synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОсновные Вопросы по Продукции › Безопасность Diskstation который смотрит в интернет

Безопасность Diskstation который смотрит в интернет

Henconar · 02.09.2017

Здравствуйте,

Собираюсь поставить в домашнюю сеть synology ds216j, чтобы он работал DLNА, файловый сервером, бекап, качалкой торентов, и для хранения домашних фото\видео\музыки.. и т д .

Есть зарегистрированный домен второго уровня. Если привязать его к серверу и пробросить в роутере порты приложений для доступа из вне, насколько это чревато утечкой данных с сервера? Насколько вообще ОС Diskstaion и софт который прилагается надежен для атак из вне?

Необходимость создания стойких паролей, двухфакторной аутентификации и разделения доступа пользователей понимаю.

 

Или это изначально плохая идея, и значимые личные данные на таком сервере лучше не хранить? Присматривался, например, к Photo station для того чтобы родственники обменивались фото.

hafis · 09.03.2018
Насколько вообще ОС Diskstaion и софт который прилагается надежен для атак из вне?

 

Займусь некроответом, раз уж никто не ответил за несколько месяцев.

Вопрос этот вполне философический. Синолоджи настолько надежен, насколько надежен вообще любой сервер. смотрящий наружу в глобальный и полный опасностей интернет. Если соображение, что вообще никакой сервер, смотрящий наружу в глобальный интернет не является надежным для атак извне. С этим можно только смириться, и предпринять подстеливание соломки. Как и любой сервер, смотрящий в интернет, синолоджи желательно настраивать, чтобы минимизировать (до приемлемого уровня) вероятность несанкционированного доступа извне.

 

Комплекс действий включает в себя:

 

1. Ограничение количества портов, пробрасываемых наружу через роутер;

2. Включение firewall на роутере;

3. Включение механизмов защиты, предусмотренных в DSM (блокировка IP в случае ограниченного количества попыток доступа и др.);

4. Длинные пароли;

5. Установить корректные ограниченные права доступа для пользователей (и, не работать самому под админом);

6. Периодические обновления DSM, особенно обновления безопасности. Самому вручную или включить автоматические обновления.

 

 

 

Если привязать его к серверу и пробросить в роутере порты приложений для доступа из вне, насколько это чревато утечкой данных с сервера?

 

В каком виде Вы хотите ответ? Численную оценку (типа, "вас взломают раз в восемь лет") вряд ли кто предоставит. Слишком много факторов влияет на вероятность утечки данных с сервера, особенно с учетом крайнего разнообразия комбинаций настройки пп.1-6 выше.

 

 

 

Или это изначально плохая идея, и значимые личные данные на таком сервере лучше не хранить?

Если имеются действительно значимые личные данные, которые ни в коем случае нельзя публиковать (компромат, скажем, который способен вызвать правительственный кризис или семейную войну) тогда можно создать на Synology общую папку, положить туда криптоконтейнер. Который может открываться только с вашей локальной машины соответствующим софтом. В криптоконтейнере можно хранить значимые личные данные... Злоумышленник извне будет видеть только один большой зашифрованный файл. Если прорвется через ваш роутер, DSM. авторизацию. Имейте ввиду, что данные могут быть скомпрометированы не только через интернет, но и личной явкой злоумышленников, которые прихватят синололжи подмышку, наряду с другими полезными в домашнем хозяйстве электронными девайсами или автономными жесткими дисками, при личном визите в Вашу квартиру. Другими словами, задача реальной защиты значимых персональных данных несколько шире, нежели просто ограничение доступа к ним через интернет. И, методы защиты таких данных несколько более общие, нежели просто продуманное ограничение расшаривания сервера в интернет. А еще в контексте атак извне есть проблематика вирусов-шифровальщиков.... То есть ваш Synology должен иметь offline backup, желательно с версионностью файлов. Но, это уже иная история. Хотя, тоже не менее важная, если речь идет о сохранности важных данных, включая персональные.

 

:)

sidor_ii · 09.03.2018
Комплекс действий включает в себя:

 

Достаточно просто сменить пробрасываемые порты

hafis · 09.03.2018
Достаточно просто сменить пробрасываемые порты

 

 

"А мужики-то не знали..." (с).

Заморачиваются зачем-то длинными паролями, двухфакторной авторизацией, патчами безопасности, и т.п.

А рецепт предельной решительной безопасности оказался совсем прост: "просто сменить номера портов". Нравятся кому-то такие простые рецепты.

 

 

 

sidor_ii · 10.03.2018
"А мужики-то не знали..." (с).

Заморачиваются зачем-то длинными паролями, двухфакторной авторизацией, патчами безопасности, и т.п.

