Website ohne port aufrufen geht nicht

Willkommen im QNAPclub.

Zitat von kos_ta

Natürlich gleich mit einem Problem wir sind ja nicht aus Spaß hier

Bist Du Dir da sicher, bei Deiner Konfiguration?

Da gibt es bereits interessantes Lesefutter für Dich. Löst noch nicht Deine Wünsche aber gibt Anregung für weitere Nebenbedingungen:

NAS offen im Internet

Zitat von kos_ta

Als Privatperson ne Fritzbox davor ist doch ok oder?

Firewall ist dabei , für ne Seite im privaten Bereich müsste es doch in Ordnung sein.

Du leitest ja Ports weiter .. also nix mit Firewall hier...

Gibt UTM Systeme die den Datenverkehr auf Exploits etc untersuchen können .... aber nicht die Fritz

Und du meinst Hacker/Bots unterscheiden ob die nen Privaten oder nen Firmen Server verschlüsseln ?

Am besten nen geunstigen Webspace anmieten, die kümmern sich dann um Updates.

Und falls der gehackt wird, sind nicht alle Daten im privaten NAS oder Netzwerk in Gefahr.

Und wenn man doch von außen auf das NAS will: nur per VPN!

Gruss

Na dann schnalle dich mal lieber an, denn es wurde vor Jahren schon vorgeführt, wie man über was System die VM Tools den Hypervisor darunter komplett übernehmen konnte.

War nicht einfach aber das hindert den Bösen ja nicht daran es zu versuchen und auch zu schaffen.

Hast du bei deinem Anbieter nicht ein paar MB Webspace dabei, ist doch bei vielen schon gleich mit inbegriffen.

Dann brauchst du dir das ganze verschlüsseltwerden nicht antun.

Wie gesagt .. das ist den Bots doch egal ob bei dir was zu "holen"gibt, da wird einfach alles verschlüsselt, ne Nachricht hinterlassen und auf Zahlung gehofft.. wie bei Viagra Spam .. wenn nur einer von 1000 zahlt.. hat es sich gelohnt

Ein reddit Post von vor knapp ner Woche:

https://www.reddit.com/r/qnap/comments/hgky78/qnap_hack/

Zitat von dolbyman

Wie gesagt .. das ist den Bots doch egal ob bei dir was zu "holen"gibt, da wird einfach alles verschlüsselt, ne Nachricht hinterlassen und auf Zahlung gehofft.. wie bei Viagra Spam .. wenn nur einer von 1000 zahlt.. hat es sich gelohnt

Ransomware ist nicht die einzige Option, wenn es nichts zu holen gäbe. Auch der Mißbrauch von Identitäten, oder die Resourcennutzung als Client in einem Botnetz um größere Firmen unter Druck zu setzen sind beliebte Alternativen. Damit kannst Du Dir auch eine Hausdurchsuchung samt Rechnerbeschlagnahmen durch die Polizei einhandeln. Wie Du die Polizei davon überzeugen willst, dass nichts zu holen sei, wenn diese beschließt, Deine Rechner zu beschlagnahmen und mitzunehmen, kann ich noch nicht erkennen. Lösen sich die Rechner etwa bei polizeilicher Beschlagnahme in Luft auf, damit diese nicht von der Polizei mitgenommen werden können?

Zitat von kos_ta

ist ja alles richtig..... trotzdem müssen Ports weitergeleitet werden.... die großen machen es auch nicht anders.

Da geht die Pakete auch über professionelle Firewalls.

Na klar kann man das, doch nur weil man es kann ist es nicht automatisch eine gute Idee.

Man kann auch von einer Brücke springen, ist aber auch keine gute Idee.

Man kann auch an einer Steilküste baden gehen, ist aber auch keine gute Idee.

Man kann auch auf der Autobahn bei voller Fahrt aus dem Auto ausstiegen, ist aber auch keine gute Idee.

Wie fit bist du, was die Wartung, Pflege und vor allem das security assessment angeht?

Untersuchst du deine eigenen System regelmäßig auf bekannt gewordene Lücken? Bewertest diese auf mögliche Angreifbarkeit und handelst entsprechend?

Wenn du das alles erfüllst, kannst du gefahrlos auch @home eine Seite auf deinem NAS hoste.

Wenn dir aber Tools wie openVAS nichts sagen, dann überlasse das doch besser jemandem der davon etwas versteht.

Zudem die Webserver im Profi Umfeld mindestens in einer DMZ stehen und nicht im normalen Home Network mit rum hängen.

Bei den richtig guten, ist da ein Software Defined Network dahinter und das Regelwerk inkl. Verhaltsschutz hängt an der VM.

