Abwehr von Portscans - Wie das NAS richtig absichern?

  • Hallo Leute,


    habe gestern meinen ersten Portscan mit Einbruchversuch erlebt :x - schon beeindruckend, wie schnell das geht.
    Das NAS wurde nicht geknackt :) , aber...


    Artikel zur Auswahl sicherer Passwörter sind hier ja drin, das ist nicht die Frage, sondern:


    • Ich habe einen DynDNS-Account laufen, um das NAS von auien erreichen zu können - erleichtert das solche Angriffe über Gebühr? Gibt es "sichere" DynDNS-Anbieter?


    • Kann man bestimmte shares besonders absichern? Meine Musik wäre mir nicht so wichtig, andere Daten schon. :?


    • Auf welche Ports (innerhalb welcher Portbereiche) sollte man die Einstellungen ändern?


    • Gibt es Portbereiche, die man für Dienste NICHT nutzen sollte? Wenn ja, welche?


    • Welche anderen Teile des Systems muss man noch absichern (Samba-Server, MySQL-DB, phpMyAdmin etc.)?


    • Welche Passwörter sollte man in phpMyAdmin ändern, und v.a. wie löscht man dort nicht benötigte (Standard-) User, welche darf man nicht löschen?


    • Gibt es ein Tool, mit dem man z.B. Sicherungsarchive auf dem NAS verschlüsseln kann?


    • Ist geplant, dass die TS 109 Pro II mit der Port-Schutzfunktion der größeren NASse nachgerüstet wird, um Einbruchsversuche (möglichst) zu unterbinden?


    • Wenn nicht: kann man das beschleunigen, z.B. mittels Abstimmung im Forum und Meldung der Ergebnisse an QNAP?


    • Gibt es schon eine Anleitung, wie man eine TS in eine DMZ einbinden kann (und was bringt das?)?


    Für alle, die's nicht glauben, wie schnell das geht mit dem Portscan, kann ich nur empfehlen, das NAS in den Sichtbereich auf den Schreibtisch zu stellen, das entsprechende Portforwarding einzurichten, und mal abzuwarten... Es geht schneller, als man denkt. Ich habe es nur bemerkt, weil auf einmal die LAN-Kontrollleuchte sehr hektisch wurde, und ich gerade nur in Word herumgetippt habe - da konnte was nicht stimmen.

  • Zitat von "Doc HT"

    Wie das NAS richtig absichern?


    Ernsthaft gesagt ist das sicherste NAS, wenn das NAS nicht aus dem Internet erreichbar ist.
    Ich weiß, diese Aussage hilft dir nicht weiter.


    Zitat von "Doc HT"

    Gibt es "sichere" DynDNS-Anbieter?


    DynDNS-Anbieter stellen NUR den Dienst Domain auf IP-Adresse an, mehr nicht.
    Die Sicherheit muß der Nutzer selbst gewährleisten.
    Denn nur er selbst kann entscheiden, welche Zugriffe erlaubt sind.


    Zitat von "Doc HT"

    Kann man bestimmte shares besonders absichern?


    Wenn du die SAMBA Freigaben meinst, außer entsprechende Paßwörter zu verwenden, eigentlich nicht.
    SAMBA Freigaben sollte man grundsätzlich für das Internet sperren, dafür gibt es SFTP und andere sichere Dienste/Protokolle.


    Zitat von "Doc HT"

    Welche anderen Teile des Systems muss man noch absichern (Samba-Server, MySQL-DB, phpMyAdmin etc.)?


    SAMBA, mySQL und phpmyAdmin solltest du für das Internet auch sperren, wirklich nur aus dem eigenen Netzwerk administrieren.


    Zitat von "Doc HT"

    Gibt es schon eine Anleitung, wie man eine TS in eine DMZ einbinden kann (und was bringt das?)?


    DMZ ist ua. das schlimmste, was du machen kannst, damit gibst du dein NAS komplett dem Internet preis.
    Portforwarding ist vorzuziehen, da du hier gezielt die Dienste freischalten mußt, die für das Internet erreichbar sein soll.


    Du solltest wirklich auf ein Minimum an Diensten für das Internet freischalten, um solche Angriffe einzuschrenken.


    Zitat von "Doc HT"

    Ist geplant, dass die TS 109 Pro II mit der Port-Schutzfunktion der größeren NASse nachgerüstet wird, um Einbruchsversuche (möglichst) zu unterbinden?


