Zugriff über das Internet - Sicherheitsbedenken

    Guten Morgen,
    ich habe auf meinem NAS TS 119 II eine Webseite eingerichtet. Die Webseite ist lokal unter dem Port 25000 erreichbar, und die Dateien liegen im Verzeichnis "web/test".
    Da ich die Webseite auch vom Internet aus erreichen möchte, habe ich mir einen no-ip Account angelegt, und im Router (FritzBox) eine Portweiterleitung eingerichtet (der Port 8080 wird an die IP x.x.x.x Port 25000 weitergeleitet). Das ganze funktioniert auch wunderbar.


    Nun zu meinen Sicherheitsbedenken:
    Durch die Portweiterleitung ist mein NAS bzw. die Webseite von außen erreichbar. Ich bin mir jetzt aber nicht sicher, ob ein User bzw. Hacker nur Zugriff auf das Web-Frontend hat, oder ob er sich auch den Zugriff auf das Dateisystem verschaffen kann.
    Um die Technik besser verstehen zu können: Was würde ein Hacker benötigen, um Zugriff auf das Dateisytem "web/test" zu bekommen? Hat ein Hacker dann auch Zugriff auf das Root-Verzeichnis, indem alle anderen Ordner liegen?

    Die FAQ beantwortete nicht meine Fragen. Daher nochmal mein Anliegen:

    Zitat von "bitandbyte"

    Durch die Portweiterleitung ist mein NAS bzw. die Webseite von außen erreichbar. Ich bin mir jetzt aber nicht sicher, ob ein User bzw. Hacker nur Zugriff auf das Web-Frontend hat, oder ob er sich auch den Zugriff auf das Dateisystem verschaffen kann.
    Um die Technik besser verstehen zu können: Was würde ein Hacker benötigen, um Zugriff auf das Dateisytem "web/test" zu bekommen? Hat ein Hacker dann auch Zugriff auf das Root-Verzeichnis, indem alle anderen Ordner liegen?

    Einmal editiert, zuletzt von bladekiller () aus folgendem Grund: Volltextzitat entfernt!

    Ok, dann ganz allgemein die Antwort: Ja. :)


    Wenn Schadecode auf deinem Webserver eingeschleust ist, dann ist alles denkbar.

    Wenn nur Du den Zugriff auf die Website haben willst,bis Du mit einem VPN besser bedient

    Wenn ich euch richtig verstanden habe ist es nicht möglich, eine sichere Portweiterleitung einzurichten. Da fragt man sich dann schon, warum solche Features überhaupt bereitgestellt werden.


    Mich würde jetzt einfach interessieren, wie die Hacker in mein System vordringen können. Ich öffne den Port 25000, der zu meiner lokalen Webseite führt. Wie kann sich nun der Hacker Zugriff auf mein Dateisystem verschaffen? Kann das jemand grob erklären?

    Nein, das hast du jetzt falsch verstanden - natürlich kannst du das "sicher" einrichten, aber es gibt immer eine Steigerung von sicher und im Endeffekt kannst du nie mit absoluter Sicherheit sagen, ob sich nicht jemand eine 0-Day-Lücke in einer der beteiligten Server-Dienste zu nutze macht, um in das System einzudringen. Sobald du einen Rechner vom Internet aus erreichbar machst, besteht IMMER ein erhöhtes Risiko d.h. einmal Einrichten und dann vergessen, ist keine gute Idee. Insbesondere in einem solchen Fall solltest du regelmäßig die Logs auf Ungewöhnliches hin kontrollieren und die Software auf dem neusten Stand halten. Es besteht auch immer eine nicht unerhebliche Gefahr, dass man selbst Schlupflöcher erzeugt, weil man das System sicherer machen will ohne sich mit der Materie 100% auszukennen - wer von uns ist schon Sicherheitsexperte. Zu deiner Frage, anschaulich knapp kann man das nicht wirklich beschreiben - du kannst es dir so vorstellen, dass ein Server-Dienst mit Daten gefüttert wird, die er so nicht korrekt verarbeiten kann bzw. die er falsch verarbeitet was dann dazu führen kann das er abstürzt, sensible Daten ausliefert etc. - letztlich basiert jede Sicherheitslücke auf einem Programmierfehler. Um die eigentlichen Zusammenhänge verstehen zu können, muss man wissen, wie ein Computer ein Programm ausführt d.h. die unterschiedlichen Speicherbereiche von Daten und Programmcode etc, etc....so etwas füllt ein Bücherregal :D
    Ein Satz noch zum Schluß, es gibt Programme mit denen man die Verwundbarkeit eines Servers testen kann - natürlich nur den eigenen Server!


    Gruß
    Vertex

    Zitat von "bitandbyte"

    Wenn ich euch richtig verstanden habe ist es nicht möglich, eine sichere Portweiterleitung einzurichten. Da fragt man sich dann schon, warum solche Features überhaupt bereitgestellt werden.


    Ein Bsp. zu dem Thema.


    Wozu bieten die Autohersteller features wie Airbags, ESP etc. an, wenn trotzdem Leute bei Unfällen ums Leben kommen? Es gibt eben keine 100%ige Sicherheit.


    Das Wort sicher in Bezug auf eine Freigabe auf dein System dürfte da eigentlich gar nicht fallen :)


    Was mir aufgefallen ist, bei meinem zweiten NAS wo 2 Ports freigeschalten sind, kommen extrem viel Securitywarnings per Mail. Die IPs kommen sehr sehr oft aus dem fernen Osten ... Du kannst durch div. Sicherheitseinstellungen ja IP-Ranges auch sperren. Wäre ein evtl. Ansatz für dich.

    Zitat

    Das Wort sicher in Bezug auf eine Freigabe auf dein System dürfte da eigentlich gar nicht fallen


    Du hast es auf den Punkt gebracht :thumb:

    Nutzt ihr eigentlich keine Portweiterleitung? Wie greift ihr vom Internet auf das NAS zu? Gar nicht?

    Doch doch. Also auf meine 459 Greif ich per von zu.
    Auf die 212 per rsync und natürlich mit entsprechender Port Weiterleitung. Nur habe ich die Scherheitseinstellungen so angepasst das nur meine ip drauf zugreifen kann.

    Zitat von "bitandbyte"

    Nutzt ihr eigentlich keine Portweiterleitung? Wie greift ihr vom Internet auf das NAS zu? Gar nicht?

    Ich greife zur Zeit nur vom NAS aufs Internet zu, um Backups von einem Server zu machen. Ansonsten nutze ich für Zugriffe aus dem Internet das NAS meiner Fritzbox damit erübrigen sich Portweiterleitungen. Desweiteren nutze ich für LAN-Zugriffe aus dem Internet den VPN-Server der Fritzbox. So gesehen komme ich wunderbar ohne Weiterleitungen aus :D .


    Gruß
    Vertex