Bin gehackt worden und nun ist meine Datenbank futsch bzw verschlüsselt und bekomme die Daten nur gegen Zahlung wieder

    Zitat von nasferatu

    Nein, so meine ich das ja nicht. Eine kurze BestPractice Liste mit Verweisen auf z.B. Deine Artikel oder von angelluck, die eine schöne VPN Anleitung geschrieben hat.

    Ich bin mir nicht sicher, ob alle notwendigen Informationen auch in einem mehrteiligen Artikel unterzubringen ist, vor allem so, dass es auch ohne Grundwissen verständlich ist. IT Sicherheit gehört meiner Meinung nach zu Königsklasse und ich bin nicht sicher, ob sich Anfänger überhaupt daran wagen sollten. Die Chance sich dabei die Finger zu verbrennen ist sehr hoch und mit entsprechender Konsequenz.


    Ich z.B. würde nie eine VPN Verbindung auf das NAS einrichten, sondern immer auf die Firewall bzw Router.

    Wird dieVPN Verbindung nicht eh auf den Router gemacht ?

    Zumindest auf dessen IP


    Im Router erfolgt dann die Weiterleitung auf die IP des Endgerätes - in diesem Fall eben das NAS

    Zitat von Mavalok2

    Ich z.B. würde nie eine VPN Verbindung auf das NAS einrichten, sondern immer auf die Firewall bzw Router.

    Sehe ich ganz genau so, ich hab für vpn nen externen Server in nen großen Rechenzentrum stehen, darauf laufen die Dienste: IPsec/L2TP3, Openvpn mit extrem starker Verschlüsselung für externen zugriff. Durch die starke Verschlüsselung leitet zwar der Speed drunter aber nicht weiter tragisch. Hinter dem Server läuft noch eine Hardware Firewall vom Rechenzentrum die jegliche angriffs versuche Protokliert und Filtert. Mein Qnap Nas kommt da aber trotzdem nicht rein, sicher ist sicher.

    Ich denke schon...


    Vielleicht liege ich aber auch irgendwie falsch und belasse das thema demnächst liegen


    An der verlinkten Anleitung habe ich mich gerade festgebissen


    Ich meinte das von Mavalolk

    ...Ich z.B. würde nie eine VPN Verbindung auf das NAS einrichten, sondern immer auf die Firewall bzw Router...


    Meines Verständnisses nach wird eine Verbindung von myqnapcloud (auch von ddnss (?)) zunächst auf meine IP verknüpft

    So sind Geräte trotz wechselnder IP von Extern immer unter der gleichen Adresse zu finden. Die Verbindung hinter dem Router erfolgt über die PortWeiterleitung


    Offen gesagt liegt hier eines meiner (Verständnis)probleme


    Ich sehe nun keinen Unterschied zwischen Qnapcloud und ddnss


    Vielleicht bin ich auch einfach zu deppert dazu den Unterschied zu verstehen

    Zitat von carstene

    Wird dieVPN Verbindung nicht eh auf den Router gemacht ?

    Zumindest auf dessen IP

    Hmm, naja, die Verbindung ins Internet als solches schon, aber die VPN Verbindung geht vom VPN Client zum VPN Server und der liegt bei Dir so auf der QNAP. Somit muss die QNAP für die Sicherheit sorgen, was sie jedoch nicht leisten kann. Die NAS Geräte sind schlicht weg für diese Art von Einsatz nicht ausgelegt. Die Funktionen dazu mögen zwar vorhanden sein, sind aber schlicht weg zu unsicher. Deren Einsatz macht nur unter sehr bestimmten und gezielten Umständen Sinn. Beispiel: Datenaustausch bei dem das Abhandenkommen und Verlust der Daten keine Rolle spielt.

    Hmm


    Ich versuche es mal mit eigenen Worten


    MyQnapCloud stellt im Internet einen Zugang als 123.myqnapcloud.com - immer dieser gleicher Adresse. MyQnapcloud geht über den Router (mit Portfreigaben) auf das NAS und das NAS stellt zB eine Webseite zur Verfügung

    Jeder der den Link 123.myqnapcloud.com kennt kann auf die Webseite zugreifen (ggf ist das beschränkt durch eine Einstellung im NAS, dass zB nur 1-3 Nutzer auf die Seite zugreifen dürfen)


    Bei VPN ist es so dass auf dem NAS ein VPN-Server selbst eine Verbindung zu z.B. DynDNS stellt. Ich gehe mit einem Endgerät (VPN-Client) auf die DynDNS-Seite - zB 123.dyndns.de

    Nur wenn der Server den Client als zugehörig erkennt wird die Verbindung hergestellt.

