[TS-209 II] - Sicherheit bei externem Zugriff

    Hallo zusammen!


    Ich habe mal eine Frage zur Sicherheit. Ich habe eine DDNS Adresse auf DynDns.com eingerichtet und eine Benutzergruppe, mit Usern, die nur auf den Ordner "Public" auf dem QNAP zugreifen darf. Das alles klappt soweit gut von extern, mit super Geschwindigkeit (Maximum was mein INet Anschluss hergibt = 115 KB) :D
    Alles in allem erstmal: SUUPER!


    Aber: Wie ist das mit der "Sicherheit" ? Gibt es schon Berichte, dass ein QNAP-Gerät schonmal "gehackt" wurde. Bzw. wenn das geschieht, ist dann nur der Zugriff auf den ohnehin freigegebenen Ordner offen, oder auch auf alle anderen, bzw. auf alle Computer im Heimnetzwerk? (in meinem Router hinter dem Kabelmodem hab ich nur den FTP-Port für die Qnap [diese hat eine feste IP] freigegeben.)


    Grüße,


    Chris

    Zitat von "CBWIFI"

    Gibt es schon Berichte, dass ein QNAP-Gerät schonmal "gehackt" wurde


    Habe ich bis jetzt noch gelesen oder gehört.


    Zitat von "CBWIFI"

    (in meinem Router hinter dem Kabelmodem hab ich nur den FTP-Port für die Qnap [diese hat eine feste IP] freigegeben.)


    Erstmal kommt es darauf, welcher Account gehackt wurde, ein normaler Benutzer oder den Admin-Account.
    Dabei hat er dann Zugriff auf die für den Benutzer entsprechend freigegebenen Ordner.
    Bei FTP würde der Hacker auf das NAS begrenzt sein.


    Bei SSH oder Telnet sieht das schon anders aus, als Admin hätte er die volle Gewalt über das NAS und mittels SAMBA auch Zugriff auf alle Windows-PCs.
    Hier würde es den Hacker etwas erschweren, wenn auf NAS und PCs andere Benutzernamen und Paßwörter verwendet werden.


    Das wäre meine Beurteilung der Lage.


    Schöne Grüße,
    Stefan

    Danke für deine Antwort.


    Sehr gut, dann muss ich mir ja weiter keine Sorgen machen, da ja dann der Rest des Netzes sicher ist. Was anderes als FTP wollte ich ohnehin nicht benutzen. Die Daten auf dem NAS hab ich ja noch anderweitig gesichert. Passt alles.


    Grüße,


    Chris


    Ich würde es nicht ganz so dramatisch sehen, da das NAS ja nur eine Hürde darstellt.


    Die folgende Betrachtung geht davon aus, dass vom Internet aus nur der http- und der ftp-Server erreichbar sind!


    Zunächst müsste es einem Hacker erstmal gelingen einen Dienst (den er auch von außen erreichen kann) so zu kompromitieren, dass er eine Konsole auf dem NAS öffnen kann.
    Erst wenn er direkt auf dem NAS arbeiten kann hat er eine Chance dort seine Position auszubauen, d.h. er braucht um sinnvoll weitermachenzu können das Adminkonto auf dem NAS.


    Ab hier wird es spannend, wenn er es nur auf Deine Daten abgesehen hat, könnte er versuchen, den FTP-Server so zu manipulieren, dass er bequem die Daten mit z.B. Filezilla absaugen kann.
    Einem richtigen Hacker wird das nicht reichen, weil er das Potenzial Deines Netzes so nicht ausschöpfen kann! Also weiter gehts. er wird versuchen das Adminpassword des NAS auch auf dem Router zu testen um seine Zugriffsmöglichkeiten zu erweitern und neben den o.a Diensten auch noch auf die Windowsshares zu gelangen. Wenn Du an dieser Stelle unterschiedliche Passworte verwendest erhöst DU also die Sicherheit Deines Netzes ;)
    Aber nun kommst, selbst wenn er den Router umkonfigurieren könnte, könnte er erst dann auf alles anderen PCs im Netz zugreifen, wenn er Dein internes Netz zur DMZ erklären würde und die Netzwerkkonfiguration des Routers dahingehend ändern würde, was immer das Risiko beinhaltet einen Fehler zu machen und diesen wertvollen Stützpunkt zu verlieren!
    Also wird er dies nicht tun, da seine Interessen schwerpunktmäßig mit dem NAS erfüllt werden:
    - Zugriff auf die zentrale Datenhalde (mit allen persönlichen Daten, Fotos, Passwörtern etc)
    - rudimentäre Rechenkapazität (ggf. um weitere Passwörter zu knacken)
    - schaffen einer Verteilstation für illegale Dateien und/oder pronographischen, urheberrechtlich geschütztes oder sonstiges
    - schaffen einer SPAM-Schleuder
    - und aufbau eines Stützpunkt für weitere Angriffe auf andere Netze/PCs


    Die Mühe weitere PCs im internen Netz aufzuspüren wird sich ein Hacker eher nicht machen, Scriptkids dagegen u.U. schon.


    Fazit, wenn Du Dein NAS nur soweit mit Daten bestückst, die Du entbehren kannst ;) sichere (und unterschiedliche für einzelne Geräte) Passwörter verwendest, wird schon nicht soooo viel passieren :D


    Grüße Jody

    Ich möchte diese Diskussion nicht ausufern lassen, aber ...


    Zitat von "jody"

    Einem richtigen Hacker wird das nicht reichen, weil er das Potenzial Deines Netzes so nicht ausschöpfen kann! Also weiter gehts. er wird versuchen das Adminpassword des NAS auch auf dem Router zu testen um seine Zugriffsmöglichkeiten zu erweitern und neben den o.a Diensten auch noch auf die Windowsshares zu gelangen.


    Mit einem Admin-Account über SSH kann man Zugriff auf andere Windows-Freigaben bekommen.
    1. mit smbmount die Windows-Freigaben auf dem NAS in die vorhandenen FTP-Ordner mounten und die Daten saugen.
    2. Einen Tunnel über SSH aufbauen, in dem Tunnel werden die SMB-Ports ua. 139/443 an einen der Windows-PCs weitergeleitet. Somit hat er dann eine direkte verbindung zwischen seinem und einem gegnerischen Windows-PC.


    Es werden wohl noch andere Möglichkeiten geben.

    Na ich denke sicherer, als das Netz hier intern ist, geht es wohl nicht, ohne den Kontakt nach außen zu verlieren... :D
    Vom Router (sv m. Passwort) ist nur der FTP Port an die QNAP (feste IP) freigeschaltet.


    Und auf der QNAP selbst sind, wie schon beschrieben nur Daten die bereits anderweitig gesichert sind.


    An den Passwörtern die ich verwende wird sich wohl jeder, der es mit einer Wörterbuchattacke versucht die Zähne ausbeißen... 8-)


    By the Way, ich hab gerade mal das Systemverbindungsprotokoll meiner QNAP durchgesehen. Tatsächlich hat sich vor 2 Tagen ein böser Bube 2 Stunden lang versucht in meine Qnap zu schleichen. Allerdings mit einem nicht existierenden User...demnach hat er noch nicht mal die erste Hürde geschafft... :D