Seit Update merkwürdige Warnungen

  • Hallo liebe Community,


    ich habe seit dem letzten Update andauernd neue Warnungen (Siehe Bild).


    Kann mir jemand helfen und sagen was damit gemeint ist? Ständig werden irgendwelche IPs auf die Blockliste gesetzt. Und dann wieder entblockt.

    Aber die Quelle ist irgendwie das eigene NAS? Also IP 127.0.0.1 ?


    Werde darauf irgendwie nicht schlau.


    Vielen Dank schonmal

    Gruß

    Tobias

  • Ich würde sagen, Dein NAS hängt direkt im Internet bzw. Du hast über den Router den Zugriff aus dem Internet direkt erlaubt.

    Ich würde einmal die NAS vom Internet trennen und gucken, ob Du das Problem mit der chinesischen IP noch hast.


    MfG

    Jerry

  • Hi,


    da ich leider im Englischen nicht so fit bin. Sowie manche Ausdrücke nicht ganz zuordnen kann, hilft mir der Changelog leider nur Bedingt weiter.

    Zu der Sache mit dem vom Internet trennen, das könnte ich mal ein paar Stunden probieren. Schwierig ist nur, das ein paar Leute den Zugriff auf Dateien benötigen. Wenn das Problem mit der Chinesischen IP dann weg ist, ist das eigentliche Problem aber noch nicht gelöst.


    Aber vielen Dank schonmal für die ersten Antworten :)

  • Welche Personen denn?


    Besteht die Möglichkeit das über VPN gesichert zu lösen?

  • Mitglieder aus dem Verein.


    Die sollen über das Webinterface vom NAS Zugriff auf die Daten bekommen. Ein VPN bei denen einzurichten ist nicht so einfach.

  • Nicht wirklich, oder?


    Entweder VPN und mehr Sicherheit, das setzt auch eine gewisse Lernbereitschaft bei den Mitgliedern voraus, oder eben nicht, dann ist es nur eine Frage der Zeit, wann ungebetene Gäste auf dem NAS unterwegs sind.

    Und da die liebe DSGVO auch für Vereine gilt würde ich mir die Folgen doch gut überlegen....


    Ansonsten bliebe auch noch ein Clouddienst zum Austausch.


    Gruss

  • Ich kann mich FSC830 nur anschließen.


    Da ich in derselben Situation war (Verein usw.) habe ich mich für einen Rootserver entschieden mit Nextcloud und Wireguard VPN Server. Somit ist die Cloud nur über VPN erreichbar.


    Gerade die DSGVO hat mich dazu bewogen.


    1. Vereinsdaten strikt von privaten Daten zu trennen.

    2. VPN zur Absicherung.

    3. Wireguard: Ist einfach für die Mitglieder zu händeln.



    Grüße

  • Ich hatte eigentlich gehofft, mit dem NAS im Grunde meine Eigene Cloud zu haben um die Dateien nicht bei irgendwem anders auf dem Server zu haben.

    Wenn ich alles über VPN mache funktioniert doch auch die Möglichkeit Dateien zu teilen nicht mehr oder? Also einen Zeitlich begrenzten Freigabelink zu verschicken? Oder Irre ich mich da?

    Und bei den Mitgliedern müsste dann bei jedem der VPN Zugang installiert sein richtig?


    Ich dachte das ganze geht auch sicher über ein SSL Zertifikat von Lets Encrypt.


    Das ganze ist ziemlich verwirrend für jemanden der neu in dem Thema ist.


    Im Grund möchte ich gerne meine Dateien bei mir zuhause irgendwo gespeichert haben und anderen leicht einen Zugang gewähren können?

  • und anderen leicht einen Zugang gewähren können

    GENAU DAS hast du ja erreicht, blos dass die "anderen" mal eben chinesische Hacker sind, die gerade einen "Zugang" benötigen ...

    Das wird erst aufhören, wenn du entweder das NAS vom Internet trennst, oder die "anderen" das NAS übernommen haben ...

  • Hi,


    willkommen in der Welt in der einfach nicht mehr einfach ist.

    Sicher ist aktuell nur, dass die Dateien bei dir zu Hause auf der NAS unsicherer sind als auf einem Cloud-Dienst. Wenn es so einfach wäre mit der NAS im Keller und fertig, würde keiner einen Cloud-Dienst in Anspruch nehmen und sich die Festplatten selbst in den Keller stellen.


    Wenn du eine Firtzbox nutzt wäre die Einrichtung von VPN-Zugriffen gar nicht so schwer. Dazu gibt es auch sehr gute schritt für schritt Anleitungen auf deutsch ohne englische Fachbegriffe.


