Wie mache ich mein System sicherer?

    Hallo Miteinander,


    Ich habe erst gestern mein QNAP TS-469L bekommen.


    Nun fragt es mich wie ich die Sicherheit meines Systems erhöhen kann..


    Meine jetzigen Vorkehrungen:
    - Gutes Passwort des Admin/Root-Benutzers (Schutz vor Bruteforcing o.ä.)
    Dies mal abgeschaltet:
    - Apple-Netzwerk
    - Domain-Controller
    - DDNS-Service
    - iSCSI-Zieldienst
    - LDAP
    - WINS-Server
    - Lokaler master browser
    - Multimedia Station
    - itunes Server
    - Twonkymedia DLNA-Server
    - MySQL
    - NTP-Dienst
    - Surveillance Station
    - RADIUS-Server
    - RTRR-Server
    - SNMP
    - Servicebindung
    - Systemport-Verwaltung
    - TFTP-Server
    - Unix/Linux NFS
    - VPN-Server / PPTP-Server
    habe ich deaktiviert. Welche ich vor und zu aktiviere sobald ich welche benötige z.B. eine PPTP-VPN weiss ich jetzt schon dass ich dies später gebrauchen werde jedoch zum Jetzigen Zeitpunkt noch nicht.
    - Keine P2P-Verbindung - Downloade über OCH sobald ich mir sicher bin dass mein System sicher genug im Netz ist :roll:



    - FTP Logging: http://wiki.qnap.com/w/index.p…_EnableLogging&setlang=de



    Ich habe gelesen dass ich nur mit dem Admin (root-benutzer) von aussen (ausserhalb des internen Home-Netzwerkes z.B. mit dem Handy ohne Wlan =Internetverbindung über Handyprovider) auf das System zugreifen kann. Dies finde ich persönlich ein wenig riskant... auch wenn ich hiermit eine SSL-Verbindung aufbauen kann (Apps von QNAP oder per Putty(Telnet per SSL).


    Kann ich irgendwie einen Untergeordneten Benutzer anlegen um extern (ausserhalb des Netzwerks) auf das System zuzugreifen? Wenn ja, Wie?


    Gibt es noch anderes was ich dringend beachten muss!




    Meine Aktuelle Firmware-Version ist 4.1.1



    VIELEN DANK für eure Hilfe!


    (ps: Das Schlimmste wäre wenn mir die Schulsachen meiner Weiterbildungen geklaut werden :mrgreen: )

    Zitat von "newsletter"

    Ich habe gelesen dass ich nur mit dem Admin von aussen auf das System zugreifen kann.


    Mal wenig Gentleman: Vollkommener Blödsinn.
    Solang Du kein Portforwarding am Router zum NAS eingestellt hast, brauchst Du Dir keine Sorgen zu machen.
    Aber vielleicht beschreibst Du mal, was Du tun möchtest und dann sagen wir Dir, was Du dabei beachten musst.

    um es ganz sicher zu machen, solltest Du es nicht eingeschaltet lassen...










    Sorry, der musste jetzt sein :tongue:
    Wie gesagt, erklär doch erst mal was Du möchtest und was DU definitiv nicht möchtest!
    Daraus lässt sich recht sicher ableiten, was sinnvoller Weise abgeschaltet werden muss/sollte und was für den Betrieb, so wie Du ihn Dir vorstellst zwingend eingeschaltet sein muss.
    Optimal wäre es, wenn Du uns noch ein paar Infos zu Deinem Netz und den genutzten Geräten gibst...
    Batterien für Glaskugeln sind ganz schön teuer ;)


    Gruß Jody

    Zitat von "biboca"


    Mal wenig Gentleman: Vollkommener Blödsinn.


    Das dachte ich mir :D Bin leider völliger Anfänger was Server und dergleichen anbelangt. Möchte es aber lernen. Irgendwo habe ich sowas auf der QNAP seite gelesen (finde es leider nicht mehr..) womöglich habe ich es falsch verstanden.


