Ich gebe Dinge zu bedenken, die mir auffallen
Und dir ist bis jetzt nicht aufgefallen das UPNP ein generelles Sicherheitsproblem ist ?
Angriff auf QNAP-NAS / Post von der Telekom
- camping-heini
- Unerledigt
-
-
UPNP ist an sich ja auch keins.
Aber aufgrund der Funktion werden auch Dienste die nicht gut gegen Angriffe abgesichert sind aus dem Internet direkt erreichbar gemacht.
Das ist eine Folgeerscheinung.
Aber die Windows Netzwerkerkennung nutzt es ja auch und die will man ja auch verwenden um Drucker einfach zu finden und dann mit einem Klick einbinden zu können.
Intern habe ich das auf der NAS aktiv.
Meine in der Fritz ist es auch noch aktiv, jedoch sind automatische Portfreigaben deaktiviert.
Manuelle Portfreigaben könne wir also unter dem Punkt organisatorische Sicherheit abhacken.
Den VPN Zugang würde ich der Strukturellen Sicherheit zuordnen.
Man benötigt jedoch immer beides.
-
ich glaube hier wird einiges durcheinander gebracht.
UPNP ist das Sicherheitsproblem.
Du hast einen sicheren Client (Windows 10 PC), und startest darauf aus versehen eine Malware oder ein Programm, die nun weitere Port öffnet, ohne dein Wissen, ohne sein Zutun.
So naiv kann doch keiner sein, da gut zu befinden!
Und falls hier immer noch irgendjemand meint UPNP gut reden zu müssen, vielleicht hilft das:
https://www.bsi-fuer-buerger.d…Botnetz_iot_24102016.html
Oder das
https://www.golem.de/news/libu…n-routern-1301-97235.html
Warum soll es sicherer sein, einen einzigen Port (VPN) freizugeben, der auf eine ganz bestimmte Login Sequenz lauscht und ein in Umgebungen eingesetzter Standard ist, dessen Implementierung open source ist und tagtäglich überprüft wird, anstelle von x-beliebige Ports freizugeben auf denen x-beliebige Software auf alle Eingaben lauscht und alle Eingaben auswertet? (https). Die Frage beantwortet sich selbst.
-
Das UPnP ein Risiko ist, sollte mittlerweile allseits bekannt sein. Sollte man nicht nutzen.
Es sind wohl die wenigsten User eines NAS zertifizierte Security IT Admins. Und die wenigsten User sind hier im Forum registriert. Und Deine Aussage steht in Widerspruch zu dem was Qnap sagt, ich zitiere von deren Homepage:
Also laut Qnap ist das die "sicherste Methode zur Herstellung einer Fernverbindung". MyQnapCloud. Und das verwendet UPNP.
Und das führt mich zu der Frage warum hier fast immer die Benutzer/Kunden als Schuldige aufgezählt werden wenn sie das nutzen und niemand ein Problem damit hat was Qnap hier promoted?
Und nicht falsch verstehen, ich bin auch Deiner Meinung, dass UPNP, vor allem in Zusammenhang mit Qnap aber auch sonst, sehr gefährlich ist.
-
Also laut Qnap ist das die "sicherste Methode zur Herstellung einer Fernverbindung". MyQnapCloud. Und das verwendet UPNP.
Das stimmt nicht. QNAP sagt das nicht. Ich lese auch nirgends etwas von UPNP als Voraussetzung, es wird nicht einmal erwähnt.
Dann zitierst du auch noch CloudLink, das mit Ports und UPNP aber auch rein gar nichts zu tun hat. Ganz im Gegenteil, dies ist ein Dienst von QNAP, der ganz ohne Portöffnung, also auch ohne das optionale UPNP, eine Fernverbindung aufbauen kann. Sozusagen VPN auf Sparflamme über QNAP Server.
Willst du CloudLink nicht nutzen, musst du eben die Ports freischalten. QNAP sagt nicht wie, sie bieten nur an die Ports automatisch per UPNP zu öffnen, sofern der Router das aktiv hat. Ansonsten heißt es eben, manuell öffnen. Am Ende ist es aber die Sache des Routers, ob UPNP erlaubt wird oder nicht. Und dort ist es Sache des Nutzers, ob er es aktiviert oder nicht.
