Netzwerksicherheit [eine FAQ]

  • Hallöle,


    ich möchte die Gelegenheit nutzen und hier ein paar Fragen die immer wieder gestellt werden versuchen zu beantworten, jedoch nicht ohne
    nochmals darauf hinzuweisen, das es hier um Speicherlösungen geht.
    Es sind und bleiben Speicherlösungen


    1. Ist das NAS so sicher, dass es nicht gehacked werden kann?
    Nein, kein System ist so sicher, als das es 100%igen Schutz vor Misbrauch geben kann!
    ABER Wer sich beim Aufbau seines (Heim-) Netzwerkes grundlegende Gedanken zur Sicherheit macht, wird sein NAS weitestgehend schützen können!


    2. Ist es gefahrlos möglich Daten mittels der Geräte von Qnap im Web zu veröffentlichen?
    Jein! Sofern Ihr auf das NAS nur jene Daten legt, deren Verlust Ihr verschmerzen könnt, ist die Freigabe im Web relativ einfach zu realisieren!
    (Stichworte hierzu sind: FTP, HTTP, Webdateimanager etc., dynamisches DNS und Portforwarding, welches wo eingesetzt wird findet Ihr an andere Stelle im Forum )


    3. Kann ich mein NAS besonders schützen, wen ich Daten im Web veröffentlichen will?
    JA! Wichtig ist nur jene Dateien auf das NAS zu legen, die Ihr auch tatsächlich veröffentlichen wollt! Ferner solltet Ihr folgendes berücksichtigen:
    - sichere Passwörter wählen (das/die Passwo(e)rte(r) sollten mindestens Groß- und/oder Kleinbuchstaben, Ziffern und Sonderzeichen haben und nicht zu kurz (min 8Zeichen)sein)
    - Passwörter regelmäßig ändern (dabei sollte jedoch kein Algorithmus erkennbar sein)
    - wählt nur die Dienste die Ihr tatsächlich benötigt
    - denkt über den Einsatz einer Firewall nach (besser über ein sogenanntes Firewallkonzept und wie man es umsetzten kann)
    - eigenet Euch das notwendige Wissen zum Thema an (man muss kein Netzwerkprofi werden, aber es schadet nicht :D )
    - verteilt die notwendigen Zugangsdaten nicht wahllos


    4. Warum bemüht sich der Hersteller nicht um mehr Sicherheit?
    Die meisten Hersteller von Netzwerk-Hardware haben in den vergangenen Jahren immens in Sachen Sicherheit zugelegt, so war es bis vor wenigen
    Jahren noch üblich WLAN-Router und Accesspoints ohne Verschlüsselung auszustatten, was heute jedoch schon zum Standard gehört.
    Da ein Hersteller jedoch nicht jeden möglichen Einsatzzweck berücksichtigen kann, kann logischerweise auch nicht jede mögliche Sicherheit eingebaut werden
    (was nicht zuletzt auch eine Kostenfrage ist).
    Abgesehen davon beruhen die derzeit eingesetzten Übertragungsprotokolle auf Entwicklungen aus den 1960er Jahren und hatten ursprünglich nicht den Ansatz
    Millionen von Computern zu verbinden! Sie waren lediglich für militärische Zwecke entwickelt worden. Für die damals zur Verfügung stehende Rechnerkapazität
    galt es als "unüberwindbar".


    5. Kann man für FTP, HTTP nur einen Teil der Festplattenkapazität nutzen und den Rest außen vor lassen?
    JA, mittels Quota oder durch Einrichten einer entsprechend großen Partition lässt sich der genutzte Plattenplatz begrenzen!
    ABER: Da die genutzten Serverdienste auch angreifbar sind, hat ein möglicher Eindringling unter umständen auch einen Root-Zugang zu dem NAS
    und somit greifen die eingestellten Sicherheitsgrenzen nicht.
    Für den normalen Betrieb sind diese Einstellungen jedoch ausreichend.


    6. Was genau bedeutet Portforwarding und ist das sicher?
    Portforwarding ist die Möglichkeit den Zugriff auf interne Ressourcen (also z.B. Dein NAS) vom Internet aus zu ermöglichen.
    Da dadurch jedoch der Zugriff von aussen (also vom bösen Internet) nach innen (also Deine wertvollen Geräte, Dienste, Daten) ermöglicht wird,
    sollte man sich sehr gut überlegen ob man das möchte. Sofern ein Dienst auf dem von aussen erreichenbaren Gerät unsicher konfiguriert ist, besteht die
    Möglichkeit, dieses Gerät als Zwischenstation zu nutzen und sämtliche Geräte im internen Netz zu kompromitieren.


