IP richtig blocken?

Ich möchte da jetzt Crazyhorse nicht vorgreifen, aber ich denke die Richtung hat er dir bereits vorgegeben:

Zitat von Crazyhorse

Eine kleine Netgate kostet etwas über 200€, kann aber ganz andere Dinge wie ne Fritz, was Firewalling, VPN und auch DNS angeht.

Für die pfSense gibts für so ziemlich alles eine Anleitung.

Damit kann man dann, mit einem gewissen Grundverständnis für die Themen starten und was gescheites aufbauen.

Ich kann mir aber nicht vorstellen, dass du hier jetzt für lau eine professionelle Beratung für deine IT-Landschaft bekommst …

Wenn du selber keine Zeit hast, dich damit auseinander zu setzen, darfst du nicht erwarten, dass sich da eine Privatperson ein fertiges Konzept für deine Firma überlegt.

Auch auf die Gefahr hin, dass solche Aussagen nicht jedem gefallen, es gibt nicht alles umsonst. Das weiß einen Firmeninhaber sicher auch.

Ich schätze die Expertise von Crazyhorse, die er hier einbringt wirklich sehr. Aber ich kann doch nicht ernsthaft als Firma Unterstützung bei einem öffentlichen Forum von und für Privatanwender erwarten (auch wenn du hier Tipps bekommen wirst).

Privatanwendungen auf einer privaten NAS sind schon was anderes als Firmendaten, die der DSGVO unterliegen und für die DU haftest!

Nehmen wir als Beispiel mal meine pfSense.

Die Blockt alles, außer den Zugriff auf die Web-GUI per default, damit man sich nicht aussperrt und immer über das LAN interface drauf kommt.

Ich habe hier 10 VLAN angelegt, Clients sind zur Zeit in 6-7.

Gast, IoT, Kamera, Türsystem, PV/Haustechnik, TK-DMZ, TS-DMZ, VM-DMZ.

Da eine Firewall ein Layer 3 Device darstellt, blockt diese nur auf diesem Layer und das bedeutet, alles was im gleichen L2 Netz ist, wird von ihr nicht beinflusst.

Damit ergibt sich in einem Sammelnetz auch keine Sicherheit, denn fängt sich die Smart Lampe was ein, geht es von da zum Drucker, zum PC, zum NAS usw.

Aus dem Grund wird auch gern nach Geräteklasse ein Netz separiert.

Kameras werden aktiv vom NAS angesprochen, hier reicht also eine Regel die dem NAS oder das inter LAN Richtung Kamera DMZ berechtigt.

Kamaras selber benötigen keine Zugriff in dieses Netz.

Da meine pfSense Gateway und auch gleich NTP sowie DNS für alle Netz bereitstellt, bekommen die hier alles was die brauchen.

Der Vorschlag den du meinst war, allen Datenverkehr für dein QCenter durch ein VPN zu führen und damit zu sichern.

Da sich bei einer Firewall auch hier über eine Regel ganz geziehlt steuern lässt, wer zu dem verbinden darf, ist auch einfach einschränkbar und damit maximal sicher. So darf ich zwar in das LAN bei meinen Eltern, da ich die mit administriere, jedoch darf umgekehrt nur das Backup NAS auf den RTRR Port meines NAS verbinden zwecks Sicherung.

Sobald du einen Port vom Internet auf das NAS weiter leitest, auf dem Firmendaten und damit sicherlich auch Daten im bereich DSGVO liegen, wird es kritisch.

Würde ich nicht machen um 200€ zu sparen.

Je nach Leistung und Funktion die man einsetzen möchte, kommt die SG-1100 an ihre Grenzen, Internet ist da zwar auch 500Mbit möglich, aber wenn man ein IDS/IPS einsetzt, wird der RAM zum Problem.

Hier müsste das größere Modell ran, die SG-3100, die geht dann aber auch beim VPN noch mal anders zur sache.

