Freitag, 5. April 2013

Improve NAS Security - Synology

Erhöhung der NAS Sicherheit

Einleitung

Hersteller versprechen mit ihren NAS Geräten eine einfache Einbindung in Netzwerke, welche auch Laien zustande bringen sollen. Zudem rüsten die Hersteller ihre Geräte mit immer mehr multimedialen Möglichkeiten auf. Im Zeitalter der Cloud, muss ein Top-Modell natürlich auch gleich eine Cloud Lösung mitbringen.
Unlängst sind moderne NAS Geräte nicht nur netzangebundende Speicher. Hersteller wie Synology, Qnap, Netgear und diverse andere, haben bereits eine Vielzahl an Services integriert. NAS sind somit zu kleinen Servern herangewachsen.

Bei den vielfältigen Möglichkeiten sind aber einige Punkte zu beachten um ungebetene Gäste von den eigenen Daten fernzuhalten. Ich werde in diesem Beitrag einige auflisten und konkrete Beispiele anhand einer Synology Diskstation 4.2 aufzeigen.

Services und Pakete

Aktiviere nur die Services und Pakete welche du auch brauchst!

So macht es keinen Sinn SNMP zu aktivieren, wenn man keine Überwachung vor hat.
Aber auch proprietäre Services wie FileStation von Synology oder WebDAV werden immer wieder gerne aktiviert. Man sollte sich daher von Zeit zu Zeit hinterfragen, ob man nun die Services wirklich braucht. Habe ich den Zugriff auf FileStation gebraucht, nutze ich WebDAV, braucht es die Photo Station wirklich und greife ich regelmässig via SSH auf die Konsole des NAS?

Dienste DSM 4.2
Services und Pakete bedeuten Features, bedeuten aber auch Angriffsfläche, sind ein Pool für bekannte und unbekannte Sicherheitslücken.
Daher aktiviere nur das was du brauchst und deaktiviere so viel wie möglich!
Eine zentrale Verwaltung und Übersicht der Dienste findet man bei DSM unter Systeminformationen > Dienst.
Pakete verwaltet man im Paket-Zentrum.






Benutzer- und Gruppenverwaltung

Benutzerverwaltung DSM 4.2
Eine saubere Benutzer- und Gruppenverwaltung. Das A und O!

Eine richtige Benutzer- und Gruppenverwaltung regelt den Zugriff auf die verschiedenen Bereiche des NAS.
Hier konfiguriert man den Datenschutz innerhalb des NAS. Nicht jede Person im Netzwerk sollte Zugriff auf alles haben.
Sollen Gäste im Netzwerk meine Daten auf dem NAS sehen? Nein, so deaktiviert man einfach den Gast Account.
Benutze ich einen Service wie FTP, kann ich mir auch überlegen einen extra Benutzer zu generieren, welcher nur Zugriff auf den FTP Bereich hat. Wird der Account kompromittiert, so ist wenigstens nicht das ganze System betroffen.
In die Benutzerverwaltung gehört auch die Kennwort Sicherheit. Regelmässiges ändern des Kennworts mit der Beachtung gewisser Sicherheitsregeln gehören sowieso zum Umgang mit der Informatik. Eine Wegleitung dazu hier.
Bei DSM steuert man diese Einstellungen in der Systemsteuerung unter Benutzer oder Gruppe.
Es findet sich darin eine Übersicht wer auf was und welche Anwendung im NAS zugreifen darf.

Privilegieneinstellung DSM 4.2


Verschlüsselung

Verschlüsselte Services sind immer vorzuziehen!

Verschlüsselung ist ein wichtiger Punkt. Es ist in einem Datennetzwerk immer davon auszugehen, dass die Daten abgefangen werden können. Dies kann zu jedem Zeitpunkt geschehen, egal ob man sich in seinem wohligen Heimnetz befindet oder sich gerade mit einem Hotspot oder sonstigem Zugriffspunkt verbunden hat.
Verschlüsselung muss bereits bei der Benutzerauthentifizierung anfangen.
Nehmen wir das Beispiel FTP. Eine FTP Anmeldung alleine geschieht unverschlüsselt. Das bedeutet das sogar Benutzername und Passwort in Klartext übermittelt werden! Jetzt stelle man sich noch vor, dass der selbe Benutzername auch Zugriff auf sonstige Services hat. --> Richtig, diese unverschlüsselte Anmeldung wird von einer falschen Person nur einmal abgefangen. Die Konsequenzen kann man sich selber ausrechnen.
Eine unverschlüsselte Anmeldung ins besonderem über das Internet und auf zentrale Dienste wie DSM ist einfach nicht clever. Das Beispiel soll aber auch zeigen, dass die Tücken auch im Detail liegen können.