    7. Was ist Dynamisches DNS und kann ich es gefahrlos nutzen?
    DNS ist ein Dienst, der eine IP-Adresse in einen Namen übersetzt, da Ihr i.d.R. jedesmal wenn Ihr Euch im Internet bewegt von Eurem Provider ein neue IP bekommt, wäre es sehr schwierig
    jedesmal die gerade verwendete IP herauszubekommen.
    Damit Ihr jedoch von außen (z.B. Internetcaffee) auf Eure Daten zugreifen könnt, müsstet Ihr jedoch genau diese gerade verwendete IP kennen.
    Genau hier setzt nun dynamisches DNS an und nimmt Euch die Arbeit ab, (jedesmal Eure aktuelle IP zu ermitteln) und übersetzt die IP in einen von Euch gewählten Namen,
    z.B. wird aus der IP 97.184.241.167 der Name meincomputer.dyndns.org und das kann sich jeder leicht merken.
    Durch die Nutzung dieses Services allein entsteht kein Sicherheitsrisiko für Euch! Sollte sich aber hinter dem Namen ein schlecht konfiguriertes Netzwerk befinden, kann es jedoch sehr wohl
    zum Risiko werden, da ein möglicher Angreifer dieses einmal kompromittierte System jederzeit wiederfindet und u.U. für kriminelle Machenschaften ausbauen und weiternutzen kann.
    Nur wenn Ihr Dienste Eures NAS im Internet anbieten wollt, solltet Ihr von davon Gebrauch machen (vorzugweise solltet Ihr dies jedoch auf Eurem Router einrichten!)


    Ziel ist es diese Liste entsprechend zu ergänzen...
    Jody

    4 Mal editiert, zuletzt von jody ()

  • 8. Was tun nach einem Hackerangriff?


    Zunächst muss die Frage geklärt werden, wie man einen Hackerangriff erkennen kann! Sollte sich das NAS oder der PC nicht in gewohnter Weise verhalten, kann ein Blick in die Logdateien eventuell Aufschluß über einen potentiellen Angriff geben, jedoch könnten auch Hardwaredefekte in Frage kommen.


    Bei der Auswertung der Logfiles ist eigentlich interressanter, was man nicht sieht, da ein erfolgreicher Hacker sicher seine Spuren verwischen wird. Wenn in einer ganzen Reihe von Logeinträgen plötzlich Sprünge in den Zeitsstempeln auftreten, könnte das ein Indiz für die Löschung von Einträgen sein.
    Auch ein erfolgreicher Login in einer Zeit wo man definitiv geschlafen hat oder nicht zu Hause war, könnte ein guter Hinweis sein :)
    Ob der PC oder das NAS erfolgreich gehacked wurde, wird sich sehr wahrscheinlich nur dem professionellen Forensicker erschließen, daher hier einige Tipps:


    Das NAS wurde kompromittiert:
    Zunächst solltet Ihr, sofern nicht vorhanden, eine Datensicherung (möglichst auf Datenträger die Ihr an jedem PC auslesen könnt!) erstellen und anschließend die Festplatte(n) des NAS herausbauen. Nun schließt Ihr die Festplatte an euren PC an (entsprechende USB-Adapter gibt es schon sehr preisgünstig) und löscht alle Partionen, optimal ist es, mit einem Cleaningtool die Platte mehrfach zu überschreiben, damit mögliche Rückstände von Viren, Trojanern und Rootkits ausgeschlossen werden können. Nun kann die Platte bzw. die Platten zurück in NAS gebaut werden und das NAS mit dem Finder neukonfiguriert und eingerichtet werden. :!: Wichtig, bevor Ihr die Daten zurückkopiert, stellt sicher, dass Euer PC "sauber" ist und Ihr einen aktuellen Virenscanner installiert habt! Kopiert die Daten nicht direkt sondern immer über den Umweg PC mit Virenscanner zurück aufs NAS :!:
    Nun sollte das NAS wieder Sauber sein!


    Der PC wurde kompromittiert:
    Zunächst wieder der Schritt einer Datensicherung auf ein auf allen Systemen lesbaren Datenträger. Dann Festplatte formatieren und OS neu installieren, System komplett aktualisieren und Virenschutz installieren (aktuelle Virensignatur versteht sich von alleine). Nun mit aktivierten Virenschutz die Daten aus der Sicherung wiederherstellen.


