NAS im Internet (wenige Ports weitergeleitet) und IP Filterung - Security - Allow/Deny List

Zitat von Timpov

Im Übrigen erklärt Deine sachliche und gute Argumention ausschließlich, wie es zu Schwachstellen kommen KANN. Das bedeutet aber eben nicht, dass es auch aktuell bei allem so IST.

Richtig. Nur ist meine Ansicht, dass es gerade für Endanwender grundsätzlich problematisch ist, sich auf die potentielle Sicherheit eines per Design problematischen Ansatzes zu verlassen. Die Anzahl der möglichen Fehlerquellen ist schlicht um Größenordnungen höher. Und deshalb warne ich vor diesem Ansatz. Man muss sich der Risiken bewusst sein. Und die Zahl der "Hilfe, mein NAS wurde gehackt" Threads gibt mir da glaube ich ein Stück weit recht, was das Risiko angeht. Und soweit ich mich erinnern kann war dort in KEINEM Fall die Infektion über einen VPN Zugang erfolgt. Deswegen sehe ich solche generischen Empfehlungen höchst kritisch und empfinde sie auch ein Stück weit fahrlässig. Weil niemand, auch Du nicht, die Sicherheit des Plex Server evaluiert hat. Wenn, dann würde ich sowas mindestens in einer VM innerhalb des NAS laufen lassen, damit im Zweifel nicht gleich das ganze NAS kompromitiert wird. Wobei das nicht so einfach ist, weil der Server ja auf die Mediendaten zugreifen muss. Aber das könnte man ja ggf. mit reinen Leserechten regeln, so dass wenigstens beim erfolgreichen Angriff keine Daten überschrieben werden. Es bleibt einfach Fakt, dass ein Zugriff per VPN letztlich einen Großteil der möglichen Attacken ausschließt und ggf. auch gegen nicht gepatchte Sicherheitslücken in gewissem Umfang hilft. Und wenn es erstmal eingerichtet ist trifft das auf alle Dienste, die auf dem NAS laufen, zu. Mal davon abgesehen, dass man per VPN Verbindung in öffentlichen Hotspots auch gleich eine kostenlose Absicherung seines gesamten Datenverkehrs gegen Mitlauscher hat, was auch kein unwahrscheinliches Szenario mehr ist. Und bei einem VDSL50 oder 100er Zugang ist der Geschwindigkeitsverlust inzwischen auch in den meisten Fällen tragbar.

Plex läuft, wie die meisten nativen Apps, als admin auf dem NAS. Wem das zu heikel ist kann auf docker setzen, muss dann allerdings auf hardware transcoding verzichten. Ich stimme Timpov zu, dass es relativ wenige Schwachstellen bei Plex in der Vergangenheit gab, wenn überhaupt werden gleich die Accounts von Usern übernommen und dann deren Material fremd gestreamt. Das bedeutet natürlich nicht, dass es nie eine Lücke im Web-Interface geben kann. Wem das Freigeben zu heikel ist, der lässt es halt oder setzt eben den VPN ein. Den Port von Plex freizugeben halte ich aber nicht per se für unsicher.

Zitat von Coxeroni

Den Port von Plex freizugeben halte ich aber nicht per se für unsicher.

Das stimmt eben genauso lange, bis eine Lücke gefunden und ausgenutzt wird. Egal wie sorgfältig Plex gewartet wird ( der User muss die Updates ja auch noch einspielen... ) , das Risiko ist ein anderes. Das muss jeder für sich selbst entscheiden. Aber um zum Ausgangspunkt des Threads zurückzukommen: der User wollte sein NAS per IP Blocking und anderen Maßnahmen sein NAS absichern. Das Grundproblem ist doch aber, dass das viel komplexer und damit auch fehleranfälliger ist aufgrund der vielfältigen Konfigurationsmöglichkeiten. Eine Portfreigabe, die sämtlichen Datenmüll an ein internes Gerät weiterleitet ist zwar auch simpel und vielleicht etwas sicherer, weil der Port ggf. erst gefunden werden muss, aber es steht und fällt eben mit der Webserver Konfiguration und der Anwendung. Und der Schritt zu einem VPN ist nicht so groß, wenn man die üblichen Router nutzt. Dafür ist das Schutzniveau erheblich höher. Das sollte einfach jedem klar sein. Es gab einfach bisher meines Wissen praktisch keine Infektionen von außen bei einer solchen Konfiguration.

