Sicherheitsbedenken QNAP ins Internet

    Hallo zusammen,


    habe einiges Quergelesen im Forum..waren echt super Tipps dabei....habe aber zz. Bauchschmerzen die QNAP ins INet zuhängen.


    Warum habe ich Bauchschmerzen, ich vergebe z.B. Login Daten : Testuser PW: irgend eins... für einen spez. Ordner für eine WEB-Zugriff


    Wenn der Testuser sage ich mal "Langeweile" hat und kennt im groben die Struktur/Anwender von den anderen Accounts und will sich dann über den Webaccount Zugang zu den anderen Ordner Zugang verschaffen, z.B. Benutzername: Max Pw: müsste man dann ausprobieren. Für mich ist schon dieser Schritt zu nah am Ziel, man benötigt nur noch das PW benötigt, um an die Daten zukommen, ist das so? Besteht die Möglichkeit das man die Ordner sperrt z.B. für Zugriff von extern oder andere Möglichkeiten z.B. IP zulassen -> nur aus dem Bereich 192.168.x.y oder MAC Ebene? Bringt das alles was oder bin ich da etwas falsch unterwegs.
    Die internen Accounts/PW sollen auch nicht so komplex sein.
    Besten Dank!

    Genau hier liegt das Problem,

    Zitat von "Netzonline"

    Die internen Accounts/PW sollen auch nicht so komplex sein.

    Bequemlichkeit ;) Wenn du dich an die eingängigen Tipps hältst geht auch nichts schief!


    Schließlich könntest du auch dieses Forum übernehmen, wenn du die Strukturen kennst und das Kennwort vom Admin durch ausprobieren heraus bekommst oder jedes X beliebige Online Konto knacken, wenn ja wenn du die PIN heraus bekommst.


    Ich hoffe du verstehst wie ich es meine!?


    Christian

    Hallo Christian,


    klar! Es gibt aber vllt. ein paar Tricks/Tipps für einen Anfänger, jede NAS ist ja anderes, jede hat Ihre Fallen / Stärken..und ich will nicht unbedingt die Fallen kennenlernen :shock:

    Hallo Christian,


    besten Dank für den Hinweis. ich habe schon das eine oder andere Teil im INetz gehabt....es gab quasi kein Zugriff auf die "echten" Daten, 100% Sicherheit ist wie du schreibst nicht möglich -> je mehr Sicherheit je Aufwendiger / das Ganze wird ab einem gewissen Punkt komplexer und macht am Ende keinen Spass mehr.. muss man halt schauen was man will.. Sicherheit ist sehr wichtig!

    die einen schieben paranoia, die anderen machen aus allem ne wissenschaft :mrgreen:


    in letzter instanz wenns ganz sicher sein soll darfst halt keine sensiblen daten mehr auf das qnap legen wenn du damit online gehst, fertig. so aus meiner pragmatiker sichtweise gesprochen

    Zitat von "hibbli"

    darfst halt keine sensiblen daten mehr auf das qnap legen


    Was "sensible Daten" sind, ist wohl eine 100% subjektive Ansicht.
    Es gibt sicherlich Leute die zum Psychologen müssten, wenn sie wissen, dass jemand unbefugt Zugriff auf die Geburtstagsbilder von Omas Feier, ein Musikstück, die Tabelle für die Einkaufsliste von morgen oder Notizen über die Goldhamsterzucht hatte :shock:


    Gruss
    Michael

    Hallo Netzonline,
    ich finde es völlig i.O., dass du dir über die Sicherheit Gedanken machst. Meiner Meinung nach gibt es viele User, die da viel zu blauäugig sind.
    Mein Sicherheitskonzept ist hinsichtlich QNAP sehr einfach.
    Es gibt keinen Zugriff vom I-Net aus. Die Ports am Router sind zu. Zusätzlich wird der Zugriff auf IPs aus dem LAN beschränkt.
    Es ist sicher schön, wenn man seine Bildchen von der letzten Feier oder was auch immer mit anderen teilen kann. Dafür gibt es aber auch 1 € Hoster.
    Allein, wenn ich mir die Apache-Version der aktuellen FW 3.7.3 anschaue, Apache 2.2.14 vom 3. Oktober 2009, ist das nicht gerade aktuell.
    Wenn auf Stations private oder Firmendaten liegen, hänge ich diese nicht per http, ftp, webdav ans Internet.
    Wenn man undbedingt Zugriff brauch, dann nur per VPN.
    Aber das ist nur meine bescheidene Meinung. ;)

    Hallo zusammen,


    besten Dank für die Infos.