    Ansonsten hat man als Verein ja auch immer die Möglichkeit sich den ganzen Service für eigene Hardware einzukaufen. Muss man sich leider auch leisten wollen. Im Verein wo ich dabei bin ist alles eingekauft. Das ist nicht die günstigste Lösung, aber wenn irgendwas nicht passt haben wir 1. Support, 2. einen Schuldigen, 3. selbst nur den halben Stress.


    Siehs mal so: Die Arbeit du du jetzt hast um VPN-Verbindungen für deine Mitglieder einzurichten hast ist ein Bruchteil von der Arbeit die dir ein Staatsanwalt/Rechtsanwalt oder Datenverlust weil gehackt macht! Und sooo kompliziert ist das mit VPN auch nicht, nur Mut zu neuem ;)

  • Mit dem NAS eine eigene Cloud haben geht theoretisch schon, aber der Aufwand ist nicht gerade gering.

    Gerade sicherheitstechnisch sind hier die meisten überfordert.


    Als Quelle in Deinen Fehlermeldungen ist natürlich das eigene NAS genannt, das meldet ja die Angriffe :).


    Ein VPN Client muss auf jedem Gerät installiert sein, das auf den mit VPN gesicherten Server/NAS/... zugreifen will.

    Dateien kannst Du auch mit VPN teilen, ob zeitlich beschränkt ohne Zusatzsoftware, bin ich im Moment überfragt, gibt aber mit Sicherheit auch dafür eine Lösung.

    Bei VPN ist andererseits auch zu bedenken, das ein per VPN Client eingewählter Rechner sich direkt im eigenen LAN befindet.

    D.h., alle anderen Geräte/Daten, auf die derjenige keinen Zugrif haben soll, müssen entsprechend gesichert sein.


    Der Wunsch die Daten zu Hause zu haben ist verständlich, aber gerade dann musst Du wie gesagt, extrem aufpassen, wer Zugriff hat.

    Die -erfolgreichen- Angriffe der letzten Monate haben gezeigt, das QNAP bzw. das QTS hier immense Sicherheitslücken hat, hier ist das aktuellste Beispiel!


    Ich würde zum Austausch immer den Weg über eine externe Cloud gehen, wird die gehackt, ist mein LAN nicht betroffen.

    Wobei myQNAPcLoud nun auch nicht meine erste oder zweite Wahl wären ;).

    Ich realisiere so etwas über einen separaten Dropbox Account.


    Gruss

  • Ich hatte eigentlich gehofft, mit dem NAS im Grunde meine Eigene Cloud zu haben um die Dateien nicht bei irgendwem anders auf dem Server zu haben.

    Am besten lies Dir erstmal folgendes durch: Zugriffsschutz für QNAP Beginner


    Wie schon andere bemerkten ist es eben eine heikle Sache mit einem direkt im Internet exponierten Server. Was das NAS in dem Falle ist. Die Geräte sind einfach nicht dafür geeignet, jedenfalls nicht für einen wirklich sicheren Zugriff. Dafür ist das Updateschema von QNAP einfach zu sporadisch, mal davon abgesehen, dass es keine Unterteilung von Sicherheitsupdates, Patches und Firmwareupdates gibt. Man muss in 99% der Fälle IMMER das komplette Gerät überbügeln. Und dann geht bei den meisten hinterher irgendwas anderes nicht mehr so wie vorher.


    Die VPN Lösung ist nicht die bequemste, aber bietet einen z.Zt. hohen Schutz. Und gerade bei Vereinsgeschichten muss man jetzt mit der DSVGO doch sehr aufpassen, wenn man Leistungen für Dritte bereitstellt und Daten speichert. Vielleicht ist da eine Nextcloud Instanz bei einem Webhoster die bessere Lösung, wenn man es selbst kontrollieren will. Ich nutze privat das bspw. bei Goneo im Shared Hosting, das funktioniert ganz gut. Man kann das auch Serverseitig verschlüsseln, was ich bisher nicht gemacht habe. Ist natürlich auch eine Frage der Datenmenge. Wobei ab einer bestimmten Vereinsgröße ja dafür zumindest finanziell ein Budget eingeplant werden sollte, das ggf. auch mitwachsen kann.

  • Hallo,


    diese Meldungen sind erstmal nicht weiter schlimm, sondern zeigen, dass Dein NAS den erfolglosen Verbindungsversuch erkannt hat und die IP für eine definierte Zeit blockiert. Ich hatte zeitweise tausende solcher Nachrichten am Tag.

    Du kannst das Intervall zum Blocken auch noch verlängern.

