Synology NAS Port Forwarding gefährlich?

[h3@d1355_h0r53]

Was viele hier vergessen: Ein externer Dienst, feste IP oder VPN. Das alles sind auch nur Computer, allerdings von Fremden, die diese mit möglichst wenig Aufwand kommerziell vermieten.

Die halbe Miete am NAS und online sind sichere Kennwörter. Bestenfalls Admin Account deaktivieren und einen anderen Account zum Admin machen, da die meisten Angriffe direkt auf Admin gehen. 2FA macht man auch nur wenn man seinem Kennwort und dem Mechanismus dahinter nicht vertraut.

Synology DSM ist bisher vergleichsweise sehr gut weggekommen bei Sicherheitstests und Hacking Wettbewerben. Wenn es jemand speziell auf deine Diskstation abgesehen hat, wird er oder sie oder es mehr Erfolg haben eines deiner Endgeräte anzugreifen und darüber Zugriff zu erlangen. Oder eben eines deiner gemieteten Geräte/Server/Dienste.

Deine Daten interessieren i.d.R. sowieso auch niemand, außer du bist wichtig oder prominent. Dich interessieren sie. Daher ist entsprechend ein Backup nötig. Synology unterstützt hier auch WORM und bietet, richtig eingerichtet, auch Schutz vor Verschlüsselung. Ein Backup über eine zweite Synology, an einem anderen Ort, ist auch sinnvoll. Dabei kann ein versioniertes Backup gemacht werden und der Vorteil dabei ist, dass das Backup von der zweiten Synology von einem sauberen Prozess initiiert wird und die erste Synology gar keinen eigenständigen Zugriff auf die zweite hat. Einen Angreifer interessiert nur die Kohle, die du für deine Daten zahlst, wenn du kein Backup hast.

Ein VPN bietet dir natürlich etwas Schutz beim Zugriff. Aber es verhindert auch die Nutzung vieler Dienste über das offene Web. Externe Dienste kannst du bezüglich Sicherheit im Detail gar nicht kontrollieren.

Deswegen: Passwort. Backup. Beides richtig machen.

 

[Jxsua]

Aber es macht doch keinen Unterschied, ob du nun von der einen IP zulässt oder von allen, denn: Wenn dein vServer dazwischen kompromittiert wurde (der ja auch per Wireguard läuft, von allen IPs erreichbar), kann jemand von da direkt auf deine NAS durch. Also ist es egal ob du WireGuard auf der NAS oder auf dem vServer hast.

Hm ja dazu müsste ja allerdings die Person erstmal wissen dass ich das über ein VPN mach dann den VPN Dienst hacken was ich mir so ziemlich unmöglich vorstelle und danach noch meine NAS hacken…

 

[Skudrinka]

Mir kommt es so vor, als ob du nur das hören möchtest, was du hören willst.
Am Ende wirst du es doch eh in die Tat umsetzen.
Dann mach das doch einfach.

Du hast jetzt oft genug lesen können, dass es auch Risiken mit sich bringt.
Was du daraus machst, ist dein Ding.

 

[Donnidonis]

Die Wahrscheinlichkeit, dass jemand den vServer findet ist genauso groß wie dass jemand dein NAS findet. Und wenn du WireGuard auf dem vServer hast, willst du dann das NAS offen inst netzt hängen, oder es auch per WireGuard an den vServer anbinden?
Du baust einfach nur ein Element in die Kette ein, die dir KEINE Sicherheit bringt. Wenn jemand auf dem vServer sitzt, kommt er an dein NAS. Es macht einfach keinen Sinn, das so aufzubauen.

 

[Jxsua]

Mir kommt es so vor, als ob du nur das hören möchtest, was du hören willst.
Am Ende wirst du es doch eh in die Tat umsetzen.
Dann mach das doch einfach.

Du hast jetzt oft genug lesen können, dass es auch Risiken mit sich bringt.
Was du daraus machst, ist dein Ding.