    Damit kannst du den Hackern die Arbeit schwerer machen, aber die Portscans nicht verhindern.


    Schöne Grüße,
    Stefan

  • Zitat von "Eraser-EMC2-"


    Ernsthaft gesagt ist das sicherste NAS, wenn das NAS nicht aus dem Internet erreichbar ist.
    Ich weiß, diese Aussage hilft dir nicht weiter.


    Genau - dafür habe ich die Kiste ja gekauft, ich kaufe ja schließlich keine Web-Funktionen, die ich dann alle nicht einschalten darf, weil die Kiste Scheunentore offenhält. :cursing: Spätestens, wenn so ein Ding eine Windows-Oberfläche zur Steuerung bekommt, ist das erklärtermaßen nichts mehr nur für Linux-Profis - siehe mich.


    Zitat von "Eraser-EMC2-"


    Wenn du die SAMBA Freigaben meinst, außer entsprechende Paßwörter zu verwenden, eigentlich nicht.
    SAMBA Freigaben sollte man grundsätzlich für das Internet sperren, dafür gibt es SFTP und andere sichere Dienste/Protokolle.



    SAMBA, mySQL und phpmyAdmin solltest du für das Internet auch sperren, wirklich nur aus dem eigenen Netzwerk administrieren.


    o.k., aber: how to? Das hieße dann ja wohl, dass ich joomla & konsorten nur im Intranet nutzen kann - spätestens dann denke ich aber, dass QNAP die Kisten falsch bewirbt - oder positiv formuliert: es fehlen ein paar kleine Sicherheitsfeatures, de nicht nur die 509 braucht... Außerdem: die Anleitung zur Aktivierung für die MySQL-DB enthält seitens QNAP explizit die Aufforderung, den externen IP-Port mit freizuschalten. Tss, Tss - habe ich aber nicht getan.


    Konkret: Heißt das, ich sollte diese Funktionen besser abschalten, oder darf ich einfach "nur" keine Portforwardings einrichten?


    Zitat von "Eraser-EMC2-"


    Damit kannst du den Hackern die Arbeit schwerer machen, aber die Portscans nicht verhindern.


    Die Scans als solche stören mich nicht, solange alles läuft und keiner reinkommt - ich hoffe, dieser Gedanke stimmt dann auch!


    Vielen Dank & Schöne Grüße

  • Moin,


    Zitat von "Doc HT"


    Wie das NAS richtig absichern?


    Wie mein Vorposter schon sagte ist die beste Absicherung, wenn das NAS aus dem öffentlichen Netz (WAN/Internet) gar nicht erst erreichbar ist. Alles andere ist ein Kompromiss aus notwendigen Diensten (ftp, Webserver, etc.?) und der möglichen Sicherung dieser Dienste gegen unbefugtes benutzen.


    Generell gilt, daß man nach Möglichkeit nur das öffnet was man unbedingt benötigt. Also erst mal alle Zugriffe und Ports sperren. DMZ ist die schlechteste aller Lösungen, da damit ausnahmslos alle Ports vom öffentlichen Netz zum lokalen Rechnern geforwarded werden.


    Eine vernünfige Firewall vor dem NAS ist Pflicht! Port Forwarding auf das lokale Netz nur für Dienste, die man benötigt und für diese Dienste hinreichend sichere Passwörter wählen. Damit sollten Einbruchversuche scheitern. Für Zugriffe von extern ausschlieslich sichere Verbindungen wie SSH wählen.


    Webserver + sensitive Daten passen nicht zusammen, daher sollte man sich überlegen welchen Anwendungszweck das NAS erfüllen soll! Will man darauf einen Webserver hosten, dann sollte man auschlieslich die Daten, die man veröffentlichen will auf dem NAS haben und seine sensitive Daten auf einem anderen NAS speichern. Am besten man trennt die Netze komplett voneinander, so daß ein Hacker nur auf dem Webspace landet, damit ist man dann auf der sicheren Seite.


    Nutz man das NAS als "NAS", dann sollte man auf Webserver + Co verzichten bzw. diese nur im internen Netz nutzen. Zugriffe von extern ausschlieslich über SSH, SSH-Tunnel oder sftp und auch nur diese Ports im Router forwarden. Wie gesagt sichere Passwörter, dann sollte eigendlich nichts mehr passieren.


