Guest Login OK auf SAMBA - aber SAMBA nicht aktiv

Hallo Markus,

Deine Überschrift sagt Samba nicht aktiv, wo ist Samba nicht aktiv? Welche IP wird geloggt wenn der Guest eintritt und worauf greift der Guest zu?
Hast du einen Benutzer auf dem NAS erstellt der mit dem deines PC´s identisch ist?

Zum Schluss: benötigst du wirklich alle Ports offen zum Web ? Wenn nicht dann zumachen und wenn doch eine sicherers Passwort nutzen!

Christian

Hallo Markus,

und auch hier pochen wir mit allen Mitteln wieder auf die Sicherheit! Wozu muss Samba fürs Web freigegeben werden? Ich finde das hochgratig gefährlich!!!
Im übrigen werden nur Dienste geblockt die auch ausgewählt wurden bei dem Rest greift dann kein Mechanismus der eventuelle BruteForce Attacken etc. verhindern könnte. Bitte überleg dir nochmal ganz genau ob du die offenen Ports alle brauchst.

PS: Bilder demnächst direkt mit der Forenfunktion hochladen siehe auch http://forum.qnapclub.de/viewtopic.php?f=5&t=3065.

Danke
Christian

Die Frage müsste lauten WARUM ist Samba überhaupt vom Web zugänglich! Ich vermute du hast das NAS im Router auf DMZ gestellt oder alle Ports freigegeben! Du solltest dringenst die Einstellungen deiner Firewall (Router) kontrollieren und nachstellen.

Auf deinem Screenshot befindest du dich im Netzwerkzugnagsschutz, dort wurd nur geregelt ab welchem Login Fehlversuch dein NAS den Zugriff blockiert und da du Smb nicht aktiviert hast, kann jeder der dein NAS aus dem Web sucht bzw findet auch ungehindert oft Zugriffsversuche starten.

Christian

Hallo MacSwiss,

Der Reihe nach:
1. der screenshot oben sagt, dass Du unter Netzwerkzugangsschutz eben genau diesen für SMB abgeschaltet hast.
2. ein Login mit ssh ist etwas total anderes als eine Verbindung mit SMB
3. welche Zugriffsmöglichkeit brauchst Du von wo?

Um Dich wieder etwas "einzufangen"...
Überlege Dir bitte in Ruhe und ganz genau, welche Dienste (also http, ftp, smb etc) Du vom Internet aus erreichen möchtest/musst/willst.
Dann solltest Du dir entsprechend Deiner Überlegung, Deinen Router vornehmen und konfigurieren, da er offenbar derzeit alle Zugriffe auf Dein
NAS weiterleitet (daher der konkrete Hinweis auf die Sicherheit von Christian).
Auch solltest Du Dich mit der Rubrik Sicherheit hier im Forum intensiv beschäftigen, da dort einige Deiner Fragen beantwortet werden.

Grüße in die Schweiz (oder?)
Jody

Hallo,

Netzwerkzugangsschutz, so wie der schon sagt, ist für den Zugangsschutz verantworlich, und nicht wie du denkst, welche Netzwerkdienste aktiviert sind.
Es definiert, welche Dienste von Extern/Internet geschützt werden sollen.
Da du hier SMB/SAMBA/Microsoft-Netzwerk deaktiviert hast, erhält es keinen Schutz.

Um SAMBA zu deaktivieren, mußt es unter Netzwerkdienst/Microsoft-Netzwerk deaktivieren.

Wie christian und jody schon schrieben, hast du in deiner Netzwerk-Konfiguration größere Probleme als nur die Fehl-Konfiguration des Netzwerkzugangsschutzes.

Da der Router dem Internet am nächsten ist, solltest schon hier die notwendigen Abschottungen vom Internet aktivieren und nicht erst am NAS.

