Halbwegs gesicherter externer Zugriff

  • Die bisher infizierten QNAPs waren einfach nur mit ein paar Diensten im Internet.

    In einem war ein Fehler, der wurde gefunden, der exploit erstellt und automatisch ausgenutzt.

    Das war ein Beispiel und vielleicht überdreht.

    Aber es ist real, selbst die ganzen aktuellen Crypto Drecksdinger nutzen so was aus.


    Wir fangen jeden Tag hunderte Mails ab die so was enthalten, daher steigen die auf Links um die dich dann zum Schadecode führen.

    Selbst da mussten wir ansetzen und die Links werden überschrieben und geprüft.

    Sonst hätten wir uns da auch schon längst was gefangen.

  • die einzige Möglichkeit ist ein Reverse Proxy + Firewall.

    Ich habe bei mir eine opnsense am laufen, welche eine VPN Verbindung zu mir ins Netz macht.

    Wenn mein Notebook via VPN verbunden ist, kann ich auf alles zugreifen (im internen Netz).

    Die interne Domäne ist eine Subdomain meiner Toplevel Domain -> hier share.example.com.

    Jeder hat Zugriff auf das share.example.com. Einloggen kann sich darauf jedoch niemand (da via Firewall sowieso nur Port 80/443 offen sind). Im Reverseproxy habe ich eine ganze Latte voller Deny Regeln gemacht, sodass niemand auf das Loginfenster kommt.

    Reverseproxy ist bei mir der HA Proxy (opnsense Plugin).

    Zusätzlich ist ein LetsEncrypt Zertifikat (eher der Schönheit wegen).

    Via iPhone aufs NAS zugreifen klappt dank Bonjour/ZeroConf/mDNS leider aktuell noch nicht. Ich arbeite mich jedoch gerade an einem mdns Proxy ein^^

    Zusätzlich ein sicheres Passwort + 2FA.


    Nur via Reverseproxy + Firewall halte ich das Ganze für halbwegs sicher. Mit Ports "verstecken" (a la Port 52123) ist das IMHO nur eine Frage der Zeit bis ein Scanner mal auf den versteckten Port kommt.


    Niemand kann sich ohne VPN anmelden, nur auf Shares zugreifen. Möglicherweise habe ich noch nicht alle URLs denied, die wirklich Sicherheitsrelevant sind, wir können jedoch gerne eine Liste anfertigen mit Deny-Regeln.

  • Hallo moejoe , grüß Dich!

    Mit Ports "verstecken" (a la Port 52123) ist das IMHO nur eine Frage der Zeit bis ein Scanner mal auf den versteckten Port kommt.

    Lassen wir den Portscanner bei Seite und nehmen an, ich nenne Dir direkt die URL um auf mein NAS zu kommen.

    Du hast die QTS Anmeldemaske vor Dir ... und jetzt?


    Gruß!

    Tim

    Einmal editiert, zuletzt von Timpov ()

  • daher steigen die auf Links um die dich dann zum Schadecode führen.


    Also für PiHole gibt es Blocklisten wo Malwareverseuchte Seiten gesperrt werden. Ebenso sind Listen für Cryptominigseiten vorhanden. Für Otto Normal User mag das ein kleines Puzzlesteinchen in Verteidungslinie sein. Ob das aber für eine Firma was bringt, ka.

  • Wir haben schon Trojaner abgefangen die von einem Sharehost kamen, da war der Link in der Mail.

    Seit dem ist ausnahmslos alles gesperrt was da rein fällt.

    Wenn was benötigt wir, kann der User das anfordern, dann geht es durch die Sandbox.

    Da laufen auch die Mailanhänge durch und da ist viel schönes dabei.

    Teilweise durchschlagen die Dinger auch ein voll durch gepachtes System.


    Und das sind alles Mails die durch die erste Mailfilterstufe schon durch sind, da die nicht Kernschrott im Header haben.


    Der Vorteil den man privat hat, man ist wenn nur Beifang. Auf den normalo User geht keiner geziehlt los.

    Ansonsten hätten wir alle ganz andere Probleme.

    Es ist Krieg und das ohne Einschränkungen, Landesgrenzen existieren nur für die Behörden die an der Verfongung von Straftaten durch diese scheitern oder verzweifeln.

  • Hi Dennis!