А рецепт предельной решительной безопасности оказался совсем прост: "просто сменить номера портов". Нравятся кому-то такие простые рецепты.

Я рад что вы это узнали... чеслово рад

hafis · 10.03.2018

Я еще застал времена, когда самоуверенных пользователей, апеллирующих к простым рецептам, - заменяющих им корпус понимания всего многообразия обсуждаемой проблематики, - называли ламерами.

sidor_ii · 10.03.2018
Я еще застал времена.....

....обсуждаемой проблематики....

 

Мы будем мерится у кого борода длиннее ?

Данная проблема похожа на проблему 2000 года в свое время.... много говорили и денег сняли ....

hafis · 10.03.2018
Мы будем мерится у кого борода длиннее ?

Смысл?

Моя реплика про лингвистические тонкости прошлых лет - она, скорее, о том, что лично я не хочу свалиться в старинную ересь ламерства, настолько упрощая ситуацию.

 

 

 

Если считаете что просто смена портов решает все проблемы - действуйте. На свой страх и риск.

Это все равно что заварить дверь в квартиру, и ходить домой через открытое окно, апеллируя к тому, что злоумышленники будут пытаться ломиться только в дверь. Поэтому если дверь заварена наглухо (пусть теперь окно выполняет роль двери) то квартира будет в полной безопасности.

sidor_ii · 10.03.2018
Если считаете что просто смена портов решает все проблемы - действуйте. На свой страх и риск.

Это все равно что заварить дверь в квартиру, и ходить домой через открытое окно.....

Я не отрицаю все те 6 пунктов,что вы перечислили, но я считаю для обычного пользователя смена портов почти 100% решение проблемы.

А по аналогии с дверью и окном.... если окно на 30 этаже, то достаточно защитить дверь, вероятность входа в окно минимальна, да и дверь вы "заварив", оставляете лазейку для себя.

hafis · 10.03.2018
но я считаю для обычного пользователя смена портов почти 100% решение проблемы.

 

 

Вернитесь к запросу топикстартера: "Присматривался, например, к Photo station для того чтобы родственники обменивались фото"

В таких ситуациях использования приложений, в которых порты предопределены, ваша смена портов - это скорее создание новых проблем, а не полноценное решение старых...

И, расскажите пожалуйста, как сменить порт через который работает Cloudstation, или веб-сервер, причем так, чтобы функциональность не пострадала бы.

 

 

 

А по аналогии с дверью и окном.... если окно на 30 этаже

 

Порты технически равнозначны по первичному доступу "постучаться", уровень легкости доступа к любому порту (хоть 5000 хоть 50500) одинаков, всё это технически на одном этаже.

Наличие примитивных червей, которые проверяют только один номер порта - не уменьшает иных рисков от иных средств вторжения.

Imperator · 10.03.2018

Двухфакторная авторизация скорее пользователю неудобства доставляет. По крайней мере при реализации через смс как у банков.

hafis · 10.03.2018
Двухфакторная авторизация скорее пользователю неудобства доставляет. По крайней мере при реализации через смс как у банков.

 

Естественно, что будет хорошо, когда применяемые меры безопасности не сильно усложняют жизнь обычным пользователям в повседневном использовании ресурса.

 

Поэтому, кстати, в моем списке нет двухфакторной авторизации... И прочего, требующего нетривиальных действий со стороны ординарного пользователя, особенно родственника, особенно пожилого. Я прописывал те меры, которые владелец сервера Синолоджи делает обычно один раз, изначально при его инсталляции и настройке. То есть меры, которые отнюдь не повседневно сложные. Мне кажется, такой подход более продуктивен: один раз сам заморочился настроил, потом пользуешься ты и друзья-родственники вполне легко. Исключение в этом аспекте: длинные пароли. Однако, надеюсь, необходимость именно длинных паролей никто оспаривать не будет. И, пользователям вполне можно сочинить что-то типа ShlaSobaka22Po55Royalu что их вполне устроит по сложности запоминания.

polanat · 11.03.2018
ShlaSobaka22Po55Royalu

Если продолжить упрощение, то с таким паролем и Ваших оставшихся 5-ти пунктов не надо

 

PS Ну а если серьёзно инфобез - это комплекс мер по методу логического "И", а не логического "ИЛИ" и не важно какой из перечисленных пунктов имеет больший или меньший вес. Должны быть внедрены ВСЕ и точка. Недаром слова паранойя и инфобез идут рука об руку и это нормально!

hafis · 11.03.2018
Если продолжить упрощение, то с таким паролем и Ваших оставшихся 5-ти пунктов не надо

 

Шифровальщик SynoLocker, насколько понимаю, проходил совершенно мимо паролей в DSM.

И, вполне успешно шифровал Синолоджи. Это показывает, что перебора пароля может и не быть.

