerten DS-Hardware gut hinbekommen.

Weblinks

Artikel über den Unterschied zwischen FTPS und FTPES: [1]