ZitatIch frage mich warum QNAP solche Einstellfunktionen, die den Router manipulieren anbietet ,mit dem Resultat ein löchriger Zugang zu bekommen.
Ist für 0815 User gemacht die keine Ahnung von Netzwerksicherheit und Router configuration haben. Ein normaler consument möchte das Teil anstecken und möchte das alles auf anhieb läuft, genau aus dem Grund wurde die Funktion eingebaut.
Und wenn ich das einbaue dann habe ich aber die Pflicht auch dafür zu sorgen, dass mein Gerät nicht löchrig wie ein Käse ist. In Zusammenschau passen doch die vielen Sicherheitsprobleme sehr gut zu den nicht funktionierenden Apps und den vielen zurückgezogenen QTS.
Ja das sehe ich auch so, leider scheinen einige nicht diese Meinung zu teilen.
Wenn ich im Router etwas verändere dann sehe ich das oder ich weiß was ich mache. Bei im QNAP-NAS setzt einfach bei UPNP ein Häckchen und öffnet dabei im Router die Ports. Ja, ich hätte im Router nachschauen können um zu sehen welche Ports geöffnet wurden und Ja man hätte hätte Fahra.....
Sorry, aber da ist nicht QNAP schuld.
Du hast im Router UPNP aktiviert. Und nur das ist der Fehler.
Es ist nicht der Fehler von QNAP, dass sie ein Feature, welches du aktivierst, auch nutzt. Es ist der Fehler, dass du UPNP nutzt und zwar im Router. Und damit hättest du jede Firewall ausgehebelt. Hätte es QNAP nicht genutzt, hätte es nichts an der Tatsache geändert, dass du deinen Router angreifbar gemacht hast. Nichts anderes ist passiert. dein Router war angreifbar und diese UPNP Lücke wurde durch eine Malware aktiv ausgenutzt.
Das war aber gar nicht meine Intention. Ich wollte nur mal hinterfragen, was deine neu eingekaufte Firewall denn nun besser macht? Das wüsste ich gerne.
Also schützt sie dich davor, wenn du eine veraltete Firmware mit Firmwarelücken nutzt?
Schützt sie dich davor, wenn du unsichere Dienste ins Internet stellst?
Schützt sie dich davor, wenn du Ports manuell öffnest, die du nicht benötigst (aus dem Grund hast du ja UPNP aktiviert, da du dich eben nicht mit den Portfreigaben beschäftigen wolltest).
Auf was ich hinaus will: Es wird nicht magisch sicherer, nur weil noch eine weitere Box im Internet hängt.
Es ist nicht der Fehler von QNAP, dass sie ein Feature, welches du aktivierst, auch nutzt. Es ist der Fehler, dass du UPNP nutzt und zwar im Router. Und damit hättest du jede Firewall ausgehebelt. Hätte es QNAP nicht genutzt, hätte es nichts an der Tatsache geändert, dass du deinen Router angreifbar gemacht hast. Nichts anderes ist passiert. dein Router war angreifbar und diese UPNP Lücke wurde durch eine Malware aktiv ausgenutzt.
Das ist aber nur die halbe Wahrheit. Schließlich musste die Maware auch erst aufs System gelangen. Wahrscheinlich durch eine Sicherheitslücke in der Firmware und das wäre dann QNAPs Fehler. Wobei ich mittlerweile glaube, dass auch unsichere Passworte keinen zu vernachlässigbaren Anteil an den Malware-Infektionen haben.
Zurück zur Bitdefender Box: Ich denke, dass man mit der Box weder durch Konfigurationsfehler noch durch Firmwarebugs begründete Malware-Infektionen sicher verhindern kann. Das stelle ich mir sehr schwierig vor. Sie könnte eher hilfreich sein, einen durch Schädlingsbefall verursachten aussergewöhnlichen Traffic zu erkennen. Einen Schädling, der nur darauf wartet am Tag X ein I-Kill-Your-Nas-Script auszuführen, hat wahrscheinlich gute Chancen unerkannt zu bleiben.