    Zitat von "Doc HT"


    Genau - dafür habe ich die Kiste ja gekauft ... Konkret: Heißt das, ich sollte diese Funktionen besser abschalten,


    Das ist kein QNAP oder NAS Problem! Wer Systeme egal welcher Art in's öffentliche Internet stellt ist in erster Linie erst mal selber für die Sicherheit verantwortlich und muss entsprechende Massnahmen ergreifen, um sich vor unbefugten Zugriffen zu schützen. Die zwingend notwendig Firewall ist zum Bsp. nicht Bestandteil des NAS, aber unverzichtbar. Sichere Passwörter kann man nutzen muss man aber nicht, auch das ist kein QNAP/NAS spezifisches Problem.


    Weiterhin stellen bestimmte Dienste rein technisch ein erhöhtes Risiko dar und dazu gehört z.B. der Webserver. Auch das ist kein QNAP/NAS spezifisches Problem sondern ein generelles. Im Falle des Webservers ist es ja erwünscht, daß anderen Zugriff auf dein NAS haben!


    Sichere wären manche Dinge (brute force Schutz) wünschenswert sind aber für ein NAS nicht zwingend notwendig.


    Auch muss man sehen, daß es sich hier um eine Low Cost SOHO Lösung handelt! Wenn man sich einen Holzkiste mit einem billigen Vorhängeschloss kauft ist dies auch unsicherer als wenn man sich ein Tresor hinstellt. Allerdings sind die Kosten für einen Tresor in der Regel auch etwas höher anzusetzen!


    Letzlich muss man selbst das Risiko abschätzen und sehen was für seine Anwendung und die persönlichen Daten der richtige Schutz mit dem richten Preis-/Leistungsverhältnis darstellt.


    Fazit: Du kannst selbstverstzändlich alle Dienste deines NAS auch über das öffentliche Internet nutzen!


    Gruß,


    Gerald

  • Um Joomla im Internet zu nutzen, reicht es aus, den Port 80 weiterzuleiten, mySQL braucht man nicht aus dem Internet nutzen, da Webserver und mySQl auf dem selben Host (127.0.0.1) laufen.


    Zitat von "Doc HT"

    weil die Kiste Scheunentore offenhält.


    Das würdest du aber schon mit einer DMZ (DeMilitarisierte Zone = ungeschützter Bereich) machen .


    Zitat von "Doc HT"

    es fehlen ein paar kleine Sicherheitsfeatures, de nicht nur die 509 braucht.


    Da geb ich dir Recht, aber es gibt dir trotzdem keine 100% Sicherheit.
    Je weniger Dienste du für das Internet anbietest, desto sicherer wird es.


    Zitat von "Doc HT"

    Außerdem: die Anleitung zur Aktivierung für die MySQL-DB enthält seitens QNAP explizit die Aufforderung, den externen IP-Port mit freizuschalten.


    Könntest du uns nennen , wo das steht ?


    Zitat von "Doc HT"

    Die Scans als solche stören mich nicht, solange alles läuft und keiner reinkommt - ich hoffe, dieser Gedanke stimmt dann auch!


    Auf Portscans folgen meistens Angriffe auf das System, je mehr Dienste öffentlich verfügbar sind, umso mehr Angriffspunkte hat der Hacker.

  • Zitat von "Eraser-EMC2-"


    Könntest du uns nennen , wo das steht ?


    :-/ Ahh, da habe ich etwas falsch wiedergegeben - es war im Rahmen der SQL-Aktvierung und der Inbetriebnahme von Joomla, und zwar der explizite Hinweis in der PDF-Datei "TurboStation-Application-09-Joomla-Installation-V1.0_ENG.pdf", die auf der CD unter "Manual" mitgeliefert wurde (Step 3, S. 4, CD-Version 3.9, 7B000-000211-RS). Streng genommen verlagert das aber das Problem erstmal nur auf Joomla (oder Wordpress etc.), um die Angriffe dann da laufen zu lassen.


    Dort soll für das einschalten des TCP/IP Networking der externe Port mitgeöffnet werden, um einen Remote-Zugriff auf den MySQL-Server zu ermöglichen.