-
Auf meinen NAS sind neben ein paar Musikfiles leider auch -sensible Daten und ich muss in der QS dokumentieren, dass ich alles dafür getan habe, dass ich es nach besten Gewissen gesichert habe.
Wird die NAS bei dir im Unternehmen eingesetzt?
Gerade wenn kritische Daten auf dem Gerät liegen sollte man generell nicht auf die Vertriebsaussagen, wo immer was von höchster Sicherheit gebrabbelt wird, vertrauen und das Teil im eigenen Netz verstecken.
Wer sagt denn, dass hier keine Daten entwendet werden konnten?
Bei solchen Szenarien muss man sich immer fragen wer grundsätzlich Zugriff haben darf und wie gravierend es ist, wenn unbefugte Zugriff bekommen. Danach muss dann gehandelt werden.
-
UPNP ist das Sicherheitsproblem.
Es kann eins sein, ist aber nicht generell eins.Wozu sollte eine Schadsoftware weitere Ports öffnen wollen ? Sie kann aktiv die DInge senden, die sie senden will, dafür muß nicht erst umständlich ein Serverport geöffnet werden.Ein geöffneter Port ist ja per se noch kein Problem, aber ich wiederhole mich
Nenne uns doch dann mal die Anzahl der infizierten Firewalls/Router die über den lauschenden VPN Port erfolgreich angegriffen wurden.
Einen VPN Server kann man genauso angreifen wie jeden anderen Server.Das muß sich nicht unbedingt darauf beziehen, sofort erfolgreich eine VPN Session aufzubauen ( das wiederum hängt auch davon ab, wie das VPN gesichert ist, z.b. Authentifizierung mit user/password, shared secret oder über TLS Certificate), sondern dass man einen Bug ausnutzt.Und dass das auch in der Praxis tatsächlich passieren kann, hat uns schmerzlich der Heartbleed Bug vor Augen geführt. Es ist also rein theoretisch egal, welche Art Server Du im Internet exponierst, sie sind alle potentiell angreifbar.Sicherlich ist ein Webzugang mit User/Password einfacher zu knacken als ein VPN, aber auch nur solange, bis wieder jemand einen Bug findet und dann schnell ein Tool zusammenbastelt, wo das jeder N00b hinkriegt.Wobei User/Pass mit Brute Force auch schwer zu knacken sein dürfte, wenn man in der QNAP die Network Access Protection einschaltet ( also blocken nach x fehlgeschlagenen Versuchen).
-
Ließ doch zumindest den BSI Artikel, da wird erklärt warum Schadsoftware Ports öffnet.
Und dann bastel ich dir einen Webserver, den du bei dir laufen lässt, ist ja kein Problem für dich. Hat vielleicht Sicherheitslücken, who cares, alles hat Sicherheitslücken also ist alles gleichermaßen angreifbar. Oh, und der webserver nutzt natürlich 2 Faktor Authentifizierung mit einem zusätzlichen Zertifikat, also ultra sicher. Nicht? Warum nicht?
-
Oh, und der webserver nutzt natürlich 2 Faktor Authentifizierung mit einem zusätzlichen Zertifikat, also ultra sicher. Nicht? Warum nicht?
Office365 macht nichts anderes.Service im Web, kleinere Firmen nutzen auch nur User/Password und das wars.
-
Ich gebs auf....
-
Erklär mir bitte, wo der Unterschied zwischen einem Cloud Service im Internet und Deiner QNAP Cloud ist.Nehmen wir mal onedrive, da meldest Dich mit User und Password an.Der Service ist permanent im Internet erreichbar.Jetzt machste nen Portforward von Port 443 auf Deine QNAP und hast genau das Gleiche.
-
Der Unterschied ist das Microsoft Millionen für die Sicherheit investiert, die Zugriffe alle durch eine UTM laufen mit aktivem IDS/IPS.
