Schutz von Nutzerdaten, nicht nur wegen DSGVO

  • Folgende Protokolle vermissen scheinbar bei den QNAP NASen der Absicherung:
    # DNS
    # NTP


    Wirkung:
    DNS:
    # Durch die fehlende Absicherung der DNS Abfragen durch z.B. DNSCrypt, werden die DNS Abfragen und somit die Informationen wann welche Internetziele auf gerufen werden, im Klartext unvertschlüsselt übertragen. Dies öffnet dem Mitlesen fremder Verkehrsdaten, als auch der Manipulation, wie z.B. auf andere Webseiten, Tür und Tor.


    NTP:
    # Durch Verwendung von ungesicherrten NTP, ist es problemlos möglich dem NAS andere Zeitantworten unter zu schieben. Die Wirkung einer z.B. um zwei Jahre abweichenden Jahreszahl, ist in beiden Richtungen, gewöhnlich ein nicht mehr funktionieren der SSL Zertifikate. Was dann dazu führt, das z.B. Webseiten nicht mehr über SSL auf gerufen werden können und somit feucht fröhlich im Klartext übertragen werden.


    Gegenmaßnahme:
    # Unterstützung von gesichertem DNS Varianten wie z.B. DNSCrypt, DNS over HTTPS
    https://en.wikipedia.org/wiki/DNSCrypt
    https://en.wikipedia.org/wiki/DNS_over_HTTPS

    # Unterstützung von gesicherten NTP Varianten wie z.B. NTPsec, tsldat
    https://en.wikipedia.org/wiki/Network_Time_Protocol#NTPsec
    https://de.wikipedia.org/wiki/Network_Time_Protocol#tlsdate



    Weiteres:

    NTP Ausfallsicherheit:

    Bei der derzeitigen QNAS Firmware kann man nur einen NTP Server an geben. Zur Verbesserung der Ausfallsicherheit, kann es nicht schaden einen zweiten NTP Server an geben zu können, wie z.B. einen aus der folgenden Liste:

    pool.ntp.org

    asia.pool.ntp.org

    europe.pool.ntp.org

    north-america.pool.ntp.org

    oceania.pool.ntp.org

    south-america.pool.ntp.org

    cz.europe.pool.ntp.org2

    de.europe.pool.ntp.org
    pl.europe.pool.ntp.org

  • Bei DNS over HTTPS kommt auf der Wiki, dass es experimentell sei und Stand März 2018 von Google und Mozilla experimentell getestet wird. Bei DNSCrypt kommt auf der Wiki, dass es neu ist und von einigen wenigen, an einer Hand abzählbaren, eingesetzt wird. Eine weitere Suche zeigte, dass irgendwie kein Betriebssystem dies nativ unterstützt, bei allen müssen Dritt-Apps installiert und händisch gewartet werden, da es kein Standard ist sondern eine sich ändernde Implementation. Somit Fehleranfällig ist, wie weitere Suchen auch ergaben.


    Du willst also, dass in eine stabile QTS Version experimentelle Alpha Features integriert werden?



    Das selbe bei NTPsec:

    Zitat von Wikipedia

    as of 2017, the software is in beta testing


    In diesem Sinne:

    Zitat von Herbert_1965

    Folgende Protokolle vermissen scheinbar bei den QNAP NASen der Absicherung:

    Nicht nur scheinbar, sondern ganz absichtlich fehlen die, genauso wie bei ALLEN anderen Betriebssystemen (Windows, Mac OS, iOS, Android, Linux) da es für keinen von beiden einen Standard gibt! Bei allen müssen Beta Apps nachinstalliert werden.


    Blöde Frage:

    Wenn man einen Proxy einrichtet über den alle Geräte ins Internet gehen, kann der doch diese Sicherheitsmerkmale umsetzen. Oder?

  • Wenn man einen Proxy einrichtet über den alle Geräte ins Internet gehen, kann der doch diese Sicherheitsmerkmale umsetzen. Oder?

    Im Normalfall sollte ein Router bzw. die darin enthaltenen Firewall für die Bereitstellung eines gesicherten DNS und NTP zuständig sein.


    Allerdings lassen Hersteller wie AVM, mit ihren Fritzboxen (Stand 25.05.2018) nicht durch eine Implementierung erkennen, ihre werte Kundschaft eine nicht so leicht abhörbare (abgreifen der Verkehrsdaten) und manipulierbare Verbindung ins Internet zu ermöglichen. Von VPN mal ganz zu schweigen. Ist zu hoffen, das das nach in Kraft treten der DVGO und entsprechenden Meldungen an die Aufsichtsbehörden, ein Ende findet.

    Und so lange wie gängige Router Hersteller ihre Kunden bezüglich der Absicherung ihrer Verbindungen im trockenen sitzen lassen, ist das eine gute Möglichekiet für NAS Hersteller, ihre Bedeutung zu zementieren.