    In diesem Sinne eine nicht ganz korrkete Angabe von mir, sorry. :roll: Trotzdem wohl eine "angewiesene" Sicherheitslücke, weil dann MySQL über diesen Port direkt angreifbar ist, oder?


    Eine Frage nochmal: Das ganze klingt so, als ob es eine gewisse Hierarchie bei der Absicheurng gäbe - kann mir einer erklären, was man wahrscheinlich zuerst angreifen würde, wenn man die Box knackt? In meine konkreten Fall hatte ich die Ports 80, 8080 und den 21er forwarded, um remote Dateien auf das NAS zu kriegen - eine ganz logische und normale Anwendung, finde ich. Alle Ports deswegen, weil man per FTP mehr Dateien in einem Schwung laden kann als per http, ich aus dem Büro aber nur per http auf die Box kommen kann.


    Was könnte man in einem solchen Szenario, dessen Hauptaugenmerk auf dem Up- und Download von Dateien liegt, in der Box deaktiviert lassen, was muss wie gesichert werden? Vielleicht würde eine Anleitung hierzu vielen Nicht-Profis wie mir helfen...


    Ich will das ganze hier gar nicht überdramatisieren, mir ist klar, dass Webdienste ihre Schwächen haben. Es ist absolut korrekt, wenn hier (sehr freundlich übrigens! :thumb: ) darauf hingewiesen wird, das das NAS zuallererst ein NAS ist. Hier ist das klarer als in der Werbung.


    Fakt ist für mich, dass die Bewerbung des ganzen den Eindruck vermittelt, dass das alles einfach geht und sehr wohl sicher ist. Fakt ist aber auch, dass ab Werk Schwächen drin sind, die da so nicht hingehören - in anderen Posts war zu lesen, dass der Apache z.B. zu gesprächig ist. Ich finde, dass Hersteller heute bei der Sicherheit SEHR schnell implementieren müssen.


    In der Anleitung sollte es ein ganz klares Kapitel zur Absicherung der Box geben - das fehlt. Einige Details stecken zudem nur in den englischen Beschreibungen, was streng genommen einen Mangel der Dokumentation darstellt, der jederzeit zur Kaufwandlung genutzt werden kann, soweit ich da informiert bin (ich bin KEIN Jurist!) - die vollständigen Bedienungsunterlagen müssen auf Deutsch vorhanden sein.


    Auch ist es für mich mehr als unverständlich, dass es Monate dauert, die Sicherheitsfunktionen in die kleinen Serien nachzurüsten, die es in den großen Serien schon gibt.


    Der Witz ist, dass man, wenn man auf Sicherheit bedacht ist, etliche Funktionen besser gar nicht nutzen sollte, und dann auch noch besser fährt. wenn man pro NAS nur einen Dienst freigibt, weil dann nichts kompromittiert werden kann. Soll heißen, dass man sich besser eine Anzahl kleinerer Modelle kauft, als eine große!


    Das mit der DMZ ist ein wertvoller Hinweis, das hatte ich so noch nicht auf dem Schirm.


    Für mich bleibt vorerst nur eins: Da ich Technik prinzipiell so einkaufe, dass ich die Teile mindestens 14 Tage lang zurückgeben kann - eher länger, überlege ich mir genau das jetzt ersteinmal.


    Das Forum hier ist sehr gut, schnelle und gute Antworten, die mich auf Linux-Ebene leider noch etwas (zu stark) fordern. Falls ich das NAS zurückgebe, werde ich mich hier weiter informieren, um ev. dann, wenn die Sicherheitsfeatures der großen Boxen nachgerüstet worden sind, wieder zu kaufen.


    So, und jetzt denke ich erstmal nach.


    Alle Portforwardings sind abgeschaltet, also kann auch nichts passieren.

  • Hallo,


    Zitat von "Doc HT"


    Dort soll für das einschalten des TCP/IP Networking der externe Port mitgeöffnet werden, um einen Remote-Zugriff auf den MySQL-Server zu ermöglichen.


    Dieser Remote Zugriff ist völlig unproblemtaisch solane der Port vom Router nicht geforwarded wird. Damit fällt dir in deinem lokalen Netz nur die Administrierung der Datenbank leichter, weil du diese dann von jedem lokalen Rechnern aus administrieren kannst.


