bitte eine anleitung zur verbesserung der sicherheit

Hallo,

dort http://forum.qnapclub.de/viewtopic.php?f=31&t=1522 findet eine Umfrage statt und wenn es denn genug Interesse gibt wird es auch ein Sub Forum dazu geben. Doch solange immer nur eine Handvoll Nutzer an derartigen Sub Foren interessiert sind macht es aus meiner Sicht keinen Sinn für jedes Hauptthema ein neues Sub Forum zu erstellen.

Fazit: Abstimmen!

Christian

Entschuldige wenn ich dir widerspreche Christian aber ich selbst hatte die Umfrage gelesen und dachte da eher an allgemeine IT-Sicherheit.
Falls dieser Subforum sich nur auf das Qnap-Sicherheit beziehen soll würde die Anleitung aus den Ergebnissen des Subforums darstellen.

Hallo,

Zitat von "OLK"

ich würde mich freuen wenn es eine anleitung gäbe, wie man seinen qnap nas "sicher(er)" machen kann. ich weiß das sicherheit relativ ist. derzeitige nas sind anscheinend relativ unsicher. das liegt natürlich in erster line gar nicht mal am nas, aber ein paar generelle tipps zur nas/router einstellung wirds doch geben!?

Das wesentliche hast du ja selbst schon erkannt, daß es " in erster line gar nicht mal am nas" liegt und das "sicherheit relativ ist"

Zitat von "OLK"

ich nehme an das mein nas (qnap ts209II) schonmal sehr sicher ist, wenn ich ftp- und webserver ausgeschaltet habe. wenn ich ftp- und webserver angeschaltet habe was kann ich dann tun um mehr sicherheit zu schaffen?

Durch das Abschalten von Diensten wird dein NAS erst mal nicht unbedingt sicherer ebsonwenig wie es durch das Anschalten von Diensten erst mal unsicherer wird. So pauschal kann man das nicht sagen, die Sicherheit wird im wesentlichen durch die Konfiguration und den Patch-Level definiert.

Zitat von "OLK"

- von den standartports auf hohe ports wechseln hab ich schon gelesen

Bringt sicherheitstechnisch erst mal gar nichts da durch einen einfachen Port Scan schnell ausfindig gemacht werden kann welcher Dienst auf welchem Port läuft. Die Mühe kann man sich sparen, auch wenn es in manchen Fällen durchaus Sinn machen kann keine Defaultports zu verwenden. In der Regel bringt das aber mehr Ärger als Nutzen.

Zitat von "OLK"

- ein sehr langes kompliziertes passwort, bringt das was oder ist das eher ein witz?

Das ist das A und O der Sicherheit an sich, ein gutes Passwort! Ein gutes Passwort muss nicht kompliziert sein, es darf nur nicht leicht zu erraten sein, also sind z.B. alle Wörter und Wortkombinationen tabu welche in Wörtbüchern vorkommen, denn das ist die erste und einfachste Methode um Passwörter per trial and error zu knacken. Gute Passwörter können leicht erstellt werden wenn man z.B. die Anfangsbuchstaben einer Passphrase verwendet. "Ich spazieren gerne um Mitternacht am Strand und schau mir die Sterne an!" würde z.B. "IsguMn8taSusmdSa" ergeben. Groß- und Kleinschreibung und eine Zahl, kann man beliebig aufbauen auch mit Sonderzeichen und auch noch viel länger.

Zitat von "OLK"

- ips abschalten ist sicher effektiv, aber unkonfortabel wenn man von außerhalb auf seinen ftp zugreifen möchte
- kann man ftp nur für einen teil der festplattenkapazität nutzen und den rest außen vor lassen?
- ist ftp generell nicht sicher?

http://de.wikipedia.org/wiki/File_Transfer_Protocol

ftp ist erst mal unsicher, da sowohl Login und Passwort als auch die Daten unverschlüsselt übertragen werden und somit leicht mitgelesen werden können. Eine ftp Verbindung über Internet ist daher ein Sicherheitsrisiko und nicht zu empfehlen.

ftp server und Daten sollten also nur da Anwendung finden, wo man die Daten sowieso öffentlich zugänglich machen möchte, also z.B. bei anonymous ftp servern für z.B. Open Source Software und anderen frei zugängliche Daten.

Eine sichere Variante wäre hier das SFTP oder FTP über SSH zu tunneln.