Daher empfehle ich immer die verschlüsselte Variante des Services zu verwenden und die unverschlüsselte Version bei Gelegenheit zu deaktivieren. Sogar FTP bietet verschiedene Varianten der verschlüsselten Übermittlung an.
Diesen Tipp kann man sich auch in anderen Bereichen zu Herzen nehmen. zB. bei der Anmeldung beim Mailprovider. Ist der Mail-Client so konfiguriert das er sich verschlüsselt anmeldet?

Unverschlüsselte Anmeldung an einen FTP Server
Benutzername und Passwort in Klartext!

Portweiterleitung

Die Öffnung des NAS von aussen. Sei dir bewusst was du tust!

Wer ein NAS hat, der möchte sicherlich auch gerne den Zugriff von aussen ermöglichen.
Kein Problem, aber leite nur die Ports weiter welche du auch brauchst.
Bei einem gewöhnlichen Internetzugang für Privatkunden hat man in der Regel eine öffentliche IPv4. An diese ist ein Router angeschlossen welche die Geräte im Heimnetz im einfachsten Fall mittels NAT mit dem Internet koppelt.
Grundsätzlich werden durch NAT, Anfragen aus dem Internet ohne eine Portweiterleitung oder aktive Verbindung verworfen. Der Router weiss nicht wohin er die Anfrage leiten soll. Dies ist schon mal ein rudimentärer Schutz um die Türen möglichst geschlossen zu halten.
Insofern ist es wichtig die Portnummer zu den benötigten Diensten ausfindig zu machen und nur diese weiterzuleiten! Eine Liste mit Portnummern von Synology findet man hier.
Die benötigten Dienste sollte man sich genau überlegen. Was man im internen Netzwerk braucht, ist auswärts noch lange nicht notwendig. Ist es wirklich nötig, dass man Zugriff auf die Diskstation hat? Reicht unter Umständen ein verschlüsselter WebDAV Zugriff?

Auf keinen Fall sollte man sich die Arbeit leicht machen und im Router Dienste wie Default-NAT oder IP Weiterleitung auf das NAS aktivieren! Richtig, der Zugriff auf das NAS funktioniert einwandfrei. In der Regel ist auf dem NAS aber die Firewall nicht aktiviert. Somit sind sämtliche Dienste auch im Internet verfügbar. Dinge wie UPnP und SMB gehören dort sicher nicht hin! Leider hat es auch in genateten Netzwerken wie bei Swisscom genügend schlechte Beispiele und es ist ein leichtes solche Ziele ausfindig zu machen. SMB gehört zu einem der meist abgefragtesten Protokolle im Internet. Dabei geht es meist gar nicht um das ergaunern von persönlichen Daten. Teilweise werden auf solchen Systemen Dateien eingeschleust, welche einen Trojaner beinhalten oder den PC zu einem Bot machen. Somit werden höhere Ziele verfolgt. Daher seien auch die Kiddies von solch offenen Honeypots gewarnt. Es ist  meist grundsätzlich weder erlaubt noch ratsam, nach solchen Systemen zu suchen!

Offene Windows Freigabe. Clever, eine Passwortdatei ist gleich auch noch auf dem NAS. [IRONIE]

Firewall

Oben schon angesprochen ist die Firewall auf den NAS selten aktiviert. Oft umständlich zu bedienen und auf den ersten Blick unverständlich, kann man allerdings durch die Aktivierung der Firewall die Sicherheit nochmals erhöhen. Oft wird das Thema Firewall auf Clients vernachlässigt oder als unwichtig abgetan. Dies sollte aber nicht sein! Eine Firewall ist auch auf Client/Server Ebene ein wichtiges Element.

