Test Synology sperrt NAS-Laufwerke: Was noch funktioniert und wie man es umgeht

[chillipepper]

Ich sprach ja immer von den super Apps, die haben aber im Jahr 2025 nach wie vor kein Dark Mode ...

Es gibt viele Apps, bei denen Dark Mode schlecht implementiert ist, wegen zu wenig kontrast fürs Auge.
Das ist viel nerviger als Apps ohne Dark-mode.
Da muss man doch nur geeignete / nicht zu grelle Pastellfarben verwenden.

Andere Beispiele: man schreibt auch eher seltener mit weißem Stift auf schwartem Hintergrund, man druckt auch kein Buch auf schwarzem Papier.

 

[Cool Master]

@chillipepper

Bin ich bei dir dann kann man aber auf Light Mode umstellen, habe ich hier bei CB auch aber nach zig Jahren nicht mal den Ansatz eines Dark Modes bei einem Unternehmen mit 600+ Leuten und 300+ Mio. Umsatz? Ne sorry das muss besser gehen.

 

[Araska]

Andere Beispiele: man schreibt auch eher seltener mit weißem Stift auf schwartem Hintergrund, man druckt auch kein Buch auf schwarzem Papier.

Bin ich der Einzige hier, der sich noch an weiße Kreide auf dunkler Tafel erinnert?

 

[und tschüss]

Das liegt wohl eher daran, dass Naturkreide nun einmal weiß ist. Unsere Vorfahren haben die Sachen genutzt, wie sie sind, heute würde man das natürlich nicht mehr so machen und notfalls alles einfärben und daraus eine DIN oder ISO machen. Warum heißen wohl die Whiteboards so und welche Schriftfarben werden da genommen? Es ist ja nicht so das es keine Anpassung in dieser Richtung gab.

Die dunklen Tafeln, von denen du redest, gibt es doch kaum heute noch. Das wird heute lieber mit Powerpoint gemacht und projiziert. Abschreiben braucht man auch nichts mehr, denn die Kopie gibt es gleich dazu.

Nichts mehr von „wer schreibt, der bleibt“ ist übrig geblieben. Entsprechend sieht die Leistung und Handschrift aus. Heute wird ja erst die Druckschrift gelernt und vielleicht danach noch die Handschrift. Wie konnte man überhaupt nur so weit kommen, ohne diese Regeln?

Wir waren einmal für unser Bildungssystem weltweit anerkannt, jetzt sind wir nur noch Mittelmaß, wenn das noch reicht. Notfalls werden die Noten angehoben.

 

[fortknox]

@snoogans Ich meine u. a. solche Beispiele. Und das ist nur ein Beispiel von vielen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Fakt ist, dass in standardisierten NAS-Lösungen von der Stange (QNAP, WD, Synology) schon des öfteren Exploits für die Erpressung mit Ransomware gesucht, gefunden und benutzt wurden, obwohl der NAS-Nutzer sein Geräte NICHT bewusst für den Fernzugriff eingerichtet hatte. Ähnliches ist für Eigenbau-Systeme auf Unraid Basis nicht bekannt.

Jetzt noch diese HDD-Restrictions?? Irgendwann sollte es einem doch reichen.

Ich hatte früher auch Lösungen von der Stange und kann mit dem Ganzen undurchsichtigen Softwarekram dort, der da im Hintergrund heimlich abläuft nicht mehr viel anfangen.

Es gab besonders bei WD und QNAP viele überraschte Nutzer, weil sie:

• keine Portweiterleitungen eingerichtet hatten.
• kein Cloud- oder Fernzugriff bewusst aktiviert hatten.

Aber die Angreifer nutzten oft vorinstallierte Dienste oder Hersteller-eigene Fernzugriffsmechanismen, die automatisch aktiviert waren, ganz ohne dass die Nutzer es direkt bemerkte:

QNAP – Beispiel:

• myQNAPcloud war auf vielen Geräten standardmäßig aktiviert.
• Einige Dienste (z. B. Photo Station, Media Station, Helpdesk) hatten Webinterfaces, die vom NAS selbstständig ins Internet kommunizierten (UPnP oder Cloud Relay).

Angreifer konnten so Schwachstellen im QTS-Webinterface oder den Multimedia-Diensten ausnutzen. Die Ransomware DeadBolt hat das z. B. gemacht: Sie kam über das Internet durch Lücken in QNAP-Diensten (z. B. ungeschützte CGI-Skripte oder fehlerhafte Authentifizierungen).

Western Digital (WD My Cloud) – Beispiel:

• Auch hier war der Fernzugriff über WD-eigene Cloud-Dienste aktiv, selbst wenn keine klassische Portweiterleitung genutzt wurde.
• 2023 wurde eine kritische 0-Day-Lücke genutzt, um kompletten Root-Zugriff aus der Ferne zu erlangen. Betroffene konnten nichts dagegen tun – außer das Gerät vollständig offline zu nehmen.

Solche Zustände sind für mich inakzeptabel.
Dann eben eine Lösung wie Unraid, die so wenig verbreitet ist, dass sie für Angreifer uninteressant wird.


Für Synology speziell ist die Situation deutlich besser, weil hier zügiger reagiert wird, aber auch hier gab es reale Angriffe mit Ransomware, bei denen User ohne bewusste Portfreigabe betroffen waren und keinen Fernzugriff bewusst eingerichtet hatten, z. B. durch:

• automatisch mitinstallierte Cloud-Features wie QuickConnect, die Ports über UPnP öffneten
• nicht gepatchte DSM-Versionen (z. B. die Ransomware SynoLocker (2014)), wenn man nicht sofort jedes Update einspielen wollte (hat manchmal ganz praktische Gründe, dass man beim alten System bleiben will/muss)
• fehlende 2FA oder zu schwache Passwörter.