Zitat von "OLK"

bitte nicht hauen, bin anfänger

Das macht nichts, dann solltest du nur um so vorsichtiger sein!

Generell sollte man immer erst mal restriktiv sein und somit erst mal alles sperren. Danach kann man dann gezielte "Löcher" bohren, um Zugänge für Dienste zu öffen, welche man bewußt betreiben möchte. Soll also z.B. ein Webserver auf dem QNAP laufen, dann wird im Router der Port 80 auf das QNAP Port 80 geforwarded und mehr nicht. Damit wäre dieser Dienst versorgt und über das Internet erreichbar.

Systemzugänge sollten soweit wie möglich eingeschränkt und mit sehr guten Passwörtern gesichert werden. Nach Möglichkeit gar keinen Zugriff aus dem öffentlich Netz auf Systemzugänge ermöglichen, als z.B. den Systemzugangsport 8080 nicht im Router forwarden auf das QNAP.

Systeme, die öffentlich zugänglich sind, sollten niemals sensitive Daten enthalten. Damit ist jeder Einbruch erst mal eine Sackgasse, weil man nichts finden kann was nicht sowieso öffentlich zugänglich ist.

Soweit mal zu den ganz allgemeinen Tips. Im Einzelfall muss man immer sehen welches Dienst erforderlich sind, um dann gezielter auf Sicherheitsrisiken und Strategien eingehen zu können.

Gruß,

Gerald

Hallo,

Zitat von "turhanet"

... dachte da eher an allgemeine IT-Sicherheit.

Ich denke man sollte und kann das nicht trennen, da Sicherheit hier immer über das QNAP hinausgeht (Router Config, etc.). Man könnte natürlich das ganze reduzieren auf Sicherheitslücken der Firmware des QNAP selbst, aber das wäre denke ich etwas zu kurz gedacht.

Gerald

Hier http://forum.qnapclub.de/viewtopic.php?f=80&t=1601 gibts eine Anleitung wie man ein sehr komplexes Passwort verwenden kann ohne sich zu Ärgern das man dieses Kennwort immer eingeben muss beim Anmelden via ssh..... :mrgreen:

Zitat von "OLK"

hallo!
...
jede Menge Fragen...

bitte nicht hauen, bin anfänger. ich denke so paar tips zum thema sicherheit wär für viele einsteiger eine große hilfe!

danke!

Hallo OLK,

ich geh mal davon aus, dass Dich hier niemand haut abgesehen davon ist es sehr löblich, wenn Du Dir als Einsteiger Gedanken um Sicherheit machst.

Um jedoch Deine Fragen beantworten zu können, bräuchten wir schon ein paar Info's mehr, was Du mit Deinem NAS machen möchtest.

Grundsätzlich möchte ich Dir aber folgendes an Herz legen:
1. Wenn Du Deinen Router aufmachst um an Dein NAS zu gelangen (egal auf welchen Service) besteht schon mal die Möglichkeit in Dein Netz einzudringen.
2. Wenn Du Dienste Deiner TS209 im Web anbieten willst, solltest Du nur Dateien auf das NAS legen, von denen Du eine Sicherheitskopie hast und deren Verlust Du verschmerzen kannst.
(dies bezieht sich insbesondere auf vertrauliche Informationen!)
3. Nach meiner Überzeugung ist es besser, dafür Webspace zu mieten

Zur Konfiguration.
Dienste die Du abschaltest sind schonmal sicher (aber leider auch icht mehr zu nutzen)
Starke Passwörter helfen Systeme zu schützen, sind jedoch kein 100%iger Schutz!
Es gibt die Möglichkeit FTP-auf einem System wie dem Qnap weitestgehend sicher zu konfigurieren, aber dazu benötigst Du gute bis sehr gute Linux-Kenntnisse, dennoch gelten hier die o.a. Grunsätze!
JA, FTP ist generell unsicher!

Ich hoffe dies hilft Dir wenigstens etwas bei Deinen Überlegungen.

Grüße
Jody

Hallo,

Zitat von "OLK"

... jetzt müsst ich doch fast nur noch den ssh login über nen ftp client einstellen und ich bin ganz gut aufgestellt... oder doch nicht?

Ich würde gernerell kein Admin Login über ftp verwenden. Lege einen eigenen User an der entsprechend nur Zugriffe auf die gewünschten Verzeichnise hat und verwende diesen über ftp. Passswörter regelmässig zu wechseln macht immer Sinn, alle 4 Wochen ist dabei ein guter Zeitraum.