    Wir haben schon Trojaner abgefangen die von einem Sharehost kamen, da war der Link in der Mail.

    Und warum ist das Ding gefährlich, wenn man den Link nicht anklickt?


    Teilweise durchschlagen die Dinger auch ein voll durch gepachtes System.

    Kannst Du hier vielleicht einmal ein paar Beispiele nennen?

    Was ist bei Dir/Euch ein voll durch gepatchtes System und wie schlagen die Dinger da durch?


    Auf den normalo User geht keiner geziehlt los.

    Botnetze bestehen also nur aus Firmenrechnern?


    Es ist Krieg und das ohne Einschränkungen, Landesgrenzen existieren nur für die Behörden die an der Verfongung von Straftaten durch diese scheitern oder verzweifeln.

    Ich hoffe, dass Du trotzdem noch einigermaßen gut schlafen kannst! ;)


    Gruß!

    Tim

  • Mag sein, dass du den Link nicht anklickst, ich auch nicht, aber wie viel % der Anwender in einem Unternehmen klicken auf alles was du ihnen zusendest?

    Richtig sehr viele.


    Ein Virenschutz ist im Grund auch unnötig, wenn man die Brain.exe entsprechend anpasst. Und doch setzt ihn fast jeder ein, auch wenn es nur der vom System mitgelieferter ist.


    Mit einem gezielten angriff meine ich, dass sich jemand über die Person Informationen beschafft und dann eine Strategie entwickelt, wie er diese anspricht, dass der Schadecode oder die Aktion ausgeführt wird.


    Der Dame an der Info brauche ich keinen Projektantrag zusenden, mit der Bitte 1Mil nach Indien für das neue Stahlwerk zu überweisen.

    Dem Anwender in der Buchhaltung schon, ist ja sein Job, also wird er das mit hoher Wahrscheinlichkeit auch machen.


    So eine Vorbereitung lohnt sich folglich nur, wenn das Ziel auch sehr lukrativ ist.

    Für die 1,95€ die wir dagegen auf unserem Konto haben, wird niemand diesen Aufwand betreiben.


    Und da sind wir wieder bei Verhältnismäßigkeiten, die müssen passen, für den Anwender @home reicht also schon aus, einen guten Virenschutz und eine guter Router mit Firewall.

    Für den Mittelständer braucht es da schon mehr und für eine Unternehmen wie VW, muss man schon richtig Geld in die Hand nehmen.


    Wenn ich mal Zeit und Lust habe, kann ich ja mal in unserer Sandbox für dich nachsehen, was aktuell gerade eintrudelt.


    Was die Botnetze angeht, die sind inzwischen sehr gut aufgestellt, bei dem ganzen IoT Schrott mit Cloud-Verbindung, plain text Passwords usw.

    Das immer noch sehr verbreitete FAX ist auch eine Zeitbombe, denn mit dem passenden FAX, knackst du so ein Teil und hast deinen Brückenkopf im Netzwerk.

  • Hi Dennis!


    Es ist schon bemerkenswert, wie Du so durch die Themen springst: da die CPU-Lücke, hier der Buffer Overflow, nun Trojaner.


    Um zum eigentlichen Thema zurückzukommen: "Halbwegs gesicherter externer Zugriff".

    Die bisher infizierten QNAPs waren einfach nur mit ein paar Diensten im Internet.

    Was haben nun z. B. eine CPU-Lücke und Trojaner damit zu tun?


    Es ist Krieg und das ohne Einschränkungen [...]


    Und da sind wir wieder bei Verhältnismäßigkeiten [...]

    Ich bin verwirrt - was denn jetzt? :/

    Totaler Krieg oder doch hier ein bißchen mehr als dort?


    Was die Botnetze angeht, die sind inzwischen sehr gut aufgestellt, bei dem ganzen IoT Schrott mit Cloud-Verbindung, plain text Passwords usw.

    Du meinst jetzt aber nur den ganzen IoT Schrott in Firmen, oder? Denn auf "normalo User geht keiner geziehlt los".


    Wenn ich mal Zeit und Lust habe, kann ich ja mal in unserer Sandbox für dich nachsehen, was aktuell gerade eintrudelt.

    Das ist ein sehr nettes Angebot, die Mühe musst Du Dir aber für mich nicht extra machen. :)


    Gruß!