Ungewollte automatische Portfreigaben durch UPnP:
Viele Nutzer wussten nicht, dass QuickConnect bei Aktivierung automatisch Ports freigibt, wenn der Router UPnP unterstützt (z. B. Port 5000/5001 für DSM). Die offenen Ports wurden direkt aus dem Internet sichtbar, z. B. über "Shodan" oder konnten auch direkt durch Botnetze gescannt und erkannt werden.
Deswegen waren auch Systeme ohne manuelles Portforwarding plötzlich angreifbar durch:

• Brute-Force-Attacken
• Exploits gegen das DSM-Webinterface

Das überhaupt solche unsicheren Default-Konfigurationen bei Systemen von der Stange aufgetaucht sind (wegen "Komfort") macht solche Systeme für mich eigentlich inakzeptabel, weil man sich nicht drauf verlassen kann, was da im Hintergrund alles abläuft und ob das nicht unsicher ist. Also für sensible/persönliche Daten nutze ich solche Systeme inzwischen gar nicht mehr. Das läuft nur noch auf Unraid.

 

[andy_m4]

Die großen Hersteller machen einen guten Job, was die Sicherheit angeht

Naja.
https://www.synology.com/en-global/security/advisory/Synology_SA_24_19

Und um nen CVS-Score von 9.8 zu kriegen, muss man sich schon anstrengen. :-)

Und klar, man kann das ein wenig abfedern und klar können solche Dinge immer mal passieren. Aber umso mehr Features man einbaut, desto größer ist natürlich die Chance, das sich Bugs und/oder Fehlkonfigurationen einschleichen. Insbesondere in Zeiten, wo NAS mehr können "muss" als NAS und sich die Hersteller sich auch gegenseitig immer mit Features überbieten wollen.

kamen aber immer von einem infizierten Gerät im Netzwerk.

Mit sowas muss man aber rechnen. Dieser Ansatz zu sagen: "Wir ziehen ne Firewall ums LAN um uns vom bösen Internet abzuschotten und alles was drin ist, da gehen wir mal davon aus, das es Gutartig ist" hat sich überholt.

Ich hab' das Problem so gelöst, das man auf meinen NAS kaum was darf. Klar, man kann auf Dateien lesen/schreibend zugreifen. Aber von denen gibts auch immer Versionen und nur die letzte ist auch schreibbar. Alles andere readonly. Und auch sonst kann man auf dem NAS nicht viel machen, nicht mal die Uhrzeit einstellen. Selbst wenn man sich auf dem NAS einloggt. Wesentliche Dinge und Konfigurationen gehen nur in einem Maintaince-Mode. Und der ist im wesentlichen eine reduzierte Umgebung in der nicht viel aktiv ist.

All diese Dinge schaffen ein gutes Schutzniveau aber natürlich sind solche Dinge nicht massenkompatibel. Der sogenannte normale User wills ja bequem haben. Du hast also bei solchen Dingen immer ein Kompromiss den Du als Hersteller auch haben musst, wenn Du Deine Produkte an den Mann bringen willst. Du kannst also gar nicht so stark auf Sicherheit setzen, selbst wenn Du wolltest.

dazu das Abo- und Preismodell

Ja. Dieser Abo-Mist ist extrem doof.

Um einen fairen Vergleich zu haben, sind viele Sachen zu beachten, eben auch den Schutz der Unerfahrenen.

Vergleiche machen generell nur Sinn, wenn man ein Ziel definiert. Und dann kann man halt (zumindest einigermaßen) objektiv beurteilen, ob ein System diesem Ziel gut gerecht wird oder eben weniger gut.

Das gilt aber aber auch für "Schutz von Unerfahrenen". Wenn der Nutzer nicht unerfahren ist, ist dies eben kein so wichtiges Kriterium als wenn es um "Lieschen Müller" geht.
Insofern ist auch das nicht allgemeingültig.
Und ja. Das gilt natürlich für andere Dinge genauso.

Dann eben eine Lösung wie Unraid, die so wenig verbreitet ist, dass sie für Angreifer uninteressant wird.

:-) Hat natürlich Security-by-obscurity-Vibes.

 

[und tschüss]

@fortknox,

Ich musste mir erst einmal das Video in Schnelldurchgang ansehen, was kaum zu ertragen ist. So sieht ein typisches Opfer aus, das keine Ahnung hat, was man da macht. Er schmeißt viele Sachen durcheinander, die einfach nicht stimmen. Es gibt nur 2 Wege, ein Gerät zu infizieren, von extern oder von intern. Für die externe Infektion muss das Gerät im Internet freigegeben sein um einen Zugriff darauf zu bekommen. Durch vorhandene Sicherheitslücken (Hard- & Software) könnte es zu einer Übernahme kommen und ein Schadcode ausgeführt werden. Dazu ist aber immer noch eine Freigabe durch den User im Router nötig oder man hat UPNP im Router aktiviert. Ohne diese Freigabe kann kein Zugriff von draußen erfolgen, ansonsten müsste man einen Bypass oder Backdoor am Router oder Firewall haben! Ein interner Angriff wird sehr oft bei Ransomware genutzt. Dabei wird eine Datei oder Link von irgendeinem Client im Netzwerk geöffnet, der nach bestimmten Geräten, Diensten, Dateien, Netzwerkfreigaben sucht und den Schadcode aus dem Internet nachlädt und sich dann an die Arbeit macht. Gerade, wenn man Kinder hat, kann sowas schon einmal sehr schnell passieren. Vor Monaten ist bei uns hier im Krankenhaus genau das eingetreten. Dort ist es genauso passiert und der Trojaner hat eine Exchange-Lücke ausgenutzt wie vor 2 Jahren schon im Landkreis. Microsoft hatte schon damals einen Fix angeboten, nur die Admins haben es nicht für notwendig gehalten, diesen einzuspielen. Jetzt dem Serverhersteller die Schuld zugeben, halte ich für falsch. Auch dort war es menschliches Versagen, und die Konsequenzen folgten personell.

