Nach der Inbetriebnahme meiner Synology DiskStation DS918+ * habe ich mich zuerst mit der Sicherheit beschäftigt. Im folgenden Artikel werden grundlegende Sicherheitseinstellungen beschrieben, die Firewall aktiviert und konfiguriert, ein SSL-Zertifikat eingebunden und die 2-Faktor-Authentifizierung eingerichtet.
1. Grundlegende Sicherheitseinstellungen
1.1 DiskStation Manager Updates
Den DiskStation Manager (DSM), das Synology Betriebssystem, solltest du immer auf dem aktuellsten Stand halten. Updates schließen evtl. (kritische) Sicherheitslücken. Ebenso vorhandene Updates von Anwendungen.
1.2 Benutzer und Passwort
Nach der Installation und Anlegen eines neuen, personalisierten Users sollte der User admin deaktiviert werden. Bei mir war dies standardmäßig der Fall (Systemsteuerung –> Benutzer).
Sicheres Kennwort
Bei der Installation und Einrichtung der DiskStation habe ich einen User eingerichtet und mit einem “sicheren und starken” Passwort versehen. Es gibt optional die Möglichkeit, Regeln für die Kennwortstärke festzulegen und zusätzlich noch ein Ablaufdatum zu definieren. Hierzu gehst du über das Hauptmenü –> Systemsteuerung –> Benutzer und hier dann auf dem Reiter Erweitert.
Meine Einstellungen umfasst alle möglichen Optionen, ich verzichte lediglich auf die letzte, wie oft man ein bereits genutztes Kennwort erneut benutzen darf. Den darunterliegenden Punkt, Kennwortablauf, habe ich bei mir nicht aktiviert. Dies kann bei mehreren Usern durchaus sinnvoll sein, bei mir im privaten Umfeld nicht.
1.3 DSM Sicherheitsberater
Im DSM gibt es einen sogenannten Sicherheitsberater. Das integrierte Tool überprüft deine DiskStation auf Schadprogramme, checkt Konto-, Netzwerk- und Systemeinstellungen nach Schwachstellen und schaut einmal nach ob es vielleicht Software-Updates gibt.
Diesen solltest du ausführen um evtl. Sicherheitsprobleme zu ermitteln und zu beheben. Beim Start des Sicherheitsberaters hast du die Auswahl zwischen der Option Für den privaten und persönlichen Gebrauch oder Für Arbeit und Unternehmen. Danach kannst du den Scan-Vorgang direkt starten
Bei mir fand er tatsächlich eine Sicherheitslücke im Bereich Netzwerk. Durch Klicken auf den entsprechenden Eintrag und dann auf Details werden weitere Informationen angezeigt. In meinem Fall ist der Standard-Port für SSH noch vorhanden und noch nicht verändert worden. Also ändern wir den Standard Port 22 und gleichzeitig deaktiviere ich SSH, da ich diese Option nicht ständig benötige und bei Bedarf aktivieren kann. Nach einem erneuten Scan ist der Sicherheitsberater zufrieden.
1.4 Dienste und Apps
Es sollten nur die Dienste und Apps installiert und aktiviert werden, die man wirklich auch nutzt. Wie oben erwähnt z.B. SSH: nur dann aktivieren, wenn man SSH aktuell benötigt. Danach sollte dieser wieder deaktiviert werden, da er ansonsten ein potenzielles Sicherheitsrisiko darstellen könnte.
Jede installierte und vor allem aktivierte App bindet Systemressourcen und dein NAS arbeitet langsamer.
1.5 Auf QuickConnect und EZ-Internet verzichten
Ich persönlich richte sowohl die Portfreigaben in meinem Router (EZ-Internet) als auch der Zugriff von “außen” (QuickConnect in Verbindung mit einem Synology Konto) lieber selber (manuell) ein und verzichte auf die Synology Board Mittel. Für Anfänger in diesem Bereich sind diese Dienste durchaus verlockend und u.U. sinnvoll.
In diesem und in weiteren Artikeln werde ich versuchen, wenn im jeweiligen Einsatzgebiet notwendig, die (Einrichtungs-)Schritte ohne diese Dienste ausführlich und für jeden nachvollziehbar zu erklären.