    Ich habe einen Gast-Benutzer angelegt:
    Systemsteuerung-> Privilegieneinstellungen -> Benutzer -> "Neuer Benutzer" - Name: Gast -->Alles auf Lesezugriff


    Mit diesem möchte ich von aussen Einloggen.
    Habe es leider bis jetzt nicht hinbekommen. Verwendete die Handy-APP "Qfile". Beim Handy habe ich logischerweise Wlan deaktiviert und so versucht einzuloggen.



    Zitat von "biboca"


    Solang Du kein Portforwarding am Router zum NAS eingestellt hast, brauchst Du Dir keine Sorgen zu machen.
    Aber vielleicht beschreibst Du mal, was Du tun möchtest und dann sagen wir Dir, was Du dabei beachten musst.


    Auch hier kenne ich mich zu wenig aus. Ich habe mich hier: http://www.speedguide.net/scan.php mal testen lassen.
    Da kommt sowas raus:

    Zitat

    Total scanned ports: 84
    Open ports: 1
    Closed ports: 0
    Filtered ports: 83


    The Security Scan found open ports on my system, now what ?
    First, read the descriptions carefully. It could be a trojan, or you may have some other service running on that port. For instance, Web servers listen on port 80 in addition to the listed trojans for the same port. So, now that some ports show open (accepting connections and potentialy vulnerable to attacks), you will have to look into what is running on your system that accepted our probe. We try to cover the most common services using the ports we scan. Please read the Security FAQ, and visit our security forum for additional help.


    Nun zum Description:
    161/udp open snmp

    Zitat

    Simple network management protocol (SNMP). Used by various devices and applications (including firewalls and routers) to communicate logging and management information with remote monitoring applications.


    Typically, SNMP agents listen on UDP port 161, asynchronous traps are received on port 162.


    Nun zu der NAS: Unter Verwaltung -> Systemservice - SNMP ist deaktiviert.


    Was ich bei meinem Netzwerk sowieso nicht begreife:
    Ich habe mal ein C# TCP-IP programm geschrieben welches eine einfache Verbindung zwischen 2 Computer(-Programmen) herstellt und Strings(Zahlen/Buchstaben - ASCII) übermittelt werden kann.

    Zitat

    http://msdn.microsoft.com/de-d…socket%28v=vs.110%29.aspx


    Dort musste ich ZWINGEND! einen port öffnen also Portforwarding, über welchen das ganze laufen soll.
    Wieso kann ich die QNAP NAS einfach per "Qfinder" installieren und sofort drauf zugreifen ohne irgendwelche Porteinstellungen machen zu müssen?!


    Was ich tun möchte entnehme ich aus meinem Kaufberatungs-Post: [ http://forum.qnapclub.de/viewtopic.php?f=11&t=31936 ]



    Nun zu Jody:

    Zitat von "jody"

    um es ganz sicher zu machen, solltest Du es nicht eingeschaltet lassen...


    Ja das ist mir klar :tongue: Nur wäre das zweckentfremdung der NAS ;)



    Was ich möchte ist ein maximal sicheres Netzwerk um ein Hackerangriff/Fremdzugriff möglichst auszuschliessen (Ist nie 100% ich weiss) aber auch wer in einem Landgebiet seine Haustür geöffnet lässt geht eher in die Falle eines Einbruchs, obwohl fast keine Fremde Gesichter zu sehen sind: und genau so stelle ich mir das Netzwerk vor..


    Über den Router/Netz kann ich leider wenig sagen. Ich habe den Vertrag mit dem Provider nicht abgeschlossen, habe den Router nicht eingerichtet usw.


    Meine genutzten Geräte:
    - Handy (HTC ONE - Android)
    - Tablet (Google Nexus 10 - Android)
    - Laptop (OS: Windows 7 Premium - Dell Inspirion N7110 - Netzzugriff meist über Wlan - Verwendung meist nur für Zusammenfassungen meiner Weiterbildungen + Filme über HDMI zum Fernsehr übergeben.
    - Fernsehr (LG)
    - Playstation 4
    - QNAP NAS 469L - 4 x je 2TB + 2x 2TB Externe festplatten
    - Computer (OS: Win XP) ist heute eher ungebraucht brauchte ich früher zum Programmieren etc
    - Logitech soundanlage mit 1x Bluetooth woofer oder wie der heisst ist son Teil zum Musik vom Handy usw über Bluetooth abspielen zu können.