  • Allerdings lassen Hersteller wie AVM, mit ihren Fritzboxen (Stand 25.05.2018) nicht durch eine Implementierung erkennen, ihre werte Kundschaft eine nicht so leicht abhörbare (abgreifen der Verkehrsdaten) und manipulierbare Verbindung ins Internet zu ermöglichen. Von VPN mal ganz zu schweigen.


    Eigentlich bekommt man das angezeigt wenn SSL nicht möglich ist. bzw unsicher ist.

    DNS-Anfragen gesichert übertragen nur damit keiner mitbekommt welche Domains ich aufrufe ? Welchen Sinn soll das haben ?


    Und was hat der VPN von AVM damit zutun ?

  • 1. HTTPS und DNS sind zwei verschiedene Dinge. Im Klartext übertragenes DNS läßt sich nicht nur mitlesen, es läßt sich vor allem auch manipulieren. D.h. es kann sein das du deine Bankwebseite aufrufen willst, aber Dank im Klartext übertragenen und leicht manipulierbaren DNS, eine ander Webseite auf rufts, die nur aus sieht wie deine Bank oder sonstewas Webseite. Manch einer mag es z.B. gar nicht, wenn er unabsichtlichg seine Steuererklärung dank DNS Manipulation, an Satt beim FA, bei irgend einem privaten Wegelagerer ab gibt.


    2. VPN wäre ein weiterer Weg um den Internetzugangsprovider nicht alles vom Nutzungsverhalten sehen zu lassen. AVM ist beim Schutz der Nutzerdaten nicht gerade ein mustergültiger Vorreiter, so das ausgehendes VPN z.B. auch nicht in den Fritzboxen implementiert ist.

  • Nicht ausgehendes VPN, sondern z.B. DNSsec.


    Und andere Dinge zusammen mit HTTPS. Im Ergebnis ist das dann "ausgehendes VPN". Aber ohne das Problem von VPN, zuerst den "Key" jeder Gegenstelle manuell einbinden zu müssen... das wären im Internet absehbar mehr als ca. 135... oder so...

  • zu 2:

    Was meinst du mit "ausgehendes VPN" ?

    Man kann per AVM VPN Client, VPN Verbindungen zur Fritzbox auf bauen um aus dem Urlaubsland auf den eigenen Fritzbox Home Router rauf zu kommen. Soweit so gut. Von der Fritzbox aus, kommt man allerdings nicht per VPN woanders hin. Das ist mit "ausgehendem VPN" von mir gemeint.

    zu 1:
    Äußert unwahrscheinlich.

    Übertragung im Klartext lädt zum Misbrauch ein. Das sollte man ruhig vermeiden. Man läßt ja auch nix offen sichtbar im Auto rum liegen um extra Gelegenheitstäter ein zu laden.

  • 1. HTTPS und DNS sind zwei verschiedene Dinge. Im Klartext übertragenes DNS läßt sich nicht nur mitlesen, es läßt sich vor allem auch manipulieren. D.h. es kann sein das du deine Bankwebseite aufrufen willst, aber Dank im Klartext übertragenen und leicht manipulierbaren DNS, eine ander Webseite auf rufts, die nur aus sieht wie deine Bank oder sonstewas Webseite. Manch einer mag es z.B. gar nicht, wenn er unabsichtlichg seine Steuererklärung dank DNS Manipulation, an Satt beim FA, bei irgend einem privaten Wegelagerer ab gibt.

    Meinst du damit DNS-Spoofing?

  • Von der Fritzbox aus, kommt man allerdings nicht per VPN woanders hin.


    Komisch, habe letzte Woche noch einen VPN an meiner Fritte zu einer anderen Frittte eingerichtet.

    Einmal editiert, zuletzt von Jagnix () aus folgendem Grund: Was vergessen. Doch nicht.

  • Klar Jagi, das geht. Herbert meint aber wohl VPN zu beliebigen Gegenstellen.


    Das geht ganz normal via HTTPS, DNSsec u.a.m., nicht aber via VPN. In beiden Fällen geht es ja im eine gesicherte Verbindung , wobei VPN genaugenommen mehr macht als https, da es "privat" ist.


    Was auch geht, ist z.B. einen VPN-Dienst zu nutzen, wie ihn Opera in den gleichnamigen Browser einbaut. Oder andere Anbieter, bei denen man solche Dienste kaufen kann / muss.

  • Klar Jagi, das geht. Herbert meint aber wohl VPN zu beliebigen Gegenstellen.


    Ganz ehrlich ich versteh das Problem nicht.


    Ich kann auf einer Fritte soviele VPNs einrichten wie ich lustig bin (naja fast :) ).

    Von A nach B von A nach C usw.


    Es steckt ja auch immer ein Grund dahinter wer diesen Datenverkehr braucht PC oder Handy.

    Die Fritzbox ist der Vermittler.

    Also nochmal ich verstehe das Problem nicht.

  • Der Faden wurde in die Kategorie "Feature Request" eingestellt und stellt ein Feature Request dar. Er wurde vom Admin in die derzeitige Kategorie verschoben.