Was UPNP angeht, musst du aber fairerweise auch die Router Hersteller anprangern. Wenn diese Option nicht im Router per Default aktiviert ist, kann jedes Gerät im Netzwerk z. B. NAS, Cams, Drucker usw. UPNP aktiviert haben, ohne dass es negative Auswirkungen oder Portfreigaben gibt. Das ist auch nur wieder ein betreuter Weg für die Bequemlichkeit. Natürlich nutze ich dieses Feature nicht und ist natürlich auch dauerhaft deaktiviert. Da einige Modelle vom Provider mit einer angepassten Firmware kommen, sollten nicht nur der Hersteller, sondern auch der Provider mit im Boot sitzen.

Der Videomann weiß ja selbst nicht richtig, wie es dazu gekommen ist und spielt sich wichtiger mit seinen Darknetrechergen auf als er ist. Hätte er ein ordentliches Backup gehabt, anstatt die HDD in der Schublade zu haben, hätte er nicht die hunderte Euros zahlen müssen. Für diesen Preis hätte er sich auch einen gebrauchten Backup-NAS kaufen können, welcher entkoppelt und am besten woanders steht, um Strom, Wasser, Feuer und Diebstahl vorzubeugen. Nicht umsonst wirst du bei solchen Aktionen in den unterschiedlichen NAS-Foren die Antwort bekommen: „Kein Backup – kein Mitleid!". Denk mal darüber nach!

Der Schadcode kann hinter jedem Internetlink, Dateianhang, Mobil-App usw. versteckt sein. Trotzdem ist es falsch, Panik zu schieben, weil das nur die halbe Wahrheit ist. Man kann sich sehr gut in unterschiedlichen Bereichen davor schützen. In über 90 % ist es aber ein Versagen des Users vor dem Gerät, welcher aus Bequemlichkeit keine Updates einspielt, komplexe Passwörter und 2FA meidet, alles auswählt, ohne zu wissen, was für Auswirkungen es hat. Unbedarfte Freigaben ins Internet zu stellen, um Bilder und Videos zu teilen, ein Konto für alle User und das noch als Administrator nutzt und vieles, vieles mehr. Auch sind das keine gezielten Angriffe, sondern nur zufällige Treffer. Es sitzt keiner im dunklen Keller, um Hans Müller seine Urlaubsfotos zu verschlüsseln und seine Rente abzupressen, dazu ist Hans Müller zu uninteressant!

Umso wichtiger ist es, die User vor dem Kauf darauf aufmerksam zu machen und zu sensibilisieren, ggf. zu begleiten. Mangelndes Interesse und Zeit für dieses teilweise anspruchsvolle Thema beschleunigen das Ganze. Ein NAS ist kein 1-Klick-System, vor einem Ausfall und Datenverlust sind noch weitere Vorkehrungen für den dauerhaften Betrieb zu treffen. Wem das zu viel ist, sollte lieber kein Hobby-Admin spielen und erst recht nichts im Internet freigeben! Der ist dann besser in einer Cloud aufgehoben!

Die Verschlüsselung kann auch andere NAS-Betriebssysteme betreffen. Die größte Schwachstelle sehe ich dabei in der Netzwerkfreigabe. Da hilft denn auch nur noch, sich vor und nach jeder Nutzung der Freigabe abzumelden (nicht dauerhaft speichern) oder ein regelmäßiges Backup. Schadenfreude oder Häme sind hier nicht angebracht. Bei NFS ist das aufgrund der fehlenden Authentifizierung noch tragischer. Unter Linux ist man auch gut mit SMB beraten.

Es gibt für AdGuard und Pi-Hole als auch uBlock und Co Filterlisten, die bekannte und aktuelle Schadcodeseiten blockieren. Die verwendeten Würmer und Trojaner sind selten die aktuellsten. Jeder mögliche Schutz oder Maßnahme sollte ergriffen werden!

Auch wenn Dienste bereits aktiviert sind, benötigt man immer noch eine Freigabe oder der Weg über ein Relay. Um das Relay nutzen zu können, bedarf es immer eines Nutzerkontos beim Hersteller. Nur mit einem vorhandenen registrierten und bestätigten Nutzerkontos, welches auch noch auf dem NAS eingerichtet werden muss, funktioniert der Verbindungsaufbau. Auch dort ist wieder ein Zutun des Nutzers Pflicht, anstatt sich mit der eigentlichen Freigabe zu beschäftigen, wenn es denn unbedingt sein muss und Alternativen wie VPN nicht ausreichen. Stattdessen begnügt man wieder die eigene Bequemlichkeit und nutzt einen „Man in the Middle“. Dadurch ergibt sich natürlich ein Risiko für den Zugriff und die Daten und steht für mich im Widerspruch zum eigenen NAS bzw. privaten Cloud. Ich habe noch nie ein Konto bei den Herstellern gehabt und werde es auch nie haben.

Gegen die Verwendung von Quickconnect habe ich mich immer ausgesprochen und bekam immer Gegenwind für solche Äußerungen. Sämtliche User habe ich von Quickconnect befreit und sogar das Zertifikat entfernt, was von Synology so nicht vorgesehen ist und nur über die Konsole geht. Ich stehe immer noch mit vielen in Kontakt und bis jetzt hat sich keiner beschwert.