    Zitat von "Doc HT"


    In diesem Sinne eine nicht ganz korrkete Angabe von mir, sorry. :roll: Trotzdem wohl eine "angewiesene" Sicherheitslücke, weil dann MySQL über diesen Port direkt angreifbar ist, oder?


    Das ist keine Sicherheitslücke, das ist Standard! Wem du allerdings Zugriff auf die Datenbank gewährst und wem nicht liegt in deiner Hand! Wenn du auf Nummer sicher gehen willst administrierst du die Datenbank direkt auf dem Host und läst Remote Zugänge gar nicht erst zu. Wenn du irgendwo Webspace mit DB anmietest ist ein Remote Administrieren der DB über Netz allerdings Standard.


    Zitat von "Doc HT"


    Eine Frage nochmal: Das ganze klingt so, als ob es eine gewisse Hierarchie bei der Absicheurng gäbe - kann mir einer erklären, was man wahrscheinlich zuerst angreifen würde, wenn man die Box knackt? In meine konkreten Fall hatte ich die Ports 80, 8080 und den 21er forwarded, um remote Dateien auf das NAS zu kriegen - eine ganz logische und normale Anwendung, finde ich. Alle Ports deswegen, weil man per FTP mehr Dateien in einem Schwung laden kann als per http, ich aus dem Büro aber nur per http auf die Box kommen kann.


    Das was am einfachsten zu knacken geht :D In deinem Fall wäre der erste Angriffspunkt der Port 8080 für den Admin Zugang, als erstes würde man mal das Default Admin Passwort probieren (man glaubt gar nicht wie viele nicht mal das Admin Passwort ändern :D ), danach einen Wörterbuchangriff und zuletzt einen Brute Force, um den Admin Zugang zu kapern. Mit Admin Zugang hat man die volle Kontrolle! Schützen läst sich dieser ganz einfach, indem man ein hinreichen sicheres Passwort verwendet und keinen direkten http Zugang zuläst sondern max. https besser gar keine externen Admin Zugriff!


    Zitat von "Doc HT"


    Was könnte man in einem solchen Szenario, dessen Hauptaugenmerk auf dem Up- und Download von Dateien liegt, in der Box deaktiviert lassen, was muss wie gesichert werden? Vielleicht würde eine Anleitung hierzu vielen Nicht-Profis wie mir helfen...


    Zugriff über https oder sftp oder ssh tunnel! Google und Suche ist dein Freund ... gibt es alles hier im Forum! Noch nicht vollständig aber lesenswert http://forum.qnapclub.de/viewtopic.php?f=95&t=1984.


    Zitat von "Doc HT"


    Fakt ist für mich, dass die Bewerbung des ganzen den Eindruck vermittelt, dass das alles einfach geht und sehr wohl sicher ist.


    Die Werbung auf der QNAP Seite beschreibt die Features der Box und diese Features sind alle vollständig implementiert. Keiner der Boxen hat ernsthafte Sicherheitslücken, zumindest sind mir keine bekannt. Auch der "geprächige" Apache ist kein Problem und stellt an und für sich keine Sicherheitslücke dar. Das Web Hosting und Dateizugriffe per se ein gewisses Risiko beinhalten ist einfach Fakt und unabdingbar. Man kann den Aufwand beliebig hoch treiben, aber Sicherheit ist relativ und skaliert von einfach zu knacken bis theoretisch unüberwindbar. Letzeres hat aber seinen Preis und dies kann man sicher nicht von einer SOHO Lösung erwarten.


    In erster Linie muss man sich selber informieren und sich darüber klar werden was man möchte und wie man das ganze für seine Andwendung vernünftig absichert. Sollte das QNAP dann ungeeignet sein, dann hat man halt einen Fehlkauf gemacht, dann war man sicher vor dem Kauf halt nicht darüber im klaren was man eigendlich selber haben möchte.


    Und mal so am Rande, wenn du dir einen Root Server anmietest und darauf Webhosting betreibst stehst du in der Verwantwortung was Sicherheit angeht, bei Fahrlässigkeit (z.B. unsichere Passwörter) kann der Hoster ggf. sogar Schadenersatz bei dir gelten machen! Was ich damit sagen will ist, daß es nicht Aufgabe und Verwantwortung des Herstellers ist eine "sichere" Lösung zu schaffen, sondern der Betreiber von IT Anlagen für Sicherheit sorgen muss.