Ich verstehe nur noch nicht so ganz. Wenn Ports nur für eine einzige iP offen sind und für alle anderen iPs auf der Welt geschlossen sind… ob das eine Gefahr darstellet. Ich will halt immer vorsichtig sein. Und lieber auf Nummer sicher gehen aber halt auch nicht an Condor einbüßen… das sind nur leider komplementäre Ziele und von dem her schwer beides zu erreichen. Wie ich hier höre soll die diskstation von selber aber auch schon sehr sicher sein oder täusch ich mich da?

 

[Skudrinka]

Wäre denn eine Cloud keine Alternative?
Hier kannst du auch Daten mit anderen Teilen und dazu müsstest du nie dein privates Netzwerk, egal wie, öffnen.

Wie ich hier höre soll die diskstation von selber aber auch schon sehr sicher sein oder täusch ich mich da?

Genau "soll"... Es gibt immer Sicherheitslücken, die irgendwann ausgenutzt werden KÖNNEN.
Und wenn du doch selber sagst, dass es sich um sensible Dateien handelt..

I

 

[chrigu]

Nimm doch das nas eigene Verbindungstool und spar dir die Miete des vpn Dienstleister damit deine persönlichen Daten niemand abgreifen kann. Denn das Connect Tool ist eine gesicherte Leitung und umgeht das übliche ds-lite/cgn gemurkse.

 

[Jxsua]

Die Miete ist echt nicht teuer 2-3 Euro im Monat. Und ein VPN ist sowieso nicht schlecht wenn man auf Reisen ist… meiner Meinung nach… ist es nicht aber tatsächlich auch so dass dass Synology eigene Connect Tool etwas langsam sein kann? Und wie sieht es da datenschutz technisch aus? Ich habe oft gehört dass das nicht so schnell sein soll.

 

[BeBur]

Ich verstehe nur noch nicht so ganz. Wenn Ports nur für eine einzige iP offen sind und für alle anderen iPs auf der Welt geschlossen sind… ob das eine Gefahr darstellet.

Das ist eine gute Methode. Ich würde vermuten, selbst wenn du nur deutsche IPs erlaubst bist du schon ziemlich safe.

Wie ich hier höre soll die diskstation von selber aber auch schon sehr sicher sein oder täusch ich mich da?

Du könntest mal schauen, wie viele kritische CVEs es in den letzten Jahren gab. Generell hat ein VPN-Dienst eine kleinere Angriffsfläche als ein NAS. vServer rate ich dir von ab, das vergrößert die Angriffsfläche eher.

 

[Jxsua]

Ist kein vServer ich bin bei Surfshark und habe dort eine. Dedizierte iP für 2-3 Euro im Monat gebucht. Dort kann ich dann unbegrenzt Geräte mit verbinden. Und habe so eine WireGuard File, OpenVPN und IKEV2 Zugangsdaten die ich auf allen Geräten nutzen kann. Oder halt die App vom Anbieter.

 

[BeBur]

Ist kein vServer ich bin bei Surfshark und habe dort eine. Dedizierte iP für 2-3 Euro im Monat gebucht.

Ist anscheinend ein VPN Dienst um den Surfshark sich kümmert bezüglich Updates und Co. Das ist doch dann eine super Lösung, aber ich dachte VPN sei zu kompliziert für die anderen Nutzer?

 

[maxblank]

Schalte zumindest einen Reverse Proxy davor.

https://kb.synology.com/en-af/DSM/help/DSM/AdminCenter/system_login_portal_advanced?version=7

Dort könntest du dann zusätzlich noch 2FA konfigurieren, unabhängig von der Art der Anwendung dahinter.

https://blog.adn.de/cloud/reverse-p...ger-baustein-in-der-it-sicherheitsarchitektur

 

[Jxsua]

Ist anscheinend ein VPN Dienst um den Surfshark sich kümmert bezüglich Updates und Co. Das ist doch dann eine super Lösung, aber ich dachte VPN sei zu kompliziert für die anderen Nutzer?