Wenn also hier irgendwas passiert, was die VM normalerweise nicht macht, dann wird die gleich vom Host genommen, ins Lab verschoben und ein Admin schaut sich das ganz genau an.

Wir merken davon nur einen kurzen Aussetzer der Seit, weil gleich eine neue VM aus dem Snapshot davor an den Start geht.

Damit das alles läuft, musst aber ein paar Mil in die Hand nehmen und damit ist das erst was für Firmen in der Größe groß bis gigantisch umsetzbar.

Kannst ja mal bei IBM anrufen und fragen ob die dir fürs Heimnetz das Immune System anbieten wollen.

Zitat von kos_ta

ok..... bedeutet also .... es kann niemand auf einem nas eine Webseite betreiben. Wird nicht empfohlen bzw. davon abgeraten. Stimmt's?

So allgemein stimmt es nicht. Und eine Website betreiben und Dein spezifisches Setup sind auch zwei verschiedene Stiefel. Eine Art der Antwort hat Dennis bereits geschrieben. Eine andere Art fragt danach, welche Website Du für wen betreiben willst, um Optionen zu prüfen, in wie fern der Einsatz Deines NAS damit kombiniert werden kann, ohne gleich mit vielen Sicherheitsrisiken konfrontiert zu werden. Ebenfalls abhängig davon ist, wie sinnvoll ein Teil der Absicherung mit Deiner FritzBox oder überhaupt einer FritzBox erreicht werden kann.

Solange Du eine Website in Deinem Intranet betreiben willst, braucht es keine Freigaben auf dem Internetrouter, und fallen die entsprechenden Sicherheitsrisiken bereits weg.

Und wenn Du eine Website im Internet betreiben willst, sollte nicht Dein NAS zu Hause die Website betreiben. Da kannst Du Dein NAS bei Deinem Internet Service Provider oder einem anderen Webhoster im Rechenzentrum diesen Dienstleisters betreiben, wenn dieser ein solches NAS dafür erlaubt. Dein häusliches NAS könnte als Referenz dienen, das regelmäßig prüft, ob die offizielle Instanz im Internet noch immer Deinen Webcontent enthält, oder bereits von unberechtigten Dritten manipuliert wurde, so dass Du Deinen Referenzinhalt vielleicht erneut ins Internet aufspielen willst.

Dann gibt es noch den Fall von Multi-Site corporate network, bei dem die verschiedenen Standorte ihre Websites ebenfalls hinter VPN und Firewall betreiben, ohne Angebote für externe. Dies stellt je nach Art der Websites, der Nutzungsprofile, des Nutzer- und Datenumfangs dann schon höhere Anforderungen, wie Dennis bereits angerissen hat.

Erst wenn Du öffentliche Websites für Dritte von Deinem Netzwerk betreiben willst, kommt die höchste Stufe an Anforderungen, von denen Dennis ebenfalls eine einfache Variante aufgezeigt hat, mit nur einem ISP. Selbst die großen Konzerne betreiben ihre offiziellen, öffentlichen Websites in einem DMZ-Umfeld, meist ausgestaltet als Rechnerfarm, nicht im internen Intranet, und eventuell gespiegelt in verschiedenen Kontinenten, mit diversen Gateways für die Versorgung mit dynamischen und/oder personalisierten Daten.

Zitat von Crazyhorse

Wenn also hier irgendwas passiert, was die VM normalerweise nicht macht, dann wird die gleich vom Host genommen, ins Lab verschoben und ein Admin schaut sich das ganz genau an.

So professionell geht es nicht bei jedem Großkonzern zu, zumindest wenn es sich um interne Informationssysteme für eine Abteilung im Intranet handelt. Da habe ich auch schon erlebt, dass die Warnungen der Endpunktsicherheitssysteme über bis zu drei Monate unquittiert angezeigt werden, und auch eine eigene Anfrage beim Support nur zögerlich beantwortet wird, nicht entsprechend meinen Erwartungen, selbst bei Ausrüstern für kritische Systeme von kritischer Infrastruktur. Ich würde jetzt nicht vermuten, dass bei jenen Symptomen diese kritischen Systeme gefährdet seien, aber ein Datenabfluss zu nicht-autorisierten Dritten in Kopie würde mich nicht wundern.

Zitat von kos_ta

ist ja alles richtig..... trotzdem müssen Ports weitergeleitet werden.... die großen machen es auch nicht anders.

Zitat von frosch2

Da geht die Pakete auch über professionelle Firewalls.

Und selbst dann geht oft noch was schief. Jeden Tag liest man von korrumpierten Netzwerken und Diensten von Firmen von denen man glauben würde, die wissen schon wie es funktioniert.