Brute-Force-Angriff erfolgreich oder nicht? Bitte um Hilfe!

Um das ganze hier nochmal abzuschließen, vielleicht noch drei direkte Fragen mit der bitte um konstruktives Feedback.

Ich habe verstanden, dass eure klare Empfehlung ist, das NAS nicht direkt ans Netz zu stecken, sondern über einen VPN Zugang idealerweise im Router ins Netzwerk zu realisieren. (Wie vorab schon geschrieben, kann ich das aus bestimmten Gründen nicht so einfach umsetzten und es ist nicht meine oder die Faulheit der Nutzer).

1.) Da das ja auch eine Kostenfrage ist, bzw. eine weitere Hardware, habt Ihr Empfehlungen für einen Router auf dem ich VPN für mehrere User, idealerweise mit einer openLDAP Anbindung realisieren kann? (Mein kleiner Cisco Router hat zwar Open WRT ich kenne jedoch kein Plugin was so etwas ermöglichen würde).

2.) Als zweites, wenn man jetzt in dieser Lage ist und das NAS (unvernünftiger Weise) am Netz lässt, was wären die Tips die Ihr mir geben würdet, wenn man mind. QMail, QFile und mind. den Webservice nutzen will: (So wie ich dich dolbyman verstehe nutzt du doch auch PLEX, das ist doch auch Web Port 80 oder?

2a.) Was kann ich neben, "admin" deaktivieren, alles immer Top aktuell halten noch machen, um es sicherer zu machen. dolbyman, du redest ja auch von Geoblocking, wie setzte ich das um?

2b.) Welche Q-Apps, Dienste bzw. Ports sind aus euer Sicht besonders kritisch?

3.) Wie kritisch seht Ihr die Umsetzung des VPNs über die QVPN Server Funktion, und welches VPN Protokoll wäre hier das "sicherste" bzw. beste Protokoll (PPTP jawohl nicht oder?). Das setzt natürlich das Portforwarding für VPN voraus.

Grüße und danke nochmal an alle für das Feedback (auch schon bis dato)

1) Ich nehm privat nen Asus 86U mit Merlin FW ich hab privat keinen LDAP und/oder so viele User das ich die net per Hand vergeben könnte. Grad mal geschaut .. also ich seh für keinen VPN Server (PPTP,OVPN,IPSEC) ne LDAP Authentifizierung.

2) Ich nutze Plex nur via VPN, Plex hat normalerweise Port 32400 aber selbst den setzte ich nicht dem Internet aus.

2a) Geoblocking ist bei all den wilden Botnets nicht wirklich sinnvoll, ne UTM (mit web APP Firewall) oder ein reverse Proxy könnte man nehmen.

2b) Alle die NICHT in einem Container laufen. (Also QVR Pro,Notes Station,etc)

3. OpenVPN .. hab ich auf dem QNAP noch nie probiert.. so weit will ich den Traffic erst gar nicht ans NAS drankommen lassen.

Zitat von dolbyman

1) Ich nehm privat nen Asus 86U mit Merlin FW ich hab privat keinen LDAP und/oder so viele User das ich die net per Hand vergeben könnte. Grad mal geschaut .. also ich seh für keinen VPN Server (PPTP,OVPN,IPSEC) ne LDAP Authentifizierung.

Danke dolbyman, also ich habe da auch nur 12 User, habe aber mit LDAP eine Userbasis z.B. beim Wiki, bei einigen anderen WEB Anwendungen und wenn ich die jetzt nötige Ihr psw regelmäßig zu ändern wird das bei dem manuellen VPN Usern im Router über kurz oder lang schiefgehen, auch das ist ja das Charmante an dem QNAP. Also ich hoffe nicht, dass ich mich hier bald wieder melden muss, weil ich nicht mehr in mein NAS komme. Habe die Systeme aber wie gesagt so schon ~ 3 Jahre am Laufen und muss mir vielleicht in der näheren Zukunft was Sicheres zulegen.

Zitat von arminwedler

...und wenn ich die jetzt nötige Ihr psw regelmäßig zu ändern wird das bei dem manuellen VPN Usern im Router über kurz oder lang schiefgehen, auch das ist ja das Charmante an dem QNAP.

Das ist leider die Krux: Sicherheit ist meist nie komfortabel!