Auf der HP findest du eine Grafik die zeigt, welche Datenraten die Kisten in der Praxis schaffen, einmal iperf, das ist reiner Durchsatz und dann wenn man die Session ausnutzt und mixed Daten durch feuert.

Aber Vorsicht, die Werte da gelten für 10000 Zugriffslisten, das bedeutet, die Daten durchlaufen im schlimmsten Fall erst mal 9999 Regeln bevor die letzte greift und diese durchlässt.

Das musst du erst mal schaffen so viele Sinnvolle Regeln an zu legen.

Wir haben auf der dicken in der Firma 2,5-3k ACLs drauf, aber da brauchst auch ein wenig um da durch zu blicken, wenn das erst mal reinschaust fällst einfach vom Stuhl.

Ich habe hier 28 Gloabel Regeln und 4 auf dem WAN zwecks NAT, das reicht schon für ein hohes Maß an Sicherheit aus.

Zudem kann man hier einen Geoblocker einfach nutzen, denn mir reicht es wenn meine System maximal aus DE und den Nachbarn erreichbar sind, aus RU, Asien, US muss da keiner drauf.

Das Teil ist halt ein ein Multitool fürs Netzwerk und läuft dazu mega schnell und stabil.

Nachteil, es ist kein Modem dabei, das wird bei solchen Kisten immer extern benötigt.

Ich habe hier ein Cabel Modem im Rack liegen und dahinter meine Netgate und dann rennt es.

Alleine das ich auf der Firewall einen DNS Resolver laufen lasse der häuftig genutzte Seiten immer aktuell hält ist schon mal eine gute Zeiteinsparung, da ich nicht lange auf die Antwort vom Provider DNS warten muss. Das sind zwar nur 10-20ms pro Abfrage, aber das merkt man beim Seitenaufbau, der geht deutlich schneller.

Zudem kann man intern DNS Einträge pflegen und verwalten die sauber aufgelöst werden können, das geht bei einer Fritz auch nicht.

Sehr geil ist auch die Funktion eine Alias als DNS Eintrag an zu legen und zu berechtigen.

So gebe ich z.B. einen Dienst mit URL frei und egal welche IP sich dann dahinter versteckt, der Client hat darauf Zugriff.

Denn da im großen weiten Internet wird gern mal umgebaut und dann kommen neue Server hinzu oder es entfallen welche.

Ne eigene Zertifikats Verwaltung ist auch dabei, so das man mit wenig Aufwand auch sauber inter mit https arbeiten kann.

Das muss jetzt erstmal reichen, denn Netgate hat eine sehr gute Community und sehr gute Dokumentation, die sollte man sich mal anschauen und dann bekommt man einen noch besseren Eindruck was so ein Teil alles kann.

Kannst dir auch erstmal die VM fürs NAS laden und ein wenig spielen und dir die Firewall anschauen, bevor du was kaufst.

https://www.qnap.com/de-de/how…em-qnap-nas-installieren/

SG-3100 gleich, die Kist hat richtig Druck, für meine 400/40 Leitung reicht das SG-1100 noch locker aus. Nur Snort kann ich hier nicht voll nutzen, da ist zu wenig RAM dabei.

Aber von der Leistung her ist das sicherlich eine gute Wahl, denn die Kist kann was, 2+ Gbit Durchsatz und 450Mbit im VPN, da kannst auch ne schicke Gbit Leitung mit Ausreizen.

Zitat von Wizzardking

Primär werden die NAS nur für die Videoüberwachung benötigt und diese schaue ich nur begrenzt als Sensibel an, da kein Hacker einen produktiven oder finanziellen Nutzen dadurch erzielen kann.

Was hat denn DSGVO damit zu tun, was Du als sensibel ansiehst? Und seit wann fragt die DSGVO, ob ein Hacker produktiven oder finanziellen Nutzen auf Deinen NAS erzielen kann?