Zitat von "OLK"

zu meinen anwendungen: ich werd nen einfachen webserver ohne schnickschnack oä hosten. ftp nutz ich um das ein oder andere mal von auswärts verfügbar zu haben.

Port 80 und 21 aufmachen, evtl. must du für ftp noch 20 aufmachen (Regeln grad nicht im Kopf -> googlen) und forwarden auf dein QNAP. Sicherstellen, daß die Freigaben auf deinem QNAP ordentlich konfiguriert sind und einen extra User für ftp anlegen. Sensitive Daten nur in Bereiche mit Einzelfreigaben, kein Admin Login über extern, daß sollte dann ausreichend sein.

Auf jeden Fall sftp oder ftp tunnel über ssh verwenden, wenn per ftp Daten übertragen werden sollen, die vertraulich sind! Für einzelne Zugriffe bietet sich hier auch secure copy (http://de.wikipedia.org/wiki/Secure_Copy) an welches über ssh geht.

Gerald

Zitat von "OLK"

danke schonmal für die tips. ich werde jetzt hier mal mein persönliches sicherheitskonzept darlegen.

router:
-ich habe "nur"(?) den port 80 für den WEBserver und 21 für den FTPserver offen. 8080 ist zu; außerhalb zu administrieren, brauch ich nicht.

Damit der FTP-Server funktioniert musst Du noch die Ports 55536 - 56559 (in der Standardkonfiguration) öffnen, denn Port 21 dient nur der Initiierung der Verbindung.

Zitat

ftp:
-ich werde das adminpasswort so lange wie möglich gestalten und keine sonderzeichen auslassen. eine kopie befindet sich in meinem usb-stick am schlüsselanhänger und wird alle paar wochen/monate mal gewechselt

Ein starkes Passwort muss nicht zwangsweise lang sein!Richtig sicher ist ein Passwort erst dann, wenn es denn wenigstens 8 Zeichen lang, Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen enthält und es nirgends notiert werden muss! (siehe auch hier und hier jedoch im Bezug zum ersten Verweis)

Zitat

-ein paar freunde bekommen einen seperaten ordner zugewiesen, der mit einem "mittleren" passwort gesichert sein wird. nur zum datenaustausch, keine sensieblen daten.

s.o. gute Passwörter

Zitat

-ich wede versuchen, nach anleitung, den ftp-log zu installieren und dort hin und wieder schauen, was so passiert. hoffe ein möglicher hacker kann sich dort nicht einfach wieder austragen.

Ein Log hilft Dir nicht wirklich einen Hackingangriff zu erkennen, es sei denn Du bist mit Computerforensic vertraut auch hier dürfte ein Logging des Routers viel aufschlußreicher sein.
Um sicher zu gehen sollte man mindestens einmal täglich die Logs kontrollieren. Ein Hacker der weiß was er tut, wird die von ihm generierten Einträge ins Log löschen, ohne dass Du es merkst, also auch während Du gerade auf Deinem NAS arbeitest. Einer der nicht weiß, was er tut wird evtl. das gesamte Log löschen, in beiden Fällen wird Dir die Info zum "Überführen" fehlen.

Zitat

-wenn es denn wirklich sensible daten gibt, dann werd ich sie auf (zB) festplatte 2 speichern, auf die kein usereintrag verlinkt ist (hmm, admin ists wohl trotzdem, oder?)

Ein Hacker wird sich nicht auf das zugewiesene Protokoll (http/ftp) beschränken, sondern wird immer versuchen Root-Access (sprich den Administratorzugang unter Linux) zu erlangen,
Damit sind dann selbst die Dateien auf der anderen Platte nicht mehr sicher

Zitat

jetzt müsst ich doch fast nur noch den ssh login über nen ftp client einstellen und ich bin ganz gut aufgestellt... oder doch nicht?

Ich denke ich habe Dir nun alle Illusionen zum Thema "nun bin ich aber safe!" genommen, oder?

Grüße
Jody

Hallo,

Zitat von "jody"

Damit der FTP-Server funktioniert musst Du noch die Ports 55536 - 56559 (in der Standardkonfiguration) öffnen, denn Port 21 dient nur der Initiierung der Verbindung.

Nein, die Ports werden nur von Innen nach Aussen geöffent was kein Problem ist ein Port Forwarding ist nur für Port 20 und 21 notwendig, um aktives und passives ftp zu permitten.

