Sicherheit Webdav

    Gute Tag,


    ich bin seit ein paar Tagen Besitzer eines QNAP 119p+, das hinter meiner FB 7390 innerhalb meines Heimnetzes (mehrere Win7-, Vista- und XP-Rechner, iPad, Galaxy Tab und diverse iPod Touch meiner Kinder) alles macht, was ich mir vorgestellt habe.


    Jetzt möchte ich meiner weit verzweigten Familie die Möglichkeit geben, von außen, sprich über das Internet, auf 1-2 separate Ordner Zugriff zu bekommen. Ich habe konsequent in diesem Forum verschiedene FAQ-Listen und zahlreiche Threads gelesen, die wirklich sehr hilfreich waren.


    Im Ergebnis sieht es so aus, dass ich mich jetzt für die Einrichtung von WebDav-Zugängen entschieden habe:
    - Sicherer Anschluss SSL ist aktiviert
    - Ich habe eine Portnummer im 30.000-er Bereich gewählt
    - Entsprechende Portforwarding ist eingerichtet (kein weiteres Portforwarding konfiguriert)
    - Dyndns-Account ist im Router eingerichtet
    - Alle Dienste (FTP, Web-Dateimanager, etc) die ich nicht benötige sind deaktiviert


    Alles läuft technisch bestens, aber ein Sache bzgl. Sicherheit stört mich trotzdem:
    - Ich kann nicht erkennen, ob jemand versucht, sich z.B. per WebDav-Client anzumelden (Die Systemprotokolle zeigen hier nichts an)
    - Dadurch würde ich auch unauthorisierten Zugriffe nicht erkennen


    Nun zu meiner Frage: Gibt es eine einfache Möglichkeit WebDav-Zugriffe zu erkennen und bei mehreren fehlerhaften Anmeldungen die IP zu sperren?


    Ich hatte zu Testzwecken auch mal FTP (mit SSL explizit) eingerichtet (und dabei ebenfalls Ports im oberen Bereich freigeschaltet). Dabei fand ich es gut, dass ich angemeldete User zumindest "sehen" und ggf. sperren kann. Was mir garnicht gefällt, dass FTP via SSH nur für das admin-Konto funktioniert.


    Vielen Dank und Grüße
    Subraumsignatur

    Hi,


    ein interessantes Problem. Könnte daran liegen, dass es via SSL geht, aber mangels WebDAV-Funktion meiner 109 kann ich das nicht prüfen.


    Würde dir alternativ der AjaXplorer helfen? (gibt es als QPKG) - damit kannst du auch Userbezogene Accounts erstellen. Was dir auch noch helfen könnte: ein USB-Drive an der Fritzbox - dann ist das NAS außen vor.

    Hallo Doc HT,


    besten Dank für Deine Antwort.


    - AjaXplorer müsste ich mal ausprobieren - das eigentliche Problem scheint mir damit aber nicht gelöst
    - USB-Drive an FB kommt letztlich nicht in Frage, weil die NAS-Funktionalität (und Performance...) bei der FB 7390 nur rudimentär entwickelt ist. Gerade bei verschlüsselten Verbindungen kommt es ja auf die CPU-Leistung des NAS-Servers an, um Ver-/Entschlüsselungen zügig vorzunehmen. Da ist die FritzBox naturgegeben einfach zu schwach.


    Grüße
    Subraumsignatur

    gibt es schon neue erkenntnisse diesbezüglich? :) wollte keinen eigenen thread aufmachen aber das thema interessiert mich momentan auch (419+ mit aktueller firmware)


    man sieht ja allen möglichen netzwerkzugriffsspam von samba in den protokollen aber keine spur von webdav, würde mich auch interessieren ob das möglich ist


    und noch eine kleinigkeit:


    kann man zugriffe auf /Web/xyz auch in den normalen systemprotokollen einsehen irgendwie? leite momentan 2 webseiten auf meinen nas um die doch im schnitt 30 besucher pro seite haben.
    piwik will bei mir nicht so recht anspringen bisher : )

    Ähm, wer, wie, was, wo, warum und wieso überhaupt? :mrgreen: :mrgreen: :-/ :roll:

    hehe, schön,
    es ging hier herum :)

    Zitat von "subraumsignatur"

    Nun zu meiner Frage: Gibt es eine einfache Möglichkeit WebDav-Zugriffe zu erkennen und bei mehreren fehlerhaften Anmeldungen die IP zu sperren?


    Der Satz darunter (Jetzt müsstet Ihr aber wirklich zum ersten Post scrollen...) wäre auch zu berücksichtigen :)


    Aber ich kann mir die Antwort schon denken.


    .oO(Firmwarte)

    Zitat von "subraumsignatur"

    Nun zu meiner Frage: Gibt es eine einfache Möglichkeit WebDav-Zugriffe zu erkennen und bei mehreren fehlerhaften Anmeldungen die IP zu sperren?


    Im Prinzip ja ... aber was das Sperren angeht, nicht unbedingt mit "Bordmitteln" auf der QNAP.


    Wo kann man die Zugriffe einsehen: WebDAV läuft über den Webserver und somit können die Zugriffe im Log des Webservers eingesehen werden - wenn in der Webserver-Konfiguration eingestellt.
    Da ich den Webserver nicht wirklich nutze ist mein Log auch leer (und wird scheinbar auch bei jedem Boot neu erstellt). Zu finden unter:
    /usr/local/apache/logs/access_log


    Hack-Angriffe auffinden und sperren: Hierzu hatte ich einst (für eine ähnliche Anforderung mit einem Webserver mit schreibenden Zugriffsrechten) einen Proxy im Einsatz, mit dessen Hilfe Angriffe entdeckt und die Übeltäter gesperrt werden konnten.
    Eventuell hilft hier aber auch die Einstellung in der Admin-Konsole der NAS unter: Systemadministration / Sicherheit / Netzwerkzugangsschutz ... (zumindest hab ich da was bei meiner TS-809U-RP)

    Ich würde vorschlagen eine VPN-Verbindung in der Fritzbox einzurichten.
    So komme ich mit meinem Nokia N8 und Notebook in mein lokales Netzwerk ohne irgendwelche Ports und Dienste öffen zu müssen.

    Genau,und diese Zugrife werden vom Qnap auch protokolliert