    Im Falle des Betriebs eines Webservers auf einem QNAP bist du nicht nur derjenige, der Webspace anmietet sondern gleichzeitig auch der Betreiber des Hosts, damit stehst du doppelt in der Verantwortung.


    Zitat von "Doc HT"


    In der Anleitung sollte es ein ganz klares Kapitel zur Absicherung der Box geben - das fehlt.


    Nein, muss es nicht. Hat auch in dem Benutzerhandbuch des NAS nichts zu suchen. Die Absicherung der Box ist eine infrastrukturelle Fragestellung und hängt im wesentlichen auch vom Einsatzzweck des NAS ab. Das hat mit dem NAS an sich nichts zu tun und es gibt 1000 mögliche Antworten auf diese Fragestellung was den Rahmen einer Bedienungsanleitung sprengen würde.


    Wer ein lokales Netwzerk betreiben möchte und noch dazu externen Zugriff auf Dienste des lokalen Netzwerk (Webserver, Dateizugriffe, etc.) habe möchte und dies auch noch hinreichend sicher, der muss sich mit der Thematik befassen oder sich das ganze von einem Professional einrichten lassen.


    Kein Mensch kauft sich ein PKW und erwartet, daß der Hersteller in der Bedienungsanleitung harklein erklärt wie man das Ding fährt. Dazu gibt es eine Fahrschule! Auch die Verkehrsregeln und der Bussgeldkatalog stehen nicht in der Bedienungsanleitung des PKW, das wird einfach als Grundwissen für den Betrieb eines PKW's vorausgesetzt.


    Zitat von "Doc HT"


    Auch ist es für mich mehr als unverständlich, dass es Monate dauert, die Sicherheitsfunktionen in die kleinen Serien nachzurüsten, die es in den großen Serien schon gibt.


    Das ist eine Frage des Preises. Die kleine Serie kostet deutlich weniger als die große Serie. Zum einen wird man gewisse Features auschlieslich in der großen Serie anbieten und zum anderen wir die kleine Serie immer etwas hinterher sein, wobei ich hier sagen muss, daß QNAP sehr viele kostenlose Firmware Upgrades anbietet! Es gibt andere Firmen, die entweder Geld für Upgrades verlangen oder erst gar keine Upgrades anbieten!


    Zitat von "Doc HT"


    Der Witz ist, dass man, wenn man auf Sicherheit bedacht ist, etliche Funktionen besser gar nicht nutzen sollte, und dann auch noch besser fährt. wenn man pro NAS nur einen Dienst freigibt, weil dann nichts kompromittiert werden kann. Soll heißen, dass man sich besser eine Anzahl kleinerer Modelle kauft, als eine große!


    Das kommt darauf an was man haben möchte! Man kann alle Dienste des NAS nutzen, das an sich stellt erst mal kein Problem dar, allerdings sollte man sich bei der Anwendung bewußt sein wo die Grenzen/Lücken sind. Standard ftp zum Bsp. überträgt USER und PASSWORD im Klartext über das LAN, das ist keine Sicherheitslücke des QNAP/NAS sondern im Standard so definiert, weil ftp ein relativ altes Protkoll ist wo man noch keine Verschlüsselung angewendet hat. http als solches ist auch ungesichert während https verschlüsselt ist. SAMBA Shares sind je nach Konfiguration auch nur über ein Username und Passwort gesichert und sollten niemals über das Internet geshared werden. Aber selbst ungesichertes ftp stellt kein Sicherheitsproblen dar, wenn eine Quota auf dem User liegt und dort nur nicht sensitive Daten liegen deren Veröffentlichung keine Schaden anrichtet. Ein "gehackter" ftp Zugang wäre dann völlig unproblematisch.


    Zitat von "Doc HT"


    Das mit der DMZ ist ein wertvoller Hinweis, das hatte ich so noch nicht auf dem Schirm.


    Neben unsicheren Passwörtern ist das der Fehler Nummer eins, den viele machen, da damit ja alles so schön funktioniert :D


    Zitat von "Doc HT"


    Für mich bleibt vorerst nur eins: Da ich Technik prinzipiell so einkaufe, dass ich die Teile mindestens 14 Tage lang zurückgeben kann - eher länger, überlege ich mir genau das jetzt ersteinmal.


    Jo, wenn du online oder telefonisch bestellt hast, einen Sachmangel, der dich zur Rückgabe berechtigt sehe ich hier keinen.