    Tim


    PS:

    Es interessiert mich immer noch, welche Dinger wie durch ein voll gepatchtes System schlagen!

  • Timpov du erinnerst mich stark an meinen Ex.


    Der hat auch immer überall Lücken in irgendwelchen Beispielen und Begründungen gesucht und es nicht sein lassen können überall alles mögliche zu bemängeln.


    Himmel Herr Gott es sind Beispiele nicht mehr und nicht weniger. Die müssen nicht immer bis ins letzte Detail durchdacht sein. Also lass es doch bitte einfach gut sein.

  • Hallo Engelsglück!

    du erinnerst mich stark an meinen Ex.

    Wow, das war also ein super Typ! ;)

    [...] es sind Beispiele nicht mehr und nicht weniger. Die müssen nicht immer bis ins letzte Detail durchdacht sein. [...]

    Nee, so einfach ist es bei diesem Thema eben nicht.


    Wenn pauschal behauptet wird, dass im Prinzip alles unsicher ist, kannst Du schlecht etwas gegen konkrete Nachfragen zu den Behauptungen haben.


    Versetze Dich außerdem 'mal in die Lage von einem Benutzer, der hier mitliest und technisch nicht so versiert ist.

    Der traut sich doch schon fast nicht mehr, seinen Rechner überhaupt einzuschalten, geschweige denn ein NAS zu kaufen, wenn er liest, welcher technische Aufwand scheinbar nötig ist, das Ding gerade so sicher zu machen, dass er nicht sofort gehackt wird.


    Ich halte sofort die Füße still, wenn ich gute Argumente höre und bin absolut in der Lage, meine Meinung auch zu ändern.

    Bisher bekomme ich auf meine einfachen Fragen aber nicht einmal eine Antwort.


    Wenn Du von mir nichts mehr lesen möchtest, hast Du auch jederzeit die Möglichkeit, mich zu blockieren.


    Gruß!

    Tim

  • Wow, das war also ein super Typ! ;)

    Jap genau und weil er so ein super Typ ist, ist er jetzt mein Ex!



    Ich halte sofort die Füße still, wenn ich gute Argument höre und bin absolut in der Lage, meine Meinung auch zu ändern.

    Bisher bekomme ich auf meine einfachen Fragen aber nicht mal eine Antwort.

    Ich finde seine Beispiele waren gut. Ich finde du solltest vielleicht auch berücksichtigen, das wir nicht die Hersteller der Geräte sind. Also können wir auch nur Beispiele bringen und aufzeigen wo es in der Vergangenheit schon probleme gab. Genau das wurde hier gemacht, das reicht dir aber alles nicht.


    Und mit Leuten wie dir zu diskutieren ist einfach extrem müsig, denn meiner Erfahrung nach habt ihr eh immer recht und wisst alles besser und bei anderen wird dann nur das Haar in der Suppe gesucht, was du hier auch schon Eindrucksvoll gezeigt hast. Und ich denke das macht euch einfach Spaß.


    Also machen wir es doch kurz und du erleuchtest uns einfach mit deiner allwissenden Weißheit. Dann brauchen wir das Haar in der Suppe nicht länger suchen.


    Und ansonsten bin ich hier jetzt auch raus.

  • Hi!

    Und mit Leuten wie dir zu diskutieren ist einfach extrem müsig, denn meiner Erfahrung nach habt ihr eh immer recht und wisst alles besser und bei anderen wird dann nur das Haar in der Suppe gesucht, was du hier auch schon Eindrucksvoll gezeigt hast. Und ich denke das macht euch einfach Spaß.

    Erstens finde ich es sehr schade, dass Du das so siehst und zweitens ist das auch ein wenig unfair.


    Ich habe natürlich nicht immer recht und weiß es sicher auch nicht besser. Darum geht es mir auch nicht, und geschrieben habe ich das auch an keiner einzigen Stelle.


    Warum unterstellst Du mir das also?

    Also machen wir es doch kurz und du erleuchtest uns einfach mit deiner allwissenden Weißheit. Dann brauchen wir das Haar in der Suppe nicht länger suchen.

    Auch hier: wie kommst Du darauf, dass ich allwissend bin? Habe ich das irgendwo geschrieben?


    Und ansonsten bin ich hier jetzt auch raus.