Zitat von nasferatu

Nur ist meine Ansicht, dass [...]

Finde ich wieder alles gut, was Du schreibst!

Wir haben eben in manchen Teilen unterschiedliche Ansichten; ich gehe 'mal davon aus, dass wir beide damit gut leben können

Zitat von nasferatu

[...] Deswegen sehe ich solche generischen Empfehlungen höchst kritisch. [...]

Als Empfehlung sind meine Beiträge nicht gemeint.

Ich habe lediglich großes (Eigen-) Interesse daran, zu erfahren, warum meine Konfiguration nachweislich so nicht ins Netz gehört.

Zitat von Timpov

Du gehst also davon aus, dass Dinge unsicher bleiben, weil sie unsicher waren?

Zitat von Timpov

Und Du gehst auf die Unterstützung meiner Standpunkte nicht ein - oder magst Du noch ein Wort zu Cisco sagen?

Du ziehst aus meiner Argumentation die falschen Schlüsse. Ich lehne die direkte Portfreigabe von Plex nicht ab, weil Plex in der Vergangenheit Sicherheitslücken hatte. Ich würde die Freigabe auch ablehnen, wenn Plex bis heute keine Sicherheitslücken hätte schließen müssen. Deshalb stellt sich die Cisco Diskussion auch nicht.

Wenn es um das Freischalten von Diensten im Internet geht, vertrete ich die Lösung, für die ich das kleinste Risiko ausmachen würde. Eine VPN-Verbindung (über einen Router oder über eine Firewall) halte ich für weniger angreifbar wie das direkte Freischalten eines Webserver von Plex. Besser als nasferatu hätte ich es übrigens nie erklären können. Die Waage schlägt noch positiver für VPN aus, wenn mehrere Dienste freigeschaltet werden sollen. Denn mit mehreren direkt freigeschalteten Diensten erhöht sich auch das Risikopotential für Sicherheitslücken.

Zurecht sagst du, dass auch eine VPN-Lösung eine Sicherheitslücke haben könnte, durch die ein Angreifer in das lokale Netz einbrechen könnte. Spielen wir das mal durch: Der Angreifer sitzt nun im lokalen Netzwerk. Aber wie geht es nun weiter? Der Angreifer müsste eine weitere ausnutzbare Sicherheitslücke zu eines der angeschlossenen Geräte kennen, um dieses kapern zu können. Das zeitgleiche Auftreten einer Sicherheitslücke in der VPN-Verbindung und einer Sicherheitslücke in eines der angeschlossenen Geräte halte ich für sehr unwahrscheinlich. Mal davon abgesehen, dass ein Angreifer eine Glaskugel bräuchte, um vorab erkennen zu können, welche Geräte hinter der VPN-Verbindung betrieben werden.

Hallo Dirk,

so sachlich und fachlich sollten wir das nun beibehalten - finde ich richtig gut. Danke dafür.

Du siehst mich nicken und ich habe dem nichts hinzuzufügen.

Gruß!

Hat jemand von euch einen Multi der per FAX erreichbar ist?

Wenn ja, habt ihr den auch in einer DMZ?

Denn auf dem Weg sind diese Dinger angreifbar.

Wollen wir wirklich so weiter machen?

Dann ziehst du alle Stecker und auch die Hauptsicherungen im Übergabepunkt.

Denn auch über das Stromnetz und die darin von einem System zurück gekoppelten Signale über das Netzteil ist ein Abgriff, wenn auch eher theoretisch möglich.

Dann darfst du kein Smartphone verwenden, Apple hat riesen Lücken im iOS, Androide wird teilweise gar nicht gepatched.