    Es ist interessant
    - Feeback pro & Contro zuhören
    -vllt. gibt es ja Tipps & Tricks
    -und wenn man es macht, wie macht man es richtig und wie nicht! Leider finde ich diesen Punkt nicht am Stück wieder bzw. wie könnte es aussehen,
    ich will kein Kochrezept sondern best practice. Um Sie ist Inet zuhängen, bin ich der Meinung (hängt von den Kochrezepten ab :) ) sollte man sich im vorher lieber 3 x zuviel als 1 x zuwenig gedanken machen ....


    Beispiel!


    -Virenscanner ist aktiv
    -Den Zugriff mit mind. 12 Zeichen etc.. versehen
    -nur mit VPN auf die Maschine gehen
    -Proxy aktivieren
    -nur IP aus dem LAN (intern) 192.x.y.z zulassen
    -Anzahl der Fehllogin begrenzen und die IP sperren für x min
    -E-Mail info aktiven
    -wenn FTP benutzt werden soll nicht den Port 21 sondern XY Port werden
    -etc..


    Lg

    also ok, hier mein best practice seit nun insgesamt 6 jahren und 3 qnap modellen dauer-online:


    -Virenscanner ist aktiv
    wenns einen beruhigt : )


    -Den Zugriff mit mind. 12 Zeichen etc.. versehen
    den leuten die bei mir zugang haben geb ich halt passwörter mit mindestens 4 zahlen 4 buchstaben und 1 dämliches sonderzeichen, damit sollte man vor bruteforce sicher sein


    -nur mit VPN auf die Maschine gehen
    erklär das mal deinem 65jährigem vater... : P auch ansonsten hab ichs aufgegeben weil der großteil der leute davon keine ahnung hat


    -nur IP aus dem LAN (intern) 192.x.y.z zulassen
    schwer umsetzbar im fall von onlinezugriff : )


    -Anzahl der Fehllogin begrenzen und die IP sperren für x min
    das ist wie ich finde der fast wichtigste punkt neben dem starken passwort, 10 falsche versuche innerhalb 10 minuten sind 24 stunden ip sperre bei mir


    -E-Mail info aktiven
    wenns einen beruhigt, hab es nach ein paar wochen wieder abgeschalten weil der spam nervte


    -wenn FTP benutzt werden soll nicht den Port 21 sondern XY Port werden
    siehe punkt vpn, leider selbe problematik


    im großen und ganzen ist in den 6 jahren außer ein paar portscans und brutforce angriffe nichts passiert. wie gesagt man kann auch eine wissenschaft draus machen dann wird es aber für den alltäglichen gebrauch sehr schnell sehr umständlich und der mensch ist halt ein faules gewohnheitstier... : )

    Hallo und thx,


    wie gesagt, ich will keine Dipl.-Arbeit aus diesem Thema machen, sollte man eigentlich!


    Hast noch was gemacht :-), was ich nicht aufgezählt habe ...

    Hallo Netzonline,


    wenn Du die FAQ's zum Thema Sicherheit und Netzwerk gelesen hast, hast Du eigentlich alles was Du brauchst!
    Jeder hat nun mal sein ganz persönliches Sicherheitsempfinden und es ist gut sich vorher im Klaren zu sein was man will bzw. nicht will.


    Wenn Du die Tipps beherzigst, wird es schon ausreichend sicher sein....
    solange Du Dir keinen Trajaner/Root-Kit/sonstiges einfängst!


    Solange Dein Router vom Web aus zugezogen ist, bist Du sicher, wenn Du unbedingt den Zugriff vom Web aus zulassen willst,
    kaufe Dir ein gebrauchtes kleine NAS wo die Daten draufschieben kannst um die es geht! Wenn Du eine DMZ hast, stell das Teil dann da rein und gut ist.
    Hast Du keine DMZ und bis auf Portforwarding angewiesen, sorge dafür, das es keinen direkten Zugriff in Dein Netz gibt.
    Den Rest hast Du ja selbst schon erkannt ;)
    Grüße
    Jody