    Ja, das ist eben der einfachste Weg, sich einer Diskussuion zu entziehen, die nicht so verläuft, wie man es selbst gerne hätte.

    Argumente braucht man dafür praktischerweise auch keine. ;)


    Und noch einmal: es zwingt Dich niemand, dich an der Diskussion zu beteiligen.

    Ich habe den Eindruck, Dir fehlt einfach noch ein wenig die nötige Gelassenheit.


    Gruß!

    Tim

    Einmal editiert, zuletzt von Timpov ()

  • Erstens finde ich es sehr schade, dass Du das so siehst und zweitens ist das auch ein wenig unfair.


    Ich habe natürlich nicht immer recht und weiß es sicher auch nicht besser. Darum geht es mir auch nicht, und geschrieben habe ich das auch an keiner einzigen Stelle.


    Warum unterstellst Du mir das also?

    Unfair in sofern, dass ich dich nicht wirklich kenne. Das ist richtig. Allerdings habe ich den Eindruck du könntest der Zwillingsbruder meines Ex sein.

    Und unfair ist sicher auch, dass ich mit dir gerade eine Diskusion führe, die ich mit ihm schon 20 Mal geführt habe, die letztlich zu nichts geführt hat und ich daher schon von vornherein etwas genervt von dem Thema bin. Der Teil tut mir leid, dafür kannst du nichts.


    Die wenigsten schreiben das in Worten hin, dass sie immer recht haben. Man sieht es eher an der Reaktion.

    Auch hier: wie kommst Du darauf, dass ich allwissend bin? Habe ich das irgendwo geschrieben?

    Weil du bisher keines der Zahlreichen Beispiele und Argumente hast gelten lassen. Wie gesagt du suchst ständig das Haar in der Suppe und versuchst die alles umfassende Antwort zu finden, die dir hier bei so einem Komplexen Thema schlicht niemand geben kann. Btw was deine Empfehlung/Begründung warum man das NAS bedenkenlos Online stellen kann oder auch nicht? Ich glaube dazu hast du selbst noch nicht viel begetragen außer Kritik bei den anderen zu üben? Also mach doch mal eine Ansage?


    Ja, das ist eben der einfachste Weg, sich einer Diskussuion zu entziehen, die nicht so verläuft, wie man es selbst gerne hätte.

    Argumente braucht man dafür praktischerweise auch keine. ;)


    Und noch einmal: es zwingt Dich niemand. dich an der Diskussion zu beteiligen.

    Ich habe den Eindruck, Dir fehlt einfach noch ein wenig die nötige Gelassenheit.

    Ok. Dann schlage ich vor du erzählst mir jetzt mal wie du vorgehst wenn du eine Diskusion schon gefühlte 20 000 Mal geführt hast, genau weißt das hinten am Ende nichts raus kommt. Kaust du das Thema dann noch das 20 001 Mal durch oder sagst du es reicht und du machst nicht weiter?


    Ich mein ich versteh schon mit dir habe ich die Diskusion noch nicht so oft geführt, aber ich habe ehrlich gesagt einfach keinen Nerv mehr dafür.


    Und ich glaube nicht das die Gelassenheit, das Problem ist.

  • Der traut sich doch schon fast nicht mehr, seinen Rechner überhaupt einzuschalten, geschweige denn ein NAS zu kaufen, wenn er liest, welcher technische Aufwand scheinbar nötig ist, das Ding gerade so sicher zu machen, dass er nicht sofort gehackt wird.

    Mit hoher Wahrscheinlichkeit passiert das aber früher oder später allen, die ihr NAS per Webanwendung direkt in Netz hängen. Hier gibt es genug Threads von der Sorte, wo hinterher das Gejammer groß war. Deswegen empfiehlt das hier keiner mehr ernsthaft...

  • Ergänzend zu nasferatu ist es gerade bei solchen Anwendern gut wenn sie entsprechenden Respekt haben. Denn wer keine oder nur wenige Ahnung von der Materie hat trifft es Erfahrungsgemäß schneller. Eben weil aus unwissenheit Leichtsinniger mit dem Thema umgegangen wird.


    Das ist auch nicht böse gemeint. Es ist einfach nur so, dass die jenigen die ein wenig mehr Ahnung haben die Geräte aus guten Grund nicht direkt ins Internet hängen. VPN ist hier in der Regel der beste Lösungsansatz, hat aber natürlich Nachteile wenn man es zusammen mit anderen nutzen möchte.