Auch das Windows oder Linux ist angreifbar, also wie schreibt ihr hier mit uns?

Ganz einfach, ihr habt euch überlegt, was ist mir mehr wert ansolute Sicherheit (Haus ohne Strom) oder der Kompfort und die Möglichkeit mit der Welt über das Inet zu kommunizieren.

Alles fängt also mit einer Risikoeinschätzung an und hört dann mit einer Entscheidung auf.

Der eine macht alles dicht und nutzt VPN.

Der andere überlegt und findet das Risiko im Fall Plex akzeptabel und gibt einen Port frei.

Ich habe in einer VM einen OpenVAS installiert und scanne damit meine Geräte im LAN ab.

Wenn ich was am NAS gemeldet bekam, war es nicht Plex.

Wenn das doch passiert und es gibt keine neuere Version die das fixed, mache auch ich die Tür zu.

Wir bekommen auch immer wieder Mails von unserem Monitoring in der Firma.

Anzahl bekannter Sicherheislücken jetzt x.

Dann schaut sich das jemand an ob diese Lücke bei uns ausgenutzt werden kann oder ob man dafür zuerst die ganze Infrastruktur unterwandern muss.

Bei letztem wird die Meldung bestätigt, im anderem Fall gibts Termine für Firmwareupdates.

Man kann Sicherheit halt auf verschiedenen Wegen herstellen.

Patching, strukturelle Trennung, Firewalling, VPN.

Es führt nicht nur 1 Weg zum Ziel.

Aber pauschal jeden Dienst als unsicher zu markieren ist bei so komplexen Themen einfach nicht möglich.

Zitat von Crazyhorse

Aber pauschal jeden Dienst als unsicher zu markieren ist bei so komplexen Themen einfach nicht möglich.

Eigentlich hatte ich den Eindruck es ist wirklich alles gesagt. Aber scheinbar nicht. Das Problem ist doch einfach, dass die Risikoabschätzung bei einem freigegebenen Webdienst viel schwieriger ist als bei einem generischen VPN Zugang. Und wenn man jemandem empfehlen soll, wie er sein NAS sicher von außen erreichen kann bzw. die Dienste darauf, dann gibt es eigentlich nur diese Antwort. Weil Webdienste eben NICHT standardisiert sind, sondern ständig ihren Funktionsumfang und den Code dahinter ändern etc. Jedes Update kann ein Loch reinreißen. Und wenn der Dienst auch noch als Root läuft, dann kann ein Exploit gleich ALLES auf dem Zielsystem. So sieht die Riskoabschätzung aus. Was anderes ist es, wenn man sein Webdienste containerisiert oder virtualisiert und so den Schaden eingrenzen kann, sollte einer eine Lücke haben. Das kann doch aber der Endanwender, der sein NAS und irgendeine App einfach über Netz freigibt doch gar nicht abschätzen. Wenn man weiß, was man tut und wie der GAU im Zweifel aussehen würde ist die direkte Freigabe natürlich unbenommen. Aber dem unbedarften Nutzer würde ich das niemals empfehlen.

Ich finde einfach, das Schutzniveau eines VPNs bisher ungeschlagen und die Konfiguration ist bspw. bei den Fritzboxen ( oder auch anderen Varianten wie pfSense ) kein Hexenwerk. Das ist vielleicht eine sehr konservative Sichtweise, aber ich denke, diese erspart einem im Zweifel viel Ärger.

Zitat von Crazyhorse

Ich habe in einer VM einen OpenVAS installiert und scanne damit meine Geräte im LAN ab.

Das Ding ist aber auch ne Hausnummer. Und nicht jeder -inklusive mir- kann die gemeldeten Ergebnisse deuten oder richtig intepretieren um daraus gezielte Maßnahmen einzuleiten.

Man kann aber schon relativ viel mit einer kleinen Sophos UTM, VPN und Segmentierung erreichen.