2. Systemsteuerung Sicherheit
Unter dem Menüpunkt Sicherheit in der Systemsteuerung gibt es sechs Reiter mit verschiedenen Einstellungsmöglichkeiten:
- Sicherheit: hier belassen wir alles auf dem Standard
- Firewall: siehe 2.1
- Schutz: hier belassen wir ebenfalls die Einstellungen auf dem Standard
- Konto: siehe 2.2
- Zertifikat: siehe 2.3
- Erweitert: Standardeinstellungen
2.1 Firewall aktivieren und Standard-Ports ändern
Die Synology Firewall sollte auf jeden Fall aktiviert und konfiguriert werden. Hierzu setzen wir den entsprechenden Haken. Unter Firewall-Profil werden die Regeln bearbeitet, d.h. was die Firewall erlauben und vor allem verbieten soll. Hier werden die Anwendungen und Dienste mit den zugehörigen Ports aktiviert, die eine entsprechende Erlaubnis bekommen sollen. Die Liste ist durchaus lang und man sollte sich im Vorfeld Gedanken machen, welche Anwendungen man nutzen möchte. Bei mir werden es sein:
- Verwaltungsprogramme: File Station
- Web Station, Photo Station, (Web Mail)
- evtl. kommen später noch weitere hinzu
Standard-Ports ändern
Die DiskStation verwendet für die verschiedenen Dienste und Anwendungen Standardports, die allgemein bekannt sind. Daher sind sie für Port-Scans und somit für potenzielle Hackerangriffe ein gefundenes Fressen. Man verhindert durch das Ändern dieser Standard-Ports zwar keinen Brute-Force-Angriff, jedoch erschwert man damit dem Angreifer z.B. das Finden der File Station oder DiskStation Managers (falls man diesen von außen zugänglich macht).
U.a. folgende Standard-Ports verwendet die DiskStation:
- DiskStation Manager, FileStation: 5000 (HTTP), 5001 (HTTPS)
- PhotoStation, WebStation, MailStation: 80 (HTTP), 443 (HTTPS)
- Surveillance Station: 9900 (HTTP), 9901(HTTPS)
Die Ports für den DiskStation Manager kannst du unter Systemsteuerung –> Netzwerk –> DSM Einstellungen ändern.
Für Anwendungen kannst du die Ports ebenfalls über die Systemsteuerung anpassen. Systemsteuerung –> Anwendungsportal –> Anwendung. Dort werden alle installierten Anwendungen aufgelistet, die über einen Browser oder Mobile Apps von “außen” erreichbar sind.
Mit weiteren Anwendungen kann man analog vorgehen. Im obigen Beispiel ist die FileStation nun über den geänderten Port erreichbar. Zusätzlich habe ich dort eine Domain eingetragen, die ich mir für die DiskStation angelegt habe und die sprechender ist als die Adresse von meinem DynDNS Anbieter.
Firewall-Regeln erstellen
Mit Klick auf Erstellen öffnet sich ein Fenster Firewall-Regeln bearbeiten. Bei Ports definieren wir über den Button auswählen, welche Anwendungen bzw. Dienste aktiviert werden sollen. Die Liste ist durchaus lang und man sollte sich im Vorfeld Gedanken machen, welche Anwendungen man nutzen möchte. Bei mir werden es sein:
2.2 Konto
Dein Benutzerkonto kannst du im Grunde auf zwei verschiedenen Wegen schützen, neben der 2-Factor-Autentifzierung:
- Automatische Blockierung
- Kennwortablauf (siehe oben)
Automatische Blockierung
Unter Systemsteuerung –> Sicherheit –> Konto kannst du die Automatische Blockierung deines Benutzerkontos aktivieren, wenn zu viele falsche Login-Versuche innerhalb einer bestimmten Zeit erfolgt sind, z.B. 5 Versuche innerhalb von 5 Minuten.