Sie könnte eher hilfreich sein, einen durch Schädlingsbefall verursachten aussergewöhnlichen Traffic zu erkennen.
Und wo steht, dass sie das macht?
Um das zu machen müsste sie als Proxy agieren. Kann sie machen. Dann muss sie aber die SSL Verschlüsselung mittels einer mehr oder minder Man In The Middle Attacke aushebeln und neu verschlüsseln, da heutzutage alles verschlüsselt übertragen wird.
Wird bei profesionellen Lösungen gemacht. Hat seine Vor- und Nachteile. Vorteile sind, dass man den Traffic auswerten kann und illegale Seiten verbieten kann (in öffentlichen Einrichtungen bspw.) Nachteile sind, dass es nichts anderes als eine MITM-Angriff ist und somit die SSL Verbindung kompromitiert. Man muss dem Hersteller also absolut vertrauen können, da er ALLE Passwörter etc. ausliesen und protokollieren kann. Im privaten Sektor stellt sich also die Frage nach dem Sinn. Ich sehe aber nirgends, dass man ein Zertifikat auf den Clients installieren muss, d.h. sie kann das nicht. D.h. sie kann nur http Verbindungen analysieren, also nichts.
Dann bleibt noch IPS, da ich dazu keine Details finde, würde ich mal sagen, eher schlecht als recht umgesetzt.
Der Rest ist Marketing-Blabla, was nichts zur Sicherheit beiträgt.
Ehrliche frage: Wie soll die Box eine NAS absichern?
Und wo steht, dass sie das macht?
IPS soll die Bitdefender Box können. Ob das jetzt viel mehr Sicherheit bringt? Ich glaube es nicht.
Ehrliche frage: Wie soll die Box eine NAS absichern?
Ich weiß nicht, ob du die Frage an mich richtest. Alleine der letzte Absatz aus meinem letzten Post sollte meine Zweifel erkennen lassen. 
Es hilft die beste IPS/IDS/FW nichts, wenn der User das Konzept nicht versteht.
Ich habe hier eine Sophos UTM als VM am laufen.
Für das Ding alleine brauchst schon ein Studium.
Das UPnP ein Risiko ist, sollte mittlerweile allseits bekannt sein. Sollte man nicht nutzen.
Aber da schließt sich der Kreis. Alles sollte für den DAU möglichst einfach sein. Damit einhergehend leidet die Sicherheit darunter. Es ist einfach nur bis zu einem gewissen Grad möglich Sicherheit und Bequemlichkeit zu vereinen. Ab einem bestimmten Szenario/Größe der Umgebung muß man entweder hier oder da Abstriche machen müssen.
Das UPnP ein Risiko ist, sollte mittlerweile allseits bekannt sein. Sollte man nicht nutzen.
Welches Risiko siehst Du da ?
Das dazu berechtigte Gerät kann selbständig Ports im Router öffnen.
Die Entscheidungsfreiheit will ich aber bei mir wissen und nicht bei einem Gerät in meinem Netz.
Auszug aus Wikipedia:
UPnP bietet mit dem IGD-Protokoll (Internet Gateway Device) eine Möglichkeit, auf eine für den Benutzer einfache Weise Router anzuweisen, Ports zu öffnen und entsprechende Anfragen aus dem Internet an einen Rechner weiterzuleiten, der via NAT an das Internet angebunden ist.
Das dazu berechtigte Gerät kann selbständig Ports im Router öffnen.
Das wäre nur ein Problem, wenn die UPNP Applikation dies ohne WIssen des Users tun würde.Und auch dann ist es noch kein richtiges Problem, sofern die Applikation keine Schadsoftware ist.Man muß sich halt entscheiden, ob man alles manuell tun möchte oder lieber automatisiert.Ich mag es automatisiert und sehe kein Problem darin, wenn eine Applikation, die ich nutze, sich selber die benötigten Ports öffnet.Noch besser wäre natürlich, wenn Port Forwards gar nicht notwendig wären dafür...
Ich habe hier eine Sophos UTM als VM am laufen.