Ich hab 5 vLANs wo sich unterschiedliche Gerätschaften tummeln. Die vLANs müssen natürlich am Switch bekannt gemacht werden. Den Rest regelt die Sophos. Dienste/Geräte welche aus dem WAN erreichbar sind gehören aber wenn möglich immer in ein getrennten Subnetz (DMZ). Man muß aber auch in diesem Konstrukt dem Hersteller vertrauen. Es ist aber ein wenig mehr Schutz als die eingebauten "Firewall" diverser Router. Zumindest bilde ich mir das ein.

Und die QNAP ist aufgrund fehlendes Vertrauen nur per VPN erreichbar. Und das VPN wird hier auch auf der Sophos terminiert. Ich denke hier exisitieren einfach zu viele unterschiedliche Ansichten und Meinungen. Es gibt in so einem Setup nicht DEN Weg um ein Heimnetz sicher zu gestalten. Das ganze hängt von vielen Faktoren ab. Es hilft auch nichts dem Fragesteller alles mögliche zu empfehlen wenn derjenige nicht in der Lage ist (völlig egal warum) das System zu beherrschen. Im WorstCase werden so noch weitere Lücken aufgerissen.

Jeder sollte sich aber hinterfragen:

1. Was will ich?
2. Welche Möglichkeiten habe ich derzeit?
3. Was bin ich bereit zu investieren (Hardware, Software, Zeit)?
4. wie kann ich meine Ziele möglichst sicher umsetzen?

#Justmytwocents

Zitat von nasferatu

Eigentlich hatte ich den Eindruck es ist wirklich alles gesagt. Aber scheinbar nicht.

Ich möchte in der Diskussion auch noch einen Punkt ergänzen. Ein weiteres Sicherheitsrisiko ist immer auch der Mensch, der vor dem System sitzt, es einrichtet und pflegt.

Wenn jemand im Forum die Frage stellt "Wie sicher ist mein System wenn ich es ins Internet stelle?", ziehe ich daraus den Schluss, dass der Fragesteller aufgrund seines Backgrounds nicht in der Lage ist, eine angemessene Sicherheitsabschätzung selber vorzunehmen. Sonst würde er diese Frage nämlich nicht stellen. Und für diese Nutzer halte ich die VPN-Lösung immer für die geeignete Antwort.

Zitat von realitiblue

Mein privater Eindruck erhärtet sich, dass es ein ständiger Kampf zwischen Komfort und Sicherheit ist.

Das ist leider nur allzu wahr. Es ist halt immer noch am einfachsten, die Tür einfach nicht abzuschliessen. Alles andere ist eben mit Komfortverlusten verbunden. Man muss sich halt bewusst sein, welche Risiken man eingeht wie im sonstigen Leben auch. Was Du ohnehin berücksichten solltest ist vor allem auch ein regelmäßiges Backup Deiner wichtigen Daten. Denn auch ein Verschlüsselungstrojaner auf irgendeinem Endgerät im internen Netz kann erwischt nicht selten auch verbundene Netzwerkfreigaben. Deswegen Backups auch auf Medien, die nicht ständig mit dem internen Netz verbunden sind wie bspw. externe Platten. Auch App Probleme können großen Schaden anrichten. Hier berichtet gerade ein armer Kerl, dass praktisch die Familienhistorie der letzten 15 Jahre durch eine QSync Macke (oder Bedienfehler) zumindest momentan nicht mehr zugreifbar ist. Deswegen: Redundanz für unwiderbringliche Daten ist oberstes Gebot!

Zitat von realitiblue

Aber was ich auch bei QSnatch so verrückt finde: Noch sind ja wenig Details klar und es berichten immer wieder User hier, dass die Malware immer wieder kommt bzw. das Entfernen durch MalwareRemover etc. nicht ganz verifiziert werden kann.

Naja, vorsichtig gesagt finde ich das Verhalten von Qnap in dem Punkt suboptimal. Ich kann mir nur schwer vorstellen, dass da noch keiner näheres wissen will. Ich kann mir nicht vorstellen, dass die keine Securityexperten haben, die nicht wissen, die man so einen Einfallsvektor rauskriegt. Da gibt es diverse Techniken, mit denen man sowas auf die Schliche kommen kann.