    Sehr wahrscheinlich ist das ein automatisierter Verbindungsversuch eines Systems, welches systematisch verschiedene Adressräume und Ports abklopft. Das ist quasi normal.

    Wie schon andere bemerkten ist es eben eine heikle Sache mit einem direkt im Internet exponierten Server. Was das NAS in dem Falle ist. Die Geräte sind einfach nicht dafür geeignet, jedenfalls nicht für einen wirklich sicheren Zugriff. Dafür ist das Updateschema von QNAP einfach zu sporadisch, mal davon abgesehen, dass es keine Unterteilung von Sicherheitsupdates, Patches und Firmwareupdates gibt. Man muss in 99% der Fälle IMMER das komplette Gerät überbügeln. Und dann geht bei den meisten hinterher irgendwas anderes nicht mehr so wie vorher.

    Ich würde das nicht so pauschalisieren. Nur weil die Geräte klein sind und keine großen schwarzen Kästen, die von einer Klimaanlage gekühlt werden, heißt es nicht automatisch, dass sie für den Zugriff aus dem Internet nicht geeignet sind. Im Vergleich zu anderen Geschichten, die man sich ins heimische Netz hängt, von Handys über PCs bis IoT sind sie das nämlich schon, würde ich behaupten.


    QNAP kümmert sich im Rahmen seiner Möglichkeiten schon um die Sicherheit und wirklich zerstört hat ein Update seit Jahren keins meiner NAS', auch waren keine schweren Betriebseinschränkungen aufgetreten.

    Der Wunsch die Daten zu Hause zu haben ist verständlich, aber gerade dann musst Du wie gesagt, extrem aufpassen, wer Zugriff hat.

    Die -erfolgreichen- Angriffe der letzten Monate haben gezeigt, das QNAP bzw. das QTS hier immense Sicherheitslücken hat, hier ist das aktuellste Beispiel!

    Da steht auch, dass QNAP zu dem Zeitpunkt schon an einer Lösung arbeitet.

    Bei den Sicherheitslücken spielen die Nutzer aber auch eine große Rolle. Also es ist nicht so, dass ein QNAP einfach befallen wird, nur weil es da ist.


    Kein System kann zu 100% sicher sein. Sicher hast Du Deinen Kommentar ebenfalls von einem System mit "immensen" Sicherheitslücken geschrieben und arbeitest damit auf Deiner DropBox (bei der Du nicht weist wie sie geschützt und gewartet wird und wer da mitliest).


    Es wäre wohl sinnvoller hier mit Augenmaß an die Sache ranzugehen, als sinngemäß nahezulegen einfach den Stecker zu ziehen.

    - Dienste abschalten, die ich nicht brauche.

    - Die Verwaltungsschnittstellen (z.B. telnet, SSH) sind in den aktuellen Versionen ja von Haus aus abgeschaltet. Wenn nicht, sollte man das tun.

    - WebDAV abschalten, wenn man's nicht braucht.

    - Sind die Passwörter komplex genug?

    - Zugriff nur via SSL.

    - Ein VPN, zum Beispiel über den Router, einzurichten, ist ebenfalls ein guter Rat.


    Grüße

  • Ich würde das nicht so pauschalisieren. Nur weil die Geräte klein sind und keine großen schwarzen Kästen, die von einer Klimaanlage gekühlt werden, heißt es nicht automatisch, dass sie für den Zugriff aus dem Internet nicht geeignet sind

    Ich würde das schon so pauschalisieren, zumindest wenn das Webinterface direkt im Netz hängt. VPN minimiert die Angriffsfläche drastisch, dagegen kann JEDES Webinterface kann mit dem nächsten Release irgendein Sicherheitsloch haben. Oder irgendwas an der Webserver Config ist kaputt. Oder,oder,oder...das ist erstens für den Normalsterblichen kaum zu überblicken und zweitens kann man es nichtmal zeitnah abstellen. Die gehackten Wordpress Installationen bspw. sind nur ein mahnendes Beispiel. Und soweit ich das Überblicke läuft der Webserver Prozess auf den Qnaps wohl auch mit Root Rechten. Eigentlich ein Unding. Vielleicht täusche ich mich da aber auch.

  • Ich würde das schon so pauschalisieren, zumindest wenn das Webinterface direkt im Netz hängt.

    Ja, wie weit will man so etwas fassen? Dann sind nämlich Online-Banking und jeder Online-Shop mindestens genauso unsicher.

    Natürlich sollte man geeignete Maßnahmen ergreifen.

    Ich fand es nur nicht richtig, dem Mann wegen dieser Meldungen, den Schweiß auf die Stirn zu treiben. Die gehören dazu wie der Rempler auf dem Parkplatz.