    Was für eine einbeziehung der NAS in frage kommen würde habe ich Grün markiert.
    Orange = evtl.


    Vielen Dank für eure Hilfe! Ihr seid super! :thumb:

    How, das erschlägt einen jetzt aber ein wenig. Ganz wichtig ist aber die Frage nach Deinem Router und Netzwerk. Da müssen noch ein Paar infos kommen.

    Zitat von "biboca"


    Meine genutzten Geräte:
    ...
    - Computer (OS: Win XP) ist heute eher ungebraucht brauchte ich früher zum Programmieren etc
    ...


    Das größte Sicherheitsproblem das ich sehe!

    Kannst Du garnicht sehen, ist schon längst verschrottet. :tongue:

    Zitat

    Solang Du kein Portforwarding am Router zum NAS eingestellt hast, brauchst Du Dir keine Sorgen zu machen.


    .. dies ist einfach nur viel zu einfach und damit ein Trugschluss für "mein Netz ist sicher"


    Oftmals benutzen heutige Anwendungen und damit auch „böse Angreifer“ Ports welche meistens auf jedem Router geöffnet sind.
    Im besonderem werden über den Port 80 viele Anwendungen getunnelt, umgehen damit die Firewall und werden auf die internen Rechner weitergeleitet.
    Allgemein gesagt, werden die entsprechenden Anwendungen in den Datenverkehr von http und sogar https mit eingebettet. Somit kann genug „Unsinn“ in das interne Netzwerk gelangen.
    Ist keine Firewall vorhanden, welche den Inhalt der Datenströme analysieren kann, ist es mit der Sicherheit nicht zum bestem bestellt.
    „Kandidaten“ dafür sind:
    - Messangerprogramme
    - Fernwartungsprogramme
    - p2p Filesharing
    - Webbasierende Zugriffe auf Emailprogramme und Cloud-Dateispeicher.


    Zitat

    Was ich möchte ist ein maximal sicheres Netzwerk um ein Hackerangriff/Fremdzugriff möglichst auszuschliessen


    .. wenn du das willst, schalte deinen Router auf Modem-Modus und legt dir eine echte Hardwarefirewall/UTM zu.

    Ja, das hab ich in der Tat sehr einfach ausgedrückt. Sollte für Otto Normalverbraucher in Verbindung mit gefahrenbewusstem Surfverhalten als Grundregel auch reichen. Mit einem gesteigertem Maß an Paranoia :D kann man natürlich immer Aufrüsten, obgleich letztendlich nur Stecker ziehen schützt. :(

    Hallöle!


    Zitat von "bluechiper"

    Oftmals benutzen heutige Anwendungen und damit auch „böse Angreifer“ Ports welche meistens auf jedem Router geöffnet sind.


    Unter normalen Umständen sollte auf einem handelsüblichen Router kein Port nach außen geöffnet sein!
    Dies gilt jedoch nicht generell für alle Router, aber in Sachen Sicherheit haben die Hersteller in den letzten Jahren immens nachgezogen!


    Zitat von "bluechiper"

    Im besonderem werden über den Port 80 viele Anwendungen getunnelt, umgehen damit die Firewall und werden auf die internen Rechner weitergeleitet.