    Ich persönlich habe kein Problem. So das für mich hier zu diesem Thema nichts diskutiert werden muß.


    Der Faden, ist wie gesagt ein Hinweis auf eine Verbesserungsmöglichkeit der Firmware bzw. der Apps. Die der Hersteller zur Festigung seiner Marktstellung nutzt oder es nicht tut.

    Nach meiner Lesart, stellt das Betreiben von ungesicherten Verbindungen einen Verstoß gegen die DSGVO dar. Diese sind durchaus mit spürbaren Bußgeldern bedroht. Wer meint seine Kommunikation nicht absichern zu müssen, ist halt der Meinung. Aus meiner Sicht gehört ein wenig Datenschutz jedoch zur Hygene, wie sich vor und nach dem WC-Gang die Hände zu waschen.

  • Nach meiner Lesart, stellt das Betreiben von ungesicherten Verbindungen einen Verstoß gegen die DSGVO dar.


    Wenn man im Internetsurft ? Ja nee is klar. :)


    Schonmal gelesen was die DSGVO regeln soll ?

    Sie soll den Umgang und Verarbeitung mit Personenbezogen Daten regeln. Der eol1 hat da mehr Ahnung von.



    D.h. es kann sein das du deine Bankwebseite aufrufen willst, aber Dank im Klartext übertragenen und leicht manipulierbaren DNS, eine ander Webseite auf rufts, die nur aus sieht wie deine Bank oder sonstewas Webseite.


    Und ? Augen auf im Straßenverkehr !

    Gehen wir mal davon das jemand meine Verbindung mitschneidet. Und mir dann z.B. eine gefälschte Seite von Amazon od. Paypal od. von meiner Bank unterschiebt. Und ich gebe dann schön meine Benutzername und Passwort ein. Und dann? Genau passiert nämlich nix.


    Weil ich keine SMS auf mein Handy bekomme um die 2te Stufe meiner Authentifizierung abzuschließen. Weil, woher soll die meine Handynummer kennen ?

    Spätestens dann sollten alle Sirenen heulen. Dann ändert man den Benutzernamen (in der Regel eine eMail) und das Passwort und aus die Maus.

  • HTTPS und DNS sind zwei verschiedene Dinge. Im Klartext übertragenes DNS läßt sich nicht nur mitlesen, es läßt sich vor allem auch manipulieren. D.h. es kann sein das du deine Bankwebseite aufrufen willst, aber Dank im Klartext übertragenen und leicht manipulierbaren DNS, eine ander Webseite auf rufts, die nur aus sieht wie deine Bank oder sonstewas Webseite. Manch einer mag es z.B. gar nicht, wenn er unabsichtlichg seine Steuererklärung dank DNS Manipulation, an Satt beim FA, bei irgend einem privaten Wegelagerer ab gibt.

    Klar, https ist die Übertragung der Inhalte der Website.

    DNS-Anfragen finden vorher statt, unverschlüsselt.

    Das DNS-Antworten manipuliert werden können, nur weil die Anfragen unverschlüsselt sind ist nicht richtig.

    Erst wenn der angefragte DNS-Server kompromittiert ist, ist das möglich.

    Ich finde deinen Beitrag, als Denkanstoß, richtig.

    Nur bitte vermeide diese Art Panikmache!


    Grüße

    Lutz

  • Ich finde es unangebracht von QNAP zu erwarten experimentelle Features die von einem Tag auf den anderen nicht mehr funktionieren könnten, in eines Stabile Version zu integrieren, zumal QNAP nicht einmal der richtige Ansprechpartner für die Umsetzung dieser Wünsche ist.


    Wem es wichtig ist, schon heute diese Funktionen vollumfänglich nutzen zu wollen, der kann doch jederzeit einen geeigneten Router kaufen der einem das ermöglicht und laut Herbert_1965 auch der richtige Punkt zur Umsetzung ist, niemand ist an AVM gebunden.


    Ich verstehe ebenfalls diese Aufregung nicht.

  • Es ist keine Aufregung, sondern eine Anregung. Stichwort zum weiterlesen ist z.B. "DNS Secure"


    Android 9 z.B. führt sowas ein.

  • Das mag ja sein. :)

    Aber das hat nix mit der DSGVO zutun und ist deswegen noch lange nicht Strafbar. Und darum geht es eigentlich nur.

  • Ich finde es unangebracht von QNAP zu erwarten experimentelle Features die von einem Tag auf den anderen nicht mehr funktionieren könnten, in eines Stabile Version zu integrieren, zumal QNAP nicht einmal der richtige Ansprechpartner für die Umsetzung dieser Wünsche ist

    hmm... Derzeit scheint es mir, das es besser wäre, dass da mal endlich wieder eine stabile QTS-Version käme. Derzeit scheint eher das QTS der experimentelle Teil zu sein...


    DNSsec ist durchaus schon stabil, finde ich, denn es wird ja wohl schon produktiv genutzt. Und https gibt es ja auch noch, und wenn das richtig implementiert wird mit TLS und Consorten, ist das ja fast besser als VPN...