Zitat von "jody"

... sondern wird immer versuchen Root-Access (sprich den Administratorzugang unter Linux) zu erlangen

Naja, aber den muss er erst mal bekommen Wenn der Router nur Port 80, 20 und 21 forwarded ist schon mal viel gebannt, das größte Risiko an dieser Stelle stelle stellen die gehosteten Webseiten dar. Sicherheitslücken in Webserver und/oder die Webseiten selber können Löcher aufreisen.

Zitat von "jody"

Ich denke ich habe Dir nun alle Illusionen zum Thema "nun bin ich aber safe!" genommen, oder?

Sicherheit ist relativ ... kommt auch immer darauf an was man den nun wirklich an Sicherheit erwartet und welche Daten man schützen möchte. Von einer einfachen Geldkassette bis Fort Nox ist auch in der IT-Sicherheit alles möglich.

Webserver und sensitive Daten passen nicht zusammen und sollten immer getrennt werden! Möchte oder kann man sich das nicht leisten (im privaten Bereich wohl oft der Fall) stellt die oben beschrieben Vorgehensweise das max. an Sicherheit dar was man im Rahmen einer Single Server Lösung erreichen kann. Man muss sich halt darüber im klaren sein, daß dies Restrisiken birgt. Auf der anderen Seite muss man sich selbst Fragen ob die Daten so sensitiv/wertvoll sind, daß der Schaden durch einen Verlust oder eine Veröffentlichung mehr Aufwand rechtfertigt! Sofern wirtschaftliche oder persönliche Konsequenzen zu erwarten sind sollte man wirklich über getrennte Systeme für Webhosting und Data Storage nachdenken. Der Ansatz Webspace zu mieten wäre in dem Fall sicher nicht verkehrt.

Gerald

Hallöle,

wenn ich Dich richtig verstanden habe, klappte der Zugriff, nachdem Du die genannten Ports geöffnet hast, oder? (ich frag nur aus Neugier )

Was die Sicherheit betrifft, frage ich mal ganz konkret, was Du vorhast!
Wenn Du von extern auf Deine sagen wir mal Musiksammlung zeugreifen willst, wäre es da aus der Blickrichtung Sicherheit nicht einfacher, nochmal so ca. 50 - 100 € zu sparen und eine
externe 2,5"-USB-Platte zukaufen? Das hätte sogar folgende positiven Nebeneffekte:
1. Du hast Deine Sammlung "gebackupt" (ich hasse diese eingedeutschten Anglizismen )
2. Du kannst Dein Netz wieder zuziehen
3. Du bist nicht auf eine u.U. langsame Internetverbindung angewiesen um an Deine Schätze zu gelangen
4. Du kannst nicht wegen verletzung des Urheberrechtes verknackt werden
5. Dein Brief an "Tante Emma" wird nur von Dir gelesen
6. Du kannst ruhiger schlafen

Im Ernst, wenn Du nicht 100%ig sicher bist, was Du tust, lass Dir die o.a. Punkte ganz langsam durch den Kopf gehen,
solltes Du dann immer noch den Bedarf haben, helfe ich Dir gerne weiter.

Zitat

wenn ich das richtig verstanden hab ist bei ftp das einloggen von außerhalb das größte sicherheitsrisiko. das kann ich dann wohl eindämmen , in dem ich mich von außerhalb grundsätzlich nie über einenen admin einlogge, sondern stets über einen acc der kaum rechte und einsicht hat. oder hab ichs immernoch nicht gerafft?

Nicht das Einloggen bei FTP ist das Problem, sondern vielmehr die Existenz eines zum Internet angeboteten Dienstes (Dienste in diesem Sinne sind FTP, http etc.),
da mit etwas Geschick, Ehrgeiz und Ausdauer dieser Dienst "gehackt" werden kann und dann die administrativen Rechte den Eigentümer wechseln

Grüße
Jody

Hallo,

Zitat von "OLK"

... meine multimediasammlung (filme,mp3s... etc) am ende "frei" im netz verfügbar sind und ich angeschuldigt werde eine tauschbörse zu betreiben. nur wenn das ganze eben nur mit einem hackangriff zugänglich gemacht werden kann, so mein verständnis von recht, sollte mir auch nicht der kopf abgerissen werden.