    Diese Aussage ist so nicht ganz korrekt! Sieht man sich die Kommunikationsbeziehung bei HTTP/HTTPS genau an:
    der Nutzer öffnet eine Seite irgendwo im Internet, damit richtet der Client (der PC zuhause) eine Anfrage an einen Webserver, der an Port 80 (http) oder 443 (https) auf genau solche Anfragen wartet.
    In der Zeit merkt sich der Router, welcher Client die Anfrage gestellt hat und leitet die Antwort des Server durch die Firewall hindurch zum Client!
    Hier ist generell vorausgesetzt, dass jemand eine Frage gestellt hat, eine "sinnfreie" Antwort (oder ein Angriff oder wie auch immer) wird vom Router abgelehnt, weil der Verbindungsauf nicht von innen (das heimische Netz) kommt!
    Das über das HTTP-Protokoll jede Menge anderes Zeugs zusammen mit der o.g. Antwort ins heimische Netz strömen kann, sollte jedem klar sein (dies ist der Grund warum es Virenscanner gibt ;) )


    Zitat von "bluechiper"

    Ist keine Firewall vorhanden, welche den Inhalt der Datenströme analysieren kann, ist es mit der Sicherheit nicht zum bestem bestellt.


    Leider ist auch diese Aussage so nicht korrekt!
    Eine Firewall alleine ist kein Garant für Sicherheit! Hier wäre nun eine Definition von Firewall gefordert, aber ich kürze mal ab:
    Eine Firewall prüft lediglich ob eine Kommunikationsbeziehung zwischen zwei Netzen mittels eines bestimmten Netzwerkprotokolls in eine bestimmte Richtung erlaubt/erwünscht ist, oder nicht! Sollte diese Kommunikation nicht gewollt sein, werden die zugehörigen Datenpakete entweder verworfen (den Absender erhält keine Rückmeldung und läuft in einen Timeout) oder abgelehnt (der Client bekommt "Du kommst hier nicht rein!" als Antwort)


    Um den Inhalt von Datenströmen zu analysieren, sind Inspectionmodule oder Intrusion-Detection-Systeme (IDS) gefordert! Sie können die Funktion einer Firewall erweitern, oder als eigenständige Produkte zusätzlich zur Firewall geschaltet werden.
    Generell gilt, dass eine Firewall kein Produkt, sondern vielmehr ein Konzept ist:
    Aufgestellte Regeln, welche Kommunikationsbeziehungen gewollt oder nicht gewollt sind, verbunden mit IDS, Proxysystemen und Virenschutz!
    Die Gänze dieses Themas füllt seit Jahren bereits Newsgroups und Foren, so sollte jeder bei tiefergehenden Interessen sein Lieblingsinternetorakel bemühen!

    Zitat von "bluechiper"


    .. wenn du das willst, schalte deinen Router auf Modem-Modus und legt dir eine echte Hardwarefirewall/UTM zu.


    Bei diesem Punkt kann ich weitestgehend zustimmen ;)


    Wer ein wirklich sicheres Netzwerk möchte, sollte sein Netzwerk vollständig von anderen Netzen, also insbesondere dem Internet trennen :mrgreen:
    Da dies jedoch unrealistisch ist, empfehle ich zunächst eine "Bewertung" des persönlichen Sicherheitsbedarf vorzunehmen und den "Wert" der persönlichen Daten zu ermitteln!
    Aus diesem Ergebnis und dem vorgesehenen Etat für die Netzwerksicherheit lässt sich dann eine Lösung stricken, die je nach finanziellem Einsatz von "ein bischen sicher" bis "eigentlich ziemlich sicher!" reicht.
    100%ige Sicherheit wird es selbst mit immensen Kapitalaufwand nicht geben!


    Ich unterstütze dennoch die Aussage von biboca, dass das eigene Netz weitestgehend geschützt ist, sofern man kein Portforwarding am Router aktiviert hat (natürlich mit den o.g. Einschränkungen ;) )


    Grüße Jody


    Zitat von "dr_mike"

    Mach ein Kondom über den Netzwerkstecker, dann hast du geschützten Netzwerkverkehr. :mrgreen:


    100% ACK

    Zitat von "dr_mike"

    Mach ein Kondom über den Netzwerkstecker, dann hast du geschützten Netzwerkverkehr. :mrgreen:


    :D OT: Hab ich schon. rot, grün, gelb. Damit ich weiß wer mit wem "Verkehr" hat...