Und weil es eben so schön "charmant" scheint, vergisst man, das es nur eine halbseidene Lösung ist.

Frag doch Deine User mal, wer das Haus verläßt, die Tür aber offen stehen läßt?

Ich schätze, das Ergebnis wird gegen Null gehen .

So ähnlich ist das mit VPN, das ist sozusagen die Tür mit Sicherheitsschloß und Sperrriegel.

Klar kann das auch geknackt werden, aber die Hürden sind wesentlich höher, als wenn ich durch die offene Tür spaziere.

Und openVPN auf dem NAS ist ungefähr so, wie die Tür nur zuziehen, aber nicht abschliessen. Es ist schwerer (auf das NAS zu kommen), aber nur halbherzig.

Gruss

VPN Router mit geringen Kosten, aber ein wenig eigen zu konfigurieren, Miktrotik HEX.

Kennwörter dauernd zu ändern ist von gestern und nicht sicher!

Dann hast hinterher Zettel unter der Tastatur oder am Bildschirm.

Lieber gescheite Kennwörter, also über 12 besser 16 Zeichen, Buchstaben Zahlen Sonderzeichen.

Gar nicht so schwer da was gescheites zu finden.

Wenn dabei Worte leicht abgewandelt werden das die in keinem Wörterbuch mehr stehen und nicht e durch 3 ersetzt wird usw. kannst die nur noch brutforcen.

Würde aber für mehrere User da openVPN sehen die du per Profil und mit Zertifikat leicht sicher verwalten kannst.

Ja das kostet dann ein wenig Geld für ne Firma, ist aber stand der Technik und damit muss man auffahren.

Wenn dann doch was passiert und du das alles vorweisen kannst, bekommst nen blaues Auge aber stehst nicht unter dem Dampfhammer.

Ich meine hier sind Privatpersonen die sich eine Sense in Rack stellen und damit besser aufgestellt sind als unser deutsche Mittelstand.

Ok, Danke Jungs nochmal, habe jetzt ein wenig gegoogelt und hier doch eine Lösung evtl. gefunden, auf meinem kleinen Cisco Router, der ja wie gesagt schon als Client eine OpenVPN Verbindung in die andere Filiale aufbaut, diesen gleichzeitig als OpenVPN Server zu konfigurieren.

https://openwrt.org/docs/guide…ervices/vpn/server_client

Das werde ich dann mal Nachts irgendwann probieren einzurichten, aber das Problem den Webserver nur per VPN bzw. auch die anderen Dienste zu erreichen limitiert die Arbeitsweise schon.

Ich meine, mal so brutal gefragt, einen Webserver zu Hause zu betreiben ist dann laut eurer Aussage ja nicht möglich. Seht ihr "Synology" eigentlich in irgend einer Form als sicherer an?

Zitat von arminwedler

Seht ihr "Synology" eigentlich in irgend einer Form als sicherer an?

Ich setze privat mittlerweile nur noch Synology ein. Im Syno Forum ist es zwecks gehackter NAS ruhig. Klar kommt es auch da vor. Ist deswegen Syno sicherer ? Mag sein. Aber auch die Syno-NASen sollte man nicht direkt dem I-Net aussetzen. Es gilt immer die Regel: Sicherheit zuerst.

Zitat von arminwedler

einen Webserver zu Hause zu betreiben ist dann laut eurer Aussage ja nicht möglich. Seht ihr "Synology" eigentlich in irgend einer Form als sicherer an?

Nein.

Das Problem das Syno und QNAP haben ist, eine Aktualisierung findet über ein Firmware-Update statt.

Gerade beim Apache, ist das oft nicht Stand der Dinge (nicht aktuell).

Wenn ich so etwas zu Hause realisieren will, würde ich auf eine Linux-, Unixdistribution setzen. Das Ganze hinter einer Firewall, den Webserver in eine DMZ und gut.