Das UTM fungiert da auch als Webproxy und da geht alles durch und jedes Packet wird bis Layer 7 untersucht.
Dann wird die VM Farm auch auf aktuellem Sicherheitstand betrieben.
Sprich Software defined Network inkl. Verhaltensüberwachung der Server.
Wird auf einem ein Virus aktiv, wird der sofort in ein gesichertes Netz verschoben und kann im Detail untersucht werden.
Zudem laufen da einige Honeypots um neue Bedrohungen zu finden, zu untersuchen und direkt die Signaturen für das UTM erstellen zu können.
Welches direkt nach Signaturupdate den Datenverkeht vor dem Virus schützt.
Zudem schaut es in der Datenbank nach welcher Server/Cient verdächtige Daten erhalten hat und reagiert entsprechend.
Sprich der Virenscanner auf den Betroffenen Systemen startet die Suche und die Systeme werden in ein gesichertes Netz verschoben und erst wenn die clean sind wieder raus gelassen.
Vermutlich das hier:
https://www.ibm.com/de-de/security/solutions
Da kommt kein Bot durch um übernimmt mal eben was, wie das hier mit gefühlt Hunderten NAS System möglich war/ist.
Sicherheit muss Verhältnissmäßig sein.
Mache ich mit Cloud Diensten Mrd. Umsatz, stecke ich da auch Millionen in die IT Sicherheit.
Kaufe ich für 300€ ein QNAP und gehe dann 0,1% für IT Sicherheit aus, wie weit komme ich da?
Selbst die günstigste Kiste von Netgare für pfSense liegt da mit 155$ um einige Faktoren drüber.
-
Liebe Freunde,
Wenn ich mir den Tread hier so rückblickend anschaue wird mir Angst und Bange. Ich traue mich hier kaum noch was zu schreiben, ohne Gefahr zu laufen digital gelynscht zu werden.
Aber eins beruhigt mich doch sehr. Eure verschiedenen Meinungen zum Thema Ports und Sicherheit hat mir Gewissheit gegeben daß ich nicht alles Falsch gemacht haben kann.
Dafür klaffen hier die Meinungen doch sehr weit auseinander. Ein User hat es hier am "Treadende" (gibt es den hier noch?) sehr treffend geschrieben "ich geb`s auf". Ich schließe mich seiner Aussage sehr gerne an.QNAP vorever
-
Moin camping-heini,
hast du zur Bitdefender Box schon ein wenig Erfahrungen.
Wie sind so deine ersten Einschätzungen?
-
Aber eins beruhigt mich doch sehr. Eure verschiedenen Meinungen zum Thema Ports und Sicherheit hat mir Gewissheit gegeben daß ich nicht alles Falsch gemacht haben kann.
Das ist wirklich dein Fazit?
Ich würde doch hoffen, dass du aus der Diskussion heraus einige wichtigte Punkte mitnehmen konntest. Und der richtige Standpunkt eines selbstkritischen und lernfähigen (Hobby-)Admin wäre: Leider habe ich so wenig richtig gemacht, dass mein Datenspeicher mit Malware infiziert werden konnte.
-
Office365 macht nichts anderes.Service im Web, kleinere Firmen nutzen auch nur User/Password und das wars.
In Ergänzung zu Crazyhorse
Man kann es vielleicht in zwei Teile aufteilen.
Einmal das Frontend, auf dem sich der User einloggt. Und da hast du recht, da nutzen die meisten nur Benutzername und Passwort, auch große Webdienste. Warum? Natürlich weil es einfach ist und alles andere die Nutzung des Diensts verkomplizieren würde. So ein Login, gepaart mit einem sicheren Passwort und der Sperrung nach zu vielen Falscheingaben reicht auch meist aus. Vor allem für so langweillige Office Dokumente. Das gleiche bietet auch QNAP. QNAP bietet sogar noch 2FA an, was bei kritischen Bereichen bei großen Firmen, MS bspw. bei Volumenlizenverwaltung, ebenso standardmäßig eingesetzt wird. Aber es ist eben umständlicher. Ist in Ordnung, da will man sich ja auch nicht täglich einloggen. In meinem Beitrag wollte ich diesen Bereich bestmöglich abdecken, damit man sich nur um den zweiten Teil gedanken machen muss.