Auch die Standardports sind ja nicht das Problem. Wer schlau ist, nimmt gleich einen Reverse-Proxy. Wer IPv4 hat, kann auch die NAT benutzen, um die Ports zu tauschen. Natürlich können die Ports auch in der DiskStation angepasst werden. Letzteres wird aber von den Usern oft vergessen, wenn sie mal wieder irgendwelche Anleitungen im Internet nachgehen. Grundsätzlich sollte man immer so wenig wie möglich und so viel wie nötig im Internet freigeben! Wie in der anderen Antwort geschrieben gibt es Wege, sich vor Bot- und Bruteforce-Netzwerken zu schützen. Entsprechende Einstellungen sind auch in DSM enthalten. Alles ist sehr gut dokumentiert. Die wenigsten User haben sich vor dem Kauf oder zur Einrichtung informiert, obwohl das zuletzt besser geworden ist.

Dass der Videoman auf eine Anzeige verzichtet hat, liegt aber nicht darin begründet, dass es nichts bringt, sondern dass die betroffenen Geräte abgenommen werden, um sie forensisch zu untersuchen. Wann und ob er diese wieder bekommen hätte, hat die nette und kompetente Dame von der Kriminalpolizei ihm scheinbar vorher erklärt. Und der will das Darknet unsicher gemacht haben?

Abschließend zu diesem Thema halte ich den Menschen vor dem Gerät für das größte Problem. Sie sind zu wenig selbst denkend, zu unkritisch, zu wenig Zeit, um sich in der Materie einzuarbeiten und überschätzen sich zu oft. Ein Interessierter kann das Ganze in einer Woche gut und sicher hinbekommen. User, die aus Bequemlichkeit alte Apps wie die Videostation und das DSM aufgrund der Foto-App bei DSM 6 bleiben, handeln in meinen Augen fahrlässig. Leider gibt es davon sehr viele. Dann kommt irgendwann ein Video wie oben, wo sich beschwert und dann nur die Hälfte dargelegt wird. Auch ein alter Qnap-NAS (439pro2) verrichtet noch bei einem Bekannten seit vielen Jahren zuverlässig seinen Dienst für die täglichen Serien-Aufnahmen der Mutter – auch keine Auffälligkeiten. Also irgendetwas müssen einige dieser Fälle anders machen. Ich mache mir diesbezüglich keine Gedanken.

 

[andy_m4]

Die Verschlüsselung kann auch andere NAS-Betriebssysteme betreffen.

Nicht zwangsläufig.

Die größte Schwachstelle sehe ich dabei in der Netzwerkfreigabe.

Mag sein. Aber auch da kann man sich schützen.
Hab ich ja bereits in meinem vorherigen Beitrag drauf hingewiesen.

Bei NFS ist das aufgrund der fehlenden Authentifizierung noch tragischer.

Man kann sich auch bei einem NFS-Server authentifizieren. Hab selbst schon gefühlt ewig NFS im Einsatz und bilde mir ein, da was sagen zu können.

Unter Linux ist man auch gut mit SMB beraten.

Das kann man so pauschal nicht sagen.
Ehrlich gesagt würde ich weder SMB noch NFS benutzen
.
Meiner Erfahrung nach hat sich WebDAV als das Protokoll bewährt, was in der Praxis (und über Betriebssystemgrenzen hinweg) am wenigsten Reibungsverluste hat. Für ein NAS wäre das eigentlich ein gutes Primärprotokoll. SMBs von mir aus dann noch als Option für (ältere) Clients, die nix anders können (oft irgendwelche Appliances). Man muss nur aufpassen, das man sich da keine Sicherheitsprobleme eintritt (weil diese Gerätschaften gerne nur mit unsicheren uralt-SMB-Versionen funktionieren). Deshalb nur als Option.

Stattdessen begnügt man wieder die eigene Bequemlichkeit

Bequemlichkeit fördern die NAS-Hersteller aber auch, aus bereits genannten Gründen.

Da hilft denn auch nur noch, sich vor und nach jeder Nutzung der Freigabe abzumelden

Das bringt eher weniger. Das hat vielleicht ganz ganz früher mal funktioniert. Inzwischen arbeiten Verschlüsselungstrojaner silent und warten erst mal ab und gucken, was so im Netz benutzt und gemountet wird und versuchen auch über längere Zeit aktiv zu bleiben, um Backups zu entwerten.

Auch sind das keine gezielten Angriffe, sondern nur zufällige Treffer. Es sitzt keiner im dunklen Keller, um Hans Müller seine Urlaubsfotos zu verschlüsseln und seine Rente abzupressen, dazu ist Hans Müller zu uninteressant!

Naja. Für den Betroffenen ist es egal, ob es zufällig Opfer geworden ist oder gezielt. Er hat trotzdem den Schaden und da tröstet es nicht, wenn er ja eigentlich gar nicht gemeint war.

Kein Backup – kein Mitleid!

Naja. Selbst wenn man ein Backup hat, hängt halt häufig auch viel an der Aktualität. Selbst wenn Du täglich sicherst: Ein Tag Arbeit weg kann schon sehr schmerzvoll sein.
Gibt halt noch Grautöne und nicht nur "Backup" und "Überhaupt kein Backup".

Gegen die Verwendung von Quickconnect habe ich mich immer ausgesprochen

Wie? Die NAS-Hersteller haben jetzt doch Features die unsicher sind? In einer Deiner vorherigen Beiträge hattest Du noch behauptet, das die viel für die Sicherheit tun. Ja was denn nu?
Viel mehr scheint es ja genau so zu sein, wie ich es bereits sagte: Das eben viele Features per se schon ein potentielles Sicherheitsproblem sind.