    So, damit wir dir aber jetzt konkreter helfen können wäre es gut wenn du einfach mal kurz benennst was genau du mit deinem NAS eigendlich anstellen möchtest und was genau du von extern aus erreichen möchtest? Für alles gibt es sichere Lösungen!


    Gerald

  • Hallo Doc HT,


    ich möchte meinen Vorpostern schonmal 100%ig zustimmen und Dir vieleicht etwas unter die Arme greifen, jedoch nicht ohne noch ein kurzes Statement zu der Sicherheit abzugeben:


    1. Es sind Festplattenlaufwerke, die Netzwerkfähig sind
    2. Sie bringen mehr Funktionen mit, als die meisten nutzen wollen/möchten/können sprechen aber den den ambitionierten Nutzer an.
    3. 100%ige IT-Sicherheit ist eine schöne Wunschvorstellung aber nicht realisierbar. 99,x% (wobei x<9) u.U. machbar


    So, nun zu Deinen Problemen:
    Du möchtest Dein NAS so im Internet positionieren, dass andere Dateien bei Dir ablegen können oder auch Daten von Dir herunterladen können, eine dazugehörige Webseite angezeigt wird (Joomla) und das ganze möglichst sicher..


    Grundsätzliches (gilt für alle Wege):
    - dynDNS auf Router
    - NAS feste IP aus dem internen Netz
    - sehr gute Kenntnisse im Bereich TCP/IP, Routing ggf. Firewalling etc.
    - gute Backupstrategie die den Verlust von Daten ausgleicht ;)
    - genügend Baldrian im Haus um die ersten 24 Stunden im Netz zu überstehen :D


    1. Weg (recht unsicher)
    NAS als DMZ Host einrichten, alle unnötigen Dienste abschalten und viel beten.


    2. Weg (sicherer)
    Portforwarding für FTP und HTTP auf NAS einrichten (mit der SuFu wirst Du hierzu im Forum ausreichend Beiträge finden)
    Starke Passwörter vergeben und los gehts.
    Nun zur sicherheit über einen anderen Internetzugang (beim Kumpel oder so) einen Portscan auf den eigenen Internetanschluß machen (dafür DynDNS)
    je nach eingesetztem Router sollten nicht mehr als 2 Ports (http & ftp) geöffnet sein, nun den eigenen Webserver aufrufen und schauen ob die Seite richtig angezeigt wird
    und ob der FTP funktioniert. Wenn alles zur Zufriedenheit läuft, wieder nach Hause ;)
    Nun die Logs des Routers auslesen und auf Anomalien bzw. Einbrüche untersuchen und mit den Logs des NAS vergleichen (sinnvollerweise sollten beide Systeme mittels eines NTP-Servers die gleiche Systemzeit und Zeitzone haben, damit die anfallenden Logdateien besser korrelieren)
    Wenn die ersten 24 Stunden ohne Einbrüche überstanden wurden, darfst Du das Baldrian absetzen und das Beten einstellen.


    3. Weg (ganz sicher)
    Miete bei einem Serviceprovider einen Webserver und überlass diesem den Ärger mit der IT-Sicherheit, schließlich musst Du dafür bezahlen ;)


    Egal für welchen Weg Du Dich entscheidest, es gibt immer ein Restrisiko!


    Grüße
    Jody

  • Zitat von "gn0778"

    SAMBA Shares sind je nach Konfiguration auch nur über ein Username und Passwort gesichert und sollten niemals über das Internet geshared werden. Aber selbst ungesichertes ftp stellt kein Sicherheitsproblen dar, wenn eine Quota auf dem User liegt und dort nur nicht sensitive Daten liegen deren Veröffentlichung keine Schaden anrichtet. Ein "gehackter" ftp Zugang wäre dann völlig unproblematisch.


    Hi Gerald,


    kannst Du duie beiden Punkte noch mal näher beleuchten?


    Wie verhindere ich das Sharen der SAMBA-Sachen?


    Warum sind QUOTAs sicherer als keine?


    Hi Jody,


    hatte schon viele Deiner Beiträge hier gelesen und quasi auf eine Antwort von Dir gewartet, Vielen Dank.


    Ich habe da noch Fragen:



    Warum sollte das dyndns auf den Router, was ist daran sicherer?