Ich habe die DSGVO so verstanden, ob dort persönliche Informationen zu finden sind, z.B. ob auf dort einsehbaren Videos auch Personen erkennbar sind. Wenn also Deine Kameras automatisch erkennen, dass eine Person ins Bild gerät, und diese Bildinformation soweit verpixelt, dass diese nicht mehr erkennbar ist, bevor sie so verpixelte Bilder an ein NAS weiter reicht, dann dürfte auch eine Überprüfung nach DSGVO mit Deiner Einschätzung zufällig korrelieren. Die DSGVO greift dennoch, weil Du ja die Verfahrensbeschreibung benötigst, wie sichergestellt wird, dass keine Person erkennbar wird.

Zitat von Wizzardking

Die DSGVO ist in meinem Fall jedoch irrelevant, da ich Informationen, welche der DSGVO unterliegen, nicht auf den von mir gemanagten Servern speichere. Dies überlasse ich schon den Profis.

Was ist nun richtig, sind auf Deinen NAS Personen in Videos erkennbar, dann ist dieses zweite Zitat unzutreffend. Oder wie wird sichergestellt, dass keine Personen von den Kameras aufgezeichnet werden, oder nur bei Profis gespeichert werden? Und wie ist das mit dem überlassen an Profis gemeint? Bezieht sich dies auf die Speicherung oder auf die Wahrung der DSGVO? Wenn letzteres gemeint sei, wie soll dies denn möglich sein, weil die Verantwortung für die Einhaltung der DSGVO immer bei der Geschäftsleitung liegt und nicht ausgelagert werden kann. Externe Profis können dazu zu Hilfe genommen werden. Dies ist dann aber kein Überlassen, da die Verantwortung von Rechts wegen unverändert bei der Geschäftsleitung liegt.

Das ist ja schnell eskaliert.

Ich hatte das gleiche Problem. Hat sich rausgestellt, dass IP Adresse korrekt in der Liste eingetragen war, das aber nicht korrekt funktioniert hat mit der automatischen Blockierung. Soweit ich mich erinnere, war das ein Problem in der Firmware, das im nächsten Update behoben wurde. Es gab dazu im englischen Forum einen oder mehrere Threads.

"NAS gehört nicht ins Internet" kann ich verstehen, aber ist genau der Zweck der Sache um schnell mal eine Datei remote zu holen.

Ich nutze deshalb myqnapcloud und seit ich die 2-Faktor-Authetifizierung zum laufen gebracht habe, haben die Brutforce Angriffe aufgehört.

War nicht ganz einfach weil:

1. gab es ein Bug in der Firmware und

2. musste ich alle Geräte auf den selben Time Server konfigurieren, damit die nicht ein paar Sekunden auseinander waren. Da wir hier zu 90% auf Apple arbeiten hab ich das NAS auf time.europe.apple.com eingestellt - nach ein paar Stunden war es dann synchron.

Telnet, SSH, FTP, Webserver, Multimedia Console, HybridDesk Station, SQL Server, TFT, Radius, NTP ist alles deaktiviert.

Port-Forwarding für den Zugriff über myqnapcloud ist ein Angriffsvektor, aber mit der 2-Faktor-Authetifizierung sollte das kein großes Risiko sein.

VPN ist mit dem Modem vom Internet Provider zwar möglich, aber mangels vollen Zugriff auf das Modem bin ich mir über die Sicherheit auch nicht ganz im Klaren.

Haben die Experten hier vielleicht Tipps, ob die Konfiguration sicher genug ist, oder ob ich da was ernsthaftes übersehe?

Vielen Dank!

2 faktor bingt gar nix wenns nen 0day exploit gibt ..geht dann direkt vorbei

vpn geht zur not auch auf dem qnap ..oder halt auf nem extra system (firewall oder vpn server)

Zitat von conte0815

Ich nutze deshalb myqnapcloud und seit ich die 2-Faktor-Authetifizierung zum laufen gebracht habe, haben die Brutforce Angriffe aufgehört.