    Und genau bei der UTM/Router/FW ist der Knackpunkt, da hier wie man in letzter Zeit sieht gar nichts mehr so sicher ist wie manch ein Verkäufer/Marketingexperte es einem suggeriert (hb, bash), selbst bei den "zeitnahen" Updates, habe ich mir folgendes Prozedere aufgebaut bzw. vervollständigt.


    Ich hab es bei mir so geregelt:
    - produktive NAS, zum "spielen" hinter UTM (Hardware) im gleichen Netz wie andere Geräte (ein halbwegs preiswerter Router mit vernünftigen FW Funktionen sollte aber auch schon reichen. Mann sollte zumindest erst mal die Tür für alle/alles zurammeln dürfen und dann auf doppelten Antrag Zustimmungen verteilen :D) Hier ist aber Einsatz gefordert nicht Plug and Play... :)
    - Backup NAS mit RDX (wird noch manuell bei Bedarf eingeschoben, noch keine passenden Lösung für Auswurf vorhanden) in anderem Netz hinter der UTM. Auf dem RDX (leider im Moment nur 2TB möglich) landen nur die wichtigsten Daten, vergängliches wie Por... äh Filme und Musik sind nicht Sicherungswürdig und nehmen zu viel Platz weg.
    - auf der Backup NAS nur Zugriffe von der prod. NAS zulassen (Sicherheit: bestimmte IPs und Netzwerkzugangsschutz unter den Jobs; Vorfilterung kommt ja schon von der UTM) und das nur per def. Rsync Benutzer/Passwort bzw. spez. RTRR Port und Passwort
    - Jobs in Generationen, Sicherung in verschiedene Ordner (Woche1, Woche2/Tag1, Tag2 etc.)
    - nach Möglichkeit, wo es nötig ist, nur Daten "füllend" kein Sync, muss ich halt mal Hand anlegen wen eine Mail mit Platzproblemen kommt
    (das mit den verteilten Papierkörben ist Mist in den neuen Versionen. Datenmüll ohne Ende...)
    - die "spiel" NAS macht vorab Abholungen für Cloud Dienste und FTP welche dann erst einmal auf ihr selber in Generationen abgelegt werden, danach regelm. Backup auf Backup NAS
    - die einzige Verbindung die die Backup NAS noch zur Außenwelt hat ist per Mail (senden), für Alarme und das aber auch nur definiert von nach an mit Port Definition (Provider). Hier fehlt mir noch eine passende interne Mailserver/Groupware
    - Benutzer und Passwörter sind auf beiden Geräten sehr komplex und sind NICHT gleich/ähnlich mit dem jeweils anderen Geräten/Anmeldungen
    - aller Schnick-Schnack auf der Backup NAS ist komplett aus, so weit wie es QNAP mir zulässt. Einige Sachen gehen da ja irgendwie nie schlafen, wie ich einem anderen Post schon einmal bemerkt habe.
    - USV/Blitzschutz an beiden Geräten
    - Geräte stehen in unterschiedlichen Brandabschnitten für die physische Sicherheit


    So fühle Ich mich halbwegs "sicher" :mrgreen:


    P.S.: was mir noch fehlt zum glücklich sein ist eine autom. Backup-Funktion/Berichterstellung der aktl. Konfiguration der NAS mit Mail/Speicherfunktion (siehe als Bsp Astaro/Sophos)
    sollte ich mal bei "wünsch Dir was" eintragen...

    Zitat

    Unter normalen Umständen sollte auf einem handelsüblichen Router kein Port nach außen geöffnet sein!
    Dies gilt jedoch nicht generell für alle Router, aber in Sachen Sicherheit haben die Hersteller in den letzten Jahren immens nachgezo


    Es sind nun mal offene Ports erforderlich um sich im Internet zu bewegen. Dazu gehört schon mal Port 80 wie auch der genannte Port 443.
    Denkt man einfach nur an die Fritzbox:
    Quelle AVM: http://avm.de/aktuelles/neues-…itzbox-modell-verfuegbar/
    "Demnach haben die Täter über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden."