Wer IPv4 hat, kann auch die NAT benutzen, um die Ports zu tauschen.

Ports tauschen und NAT benutzen kann man auch mit IPv6.
Man sollte sich vielleicht nicht über die Kenntnisse anderer auslassen, wenn man hier und da selbst Defizite hat. ;-)

Abschließend zu diesem Thema halte ich den Menschen vor dem Gerät für das größte Problem.

Mag sein. Aber die IT-Industrie hat auch durchaus dazu beigetragen, in dem sie immer suggeriert, das man hier ein Produkt hat, was jeder benutzen kann und wo dann oftmals Security auch der Bequemlichkeit geopfert wurde.

Und da machen die NAS-Hersteller natürlich auch fleißig mit.
Hier mal exemplarisch die Seite von Synology zur DS223:
https://www.synology.com/de-de/products/DS223
Da steht dann so was wie

SICHERE PRIVATE CLOUD
Ermöglichen Sie den Zugriff auf bis zu 40 TB Daten von überall und jederzeit.

usw.
Da steht nirgends auch nur annähernd etwas von "Wenn Du Dein NAS ins Internet stellst, solltest Du Dir das gut überlegen und wirklich darüber im Klaren sein, was Du da tust".
Sondern die Seite vermittelt Leichtigkeit und das alles "easy" ist und trotzdem sicher ist und dann darf man sich auch nicht wundern, wenn die Leute das dann tun.

 

[fortknox]

:-) Hat natürlich Security-by-obscurity-Vibes.

Korrekt. Ich bin kein IT-ler und habe einen ganz anderen Job, aber dass ich mein Risiko allein schon durch Nutzung eines ziemlich individualisierten Setups deutlich reduzieren kann, ist mir schon klar.

Das gilt ja ganz unabhängig davon, ob man sich an die empfohlenen Regeln des NAS Betriebs (regelmäßige Backups, keine unnötigen Freigaben usw.) hält oder nicht.

Man muss ja nicht unbedingt ein sehr verbreitetes Standard System (von QNAP, Synology, WD) nutzen, wodurch man unweigerlich leichter ins Fadenkreuz gerät.


Aber nun zurück zum Thema:

Wegen der eklatanten Sicherheitsmängel mancher Hersteller kam früher nur Synology für mich infrage. Nachdem dieser Verein nun ohne jeden Grund HDDs der etablierten Hersteller blockiert, hat sich das Thema für mich endgültig erledigt. Die scheinen Oberwasser zu haben und müssen erstmal wieder runter von ihrem hohen Ross.

 

[andy_m4]

aber dass ich mein Risiko allein schon durch Nutzung eines ziemlich individualisierten Setups deutlich reduzieren kann, ist mir schon klar.

Ist ist ja durchaus auch eine valide Strategie, sofern man deren Schutzwirkung auch nicht überschätzt.

Wegen der eklatanten Sicherheitsmängel mancher Hersteller kam früher nur Synology für mich infrage.

Unabhängig davon ist es aber immer ne gute Idee zwei Dinge zu beachten:
Erstens knipse nur die Funktionen an, die Du wirklich brauchst und alles andere aus. Das reduziert die möglichen Angriffspunkte.
Und die zweite Sache ist: Häng' das Ding möglichst nicht ins Internet, weil man damit ja die Kisten gegenüber quasi allen exponiert.

 

[und tschüss]

Korrekt. Ich bin kein IT-ler und habe einen ganz anderen Job, aber dass ich mein Risiko allein schon durch Nutzung eines ziemlich individualisierten Setups deutlich reduzieren kann, ist mir schon klar

Du redest dir die Sache nur schön und hoffst dadurch, dein Gewissen zu beruhigen. Das System ist nur so stark, wie das schwächste Glied. Die Anzahl und Größe eines Projekts sagen doch nichts über die Sicherheit direkt aus. Bestes Beispiel ist dafür „XZ Utils“, ein kleines Tool mit weitreichenden Folgen. Dabei handelt es sich auch nur um ein sehr kleines Projekt mit wenigen Unterstützern. Umso größer die Gemeinschaft ist, desto mehr Begehrlichkeiten gibt es aber auch Möglichkeiten, das System zu sichern, härten und weiterzuentwickeln.

Dazu kommt, dass Unraid, wie auch Synology, Qnap, Ugreen und andere Hersteller ihr System nur teilweise Open Source haben. Natürlich will sich kein Hersteller das OS weg kopieren lassen und gibt deshalb diese Quellen nicht frei. Das ändert aber nichts daran, dass man dieses proprietäre System aber ein Grundvertrauen aussprechen muss, weil man bestimmte Sachen einfach nicht weiß. Ich halte es nicht für sonderlich bedenklich, gehört aber zur Wahrheit dazu. Wer den reinen Open Source Charakter nutzen will, kann ja TrueNAS, OMV, CasaOS, ZimaOS oder deren Derivate nutzen. Die sind nicht unsicherer als die Platzhirsche und werden regelmäßig gepflegt. Notfalls bleibt einem immer noch eine Linux-Distribution. Letztendlich ist es ja immer eine Geschmackssache, welche Sachen genutzt werden, wie clean man sein System haben will und wie viel Arbeit/Zeit man investieren will. Gerade Anfänger sollten mit den letzten beiden sehr gut zurechtkommen. Da die meisten dieser OS auf Docker setzen, sehe ich dort ein weiteres Problem. Die Apps sind nur Container, welche über Templates von Usern bereitgestellt werden. Somit ist es technisch möglich, bei einer falschen Konfiguration oder stark veralteten Docker-Image einen Angriffspunkt für das System zu bieten. Wenn die Erfahrungen zu Docker sich ausschließend auf den Installationsbutton beschränken, kann das entsprechend gefährlich werden. Dann muss man nachher auch nicht weinen, wenn böse Buben solche Methoden versuchen auszunutzen.