Der Aussage kann ich nicht folgen und die wird wahrscheinlich auch so nicht stimmen. Es ist ja nicht so, dass ein Angreifer bereits "vom Weiten" erkennt; hinter der IP sitzt ein Gerät mit 2 - Faktor- Authorisierung und sich dann denkt, hier versuche ich es erst gar nicht. Vielmehr wird QNAP die Einlogversuche nicht mehr erfassen, weil sie von der Sicherheit ihres Systems überzeugt sind. Oder du hast das Protokoll nicht mehr aktiv.

Ich muss aber auch sagen, dass bei mir die Zugriffsversuche extrem nachgelassen haben.

Oder die sind schon drin, denn macht die gute Malware hinter sich die Tür zu und schaut durch das Schlüsselloch und zieht darüber weitere Infos ran.

Wenn wirklich ein Modem da ist, ist doch schon mal alles vorhanden was man benötigt um eine richtige Firewall dahinter zu klemmen.

Die passende Hardware kann dann auch so viel Power im VPN bereitstellen, das du den Provider wechseln müsstest um den Upload überhaupt buchen zu können.

Zitat von conte0815

2. musste ich alle Geräte auf den selben Time Server konfigurieren, damit die nicht ein paar Sekunden auseinander waren. Da wir hier zu 90% auf Apple arbeiten hab ich das NAS auf time.europe.apple.com eingestellt - nach ein paar Stunden war es dann synchron.

Dies ist nicht notwendig. Richtig ist, dass alle Geräte weniger als eine Minute auseinander laufen dürfen.

Sicherlich kann man dazu einem Zeitserver einer privaten Firma sein Vertrauen schenken, wie z.B. Apple. Ich bevorzuge wahlweise einen öffentlichen Pool an Zeitservern mit bekannter Präzision oder einer kleinen Gruppe an öffentlichen Zeitservern meiner Region mit bekannter Präzision. Und dazu stelle ich nicht jedes meiner Geräte auf diese Gruppe ein, sondern den jeweiligen Internetzugangspunkt (Router). Alle Geräte dahinter habe ich dann auf den Router des jeweiligen Standortes als Referenz gestellt, da die Nutzungsbedingungen der öffentlichen Zeitserver nicht jedes Gerät anfragen lassen wollen, sondern hier eine Begrenzung mit der Empfehlung eines Gerätes je Standort bestimmen. Nur bei Geräten, die gerade nicht an einem Standort sind, und sich über das Telefonnetz oder einen HotSpot ins Internet einwählen, benötigen dann noch externe Zeitquellen.

Zitat von conte0815

NTP ist alles deaktiviert.

Und wie hast Du dann die Geräteuhr des NAS synchronisiert, wenn Du NTP (Client und Server) deaktiviert hast?

Ja, mir sind Alternativen bekannt. Aber NTP is fast auf allen Geräten verfügbar und (bislang) ausreichend für meine Bedürfnisse.

Zitat von conte0815

ist genau der Zweck der Sache um schnell mal eine Datei remote zu holen.

Muss halt jeder NAS-Verantwortliche selbst entscheiden, welches Vertrauen er in das Qualitätsmanagement des NAS-Herstellers setzt, dass er aus einem Netzwerkspeicher (NAS) einen Internetspeicher macht. Also mein Internetanbieter hat auch im Grundpreis des Internetzugangs bereits Speicher bei sich im Internet inklusive. Und sein Internetrouter bei mir hat auch nochmal Speicher parat. Die Daten beim Internetanbieter sind mit Zugriffsschutz. Ob sie von einem NAS oder einem anderen Gerät dorthin repliziert werden, ist egal, und benötigt keine Freigabe vom Internet in mein privates Netzwerk. Und wenn dies nicht reicht, so habe ich noch weitere Netzwerkspeicher im Internet, ohne meine NAS freigeben zu müssen. Nutze aber solche Netzwerkspeicher im Internet kaum. Wie oft kommt es denn bei Dir vor, dass Du tatsächlich eine Datei remote über das Internet von Deinem NAS holst?