    Es geht also nicht um die Ports die geschlossen sind, das wissen die meisten "Bösewichte" das es so ist. Es geht um die Ports, die zur Kommunikation offen sein müssen.

    Der Konfigurationsport 443 der Fitzbox muß aber nicht ins Internet offen sein,
    sondern weil der Benutzer es möchte.
    Ansonsten werden die Ports nur vom Router zu bekannten Endpunkten geöffnet
    und solange diese Server und die dazwischen liegenden Router keine Sicherheitslücke haben,
    besteht keine Gefahr.

    Hallo bluechiper!


    Zitat von "bluechiper"


    Es sind nun mal offene Ports erforderlich um sich im Internet zu bewegen...
    ... Es geht um die Ports, die zur Kommunikation offen sein müssen.


    Hmmm..
    Ja, es müssen Ports geöffnet sein um sich im Internet zu bewegen.
    ABER:
    Wenn Du in Deinem Browser "http://forum.qnapclub.de" eingibst, sendet Dein Computer diese Anfrage von einem x-beliebigen High-Port (also einer der größer 1024 ist) an den Server von Christian, der auf Port 80 (http) darauf wartet/lauscht.
    Nun kramt der Server die Startseite raus und liefert diese an genau den High-Port zurück, von dem Dein Compi die Anfrage gestartet hat. Soweit so gut, aber hier war nun noch kein Router oder gar eine Firewall dazwischen!


    Nun bauen wir den Router dazwischen:
    Dein Compi richtet genau wie eben die Anfrage an den Server von Christian (von einem High-Port an Port 80 des Servers) nun muss aber Dein Router diese Anfrage anpassen! Dazu merkt sich der Router erstmal, welcher Client die Anfrage gestellt hat und ändert die Absenderadresse (die IP von Deinem Compi) in seine eigene öffentliche IP (also die die im Internet hängt). Nun schickt er die Anfrage (von einem High-Port) an den Server von Christian.
    Der Server macht seinen Job wie oben beschrieben und schickt das Paket an den besagten High-Port der öffentliche IP Deines Routers zurück.


    Nun weiß der Router, dass er auf genau diesem High-Port eine Anfrage verschickt hat und nur unter genau diesen Umständen akzeptiert er die Antwort des Servers und "bittet" die Antwort quasi herein. Nun ändert er die Ziel-IP der Serverantwort und trägt wieder die IP Deines Compis ein um die Antwort an Deinen Browser zu schicken!
    Für diese Form der Kommunikation, die genauso oder ähnlich für Email, FTP, Streaming etc funktioniert (!) muss nicht ein einziger Port des Routers auf dem WAN-Interface (also das böse Ende das im Internet hängt) geöffnet sein!


    Dein Beispiel mit der Fritzbox ist in diesem Falle nicht anwendbar, weil:
    Hier wurde eine Sicherheitslücke von schlecht konfigurierten Routern ausgenutzt!
    Grundsätzlich sollte man Router/Firewalls etc so konfigurieren, dass sie (wenn überhaupt per Netzwerk) nur aus sicheren Netzen heraus administrierbar sind!
    Im Falle der Fritzbox sollte die Fernadministration (die eben genau die von Dir genannten Einstellungen erfordert) deaktiviert werden.
    Wenn die Fernwartung deaktiviert ist, sind auch die Ports 80/443 nicht mehr auf der WAN-Seite der Fritte geöffnet!


    Zitat von "Eraser-EMC2-"

    Der Konfigurationsport 443 der Fitzbox muß aber nicht ins Internet offen sein...

    100%ige Zustimmung!


    Wenn Du aus welchen Gründen auch immer zwingend auf die Fernadministration angewiesen bist, solltest Du dies wenigstens über eine VPN-Verbindung tun! So lässt sich beispielsweise über VPN eine Verbindung zu einem Computer im internen Netz aufbauen, um von dort aus die Konfiguration der Fritzbox (oder eines beliebigen anderen Routers!) zu starten.