    Der Router wurde kompromittiert:
    Hier sollte der erste Schritt sein, neue Zugangsdaten des Providers anfordern! Wenn diese da sind, Router in den Auslieferungszustand zurücksetzen und gem. Anleitung mit den neuen Zugangsdaten einrichten und ein neues Passwort vergeben. Wenn der Router wieder funktioniert im Internet nach bekannten Sicherheitslücken des Routers suchen und versuchen diese (sofern welche gefunden wurden) mittels Firmwarupgrade zu schließen.


    Warum so restriktiv die Neuinstallation?
    Wann immer der Verdacht besteht, das ein System kompromittiert wurde, können erst nach der Neuinstallation sichere Aussagen zum Zustand des Systems getroffen werden (bis zu dem Zeitpunkt wo die Daten wiederhergestellt werden!). Jeder andere Zustand lässt die (fortdauernde) Anwesenheit eines Hackers zu, was einem unsicheren Gerät gleichkommt.


    Grundsätzlich sollten nicht für alle Geräte die gleichen Passworte genutzt werden! Passworte sollten möglichst komplex (also min. je ein Zeichen aus folgenden Gruppen beinhalten: Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen) und je nach genutztem System eine bestimmte Mindestlänge nicht unterschreiten. Hierbei streiten sich die gelehrten, ob das optimale Passwort 10 oder doch besser 36 Zeichen hat. Wenn es komplex genug ist, mögen u.U. auch nur 6 Zeichen reichen, meine Empfehlung liegt irgendwo dazwischen, abhängig davon ob ein System von Internet aus erreichbar (> 10) ist, oder nicht ( ggf. < 6).



    Bei Protestesten oder sonstigen Diskussionsbedarf bitte ein neues Thema erstellen, damit diese FaQ möglichst "sauber" bleibt!

  • 9. Portforwarding aber wie?
    Portforwarding beschreibt einfach nur die Weiterleitung eines Ports vom Router auf einen Port eines internen Gerätes. Leider sind sich die Routerhersteller bezüglich der verwendeten Begriffe nicht ganz einig, denn bei einigen heist es DMZ, bei anderen Dienste oder auch Portforwarding.


    Wie es bei Deinem Router heisst, kannst Du eigentlich nur durch intensives Studium des Handbuches herausfinden.
    Unter http://portforward.com/ gibt es jedoch eine gute Hilfestellung für die gebräuchlichsten Router um das Weiterleiten bestimmter Ports einzurichten, leider ist die Seite in englisch und wird über Werbung finanziert.
    Wer es lieber in deutsch haben möchte, kann sich i.d.R. auf den Herstellerseiten eine kurze Anleitung ansehen oder in speziellen Foren fündig werden (hier möge sich bitte jeder selbst an Google wenden).


    Nun aber zu den Fallstricken, die ich wenigstens erwähnen möchte:
    1. Es werden zu wenig Ports weitergeleitet!
    Da ja der Ansatz so sein sollte, das man nur das tatsächlich weiterleitet, was auch zwingend weitergeleitet werden muss, kann es bei dem ein oder anderen Dienst zu wenig sein. Als Beispiel sei hier lediglich FTP aufgeführt, das mit nur einem geöffneten Port 21 alleine nie funkionieren wird. Die Folge wird sein, dass Ihr Euch sehr ärgert, auf mich und das Forum schimpf, aber den Dienst nie von außen nutzen könnt (boshafter weise könnte ich sagen: "das ist sicher !")


    2. Es werden zu viele Ports weitergeleitet!
    Wenn man sich nicht besonders gut auskennt und die Folgen nicht absehbar sind, neigt man u.U. auch dazu "im Bausch und Bogen" die Ports weiterzuleiten, frei nach dem Motto "Viel hilft viel". Die Folgen hiervon brauche ich wohl nicht weiter darzulegen, als das die Angriffsfläche unnötig vergrößert wird.


    3. Es werden schlicht die falschen Ports weitergeleitet!
    Nehmen wir an Du möchtest HTTPS (Port 443) weiterleiten, unterschlägst jedoch das "S" und leitest statt dessen nur den Port 80 weiter. Weil aber gerade Deine Freundin anruft, vergisst Du schlicht alles um Dich herum und denkst die nächsten 20 Jahre nur noch an das eine, aber nicht mehr an den geöffneten Port 80.
    (ich gebe zu, dass dies ein sehr konstruiertes Beispiel ist :) )
    Nun ist aber noch immer der Port 80 geöffnet und dieser bietet ebenfalls Angriffsfläche!