  • Lassen wir den Portscanner bei Seite und nehmen an, ich nenne Dir direkt die URL um auf mein NAS zu kommen.

    Du hast die QTS Anmeldemaske vor Dir ... und jetzt?


    Gruß!

    Tim

    ich melde mich mit dem Standard Admin Kennwort bei dir an!?

    Falls es fehl schlägt, Kali Linux anwerfen, zunächst bruteforce starten, parallel Webserver version checken und nach bekannten Exploits suchen, ...

    Freundlicherweise zeigst du auf der Login Seite die QNAP Version, ich suche mir ein passendes Exploit und auf gehts.
    https://www.cvedetails.com/vul…ct_id-26806/Qnap-QTS.html

    Standard Prozedere eines Angriffs halt, solange bis sich eine Lücke auftut.

    Versteh ehrlich gesagt deine Aussage nicht aber hat ja eigentlich auch nichts mit dem Thema zu tun.


    Zurück zum Thema.

    Es gibt eigentlich mehrere Wege ein System sicher zu machen (abhängig von der Sicherheitsstufe).

    1. Alles abschotten und von außen nicht erreichbar machen (am sichersten)

    2. Alles abschotten und von außen nur via VPN erreichbar machen (relativ sicher)

    3. Nur die notwendigsten Dienste nach außen erreichbar machen, rest entsprechend abschotten (je nach Konfig immer noch relativ sicher)

    4. Alles nach außen hin erreichbar machen. (relativ unsicher)


    Ich denke der Threadersteller will hier Stufe 3.

    Dies erreicht er IMHO nur via Reverse Proxy+Firewall+ stets Upgedatete Software


    In jedem halbwegs gut organisierten Unternehmen wird das so gelebt. Dienste ins Netz stellen ist immer ein Risiko, manchmal jedoch notwendig/gewünscht. Es wird jedoch versucht das Risiko möglichst zu minimieren, indem nur die notwendigsten Dienste public gemacht werden.

  • Ich muss sagen, dass es QNAP ab Werk auch nicht besonders einfach macht das System "sicher" zu betreiben. Was soll z.B. die blöde Regelung, dass man sich nicht mit einem anderen Nutzer als admin per SSH einloggen kann und dann auch noch SSH Portweiterleitungen gesperrt sind. Denn andernfalls würde ich aus der Ferne einfach via sshuttle oder den entsprechenden einzelnen SSH Portweiterleitungen auf das NAS selbst, oder Geräte dahinter zugreifen.
    Sonst verstehe ich ehrlich gesagt nicht, wo das Problem mit einem VPN sein soll. In Zeiten von Wireguard oder dem in FritzBoxen eingebauten VPN-Diensten, läuft das Ganze doch selbst bei wechselnden Netzen sehr gut und dazu auch noch perfomant. Und soooo viele Nutzer werden es doch sicher bei einem privaten NAS nicht sein, dass man denen nicht einfach Zugänge einrichten kann.

    Weiterhin kann man doch für bestimmte Anwendung eine Kapselung in Form von Containern verwenden. Die sind zwar auch kein Garant für absolute Sicherheit, aber ich denke die erwähnten "Skriptkiddies" werden nicht so ohne weiteres aus einem Docker oder LXC Container ausbrechen können.


    Und für die, die wirklich einen Direktzugriff wollen/brauchen kann ich nur mal das Thema IPv6 in den Raum werfen. Es existiert (soweit ich weiß), im Gegensatz zu IPv4, noch keine effektive Suchmaschine die den gesamten IPv6 Adressraum durchsuchen kann daher würde ich entsprechende Freigaben ausschließlich über IPv6 einrichten und dafür ggf. noch ein dynamisches DNS anlegen weil die langen Adressen unter Umständen schwierig zu handhaben sind.
    Absolute Sicherheit bringt das natürlich auch nicht, aber die hat mann halt nie, wenn man nicht auf Komfort verzichten möchte.

  • Wenn du aus dem Mobilnetzen nicht druf zugreifen willst ist IPv6 only einenMöglichkeit.

    Aber so lange die vielfach auf v4 only setzen ist es halt ein Problem.