Nein, ich meinte ein VPN ins Heimnetz da man dieses ständig ein und ausschalten muss… das andere kann ja permanent laufen da dies ja nichts von der Internetbandbreite beansprucht und Turbo schnell ist.

Was bringt das Reverse Proxy? Also ich nutze das für ein paar andere Dienste… aber die DSM Seite brauch das ja nicht oder? Diese ist ja ohnehin von 443 erreichbar.

 

[maxblank]

Nein, DSM Weboberfläche ist im Standard über Port 5000 (http und unverschlüsselt) und Port 5001 (https und verschlüsselt) erreichbar.
Funktionsweise, Vorteile und Sicherheit des Reverse Proxys ist oben im Link erklärt. Angeschaut?

Edit: Hier noch eine anschauliche Erklärung dazu.
https://kinsta.com/de/blog/reverse-...roxy sitzt vor,nicht der Benutzer oder Client.

 

[Jxsua]

Nein, DSM Weboberfläche ist im Standard über Port 5000 (http und unverschlüsselt) und Port 5001 (https und verschlüsselt) erreichbar.
Funktionsweise, Vorteile und Sicherheit des Reverse Proxys ist oben im Link erklärt. Angeschaut?

Edit: Hier noch eine anschauliche Erklärung dazu.
https://kinsta.com/de/blog/reverse-proxy/#:~:text=Ein Reverse-Proxy sitzt vor,nicht der Benutzer oder Client.

Ich hab im Router den Port 443 auf die NAS geöffnet und diese ist dann automatisch darüber erreichbar. Wenn ich den Port 5001 eingebe ist sie darüber auch erreichbar. Halt nur lokal weil nach außen nur der Port 443 offen ist. Da ist wohl schon automatisch eine Port Weiterleitung auf 443 eingestellt. Zusätzlich hab ich dann über Sub-Domains und die Reverse Proxy viele Dienste über ihre eigen Adresse über den Port 443 verfügbar gemacht.

Nein, DSM Weboberfläche ist im Standard über Port 5000 (http und unverschlüsselt) und Port 5001 (https und verschlüsselt) erreichbar.
Funktionsweise, Vorteile und Sicherheit des Reverse Proxys ist oben im Link erklärt. Angeschaut?

Edit: Hier noch eine anschauliche Erklärung dazu.
https://kinsta.com/de/blog/reverse-proxy/#:~:text=Ein Reverse-Proxy sitzt vor,nicht der Benutzer oder Client.

Würdest du sagen das das allerdings sicher ist? Über Port Forwarding? Viele sagen es sei unsicher und andere wiederum sagen dass das System relativ sicher sei und eine iP Zugriffs Begrenzung auf nur Deutschland ausreiche.

 

[maxblank]

Nein, ich würde das niemals machen und keine DSM Verwaltungsoberfläche mit dem nackten Arsch ins Internet stellen. Bei mir gibt es nur Zugang für mich selbst mit Wireguard.

 

[Jxsua]

Über die FritzBox dann?

 

[Christian1297]

Nein, ich meinte ein VPN ins Heimnetz da man dieses ständig ein und ausschalten muss… das andere kann ja permanent laufen da dies ja nichts von der Internetbandbreite beansprucht und Turbo schnell ist.

Wie gesagt, Wireguard als Splittunnel konfigurieren und du hast kein Problem damit den tunnel dauerhaft vorzuhalten. Ohne ständiges keepalive packet auch sehr sparsam.

 

[maxblank]

Über die FritzBox dann?

Ja, genau.

 

[Jxsua]

Wie gesagt, Wireguard als Splittunnel konfigurieren und du hast kein Problem damit den tunnel dauerhaft vorzuhalten. Ohne ständiges keepalive packet auch sehr sparsam.

Der Tunnel des Servers ist bereits ohne Keepalive packet. Wie macht man so nen splittunnel auf iOS Geräten?