Ich habe vor ca. 10 Jahren mit Docker angefangen, das war alles noch sehr spartanisch und oft nicht dokumentiert. Das ist jetzt alles anders. Docker hat wie Synology auch eine sehr gute Wissensdatenbank. Noch heute erstelle ich mir meine Container über die CLI oder Compose selber und halte mich dabei immer an die Entwicklereinstellungen. Aber Docker erlaubt es auch noch weitere Features und Beschränkungen mitzugeben. Notfalls stößt man eine Diskussion an, um das System bzw. die Anwendung zu verbessern. Einfach abwarten hat noch nie geholfen!

Unraid hat übrigens seit einiger Zeit mit etlichen Netzwerkproblemen zu kämpfen und bekommt diese aktuell sehr schwer gebändigt. So rund läuft das wie mit den Updates auch nicht alles. Wenn man aus Bequemlichkeit und Angst nur sporadisch Updates einspielt, werden Sicherheitslücken auch nicht gefixt.

Dabei will ich dir Unraid auf keinen Fall madig machen, sondern nur aufzeigen, dass es immer Schwachstellen gibt und immer geben wird. Die Bösen werden sich immer etwas Neues einfallen lassen und dagegen wird es auch immer etwas geben. Es ist ein ewiges Katz-und-Maus-Spiel. Meistens gibt aber der User auf, dem es einfach zu viel wird, ständig zu basteln und es einfach laufen lässt oder notfalls darauf verzichtet. Was nützt es denn, sein System so abzuhärten, dass selbst die erfahrensten Nutzer irgendwann davon genervt sind? Technisch ist alles möglich, aber wird man es dann noch nutzen? Man muss immer einen Mittelweg finden, der noch nutzbar ist. Es gibt eine Reihe von kleinen und einfachen Lösungen, die ich in den anderen beiden Beiträgen schon aufgezeigt habe. Wenn die User das schon berücksichtigen würden, wären sie schon gut aufgestellt und alles ist noch handelbar, auch ohne ein IT-Studium. Es geht dabei auch nicht um User zu vergraulen oder für dumm hinzustellen, sondern um sie zu sensibilisieren, damit sie diese Fehler vermeiden!

Wegen der eklatanten Sicherheitsmängel mancher Hersteller

Auch sind Sicherheitslücken nicht das Problem (wenn auch ärgerlich), solange sie erkannt und auch gefixt werden. Es ist ja nicht so, als gäbe es keine Sicherheitslücken in allen Systemen wie Desktop, Mobil, NAS, CAM, Spielkonsole, IoT oder auch in Unraid usw., die in den letzten Monaten und Jahren gefixt wurden. Deine Unterstellungen nur bezogen auf die NAS-Hersteller halte ich für nicht zielführend. Wie sieht es mit deiner CPU, BIOS, als auch mit der Firmware der verbauten Hardware z: B. Controller im Server aus? Alle sind mögliche Schwachstellen, aber wir wollen die Kirche ja im Dorf lassen.

Gemessen an den Millionen verkauften Geräten unterschiedlicher Hersteller und unter Berücksichtigung von Diensten, die das Leben für User und den Angriff auf das System/NAS vereinfachen, müssten es hunderttausende, wenn nicht 1 Million Geschädigte geben. Das ist aber nicht der Fall, vielmehr sind es wenige, die einen lauten machen und die Schuld natürlich bei einem anderen suchen. Ich sage dabei nicht, dass es keine Schwachstellen oder Verbesserungspotenzial gibt, aber der Schaden hält sich im Promillebereich. Was die eigentliche Ursache ist, wird selten aufgeklärt. Ebenso gibt es meist auch andere Wege, das besser umzusetzen. Dazu muss man aber erst einmal wissen, was der User eigentlich will. Erst dann kann man die beste Herangehensweise besprechen, aufklären und einrichten.

Nachdem dieser Verein nun ohne jeden Grund HDDs der etablierten Hersteller blockiert, hat sich das Thema für mich endgültig erledigt. Die scheinen Oberwasser zu haben und müssen erstmal wieder runter von ihrem hohen Ross.

Bezogen auf die HDD kann ich dir nicht sagen, was Synology vorhat. Einen Grund werden sie aber haben! Ich bin mir da noch nicht sicher, welcher das ist. Es soll ja jetzt etwas Bewegung in die Sache kommen und Synology verspricht, die HDD-Liste nachzubessern. Warum sie dann nicht die älteren, bereits zertifizierten HDDs aufgenommen haben, ist das große Rätsel. Synology hat schon lange keinen großen Wurf mehr gemacht. Die letzte Änderung erfolgte 2021 mit der Einführung des Ryzen-Prozessors (4 Core r1500). Im Folgejahr gab es dann noch die abgespeckte Version mit dem Dialcore r1600. Seitdem wurden die neuen Geräte nur mit der alten Hardware ausgestattet, das galt erst für die Intel-Prozessoren und gilt ab 2025 auf für die Wiederbelebung der alten r1500 in die neuen 700er und 900er-Modelle. Bis auf die Änderung der NIC hat Synology wiederholt sämtliche Kosten gespart. Es ist nichts anderes als alter Wein in neuen Schläuchen. Mich würde es auch nicht wundern, wenn Synology die Produktion der uralten Prozessoren bis in die 30er Jahre gesichert hätte.