Zu deinem Cloudbackup: ich würde aber immer auch eine simple lokale Variante machen eben mit externen Festplatten. Ich bin ja eigentlich durchaus ein Freund von optischen Datenträgern, nur sind diese einfach im Handling kaum noch praktikabel wegen der geringen Datendichte und der Dauer. Aber ein Medium, was man nur einmal beschreiben kann und was dann unveränderlich ist hat bei Backups schon so seine Vorteile. Jedenfalls bei den Cloud Geschichten immer dran denken, das Backup vor dem hochladen zu verschlüsseln. Cloud heißt schließlich "jemand anderes Rechner". Und das Restore testen nicht vergessen. Und zuguterletzt : so ein Anbieter kann ja theoretisch auch mal pleitegehen. Was dann ? Ist vielleicht etwas weit hergeholt, aber wenn das dann die einzige Sicherung war...

Ansonsten: der Kollege Mavalok2 schreibt hier öfters mal schöne Anleitungen:

Datensicherung – Hybrid Backup Sync 3: Sicherung auf externe Medien

Zitat von nasferatu

Ich kann mir nur schwer vorstellen, dass da noch keiner näheres wissen will.

Wird jetzt off-topic, dazu gibt es einen anderen Thread, aber ich lese immer auch im US-Forum mit.

Dort wird berichtet, das der QNAP Support es dann doch geschafft hat, die wiederkehrende Infizierung zu beseitigen, leider bisher ohne nähere Angaben wie dies vonstatten ging.

Ich vermute per remote session, aber was die gemacht haben, ist erst mal im Dunkeln...

Gruss

Zitat von realitiblue

PS: ich hab hier - on-topic mitgenommen, dass im Grunde niemand einen nennenswerten Sicherheits-Vorteil durch die IP White List sieht

Das würde wirklich nur was bringen, wenn Du das NAS mit wenigen, genau bekannten IP Adressen verbindest. Also wenn praktisch alle, die Zugreifen sollen, statische IP Adressen haben. Das ist beim Heimanwendern natürlich praktisch nie der Fall. In Firmennetzen kann man sowas schon eher realisieren, deswegen hat die Option in einem solchen Kontext schon ihren Sinn.

Zitat von nasferatu

[...] vorsichtig gesagt finde ich das Verhalten von Qnap in dem Punkt suboptimal. Ich kann mir nur schwer vorstellen, dass da noch keiner näheres wissen will. Ich kann mir nicht vorstellen, dass die keine Securityexperten haben, die nicht wissen, die man so einen Einfallsvektor rauskriegt. [...]

Das sehe ich genauso.

Ein Erklärungsansatz kann hier die Produktphilosophie, bzw. die zum Teil anvisierte Kundengruppe sein. Es geht auch bei QNAP sehr stark in Richung Online-Dienste / Cloud. Komfortabel UND sicher lässt sich das aber eben nur schlecht bis gar nicht zum SOHO Anwender transportieren. Demnach scheint man bereit zu sein, zugunsten der komfortablen "UPnP Autokonfig" ein Stück weit die Sicherheit zu opfern. Die mögliche Folge: NAS -> Offen -> Internet -> Owned.

Nun hat QNAP sicher kein gesteigertes Interesse daran, auch nur eine Silbe zu viel zum Thema "Sicherheit / Angriffe / Ursachen" zu verlieren.

Ihre Marketing-Abteilung können sie sonst direkt dicht machen.

So betrachtet verwundert es mich nicht, dass man von offizieller Seite wenig bis gar nichts mitbekommt.

Dieser Erklärungsansatz ist übrigens nicht auf meinem Mist gewachsen, den habe ich im "großen" Forum aufgeschnappt - siehe dazu auch den interessanten Link von FSC830.

Ich stimme FSC830 zu, dass es off-topic wird und möchte auch kein neues Fass aufmachen - trotzdem passt es gerade ganz gut zum Thema hier, denke ich.