Bei Synology lässt sich die INCOMING IPv4 Firewall einfach konfigurieren.
So kann man hier nur die Dienste durchlassen welche man benötigt. Unterteilen kann man den Zugriff durch interne wie auch externe IP Bereiche (zB. auch der VPN Adressbereich)

Ein Firewallkonzept für das NAS ist nach einer kleinen Einarbeit schlussendlich schnell erstellt, hat aber nochmals eine positiven Einfluss auf die Sicherheit, gerade im Bezug auf andere kompromittierte Systeme im Heimnetz. Bei Synology ist die Firewall so konzipiert das man sich während der Konfiguration nicht mal aussperren kann ;) Also nur zu.
Die Firewall findet man bei Synology DSM unter Systemsteuerung > Firewall und QoS


Firewall DSM 4.2

Automatische IP Blockierung

Steter Tropfen höhlt den Stein. Ein Kennwort kann sicher sein. Doch mit einer Brute Force Attacke ist es möglich, dass auch dieses früher oder später fällt.
Wer Beispielsweise kein IDS/IDP zur Hand hat, der sollte bei seinem NAS die automatische IP Blockierung aktivieren.
Damit blockiert man auf einfachste Weise Brute Force Attacken.
Bei DSM findet sich diese Option unter Systemsteuerung > Automatische Blockierung

Automatische IP Blockierung DSM 4.2

VPN

Mit einem VPN ist es möglich sich von extern ins interne Heimnetz zu verbinden. Grundsätzlich ist es so möglich das NAS gegen aussen geschlossen zu halten und nur mittels VPN eine Verbindung zu erhalten.
Wenn der Router keine Möglichkeit zur VPN Verbindung ermöglicht, so ist als Alternative bei Synology ein OpenVPN und PPTP Server vorhanden.
Während von PPTP dringendst abzuraten ist, so funktioniert OpenVPN auf der Diskstation sehr gut.
Die VPN Server lassen sich in DSM via Paket-Zentrum als Anwendung installieren.
Als Zückerchen könnte man den Zugriff des VPN Subnets in der DSM Firewall noch granular steuern.
Auch hier an die Benutzerverwaltung denken.
Weiter Infos zum Thema VPN mit Synology findet man hier.

UPnP

UPnP ermöglicht die automatische Freigabe von Services und Daten und wird gerade im Multimedialen Bereich oft verwendet.
Mit Sicherheit ein Horror ;)
Dringendst abzuraten ist es, automatische Portweiterleitungskonfigurationen, welche gewisse NAS anbieten, zu verwenden. Tests mit kompatiblen Routern haben gezeigt, dass hier grundsätzlich alle Ports weitergeleitet werden. Auch solche die eigentlich nicht sollten. Daher UPnP falls vorhanden im Router deaktivieren und die Portweiterleitungen von Hand vornehmen.
Wer auf Medienservices mit UPnP/DLNA im Heimnetz nicht verzichten kann, sollte zumindest den Zugriff von neuen Geräten einschränken und diesen nur nach manuellem Eingriff gewähren.
Bei DSM einfach erreichbar mittels Medienserver > Zugriff auf Medienserver von neu erkannten UPnP/DLNA Geräten einschränken.

Medienserver DSM 4.2




Bewusstes Handeln ebnet einen sicheren Weg. Wer das Ziel nicht kennt, wird den Weg nicht finden.


Weitere Infos und How-to^s findet man unter folgenden Links:


Kommentare:

Luca Faggiano hat gesagt…

Hallo TuxOne

Vielen Dank für deine immer hilfreichen Beiträge.
Zurzeit kämpfe ich mit meinem CG und einer DS214, bringe einfach keine VPN-Verbindung über l2tp/iPsec zustande und weiss nicht woran es liegt.

Kannst du mir bitte helfen ?
Habe im SC-Forum bereits einen thread erstellt:

http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-Swisscom/Zugriff-von-aussen-auf-Synology-DS-%C3%BCber-Centro-Grande/td-p/318459

Tux0ne hat gesagt…

Nein da hätte ich dir nicht wirklich helfen können.
Du hast die Lösung aber selber gefunden :)
http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-Swisscom/Zugriff-von-aussen-auf-Synology-DS-%C3%BCber-Centro-Grande/m-p/319747#M30230