(ремарка, конечно, не Вам, а только входящим в тему безопасности Синолоджи).

 

Кроме того, в Синолоджи есть очевидно ослабленные места в отношении паролирования. В частности, в механизме расшаривания ссылок, когда демон, работающий под рутовым паролем, в определенных условиях отдает любому встречному-поперечному информацию, в том числе и с папок, к которым изначально нет прав доступа пользователей без паролей. Подробно мы обсуждали на этом форуме несколько лет назад. Насколько понимаю, с тех пор ничего не изменилось. То есть белковый админ сервера на самом деле не контролирует ВСЕ процессы, происходящие в Синолоджи. Многое тут зависит от логики внутренних процессов. А это заранее запрограммированная потенциальная дыра. На установленной системе присутствуют не только неизвестные уязвимости, но и очевидно известные потенциально слабые места, дезавуирующие сложность пароля в некоторых ситуациях.

 

 

 

Недаром слова паранойя и инфобез идут рука об руку и это нормально!

Вот тут, наверное, имеет смысл ориентироваться на наличие этой самой параноики у самого пользователя.

Кто-то заморачивается... А кто-то говорит "да у меня там кроме торрентов ничего нету, ну и хрен со всем этим". Или же просто не знает глубины темы, а чисто по обывательски ставит Синолоджи и включает в роутере DMZ. Насколько понимаю, DSM, - как концепция продукта, - ориентирован все же на домашнего пользователя, который не обязан знать всех этих заморочек по безопасности и быть параноидальным. В этом-то и коллизия момента, и определенная парадоксальность в обсуждении этой темы.

 

 

Однако, автор темы, задавший вопрос, вполне параноидален. Поэтому простые рецепты в качестве ответа будут скорее всего недостаточны.

polanat · 11.03.2018
Шифровальщик SynoLocker

Synology DiskStation Manager SLICEUPLOAD Remote Command Execution

 

PS Однако, самое смешное, в первую очередь ломали через штатный порт 5000

 

Насколько понимаю, с тех пор ничего не изменилось

В этом плане нет, ничего ... однако в той самой дискуссии x-годичной давности Вам так и не удалось доказать, как этой самой дырой безопасности может воспользоваться злоумышленник (ссылка ведь отдаётся не кому-нибудь, а осознанному получателю, тем более что можно выбрать ограниченное время её валидности)

 

Вот тут, наверное, имеет смысл ориентироваться на наличие этой самой параноики у самого пользователя.

Кто-то заморачивается... А кто-то говорит "да у меня там кроме торрентов ничего нету, ну и хрен со всем этим". Или же просто не знает глубины темы, а чисто по обывательски ставит Синолоджи и включает в роутере DMZ. Насколько понимаю, DSM, - как концепция продукта, - ориентирован все же на домашнего пользователя, который не обязан знать всех этих заморочек по безопасности и быть параноидальным. В этом-то и коллизия момента, и определенная парадоксальность в обсуждении этой темы.

Большинство домашних пользователей ничего в Инет не открывают - и это есть статистический факт, ну а те, кто открывает уже по определению должны понимать и просчитывать последствия ...

Imperator · 11.03.2018

Не надо админку в интернет выставлять. Как и самбу. Выставили один ftp и работаем через него. А настройки и из дома можно, на крайний случай vpn на роутере. У админа все разрешения отобрать - даже если подберут пароль, то увидят пустой ftp. Для ftp пользователей отельная папка на запись - если подберут пароль, то ничего ценного не удалят. Домашним пользователям ftp отключён.

hafis · 11.03.2018
в той самой дискуссии x-годичной давности Вам так и не удалось доказать, как этой самой дырой безопасности может воспользоваться злоумышленник

 

То, что некий демон с рутовыми правами живет в Синолоджи независимо от воли админа и хозяина экземпляра Синолоджи - как бы не оспаривается?

Далее мнения тогда в обсуждении разделились на два лагеря: (1) Демон всегда добрый и послушный. То есть, потенциальна дыра безопасности всегда останется потенциальной. (2) Дырочка с этим демоном с высокими правами может выйти из под контроля, поскольку никто кроме разработчиков не знает что там напрограммировали. И, Вы - в том числе не знаете. И? далее применяется тезис, который тут уже был озвучен: "паранойя и инфобез идут рука об руку и это нормально". У меня не было задачи доказывать, как потенциальной дырой может воспользоваться злоумышленник. У меня была задача вообще осознать существование такого, скажем так, нюанса безопасности. Другими словами, в нашем доме независимо от нас живет существо, которое открывает дверь и отдает любому анонимному посетителю любую вещь, которую мы попросим отдать. Но способен ли он это делать и без нашего ведома - нам неизвестно. И, из этого некоторое пользователи делают выводы, что точно не делает. Да ведь нет задачи доказывания что ворует. Есть задача понимания, что может...