Auch die Beschränkungen kann man schon umgehen, was aber mehr oder weniger komplex und ggf. auch nicht für jeden User geeignet ist. Eventuell will Synology auch nur die Enduser loswerden, wie Microsoft auch schon Hilfe beim Umstieg auf Linux nach Windows 10 anbietet.

Beachte bitte, dass Synology sein Territorium gut abgesteckt hat und sich nun nicht populären Sachen entledigt. Anders ist es bei den Codecs und der Videoapp usw. auch nicht gelaufen. Synology stellt sich anders auf, ob das aufgeht, wird sich zeigen.

Andere Hersteller wie Asustor oder Ugreen gehen einen anderen Weg und machen alles universal, was aber nicht heißt, dass es nicht irgendwann die Zeit kommt, wo die Zügel angezogen werden und es zu Beschränkungen kommt. Aktuell nutzen diese Hersteller diese Freiheit, um einen größeren Marktanteil für ihre Geräte zu erhalten. Ob dann auch noch das OS ausgetauscht werden kann, muss man einfach abwarten. Wer weiß das schon so genau? Die Zeit wird es zeigen.

 

[andy_m4]

Du redest dir die Sache nur schön und hoffst dadurch, dein Gewissen zu beruhigen.

Du redest genauso Sachen schön und gehst auch nicht darauf ein, wenn man Dich darauf hinweist.

In der Sache hast Du ja nicht mal Unrecht, aber Du misst mit zweierlei Maß.

Auch sind Sicherheitslücken nicht das Problem (wenn auch ärgerlich), solange sie erkannt und auch gefixt werden.

Ähm doch. Sicherheitslücken sind immer ein Problem. Das sie erkannt und gefixt werden bedeutet ja nicht, das sie nicht vorher schon ausgenutzt worden sind.

Und um so mehr Features angeboten werden, umso höher sind natürlich auch mögliche Angriffspunkte weil dann einfach die Chance größer ist, das da ein Security-relevanter Bug zum tragen kommt.
Deshalb ist die wirksamste Maßnahme, potentielle Angriffsfläche zu verringern!

Hab ich Dir alles schon erklärt. Gehst Du aber einfach drüber hinweg. Wie über alles, wo es unangenehm wird und wo Du weißt, das Du da argumentativ nicht wirklich gut aufgestellt bist und konzentrierst Dich dann auf Belanglosigkeiten und Sprüche und hoffst, das es keiner merkt.

Bezogen auf die HDD kann ich dir nicht sagen, was Synology vorhat. Einen Grund werden sie aber haben!

Aha. Du schluckst das also einfach ohne es wirklich zu hinterfragen und wenn Dinge unklar sind, tust Du es am mit "die werden schon einen Grund haben".
Das hat sehr starke Fanboy-Vibes.

Ich bin mir da noch nicht sicher, welcher das ist.

Die Erwartung wäre ja, das die das klar und offen kommunizieren und man eben nicht reden muss.
Einem Hersteller der da intransparent agiert, da würde ich ja vor allem skeptisch sein.

Ich bin weit davon entfernt Unraid zu verteidigen und würde es auch selbst nicht einsetzen. Aber dein einseitige Betrachtungsweise ist da schon sehr auffällig.

... auch nur die Enduser loswerden, wie Microsoft auch schon Hilfe beim Umstieg auf Linux nach Windows 10 anbietet.

Irgendwie scheinst Du die letzten 15 Jahre verschlafen zu haben. Microsoft ist nicht mehr wie zu Steve Balmers Zeiten.
Microsoft ist ein großer Player im Linux Business.
Die benutzen selbst Linux-Systeme. Die bringen (Open-Source)-Software für Linux raus, liefern Patches für Kernel und andere Projekte. Öffnen Protokoll und liefern Doku. Die spenden in nennenswerten Umfang an Open-Source-Projekte.
Die haben Linux in Form von WSL2 in ihr Windows integriert.
Microsoft hat einen Strukturwandel zu einem Cloudanbieter hingelegt.
Denen ist egal, ob der User Windows, Linux oder sonstwas verwendet, solange er die Azure-Cloud benutzt.

Und all das hat aber keine Bedeutung, weil Du irgendwo mal 'ne Anleitung für den Umstieg nach Linux gefunden hast? Really?

Ob dann auch noch das OS ausgetauscht werden kann, muss man einfach abwarten.

Auch hier wieder zweierlei Maß.
Wie einfach ist es denn bei Deinem geliebten Synology auf der DiskStation ein anderes System als DSM zu benutzen?
Aber andere Hersteller sind ein Problem, weil das ja vielleicht mal irgendwann möglicherweise beschränkt wird.
Ähm ja nee, iss klar.

 

[Rabitt44]

Habe mir vor einiger Zeit ein Synology NAS zugelegt, DS423+ soll nach einiger Zeit als Sicherung dienen für uns drei, später noch 2 Festplatten für eine Videobibliothek, für alle.
Bei mir gab es vor kurzen eine Warnmeldung wegen der nicht Synology Festplatten, mehr auch nicht.
Die günstigeren Varianten von Synology sollten für uns ausreichen, wenn ich aufrüste.

Habe mir das Ganze etwas einfacher vorgestellt, weil es oft hieß, dass Synology NAS Einsteiger freundlicher wären. Im Moment beiße ich mir an der Rechtevergabe die Zähne aus. Die Literatur dazu ist genau bei dem Kapitel zu schlampig. Funktioniert nicht, egal was ich probiere, deswegen liegt das Projekt gerade auf Eis.

 

[Hagen_67]

@Rabitt44
Auf YT gibt es einiges an Videos, in denen so ziemlich alles sehr gut erklärt wird.