Schöne Grüße,
Stefan

Hi,

ohne Panik verbreiten zu wollen: Dein Netzwerk ist offen wie ein Scheunentor, und mehr als eine Person sind erfolgreich mindestens auf deinem NAS drauf! Du hast ein ernsthaftes Sicherheitsproblem auf deinem NAS (und eventuell auf deinem / deinen Rechner(n))!

Um das Netz sicher zu bekommen, würde ich folgendes tun:

Sofort alle Portweiterleitungen im Router deaktivieren, sofort das NAS aus. Router neu starten, damit du eine neue IP kriegst, damit die Zugriffe / Zugriffsversuche aufhören. Falls du eine feste IP hast, musst du noch sogrfältiger sein, denn "die anderen" kennen "dich" jetzt...

Danach ggf. erst mal einen ordentlichen Virenscan auf deinem Rechner, und wenn der Rechner sauber ist, hier im Forum erst mal unter Sicherheit die Posts durchlesen, was man wie machen sollte mit Portfreigaben. Mach zu Anfang nur wenig, und nur das, was du verstanden hast. Für Testzwecke erst mal nur ungefährliche Daten aufs NAS packen, z.B. PDFs von INternetartikeln oder so, also Zeug, das definitiv nicht persönlich ist.

Das NAS ist von außen über https zu erreichen, wenn man den Port 443 (und nur den!) aufmacht. Das reicht eigentlich, und ist schon recht sicher. Falls dein Router VPN kann, ist das zu bevorzugen. Und: im NAS den Guest-User deaktivieren!

Hi,

das klingt ja erst mal gut. Bei dem Zugriffsschutzeinstellungen solltest du ALLE anschalten (auch die, di du erst mal nicht gebrauchen möchtest, die aber trotzdem ansprechbar sind!), das NAS macht dann am besten "dicht", darauf kommt es an!

Das mit VPN wäre für dich und deine Familienmitglieder die beste Zugriffsmöglichkeit, das würde ich bevorzugt umsetzen.

Wenn z.B. man einen DynDNS-Account hat, und den DynDNS-Namen, z.B. Mein_Netz.dyndns.org in der Form https://Mein_Netz.dyndns.org aufruft, landet man mit der Portweiterleitung 443 im Router (heißt: Port wird auf die IP des NAS weiergeleitet) auf der Administrationsoberfläche, von der aus man auch an Qmultimedia mit den Bildergalerien herankommt.

Soll heißen: Es reicht theoretisch, den Port 443 an das NAS weiterzuleiten. Alles andere kann zu bleiben, von sFTP mal abgesehen.

Seit ich nur noch den 443 offen habe, habe ich keinen Portscan und keinen Hackingversuch mehr gehabt! Mit einem offenen Port 8080 hatte ich einen Hackingversuch nach 2 Minuten!

EDIT: Je nachdem, wie lange das bei dir schon so war, könnte es sinnvoll oder notwendig sein, das NAS neu aufzusetzen, denn du weißt nicht, was die, die sich da erfolgreich reingehackt haben, alles schon so gemacht haben. Auch das ist nicht paranoid gemeint, sondern vielleicht die einzige vernünftige Möglichkeit, sicher zu sein, dass dein NAS wirklich sauber ist!

Zitat von "MacSwiss"

Ich habe nur 4 lokale Benutzer aktiv (admin, ich + 2 weitere Familienmitglieder) aber keinen „Guest“.

Doc HT meinte mit Gäste die Einstellung in der Übersicht der Freigaben (für SMBA und FTP) ,dort kann man die Zugriffsrechte für Gäste anpassen: Vollzugriff, Schreibgeschützt und Zugriffsverweigerung.
In diesem Fall allen Freigaben die Zugriffsverweigerung für Gäste auswählen.

Schöne Grüße,
Stefan

Hi eraser,

Danke für die Klarstellung, da war ich zu ungenau.