 

Какую из позиций принять для себя: оптимистичную или пессимистичную - каждый решает сам.

 

 

 

 

 

ну а те, кто открывает уже по определению должны понимать и просчитывать последствия ...

Увы, в современные времена уже нет такого определения... Открыть доступ наружу с современными роутерами стало очень просто... Это уже консумерская функциональность современного soho-оборудования,

Доступно и домохозяйке. Которая, зачастую, не понимает в вопросах сетевой безопасности почти ничего.

polanat · 11.03.2018
Какую из позиций принять для себя: оптимистичную или пессимистичную - каждый решает сам

Обладателям пессимистической позиции Synology предлагает заработать, приняв участие в Security Bug Bounty Program. Так что если есть что предъявить и при этом заработать - предлагаю соединить приятное с полезным ;)

hafis · 11.03.2018
Обладателям пессимистической позиции Synology предлагает заработать...

Какие-то смешные ставки для компании. Наверное, не сильно уверены в багоотсутствии в своих продуктах :)

 

 

 

А если серьезно, то агенство по подбору персонала может заявить: "Мы выплатим премию, если Вы сформируете ситуацию, когда уборщица Вас обворует, и Вы при этом поймаете ее за руку". Но лично я предпочитаю заранее понимать, что такая уборщица в принципе потенциально может воровать. Технически имеет необходимые навыки, умения и возможности. И, просто принять сие к во-внимание, запуская козла в огород работницу к себе домой. Даже если она в штатном своем поведении ведет себя прилично.

 

предлагаю соединить приятное с полезным

Если честно, приятного в том, чтобы посвятить часть жизни в попытках найти чужие баги - я не вижу.

Лично я пришел исходно к продукции Синололжи именно как пользователь, которому интересен результат, а не происходящие в этом ящике процессы. Но, в процессе освоения открываются разные частности

А между тем беспокойство обычных пользователей Синолоджи сохранностью своей частной информации, - оно имеет место.

Даже если эти пользователи не горят желанием вставать на стезю киберпинкертонов или баголовов.

polanat · 11.03.2018
Какие-то смешные ставки для большой компании. Наверное, не сильно уверены в багоотсутствии в своих продуктах :)

а я-то думал, что на той самой "дыре безопасности" только ленивый заработать не может ... ))

hafis · 11.03.2018
а я-то думал, что на той самой "дыре безопасности" только ленивый заработать не может ... ))

 

демон с рутовыми правами, самостоятельно живущий внутри Синололжи абсолютно вне контроля пользователя Синолоджи - это конечно не дыра, а только предпосылка к ней.

Зная, что такие предпосылки уже имеются, пользователь может выстроить определенную стратегию в отношении своей информации. Ну или, беззаботно отмахнуться, однако уж с полным осознанием ситуации. В этом - суть и смысл и того и этого обсуждения. А отнюдь не в том, чтобы всем тут думать: "как противозаконно использовать этого демона - еще не придумали, поэтому потенциальных опасностей тут нет никаких вообще".

 

:)

 

Мне кажется, что нормальная стратегия в вопросах информационной безопасности - это работа на опережение, на предположение будущих событий.

А не тупая реакция на уже открытые (и пропатченные) угрозы.

 

 

Разговор наш начался с того, что "в Синолоджи есть очевидно ослабленные места в отношении паролирования".

Потому что какой бы длинный пароль не ставили, внутри Синоложи есть процесс, которому все пароли - пофигу. Он просто легко обходит длинные пароли, впрочем как и вообще любые ограничения на основе ACL, Ни Вы ни я не знаем, как защищен этот сам процесс. Как этот демон с рутовыми правами сам защищен от взлома. Насколько сильно защищен. Поэтому полагаться только на длинное паролирование у пользователя (как тут предлагалось) получается тоже нельзя. А нужен комплекс мер. Впрочем, этот же тезис звучал в этой теме явным образом, некто polanat писал об комплексном подходе к мерам безопасности как предпочтительном, если память мне не изменяет.

 

:)

freewind · 12.03.2018

Немножко поофтоплю...

1. Не информационная безопасность (наука), а безопасность информации (перечень действий направленных на защиту данных)

2. Паранойя, демоны суперпользователи это конечно хорошо, но вариантов защиты всего два:

Храним все локально (изолированый сегмент), не подключенное интернету и т.п.

Здраво оцениваем риски (не выкладываем в общий доступ скалы документов, порно домашнего производства и т.п.) и строим защиту исходя из тех качеств информации, которые определены в науке информационная безопасность....