    Also bevor Du Dich mit dem Gedanken trägst Portforwarding einzurichten, beschäftige Dich wenigstens rudimentär mit dem Dienst (und den damit verbundenen Protokollen und Ports) den Du weiterleiten möchtest. Nimm Dir ausreichend Zeit um Deinen Router zu konfigurieren und lasse Dich nicht ablenken ;)
    Wenn Du meinst Du hast alles richtig gemacht, bitte einen guten Freund Dein Netzwerk von außen also vom Internet her auf offene Ports zu testen (Achtung hier greift leider der Hackerparagraph, der bereits den Besitz von Hackingtools und dazu gehören auch Netzwerkscanner! unter Strafe stellt). Erst wenn Ihr sicher seid, dass alles so funktioniert wie Ihr es tatsächlich wollt, solltet Ihr den Dienst aktivieren und die dazugehörigen Daten auf dem NAS ablegen.


    Auch wenn Ihr nur einen einzigen Port zu Internet hin weiterleitet, kann dieser schon reichen, um Hackern die Tür zu öffnen!


    Auch wenn Ihr nun keine konkrete Antwort auf das "wie" erhalten habt, sollte Euch dies einen Schritt weiter gebracht haben!

  • 10. Wie real sind denn diese Netzwerkangriffe überhaupt?


    Nehmen wir mal das Beispiel Shellshock, von dem allein in diesem Forum diverse Nutzer betroffen sind/waren, da es zeigt dass die Gefahren real sind.


    Tatsächlich werden stets und ständig Netzwerkscans und Netzwerkangriffe im Internet durchgeführt, mit dem Ziel Ressourcen zu stehlen, Daten und Geheimnisse zu erbeuten oder gar im Infrastrukturen lahmzulegen.
    Mittels der Netzwerkscans wird nach lohnenden Zielen gesucht! Lohnend in diesem Sinne ist alles, was Ressourcen (Rechenkapazität/Speicherplatz/Bandbreite etc.) zur Verfügung stellt, oder wertvolle Informationen bietet. Die Ergebnisse der Scans helfen außerdem dabei die "Fundsachen" genau zu identifizieren, also welches Betriebssystem verbirgt sich hinter der IP-Adresse und welche Schwachstellen kann ich am besten ausnutzen. Mit diesem Wissen lässt sich die Suche natürlich zielorientiert optimieren: "suche alle NAS-Systeme, die durch den Shellshock-Bug verwundbar sind" Idealerweise wird dann der notwendige "Angriff" auf die ermittelten Systeme gleich automatisch mit durchgeführt.
    Ihr könntet jetzt argumentieren, dass Euer NAS seit X Monaten im Netz steht und noch nie angegriffen wurde, weil ihr meint, es verhält sich völlig normal...
    Würdet Ihr Euch zu erkennen geben, wenn Ihr eine "Goldader" gefunden habt? Eben, genauso verhalten sich die Jungs mit den schwarzen Hüten (Blackhat-Hacker),
    denn es geht darum Ressourcen zu nutzen...
    Es gibt leider keine konkreten Zahlen wie oft oder wer wann von wo Angriffe auf Ziele im Netz macht, aber aus eigener Erfahrung kann ich sagen, dass diese Angriffe rund um die Uhr und aus allen Richtungen kommen! Sei es aus China, Lettland, oder den USA, es sind einfach alle Nationen vertreten und es kann auch Dein Nachbar dabei sein ;)



    11. Was kann man wirksam gegen diese Masse von Angriffen tun?


    Eigentlich nichts, aber man kann zumindest das Risiko erfolgreich angegriffen zu werden durch den Einsatz von Firewalls mit entsprechenden Filterregeln mimimieren. Meine Empfehlung geht sogar mittlerweile soweit, auf Zugriffe vom Internet auf das eine Netz zuhause komplett zu verzichten (in meinem Firewall-Log konnte ich mittlerweile diverse Bruteforce-Angriffe auf meinen VPN-Zugang ermitteln!)
    Sorgt dafür, dass Eure Geräte immer die neueste Firmware haben bzw. die aktuellsten Sicherheitspatche installiert sind! Wechselt regelmäßig Eure Passwörter und schaltet alle nicht benötigten Portweiterleitungen ab (ich empfehle diese min. alle 3 Monate auf Notwendigekeit zu prüfen)!
    Wer ganz sicher gehen möchte investiert vielleicht in eine zusätzliche Firewall oder nutzt einen ausrangierten PC um eine Firewall selbst aufzubauen (z.B. IP-Cop)!
    Installiert auf allen mit dem Internet verbundenen Geräten einen Virenschutz, der selbstverständlich aktuell gehalten werden muss.


    Grüße Jody


    Bei Protestesten oder sonstigen Diskussionsbedarf bitte ein neues Thema erstellen, damit diese FaQ möglichst "sauber" bleibt!

    Einmal editiert, zuletzt von TobiasK () aus folgendem Grund: Überschriften formatiert.