Zitat von dolbyman

2 faktor bingt gar nix wenns nen 0day exploit gibt ..geht dann direkt vorbei

vpn geht zur not auch auf dem qnap ..oder halt auf nem extra system (firewall oder vpn server)

Das stimmt natürlich. Schau mir auch gerade an, wie ich VPN vernünftig lösen könnte. Bringt aber alles nicht viel, wenn das Modem vom Provider nicht sicher ist - dann wäre der Angreifer ja schon im LAN. Da werde ich um eine Firewall-Lösung also nicht rum kommen.

Zitat von phoneo

Der Aussage kann ich nicht folgen und die wird wahrscheinlich auch so nicht stimmen. Es ist ja nicht so, dass ein Angreifer bereits "vom Weiten" erkennt; hinter der IP sitzt ein Gerät mit 2 - Faktor- Authorisierung und sich dann denkt, hier versuche ich es erst gar nicht. Vielmehr wird QNAP die Einlogversuche nicht mehr erfassen, weil sie von der Sicherheit ihres Systems überzeugt sind. Oder du hast das Protokoll nicht mehr aktiv.

Stimmt auch. Sieht der ja erst, wenn das Passwort stimmen würde. Denkfehler von mir.

Zitat von janste

Ich muss aber auch sagen, dass bei mir die Zugriffsversuche extrem nachgelassen haben.

Ja, bei mir auch.

Zitat von Crazyhorse

Wenn wirklich ein Modem da ist, ist doch schon mal alles vorhanden was man benötigt um eine richtige Firewall dahinter zu klemmen.

Die passende Hardware kann dann auch so viel Power im VPN bereitstellen, das du den Provider wechseln müsstest um den Upload überhaupt buchen zu können.

Muss ich mir anschauen.

Zitat von chef1

Und wie hast Du dann die Geräteuhr des NAS synchronisiert, wenn Du NTP (Client und Server) deaktiviert hast?

Ich meinte, die Services die das NAS zur Verfügung stellen würde sind deaktiviert. Dass die 2-Faktor-Authentifizierung nicht geklappt hat, war aber tatsächlich ein Problem, weil die Uhrzeiten ein paar Minuten auseiander waren. Erst als ich die selben Zeitserver und den update Intervall auf 7 h gelegt habe, waren die synchron. Der open source Zeitserver der da zuerst eingestellt war, war auch nach einem Update immer schon ein paar Sekunden hinten. Vielleicht wegen der Laufzeit?

Zitat von chef1

Wie oft kommt es denn bei Dir vor, dass Du tatsächlich eine Datei remote über das Internet von Deinem NAS holst?

Das kommt nicht besonders oft vor. Aber die Datenmenge ist dann schnell sehr groß. Wenn ich das alles "auf Verdacht" synchron halten würde, geht mir der Speicher auf Notebook & Co aus. Brauch ich was auf die Schnelle unterwegs, bleibt mir nicht viel anderes über.

Zitat von conte0815

Erst als ich die selben Zeitserver und den update Intervall auf 7 h gelegt habe, waren die synchron. Der open source Zeitserver der da zuerst eingestellt war, war auch nach einem Update immer schon ein paar Sekunden hinten. Vielleicht wegen der Laufzeit?

NTP ist Open Source, also ein Zeitdienst. Aber ich vermute mit open source Zeitserver meintest Du was anderes. Dafür gibt es öffentliche Zeitserver in einem (NTP-) Pool mit geografischer Gliederung. Z.T. sind auch die Nutzungsbedingungen in öffentlichen Übersichten aufgeführt, so dass bei der Wahl geeigeneter Server oder Teilpools sowohl rechtliche als auch Genauigkeitskriterien herangezogen werden können. Und ntp berücksichtigt bereits Laufzeiten und andere Latenzen. Und für verschlüsselte Kommunikation reicht m.W. bereits eine Ungenauigkeit auf 1 Minute aus, obwohl mit ntp eine Größenordnung der Genauigkeit von ms oder auch rund ein Zehntel davon erreichbar sein sollten.