Zitat von "MacSwiss"

... 8<...
Danke Christian, Jody, Eraser und Doc HT

Hallo MacSwiss,
ich denke wenn ich jetzt das "gern geschehen" im Namen der oben gannten ausspreche, tue ich nix falsches
Ich hoffe dass Du zukünftig nicht in eine solche Falle tappst und es scheint, dass Du Deine Lektion (hoffentlich nicht zu) schmerzlich
gelernt hast.
Wir 4 und viele andere Nutzer hier haben nun mal ein Augenmerk auf die Sicherheit der Daten und leider finden sich immer wieder
"willige" Opfer, die aus Unwissenheit, Leichtfertigkeit oder gar Ignoranz ihre gesamten Daten der "Comunity" zur Verfügung stellen.
Wenn es uns gelungen ist Dich zu sensibiliseren, haben wir sehr viel erreicht, noch mehr aber, wenn wir Dir helfen konnten!

Auf das Du weiterhin Spaß an der Sache hast!
Grüße
Jody

PS.: vielleicht wäre das ja mal eine Spende wert (Nein, ich möcht enicht fürs Forum betteln, sondern nur noch mal darauf aufmerksam machen
das es eben ein Privatvergnügen ist und dieses eben derzeit nur auf einem Paar Schultern ruht!)

Zitat von "MacSwiss"

Hallo Doc und Eraser, Ich finde nichts dergleichen.

Es gibt Standardmäßig den User "Gastzugriffsrecht" (=Guest) in den Einstellungen der jeweiligen Freigabeordner, den man (leider) nicht so einfach - wenn überhaupt - aus dem System rauskriegt.

Du findest diesen User in dem jeweils zu verwaltenden "Ordner", sprich: den von dir erstellten Freigaben. Dort solltest du pro "Ordner" (=Freigabeordner) das Gastzugriffsrecht auf "Zugriffsverweigerung" schalten, der Guest bekommt so keinen Zugriff.

Grundregel: Alles zu- und ausmachen, was man nicht braucht.

Fasse am besten deine User in Gruppen zusammen, und gib der Gruppe die passenden Rechte. Wenn du z.B. eine Gruppe "Freunde" anlegst, kannst du sehr leicht steuern und kontrollieren, was die dürfen. Es ist aus meiner Sicht einfacher, User Gruppen zuzuweisen, als immer wieder bei einzelnen Usern die Rechte anzupassen.

Auch wichtig: Nimm die Gruppe "Everyone" aus allen Zuordnungen raus, denn diese Gruppe kann man auch nicht entfernen.

Zitat von "Doc HT"

Auch wichtig: Nimm die Gruppe "Everyone" aus allen Zuordnungen raus, denn diese Gruppe kann man auch nicht entfernen.

Achtung! "Rausnehmen" heißt nicht "Zugriff verweigern". Damit sperrt man sich gekonnt den Zugriff auf die Freigabe, selbst wenn der User in der Admin-Gruppe ist. Für "Everyone" einfach KEINEN Haken setzen, außer es soll komplett gesperrt werden.

Jan

Hi Jan,

kannst du das mal näher erklären? Ich versteh es nicht...

Ich habe der Gruppe Everyone keine Genehmigungen erteilt, sprich: sie ist immer im rechten Teil des Fensters.

Was heißt das nun?

Zitat von "Doc HT"

Ich habe der Gruppe Everyone keine Genehmigungen erteilt, sprich: sie ist immer im rechten Teil des Fensters.

Ist auch so in Ordnung.

"Zugriff verweigern" hat eine höhere Priorität als "Zugriff gewähren".
Das bedeutet, wenn in der Gruppe everyone jeder Benutzer vorhanden ist, was normal der Fall ist,
und du einer Freigabe der Gruppe Everyone den Zugriff verweigerst, hat kein Benutzer Zugriff auf diese Freigabe.
Selbst wenn du explizit noch andere Benutzer hinzufügst und denen Schreibrechte gewährst,
bekommen diese trotzdem keinen Zugriff, da Zugriff verweigern über alles steht.

Hoffe, das es verständlich ist.

Schöne Grüße,
Stefan