 

[und tschüss]

Habe mir das Ganze etwas einfacher vorgestellt,

Ich schätze deine Ehrlichkeit und das deckt sich mit meiner Erfahrung über viele Jahre hinweg.

weil es oft hieß, dass Synology NAS Einsteiger freundlicher wären.

Das ist Synology auch. Die anderen Hersteller sind meiner Meinung nach schlechter aufgestellt. Synology bringt eigentlich schon alles mit (je nach Anspruch). Wenn man später wechselt, mag einem das ein oder andere OS besser vorkommen, man muss aber auch dann den Kenntnisstand berücksichtigen. Ein gewisses Grundwissen und Grundverständnis bringt man dann ja mehr oder weniger mit.

Deine 423+ ist ja eigentlich eine 920+ gewesen und baugleich zu der 425+ bis auf den 2,5Gbit LAN. Aber dafür, dass es technisch gesehen recycelte Geräte sind, ist die 423+ und 425+ zu teuer. Problematisch wird es dann werden, wenn Synology die 920+ aus der Aktualisierung wirft, dann sind die 423+ und 425+ auch obsolet.

Was die Rechteverwaltung angeht, ist das nicht wirklich kompliziert. Ob ein Zugriff verweigert wird, kann man gut im DSM erkennen. Sobald eine Verweigerung greift (User oder Gruppe), hat diese immer Vorrang und blockiert die Verbindung. Oft denken die Einsteiger einfach nur zu kompliziert. Synology hat eigentlich alles sehr gut dokumentiert.

Grundsätzlich würde ich alles erst einmal vor dem produktiven Einsatz testen. Wenn die ersten Fehler und Erfahrungen gesammelt sind, setze die DiskStation noch einmal zurück und richte DSM noch einmal clean ein. Wenn du neue Sachen testen willst, kannst du den VMM installieren und alles in der vDSM testen, bevor du das auf dein Produktivsystem einsetzt. Somit gehst du viel Ärger nachträglich aus dem Weg und das ist mit ein paar Klicks auch eingerichtet.

Entsprechende Hilfe bekommt man in vielen Foren. Es gibt sogar ein einfach geschriebenes Handbuch, sogar in mehrfacher Auflage. Ich war nie ein Freund davon, weil ich finde, dass alles gut von Synology dokumentiert ist. Es kommt aber immer auch auf die Fähigkeiten und Kenntnisse jedes Einzelnen an. Du bist nicht der erste, der sich das leichter vorgestellt hast und wirst auch nicht der letzte sein. Da die Hardware ja Geld gekostet hat, kann man diese entweder verkaufen oder man beißt sich einfach einmal doch. Ich würde das letztere machen, erfordert aber etwas Zeit und Engagement.

Nimm dir ausreichend Zeit und teste alles in Ruhe aus. Auf die Schnelle wird es nichts werden!

Eventuell sagst du einfach, wo dein Problem ist, dann können wir das sicher auch lösen.

 

[Rabitt44]

@ snoogans
Danke für deinen ausführlichen Beitrag!

Was die Literatur betrifft, so habe ich mir dafür zwei Bücher (einmal Einsteiger und Fortgeschrittener) gekauft.
Diese gehen in manchen Themen recht detailliert an die Sache ran, bei anderen wiederum nicht ausreichend genug. Für das Thema Abrufen von Inhalten von außen, was ich nicht vorhatte und habe, wird sehr viel geschrieben. Für das Heimnetzwerk wenig oder nur am Rande mal etwas erwähnt.
Mittlerweile besitze ich auch die Anleitung von Synology zu DSM 7.2(7.2.2) und bin etwas schlauer.
Dass der Support für mein NAS irgendwann herausfällt, ist mir klar, nutze es auch nur im Heimnetzwerk.

Mit RAID 1 und dem Dateisystem von Synology als zusätzliche Sicherung von Daten und später als Video und eventuell noch Musikbibliothek. Es hat etwas gedauert, das System der Berechtigungen zu verstehen, es stimmt, man denkt zu kompliziert.

Wenn ich mich weiter eingearbeitet habe, werde ich bestimmt bei dem System bleiben, dann wird es eben durch ein neueres NAS von Synology ersetzt. Je älter ich werde, umso schwerer fällt es mir, Neues zu lernen.

Würde jetzt nicht sagen, dass ich ein Profi geworden bin, seit dem Beitrag hier, aber ich arbeite daran, es besser zu verstehen. Um das Beste für uns/ mich herauszuholen und meine Ideen umzusetzen. Die müssen auch nicht alle funktionieren, hallten dafür den Geist auf Trab. Für mich besser als Kreuzworträtsel oder der Gleichen.

 

[oicfar]

Interessanter Satz aus https://www.cloudcomputing-insider....offenheit-a-30c040a9437ce1f415527ac9091ca420/

[...] Alternativen gibt es, technisch jedoch mit Hürden verbunden. Qnap verfolgt einen ähnlichen Ansatz, aber noch ohne strikte Bindung an eigene Medien. Unraid bietet Freiheiten, verlangt allerdings manuelle Konfiguration. Wer sich auf Open-Source-Lösungen wie TrueNAS einlässt, gewinnt maximale Kontrolle, muss aber eigene Hardware und tiefere Systemkenntnisse mitbringen. [...]

 

[Moloch200]

Gerade kann man auf Deskmodder lesen, dass Synology von dieser Strategie mit den eigenen Festplatten zu nutzen, zurück rudert. Man darf gespannt sein.... Deskmodder

 

[Araska]

Die Aussage seitens Synology lese ich so, daß sie versuchen wollen, Fremdherstellern eine Zertifikation zu ermöglichen (die es mit Sicherheit nicht umsonst geben wird).
Löst wenig bis nichts am Whiltelist-Problem.

 

[Hagen_67]

Synology? Wer ist das?