2.3 Zertifikat
In diesem Bereich legen wir ein Let’s Encrypt SSL Zertifikat an für eine sicher Verbindung zur DiskStation. Folgende Voraussetzungen sollten erfüllt sein:
- im Router muss eine Portweiterleitung sowohl für Port 80 (HTTP) als auch für 443 (HTTPS) eingerichtet werden
- Registrierung bei einem DynDNS Dienst
- optimalerweise eine eigene Domain, Sub-Domain
- und hier die Möglichkeit per CNAME auf den DynDNS Dienst zu verweisen
Unter Systemsteuerung –> Sicherheit –> Zertifikat klicken wir auf Hinzufügen. Wir wollen ein Neues Zertifikat hinzufügen und zwar ein Zertifikat von Let’s Encrypt abrufen und dieses gleichzeitig als Standardzertifikat festlegen. Im nächsten Schritt tragen wir den Domainnamen und eine E-Mail Adresse ein.
Der Domainname ist in meinem Fall eine Sub-Domain, die per CNAME auf einen DynDNS Dienst verweist und somit beim Zugriff auf die DiskStation in der Adresszeile des Browsers bestehen bleibt. Nutzt ihr keine Sub-Domain, sondern direkt die DynDNS Adresse vom jeweiligen Anbieter (z.B. meine-diskstation.dyndns.com oder meine-diskstation.selfhost.de), ist die Wahrscheinlichkeit hoch, dass ihr folgende Meldung erhaltet: Die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domainname erreicht.
Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain (selfhost.de), unabhängig der Subdomain (meine-diskstation). Pro Woche werden nur fünf Zertifikate pro Domäne ausgestellt. In diesem Fall waren andere Nutzer schneller und man muss ein paar Tage warten.
Möchtest du weitere Dienste (z.B. FileStation) von “außen” nutzen, musst du weitere Portweiterleitungen im Router eintragen.
Das Zertifikat wird automatisch nach 90 Tagen verlängert, man muss also nichts mache außer sicherzustellen, dass Port 80/443 für die Verlängerung “offen” ist.
3. 2-Factor Authentifizierung
Eine, aus meiner Sicht, sinnvollsten Sicherheitsmaßnahmen: die 2-Factor Authentifizierung. Ein starkes Passwort allein genügt meistens nicht, um wichtige Logins abzusichern. Eine Zwei-Faktor-Authentifizierung erhöht den Schutz vor unbefugtem Zugriff enorm.
Diese kann für Administratoren aktiviert werden, da diese zumeist deutlich größere Berechtigungen haben, oder aber für alle Benutzer. Nachdem Einloggen wirst du nach der Aktivierung aufgefordert einen 6-stelligen Code einzugeben. Dieser Code wird dir in einer App auf deinem Handy angezeigt.
Die 2-Factor-Authentifizierung kann unter Systemsteuerung –> Benutzer –> Erweitert aktiviert werden. Beim Aktivieren wird geprüft, ob der E-Mail Benachrichtigungsdienst bereits aktiviert worden ist.
3.1 E-Mail Benachrichtigungsdienst aktivieren
Zu finden ist dieser in der Systemsteuerung –> Benachrichtigung –> E-Mail. Dort werden neben der E-Mail Adresse noch die Daten für den Server eingetragen (SMTP-Server und IP, Benutzername und Passwort und weitere Angaben). Zum Schluss kann man sich noch eine Test-Email zusenden lassen, um zu überprüfen ob die Eingaben korrekt sind.
3.2 Einrichtungsassistent 2-Factor Authentifizierung
Der Einrichtungsassistent führt dich durch die Aktivierung der 2-Factor Authentifizierung. Nach der Eingabe deiner E-Mail Adresse erscheint im nächsten Schritt ein QR-Code, der mit einer entsprechenden App auf deinem Smartphone gescannt werden muss.
Synology unterstützt verschiedene Apps, z.B. den Google Authenticator oder Authy. Ich nutze derzeit die erst genannte App. Nachdem Scannen des QR-Codes erscheint ein erster 6-stelliger Code, der wiederum in den Einrichtungsassistenten im DiskManager deines Synology NAS eingegeben werden muss.
Nach erfolgreicher Verifizierung ist die 2-Factor Authentifizierung für dein Benutzerkonto aktiviert.
Meldest du dich zukünftig an deiner DiskStation an, im Browser oder in einer der Synology Apps, wird nach der Eingabe deines Benutzernamens und Passwortes der 6-stellige Code abgefragt.