Auf einem QNAP-NAS und mit wievielen Ethernetports? Um eine saubere Trennung der Netze zu haben bräuchtest du ja mindestens 2. Über Sophos UTM bin ich kürzlich auch gestolpert. Ich finde ebenfalls IpFire ganz interessant. Beides kann man auf einer dedizierten Hardware wie z.B. einem APU2C4 betreiben.
Ich mag es automatisiert und sehe kein Problem darin, wenn eine Applikation, die ich nutze, sich selber die benötigten Ports öffnet.
Jeder ist für die Sicherheit seines LANs selbst verantwortlich. Wenn ein Gerät einen Port braucht will ich wissen warum und welchen. Und die Entscheidung ob ich den Port öffne oder nicht, will ich selbst treffen.
Um eine saubere Trennung der Netze zu haben bräuchtest du ja mindestens 2.
Nicht auf der QNAP. Läuft als VM auf der Syno.
Hat zwei NICs zugewiesen bekommen. Einmal LAN und einmal DMZ.
Recht viel weiter bin ich noch nicht gekommen, als mir GUI anzusehen. Das ist aber echt eine andere Hausnummer.
Wenn ein Gerät einen Port braucht will ich wissen warum und welchen. Und die Entscheidung ob ich den Port öffne oder nicht, will ich selbst treffen.
Und in der Realität....Du öffnest Deiner App die benötigten Ports und was danach passiert, kontrollierst Du doch auch nicht.Oder schaust Du Dir stündlich Deine Port Forwards an ? Ein Port Forward ist ja auch generell erstmal noch kein Problem an sich.Wenn ich ssh von außen brauche, mache ich halt nen Port Forward auf den ssh port.Damit wäre der ssh port angreifbar.Nur was bringt mir das, wenn ich ssh nutzen will...
Ich stimme UpSpin zu, das Problem ist im geschilderten Fall nicht QNAP - zumindest dieses mal nicht - sondern ein falsch konfigurierter Router.
Man kann es nicht oft genug erwähnen: Entfernt im Router alle Portfreigaben und schaltet UPnP, Netzwerkerkennungsdienste u.s.w. aus. Das mag zwar erst einmal etwas Komfort killen, aber man schläft ruhiger. Wer von unterwegs an die Daten seines NAS kommen will, der richtet sich einfach einen VPN-Tunnel ein. Das geht mit modernen Routern, einen dDNS-Dienst und Smartphones in wenigen Minuten.
Bei mir hat übrigens nur ein Netzwerkgerät WAN-Zugriff: ein RaspPI mit raspbian und pihole.
Gruß vom subitus
Und in der Realität....Du öffnest Deiner App die benötigten Ports und was danach passiert, kontrollierst Du doch auch nicht
Um das geht es doch nicht. Ich will selbst entscheiden ob ein Port geöffnet wird oder nicht!
Wer von unterwegs an die Daten seines NAS kommen will, der richtet sich einfach einen VPN-Tunnel ein.
Genaugenommen ändert das auch nichts.EIn Port ist offen und dahinter läuft ein Service.Das ist nicht per se sicherer als ein anderer Service, nur weil es ein VPN ist.
Mir ist es egal wie Du das in Deinem Netz handhabst. Du musst kein PAT, VPN, SSL/TLS nutzen. Es zwingt Dich keiner. Die Ratschläge von den übrigen hier versammelten erfahrenen Usern haben aber schon ihre Richtig,- und Gültigkeit.
Wie viele NAS Systeme durch ein Portforwarding infizier wurden.
Nenne uns doch dann mal die Anzahl der infizierten Firewalls/Router die über den lauschenden VPN Port erfolgreich angegriffen wurden.
Denn die Kisten wissen genau wie die erste Phase der VPN Einwahl aus zu sehen hat.
Kommt da was anderes als erwartet rein wird das Packet gleich verworfen.
Das ist ein ganz anderes Sicherheitsniveau als bei deinem SSH was per NAT im Internet abhängt und auf die bösen Bots wartet.