Und dann gibt es eben noch das Backend, um das es sich, meiner Meinung nach, in diesem Thread eigentlich dreht. Und hier unterscheiden sich nun die Geister.
Im privaten Bereich, als naiver Nutzer, installiere auf meiner QNAP/Synology/NAS deren Software und setz sie ins Internet, samt aller anderer Dienste.
Als technik affiner Nutzer, installiere ich auf meinem privaten Server daheim oder auf einem vServer in einer Serverfarm, in einem vom normalen LAN per Firewall getrennten Netz, bspw. Debian und installiere nur die Dienste die ich auch im Internet benötige. Ich richte eine Firewall ein, ich richte eine Monitoring Service ein, ich deaktiviere den root user, ich deaktiviere nach außen hin alles bis auf https und VPN. Die Nutzer haben alle ganz spezielle eingeschränkte Rechte, sind auf ihre speziellen Verzeichnisse eingesperrt. Ich lade nur die Daten da drauf, die ich auch von außen erreichen will. Falls der Server gekapert wird, passiert somit nichts. Er ist losgelöst von meinem Netzwerk, ...
Ich wollte eigentlich nur darauf hinweisen, dass es schon einen Unterschied macht, ob ich nur einen VPN Server nach außen lasse, der nichts anderes macht, als auf einen Login Befehl zu warten. Oder ob ich einen hochkomplexen undurchsichtigen Webserver nach außen lasse, der eine Vielzahl von Angriffsflächen bietet. Oder ob ich sogar eine komplette NAS mit zahlreichen anderen Diensten mit ins Internet stelle.
-
Wenn ich mir den Tread hier so rückblickend anschaue wird mir Angst und Bange. Ich traue mich hier kaum noch was zu schreiben, ohne Gefahr zu laufen digital gelynscht zu werden.
Ich finde die Diskussion sehr interessant, jeder kann da seine eigenen Schlüsse draus ziehen. Nach lynchen sieht das für mich gar nicht aus.
Mir zeigt das wieder, dass das Thema Sicherheit bei mir zu kurz kommt, da kann man sich regelmäßig mit beschäftigen und es sollte auch immer ein Thema sein!
Habe also gleich mal wieder alle Einstellungen der Qnap überprüft und alles was nicht lebensnotwendig ist deaktiviert. (Wobei ich das vor kurzem erst gemacht hatte und dachte, dass alles in Ordnung sein müsste.)
Ich sehe es eigentlich aus so, dass das Problem meistens vor dem Computer sitzt, meine Unwissenheit eingeschlossen. Aber selbst meine Söhne, die IT und IST studieren (1.+ 6. Semester) sind bis dato in Bezug auf IT-Sicherheit auf keinem besseren Stand als ich,....das Thema ist komplex.
Schönes WE
-
Ich sehe es eigentlich aus so, dass das Problem meistens vor dem Computer sitzt,
Das stimmt, wenn brain.exe gerade einen Bufferoverflow hat hiflt nichts mehr.
Aber irgendeinen Grund muss es doch haben das das Problem Malware gerade so akut ein Thema ist.
-
Den Grund kannst du doch hier dutzende Male nachlesen. Da nutzen NAS Neulinge oder Beratungsresistente NAS Funktionen, deren wahre Funktion sie nicht kennen. Ist ja nicht so das wir alle Experten sind, was ich an mir selbst festmachen kann. Über 10 Jahre nutze ich nun QNAP und hatte den so oft beschriebenen Gau noch nie. Warum? Weil ich mit gesunden Menschenverstand und einem gewissen Maß an Skepsis an neues heran gehe und nicht wild darauf los klicke und schalte.
Handbücher lesen ist out, generell ist lesen out. Lieber Marketing Gedöhns glauben und auf Youtube besäumen lassen.