  • Ja, wie weit will man so etwas fassen? Dann sind nämlich Online-Banking und jeder Online-Shop mindestens genauso unsicher.

    Man kann wohl kaum ein murkeliges Consumer NAS mit einem betrieblichen Webauftritt vergleichen. Zumal man da schon ganz andere Haftungsrisiken eingeht. Es geht doch darum, dass die Dinger einfach nicht wirklich dafür geeignet sind ohne weitere Schutzmaßnahmen. Du kannst das natürlich machen. Du kannst auch dein Fahrrad mit einem Plastikschloss an einem belebten Bahnhof anschließen und hoffen, dass es abends noch da ist. Es ist leider so, dass mit der o.g. Methode reichlich Leute auf die Schnauze gefallen sind. Wenn dann jemand auch noch vertrauliche Daten für seinen Verein auf die Art potentiell gefährdet ins Netz stellt geht er ein immenses Risiko ein (auch für sich selbst). Wir stellen uns mal nicht vor was passiert, wenn die Kontodaten der Vereinsmitglieder in irgendeiner Exceldatei auf diese Weise abhanden kommen...

  • Hallo Tonictrinker1 ,

    Ich würde das nicht so pauschalisieren. Nur weil die Geräte klein sind und keine großen schwarzen Kästen, die von einer Klimaanlage gekühlt werden, heißt es nicht automatisch, dass sie für den Zugriff aus dem Internet nicht geeignet sind. Im Vergleich zu anderen Geschichten, die man sich ins heimische Netz hängt, von Handys über PCs bis IoT sind sie das nämlich schon, würde ich behaupten.

    da gebe ich Dir vollkommen Recht. Ich glaube auch nicht, dass hier jemand ein solches pauschales Urteil gefällt hat.

    Wenn das NAS wie, wie Du beschrieben hast, gehärtet ist, und über den Router (am besten in Kombination mit einer Firewall) nur für die notwendigen Ports (https) erreichbar ist, dann spricht nichts dagegen.

    Zu berücksichtigen ist hier aber, dass das NAS dann in einer DMZ stehen sollte und eine solide Backup Lösung vorhanden ist.


    Wie

    Und da die liebe DSGVO auch für Vereine gilt würde ich mir die Folgen doch gut überlegen....

    bemerkt hat, unterliegen die Daten ggf. der DSGVO.


    Daher muss auch über eine strikte Trennung zu privaten Daten vorhanden sein, was aus meiner Sicht dann nur praktikabel ist, wenn das NAS ausschließlich für den Verein da ist. ZUwar kann man über die Rechtestruktur vieles abfangen, aber ich würde meinen Kopf dafür nicht hinhalten wollen, wenn es einmal zum GAU kommt.

    Denn Schadcode kann ja auch über das interne Netz auf das NAS gelangen.


    Da ich Pragmatriker bin, habe ich mich - in einer ähnlichen Situation - für einen Rootserver mit VPN-Server und Nextcloud entschieden. Denn das ist weniger komplex.

    Frei nach dem Motto: Keep it simple.

    Es wäre wohl sinnvoller hier mit Augenmaß an die Sache ranzugehen

    Ich kann mir nicht vorstellen, dass ich bei den Schulungen rund um die DSGVO davon gehört habe ;)


    Die QNAP ist für mich ein gutes NAS und in größeren Ausbaustufen ein akzeptabler Virtualisierungs Host. Für interne Projekte sicher auch als Web- und DB Server gut geeignet. Für den Einsatz im Internet ist QNAP bei mir aber nicht die erste Wahl.


    Viele Grüße


    Viele Grüße

  • Man kann wohl kaum ein murkeliges Consumer NAS mit einem betrieblichen Webauftritt vergleichen.

    Dass betriebliche Webauftritte immer so stark wie möglich gehärtet sind garantiert Dir auch keiner. Das beweisen die immer wiederkehrenden Skandale über verlorene Daten.

    Und wie wir schon sagten, man kann ein NAS auch mit etwas anderem als einem Plastikschloss sichern. ;)

  • Die gehören dazu wie der Rempler auf dem Parkplatz

    Die muhstik Thematik (auf die der Link verwies) würde ich nicht eben als Parkplatzrempler bezeichnen, eher schon als Totalschaden! ?(

    Und auch Eindringversuche alá Portscanner und ähnliches haben bei mir eine deutlich höhere Aufmerksamkeit.


    Grundsätzlich würde ich jedweden Angriff auf mein LAN/NAS nicht als Rempler bezeichnen.

    Mindestvorscihtsmaßnahmen sollte man schon unternehmen.


    Gruss