    Die Kenntnise des Links hilft also erst mal nichts... Die Webseite wird nicht dargestellt


    Ist das etwa richtig verstanden ?

    Meiner Meinung nach hast nicht wirklich verstanden, wie das funktioniert.So würde mir meine Oma das evtl. erklären :D Aus diesem Grund solltest Du davon absehen, irgendwelche Dinge im Internet verfügbar zu machen.Das is nicht böse gemeint, Du hast es aber mangels Verständnis nicht unter Kontrolle und dann ist quasi Zufall, ob schlimme Dinge passieren oder nicht.Die Tatsache alleine, dass QNAP Dich das machen läßt, bedeutet nicht, dass Du Herr der Lage bist.Leider wird das aber heute so suggeriert von den Herstellern.

    Zitat von Mavalok2

    Ich bin mir nicht sicher, ob alle notwendigen Informationen auch in einem mehrteiligen Artikel unterzubringen ist, vor allem so, dass es auch ohne Grundwissen verständlich ist.

    Nein, es geht doch nicht um das perfekte Sicherheitstutorial. Das geht nicht und das kann man keinem ohne Vorkenntnisse so leicht beibringen. Aber man kann sicher die übelsten Fehler in einer Kurzübersicht nennen: bspw. keine direkten Portfreigaben auf irgendwelche NAS Dienste, und ein VPN Server auf dem NAS ist dann immer noch besser als keiner wenn es der Router nicht kann. Und das HTTPS nicht vor Hacking schützt.

    Und dann eben Verweise auf z.B. Deine Blog Artikel, die geeignet sind. Die findet man nämlich auch nicht so leicht.


    Damit kann man das Risiko schon immens senken. Und eben nicht den Glauben lassen, nur weil es eine vermeintlich simple Lösung des Herstellers gibt heißt das auch, dass diese auch sicher ist.

    3 Mal editiert, zuletzt von nasferatu ()

    Wenn magst kann ich dir ein sub netz und ein account auf mein vpn einrichten. Dann kannst dein Nas über VPN auch extern erreichen über die vom VPN zugewiesene IP. :D

    Zitat von Ceiber3

    Wenn magst kann ich dir ein sub netz und ein account auf mein vpn einrichten.

    Du solltest drüber nachdenken ob das nicht ein Geschäftsmodell wäre. Ich glaube, das könnten einige brauchen.

    hehe


    du bist sooo gut zu mir




    MAAAAAAAAnNNNNN was für ne kacke....


    Ich igel mich jetzt erst mal ein und verfrachte meine Dinge auf das eigene hausinterne Netz


    .... da ist das letzte Wort noch nicht drüber gesprochen (oder gefragt:beer:)


    bin von aussen erst mal dicht und mache für heute feierabend :)

    Zitat von nasferatu

    Aber man kann sicher die übelsten Fehler in einer Kurzübersicht nennen

    Man kann es auch in einem Satz ausdrücken. Wenn man nicht weiß was man tut, Finger weg.


    Ich Maße mir auch nicht an, die Gastherme im Haus oder die Bremse am Auto zu reparieren. Das lass ich von Fachleuten machen und nur weil ich bei der IT keine explodierende Heizung/Haus habe oder ungebremst iremgendwo rein donnerw, heisst das noch lange nicht, dass es jeder kann.


    Klar kann man sich viel anlesen, habe ich auch gemacht, dennoch meide ich offene Ports und Zugang aus dem Web ins LAN.

    Zitat von christian

    Ich Maße mir auch nicht an, die Gastherme im Haus oder die Bremse am Auto zu reparieren.

    Der Vergleich hinkt halt leider beträchtlich.


    Du kaufst Dir ein Auto, da drinnen ist ein Radio, also hörst Du. Da drin ist auch ein Navy, also benutzt du es. Im Prospekt wurde von den Sitzheizungen geschwärmt, ah, angenehm im Winter.


    Du kaufst Dir ein Qnap. Da gibt es ein "MyQnapcloud" die Dir verspricht immer und überall auf Dein NAS zuzugreifen. Also nutzt Du es. Da ist eine Photostation, also nutzt du es. Wir schalten die Ports frei die du brauchst damit alles funktioniert, also nutzt du es.