Ich bin kein Jurist, daher kann ich dir dazu nur keine persönliche Meinung sagen, aber meinem Verständniss nach reicht schon ein einfacher Passwortschutz aus, um rechtlich aus dem Schneider zu sein. Wenn jemand einbricht und Daten klaut hat das nichts mit File Sharing zu tun und "frei" verfügbar sind diese ja dann schon gleich gar nicht.

Zitat von "OLK"

wenn ich das richtig verstanden hab ist bei ftp das einloggen von außerhalb das größte sicherheitsrisiko.

Bei native ftp ist das eigendliche Risiko, daß sowohl die Authentifizierung als auch die Datenübertragung unverschlüsselt erfolgt. Damit muss ein Angreifer gar nicht viel tun sondern nur mithören und beim nächsten Zugriff erfährt er Login und Passwort automatisch, weil es im Klartext übertragen wird!

Zitat von "OLK"

... über einen acc der kaum rechte und einsicht hat. oder hab ichs immernoch nicht gerafft?

Ein entsprechend eingeschränkter Account minimiert den Schaden, den ein Angreifer anrichten kann, wenn er auf einfachem Wege (siehe oben) an Login und Passwort kommt. Liegt auf dem ftp-server nichts wichtiges kann es dir egal sein.

Gerald

Hallo,

Zitat von "OLK"

... jetzt hoff ich natürlich, dass sich das abhören von zugangsdaen im lan wesentlich schwieriger gestaltet.

du must unterscheiden zwischen deinem privatem lokalem LAN und dem öffentlich zugänglichen LAN (Internet). Einen vernünftigen Router vorausgesetzt kann aus dem öffentlichen LAN (Internet) erst mal keiner auf dein privates lokales LAN zugreifen geschweige den sehen was da so vor sich geht. Ein Angreifer müste also erst mal Zugriff auf dein lokales privates LAN erhalten, um überhaupt etwas machen zu können.

Zugriff auf das lokale private LAN kann ein Angreifer nur bekommen, wenn er deinen Router hackt und sich durch umkonfigurieren deselben entsprechende Zugänge schaft oder wenn er sich physikalisch an dein lokale privates LAN anhängen kann. Router hacken ist in der Regel schwer, da die meisten Router eine Konfiguration über den WAN Port (Wide Area Network / Internet) nicht zulassen bzw. man muss dies explizit erlauben, was man nicht wirklich tun sollte. Nichtsdestotrotz gab und gibt es auch hier teilweise firmwarebedingt Sicherheitslücken! Physikalischen Zugriff auf dein privates lokales LAN erfordert Zugriff auf Hardware, eine große Sicherheitslücke hier sind oft ungesicherte oder schlecht gesicherte WLAN's, aber auch hier muss der Angreifer zumindest in die räumliche Nähe kommen, da die Reichweite von WLAN nur wenige Meter bis 100-200m beträgt.

Öffnest du nun für manche Dienste (z.B. ftp) deinen Router, dann öffnest du gleichzeitig eine Türe für Angreifer, da nun eine Zugriff vom öffentlichen LAN (Internet) auf eines deiner Systeme im privaten lokalen LAN möglich ist. Zwar nur für einen Dienst, aber es ist ein Zugang. Gibt es nun eine Sicherheitslücke im Server (z.B. ftp) kann es unter Umständen möglich sein darüber einen administrativen Zugang (unter Linux root account, beim QNAP admin account) zu erhalten. Mittels diesem "root-login" wäre dann wieder ein Zugriff auf das private lokale LAN möglich!

Erlangt ein Angreifer einen "root-login" kann er auf deinem QNAP natürlich alles machen was du über lokal über den Admin Zugang auch machen kannst, also auch deine geschützen Daten lesen/kopieren und entsprechende Accounts für Zugänge anlegen.

Das Risiko, daß sich jemand die Mühe macht und dein QNAP hackt, um dann deine privaten Daten auszuspionieren ist nicht Null aber auch verhältnismässig gering. Ob du damit Leben kannst oder nicht must du selber entscheiden. Willst du auf Nummer sicher gehen, dann trennst du deine privaten Daten von denen die du öffentlich zugänglich haben willst und speicherst beides getrennt voneinander auf unterschiedlichen Medien. Alternative wäre noch, sofern du doch alles auf einem Medium haben willst, die privaten Daten verschlüsselt abzulegen (http://www.truecrypt.org/) kostet zwar etwas Performace, aber so ist das nun mal mit der Sicherheit.

So, ich hoffe ich hab alle Klarheiten beseitigt

Gerald