Liebe Kollegen, ich habe jetzt einige eurer Vorschläge umgesetzt, ich habe mir einen Miktrotik HEXPoE (Danke an Crazyhorse) zugelegt, von dem baue ich meinen VPN Tunnel zu meinem festen IP Anbieter auf und habe darauf jetzt einen VPN-Server installiert. Ich muss wirklich sagen, die RouterOS Oberfläche bietet eine menge Möglichkeiten und ist sicher auch eine erheblich komfortablere Variante als das OpenWRT auf meinem alten Cisco Router (den ich hier absolut nicht diskreditieren will, da er mir ~ 7 Jahre gute Dienste geleistet hat). Da ich jetzt natürlich mit dem Connection Viewer und auch mit dem Logging Tool im RouterOS viel mehr aus meinem Netz mit bekomme, mache ich mir auch gleich wieder neue Sorgen. Warum baut mein NAS denn ettliche Verbindung z.B. zu der Amazon IPS auf? Hat QNAP oder QApps hier seine Updateserver? Nach wie vor habe ich keine Probleme mit meinem NAS, bin aber natürlich sehr vorsichtig und möchte unter keinen Umständen da MalWare drauf haben. Da jetzt ja keiner mehr von außen drauf kommt, kann also, wenn dann nur noch was vorhanden sein was von innen nach außen funkt.

Dazu habe ich den Betrag von dr_mike Wie sinnvoll ist ein DOM-Recovery bei einem Malware-Befall verfolgt. Ein FW update gemacht und unter

/tmp/config/

geschaut, da liegt keine

autorun.sh

Mein crontab -l sieht auch nach wie vor sauber aus, da kann man doch eigentlich beruhigt sein, oder was sagen die Profis?

Aus Angst der vielen auswärtigen Verbindungen habe ich erst mal dem NAS das Internet verboten, aber so gehts ja auf Dauer auch nicht.

Wie sehe ich eigentlich ob so eine BitCoin Miner durch diese bekannte Schwachstelle drauf wäre?

Nur unter /tmp/config/ schauen nutzt nichts. Vorher muss schon erst die Konfigurationspartition des Flash dort gemountet werden.

Um nur zu schauen kann man auch über die Weboberfläche gehen.

pasted-from-clipboard.png

Wenn du nie etwas mit der autorun.sh zu tun hattest, sollte diese leer sein und der Haken bei "Benutzerdefinierte Prozesse beim Start ausführen" nicht sitzen.

Genau das ist auch der Fall, ich hatte nie den Bedarf und der Haken ist nicht gesetzt. Ich habe aber auch über die shell in dem Ordner geschaut, muss ich da noch mehr beachten? https://wiki.qnap.com/wiki/Run…wn_Application_at_Startup

Wie mounte ich bei meinem 251+ genau den Flash?

mount $(/sbin/hal_app --get_boot_pd port_id=0)6 /tmp/config

Ist doch nicht richtig für mein NAS oder?

Bei der 259+ (x86) müsste es mount -t ext2 /dev/sdx6 /tmp/config sein.

"mount: special device /dev/sdx6 does not exist"

evtl. sdd6?

Das x musst Du natürlich durch den passenden Buchstaben ersetzen.

Bei einem 2-bay NAS entweder sda oder sdb.

Gruss

Sorry das ich mich da so dämlich anstelle, aber ich habe im DEV Ordner nur sda5, oder sdb5, oder sdc2, oder sdd6 ?

mount: special device /dev/sdb6 does not exist
mount: special device /dev/sda6 does not exist

Sorry ist glaube ich mein Fehler, ich habe ein TS-251+, war in meinem Profil falsch eingetragen!

Zitat von frosch2

Das Problem das Syno und QNAP haben ist, eine Aktualisierung findet über ein Firmware-Update statt.

Synology gliedert die ganzen Apps aber in eigenständige Module aus.

Dadurch ist ein Patch wesentlich schneller für das jeweilige Modul gemacht, weil es eben nicht das ganze DSM betrifft.

Sorry, aber könnte mir nochmal jemand kurz helfen welchen Bereich ich zu mounten habe um die autorun.sh zu überprüfen? Diesmal bei einem 251+... Entschuldigt die Verwirrung.

Um was gehts denn? Die autorun.sh kannst auch über die GUI angucken.

Was anderes bekommst über die CLI auch nicht zu Gesicht.

Genau darum geht es, wenn ich über die WebGUI eine leere bzw. kein autorun.sh habe, gibt es auch nicht das "Problem" irgendwo noch eine weitere autorun.sh habe, richtig?

https://wiki.qnap.com/wiki/Run…wn_Application_at_Startup

Eine andere autorun.sh ist mir nicht bekannt.

Und ob die über CLI oder GUI anguckst macht keinen Unterschied.