Post von der Telekom ( T-COM)

  • Hatte ich ja schon lange nicht mehr.....


  • Ich finde man kann dankbar sein, wenn der Internetprovider so freundlich ist und seine Kunden auf nicht- oder schlecht administrierte Server aufmerksam macht. Ehe man sich versieht, ist man sonst Teil einer Botfarm wie hier oder man darf sich damit auseinandersetzen, wie man seine Daten wieder entschlüsselt bekommt. Siehe hier. Beides aktuelle Themen...


    Nachtrag:

    Sollte es wirklich so sein, dass sich die QNAP Firmware für Dienste die der Admin freischaltet, per UPnP automastisch eine unverschlüsselte Verbindung aufbaut, dann wäre das auch eine zu bemängelnde Eigenschaft der Firmware. Diese Sicherheitsschwäche müsste schnellstmöglich beseitigt werden.

    2 Mal editiert, zuletzt von phoneo ()

  • Die T-COM erlaubt es ja auch eigentlich nicht, an IHREM Anschluss einen Server zu betreiben.


    Wozu habe ich ein NAS, wenn ich nicht von Unterwegs einen Zugriff habe ?


    Zur Zeit sind bei mir die Ports:

    21, 80, 139, 445, 587 und 631 intern offen.

    Port 631 bekommt man nicht abgeschaltet.

    Wozu Internet Printing Protocol ( 631 )

  • Entweder hast du meine Bemerkung nicht verstanden oder ich deinen Witz nicht, dr_mike .:P


    Nähern wir uns doch zuerst sachlich an:

    Ist es etwa so, dass QTS den Admin darauf aufmerksam macht, dass es gerade eine unverschlüsselte Verbindungsmöglichkeit ins Internet freischaltet?

    Wäre es der Sicherheit wegen nicht sinnvoll für Portfreigaben per UPnP generell nur Portfreigaben für verschlüsselte Verbindungen zuzulassen?

  • Wozu habe ich ein NAS, wenn ich nicht von Unterwegs einen Zugriff habe ?


    Es gibt viele Möglichkeiten von unterwegs aus auf das NAS zuzugreifen!

    Nur "einfach" die Dienste bzw. Ports offen ins Internet zu stellen ist eben die riskanteste.

    VPN wäre - wie gefühlte 182.374x im Forum erwähnt - die derzeit sicherste.

    Ja, man muss etwas konfigurationsarbeit im Router und den Clients durchführen, dafür ist man aber auch vor unerbetenen Gästen weitgehend sicher.


    Wie immer ist man hier auf die bunte Marketing Welt reingefallen, die suggeriert man kann mit dem NAS so eben alles machen, was sonst nur mit vernünftigen Servern geht.

    Zum Teil mag das stimmen, solange man innerhalb des LANs bleibt.


    Bei Zugriff von außen jedoch müssen zwangsläufig weitere Maßnahmen erfolgen, die fehlen aber in dem bunten Marketing Gedöns! 8)


    Gruss

  • Der Witz an der Sache ist, ich habe hier einen "Echten" Webserver stehen der auch aus dem Netz erreichbar ist.

    CentOs mit CPanel.


    Darüber hat sich die T-COM nicht beschwert.

    Ich habe auch die Portfreigaben explizit an der Fritzbox eingerichtet.


    Mal sehen, wie ich den TS-131P hinter der Fritzbox getunnelt bekomme.


    Nachtrag: Hierhabe ich eine Anleitung gesehen da ich VPN sonst nie benutze muss ich mich auch erst einmal schlau machen

  • Wozu habe ich ein NAS, wenn ich nicht von Unterwegs einen Zugriff habe ?

    Um Daten zu speichern vielleicht? SCNR


    Es ist nicht Aufgabe eines NAS, vom Internet aus erreichbar zu sein.

    Dafür gibt es andere Systemtypen wie z.B. Webserver oder VPN-Gateways.

    Mein NAS ist für mich nicht von unterwegs erreichbar, und wowereit.

    Seinen seinen Zweck erfüllt es auch so.

    Ich finde man kann dankbar sein, wenn der Internetprovider so freundlich ist und seine Kunden auf nicht- oder schlecht administrierte Server aufmerksam macht.

    Grundsätzlich Zustimmung. Aber es wäre doch interessant zu erfahren, was genau die T-Com denn da nun zu bemängeln hat. Ein offener Port 8080, auf dem ein Webserver läuft, ist ja nun per se noch kein Sicherheitsproblem. Haben die so tief gescannt, dass sie festgestellt haben, dass da ein Login-Fenster kommt, das die Anmeldedaten unverschlüsselt übermittelt? Oder gar dass das die Admin-Oberfläche eines QNAP NAS mit verwundbarer QTS-Version ist? Alles denkbar, aber dann sollten sie es doch bitte auch in der Warn-Mail mitteilen.

    Einmal editiert, zuletzt von tgsbn () aus folgendem Grund: Offenbar darf man keine zwei getrennten Kommentare zu zwei verschiedenen Themen innerhalb des Threads verfassen. Also packe ich meine beiden Bemerkungen eben in einem Kommentar zusammen.

  • Ordentliches VPN GW hinstellen, dann merkst unterwegs nicht, dass du über VPN arbeitest.


    Gut der Ping ist minimal höher, aber das spielt beim Surfen keine große Rolle.

    Dafür komme ich auch Unterwegs mit 40Mbit an meine Daten ran und das mit über einen harten IPsec IKEv2 mit DH14, aes256 und sha256.

    Die Hardware muss das einfach können, dann merkt man das gar nicht.

  • Es reicht schon wenn die http Trafic sehen, das so eine Warnung raus geht.

    Da steht ja alles im Klartext drin, User Passwort usw.


    Inzwischen bekommt man ja bei https schon ein schlechtes Ranking wenn man nicht die neusten Verschlüsselungen anbietet.


    Daher ist der Hinweis verständlich.

  • Crazyhorse


    Hast du da eine Empfehlung für ein solches VPN Gateway?

    Benutze momentan den Raspberry Pi als VPN Server, aber der hat ja bekanntlich nicht den besten Datendurchsatz.

  • Wohl deswegen?

  • Aber es wäre doch interessant zu erfahren, was genau die T-Com denn da nun zu bemängeln hat.

    In der Tat, so ist es etwas schwierig abzuschätzen ob und was schon passiert sein könnte. Da könnte alles mögliche dabei sein.


    Sandmann2020

    Hast Du mal geprüft, ob Du Dir nicht schon etwas eingefangen hast? Vielleicht arbeitet Dein NAS schon für jemanden anderes.


    Ansonsten verweise ich wieder auf meinen Artikel:

    Security - Das NAS offen im Internet

    Habe keine Lust mehr alles 100x zu schreiben. :P

  • Dann sind zumindest keine Daten betroffen. Aber wenn das NAS betroffen sein sollte und es unbereinigt weiter verwendet wird...

  • @b_tob

    Ich selber nutze eine Netgate SG-1100, die ist schnell 500Mbit Firewall Durchsatz und verbraucht dabei 3,5W im Idel und das macht die die meiste Zeit.

    Meine Fritz die ich zuvor hatte, war deutlich langsamer und verbrauchte mehr Power.


    Hänger die Woche gerade wieder Abends im Hotel, da sich Pendeln bei 2-3h Fahrt pro Strecke nicht lohnen.

    1 Klick auf das WLAN Symbol, zweiter auf pfSense und ich bin im VPN.

    Komme an alles ran und das bisle Mehr an Laufzeit fällt nicht wirklich auf.