    Das ist nicht Therme reparieren oder Bremsen. Dazu müsstest Du unter die Thermenhaube oder Motorhaube schauen sprich mittels SSH ins System wenn du das schon so vergleichen willst. Das hat keiner der User gemacht.


    Und ich finde es extrem frech den Usern die das Gerät so verwenden wie Qnap das vorsieht vorzuwerfen, sie würden Dinge machen wie Gastherme reparieren von denen sie keine Ahnung hätten.


    Ich zitiere von der "myqnapcloud.com" Seite:

    sicherste_methode.PNG


    Da steht nicht "Nur Idioten lassen Qnap die UPnP Funktionalität auf ihrem Router aktivieren". Da steht nicht mal: "Achtung, UPnP ist keine gute Idee". Da steht auch nicht: Nur VPN ist leiwand. Nein, da steht myqnapcloud ist die Sicherste Methode zur Herstellung einer Fernverbindung.


    Also hör doch auf den Kunden von Qnap vorzuwerfen sie sollten das alles nicht machen obwohl der Hersteller ausdrücklich was anderes sagt.

    Stichwort Freude am Fahren, in real müsste es in DE heißen, Freude wenn es denn überhaupt mal rollt, oder, Freude am Stau. der bequemste Sessel auf Rädern.

    Stop and Go habe ich aber noch in keinem Werbespot für Autos gesehen, nur Rennstecken, freie Straßen, traumhafte Landschaften.


    Hallo WERBUNG


    Da ist fast alles erlaubt.


    Wenn du gar keinen Plan hast, was IT Sicherheit angeht, dann ist ein VPN Zugang die einzige Möglichkeit das ohne großen Schaden für dich oder andere zu realisieren.

    Nicht umsonst ist das auch bei Firmen Standard, die das sogar mit zwei Faktor Authentisierung umsetzen.

    Also muss sich hier erst der User und dann der Token Code eingetragen werden, erst wenn beides darf man ins Netz.

    Gibt man das 3 mal falsch ein, greift die nächste Stufe und bei 10 mal ist der Account dann deaktiviert, bis ein Admin den wieder frei gibt.


    Wenn dein Router das also nicht leisten kann, dann tausche den gegen ein AVM Device, die ermöglichen das mit wenigen Klicks und sind für Enduser super geeignet, da ist alles klicki bunti.

    MyFritz Account (dyndns) erstellen, VPN User erstellen, am Endgeräte oder dem Handy Daten eintragen, fertig.

    Das kann jeder, der auf der Herstellerseite die Anleitungen studiert.


    Sicherheit kostet Geld, wer das nicht ausgeben will der hat früher oder später ein Problem.

    Du wurdest schon gehackt und willst wieder basteln, sorry da habe ich gar kein Verständnis für.

    Mein Angebot steht noch. :beer::qclub:

    Zitat von PuraVida

    Du solltest drüber nachdenken ob das nicht ein Geschäftsmodell wäre. Ich glaube, das könnten einige brauchen.


    Könnte man echt drüber nachdenken. Weil scheinbar stellen ja viele ihre Qnap Server öffentlich ins Internet.

    Viele haben auch keine Ahnung wie man ein VPN Server configuriert. Und nen VPN Server aufm Qnap/router ist meiner Meinung nicht sehr sicher.

    Zitat von christian

    Derartige Werbeversprechen findest du überall, wrr alles glaubt ist extrem naiv. Ich kenne auch gehorsam Fahrzeuglenker die ihrem Navi in den Fluss folgen

    Interessant ist, dass die Diskussion wieder einmal diesen Verlauf nimmt. Das hatten wir an anderer Stelle ähnlich:


    Der Nutzer ist selber schuld, wenn er an QNAPs Werbeversprechen glaubt und dadurch Schaden nimmt.


    Darüber kann man unterschiedlicher Meinung sein, was doch nicht weiter diskutiert werden muss. Aber definierst du nicht die Hauptaufgabe des Clubs so, dass den Usern bestmöglich geholfen werden soll?


    Es spricht also doch nichts gegen nasferatu s Vorschlag zum Thema Sicherheit einige Punkte zusammenzufassen und im Forum möglichst sichtbar zu machen. Ich würde sogar einen Schritt weiter gehen und halte es für sinnvoll, die Sicherheitshinweise bei jeder Forumsanmeldung mit zu verlinken.