    Wenn ich das richtig sehe, muss ich einen Port so einrichten, dass ich u.a. auf den Webfilemanager zugreifen kann. Und wenn ich es auch richtig sehe, erzwinge ich damit automatisch, dass der gleiche Port auch die Systemverwaltung zugänglich macht. Das ist mehr als ärgerlich, finde ich.


    Kann man das umstellen? Besser wäre es doch wohl, wenn jeder Dienst seinen eigenen Port bekommen könnte!


    Können die größeren NASse das besser, wenn ja welche?

  • Zitat von "Doc HT"

    Warum sind QUOTAs sicherer als keine?


    Mit Quotas kann man für die einzelnen Benutzer den nutzbaren Speicherplatz begrenzen.


    Bei einem gehackten Benutzeraccount könnte der Angreifer dein NAS als Austauschserver für illegale Software/Filme verwenden, auch wenn deine Uploadgeschwindigkeit evtl. nicht dazu geeignet wäre.
    Mit einem begrenzten Speicherplatz von wenigen GBytes wäre es weniger interessant für einen Hacker diesen dafür zu verwenden.

  • Zitat von "Doc HT"

    Warum sollte das dyndns auf den Router, was ist daran sicherer?


    Das hat nix mit Sicherheit zu tun, sondern der Router ist der einzige der die momentan gültige Internetadresse (externe IP) 100%ig kennt, alle anderen Geräte müssen diese aufwändig ermitteln ;)


    Zitat von "Doc HT"


    Wenn ich das richtig sehe, muss ich einen Port so einrichten, dass ich u.a. auf den Webfilemanager zugreifen kann. Und wenn ich es auch richtig sehe, erzwinge ich damit automatisch, dass der gleiche Port auch die Systemverwaltung zugänglich macht. Das ist mehr als ärgerlich, finde ich.


    Kann man das umstellen? Besser wäre es doch wohl, wenn jeder Dienst seinen eigenen Port bekommen könnte!


    Können die größeren NASse das besser, wenn ja welche?


    Also ich empfehle, den Webfilemanager nicht für den o.g. Zweck nicht zu verwenden.
    Der Webserver und der FTPserver benutzen unterschiedliche Ports und sind relativ sicher. Durch eine sinnvolle Kombination lassen sich Deine Wünsche sehr wahrscheinlich gut lösen.


    Da ich selbst nur Besitzer der TS209 bin, kann ich nicht sagen, ob die großen es besser können, aber wie bereits andernorts ausgiebig beschrieben sind nicht die Produkte für die entsprechende Sicherheit verantwortlich sondern Du als Betreiber.


    Grüße Jody

  • Moin,


    Zitat von "Doc HT"


    Wie verhindere ich das Sharen der SAMBA-Sachen?


    Indem du die dafür notwendigen Ports nicht im Router auf das NAS Forwardest was z.B. DMZ tun würde! Wenn du auschlieslich die Ports einrichtest, die du für deine Dienste brauchst ist SAMBA/Datei-&Druckerfreigabe für extern nicht sichtbar.


    Zitat von "Doc HT"


    Warum sind QUOTAs sicherer als keine?


    Eine Quota auf einem User limitiert den Speicherplatz für den User auf einen festen vorgegebenen Wert. Eine Antwort wurde ja schon genannt, weil eine Beschränkung der Größe den Nutzen für einen Hacker minimiert. Ein zweiter Grund ist der, daß ein Bösewicht bei einem unlimitierten Zugang deine Platte bis auf das letzte Byte zumüllen kann und damit das NAS für dich unbrauchbar macht. Damit würde er dich zwar nur Ärgern, aber leider haben das viele halt auch im Sinn!


    Gerald

  • Hallo,


    du schreibst:


    Das sicherste ist, wenn das NAS nicht von außen abrufbar ist.



    Was sind da die wichtigsten Einstellungen um das zu verhindern?

  • Hallöle,


    ein so altes Thema wieder aufzugreifen ... ;)


    Nun gut, solange Du an Deinem Internetrouter keine Ports geöffnet hast und diese auf Dein NAS weiterleitest, ist der Tatbestand "NAS nicht vom Internet aus erreichbar" erfüllt.
    Näheres hierzu findest Du unter dem Thema Sicherheit und in der Netzwerk-FAQ


    Grüße
    Jody