Zugriffskontrolle und Ports

    Hallo,


    Ich bin recht neu wenn es um QNAP geht, habe aber Erfahrung mit anderen Plattformen. Ich befasse mich gerade mit externem Zugriff, Sicherheit und Zugriffskontrolle.

    Sehe ich das richtig, dass QNAP QTS, Qsync, der File Station und ev. noch anderen Anwendungen ein und den selben Port zuweist und ich zwar den Standardport ändern kann, aber den einzelnen Anwendungen keine unterschiedlichen Ports zuweisen kann?


    Heißt in weiterer folge, wenn ich Qsync über das Internet erreichen will und den Port dafür freigebe, ist auch QTS automatisch über das Internet erreichbar?

    Ich kann auch in der Firewall diese Anwendungen nicht getrennt ansprechen und die einzige Sicherheit die ich hier habe ist der Benutzerlogin bzw. eine 2FA oder umständlicherweise ein VPN?

    Habe ich Sicherheitsmechanismen in QTS übersehen oder gibt eine andere Möglichkeit das zu regeln?

    Das NAS niemals dem Internet ausetzen. Ist einfach zu unsicher programmiert.


    Zugriff von Aussen nur via VPN (Server auf Router oder Firewall)

    Zitat von OdinsAuge

    ... oder umständlicherweise ein VPN?

    Warum wir das immer als "umständlich" beschrieben? Ist es auch umständlich das Kfz oder die Haustür abzuschließen?

    Das kann man auch alles offen stehen lassen, aber das macht kaum jemand - komisch. Aber beim Netzwerk ist es immer umständlich :/.


    Gruss

    Will man das NAS als Webserver betreiben ist VPN halt keine Lösung.

    Auch wenn sich eine Cloud einrichten möchte und mehrere Nutzer mit Mobilgeräten darauf zugreifen will ist das VPN sehr umständlich.


    Die Tür abzuschließen ist nett, aber nicht wenn du ein Geschäft hast und niemand rein kann.

    Mit den entsprechenden Sicherheitsvorkehrungen alles kein Problem, ich war nur verwundert dass QNAP die nicht bietet.

    Sorry, aber das ist ehrlich gesagt naiv!

    Wenn Du einen Webserver - erst recht geschäftlich - betreiben willst, dann nimm eine vernünftige Lösung bei einem Hoster!

    Ein QNAP im eigenen LAN ist dafür definitv nicht geeignet, es sei denn, Du legst Wert auf ungebetene Besucher.

    Hier ist in den letzten Jahren viel zu viel passiert, als das ich nur ansatzweise auf diese Idee kommen würde.


    Aber lassen wir das, nicht meine Daten, nicht mein Risiko, nur meine Meinung!


    Gruss

    Deine Meinung ist auch legitim, da widerspreche ich dir nicht.

    Ich habe auch nicht behauptet dass ich tatsächlich mit dem QNAP ins Internet gehe. Mir gehts hier erstmal drum auszuloten was QNAP anbietet bzw. wie das System beworben wird und wie praxistauglich das ganze dann wirklich ist. Gut, die Metapher mit dem Geschäft war vielleicht nicht die richtige. Es gibt abseits vom geschäftlichen genug Use Cases bestimmte Dienste von außen erreichen zu wollen.


    Mit anderen Systemen ist es durchaus möglich z.B. einen ausreichend sicheren Webserver zu betreiben. Absolute Sicherheit gibt es sowieso nicht.

    Zitat von OdinsAuge

    Mit anderen Systemen ist es durchaus möglich z.B. einen ausreichend sicheren Webserver zu betreiben. Absolute Sicherheit gibt es sowieso nicht.

    Andere Systeme können auch Kaffee kochen :) sorry, der musste sein.

    Du hast halt ein NAS gekauft und keinen Webserver, ganz abgesehen davon, das der Serverbetrieb bei den meisten Providern immer noch in den ABG ausgeschlossen wird ;)


    Absolute Sicherheit gibt es in der Tat nicht, aber deswegen ein NAS "offen" ins Internet stellen ist das exakte Gegenteil von absoluter Sicherheit. (Mit Absicht übertrieben!)


    Zitat von FSC830

    Aber lassen wir das, nicht meine Daten,

    Wenns nur um die Daten des TE ginge, wärs mir auch absolut egal, doch zielen die meisten Angriffe eher auf Übernahme der Systeme, um sie Botnetzen hinzuzufügen.

    Zitat von mad99

    Du hast halt ein NAS gekauft und keinen Webserver

    Das meine ich mit dem was QNAP bewirbt und was im praktischen Einsatz Sinn macht. Und ein NAS ist mittlerweile auch mehr als nur noch ein einfaches NAS. Prinzipiell ist es ja egal ob es jetzt eine Linux-Maschine oder ein NAS ist. Geb ich den Webserver frei (oder etwas anderes) sind Protokolle und somit Angriffspunkte erstmal die selben. Wie es mit der Implementierung und Sicherheitslücken aussieht ist dann natürlich das nächste Thema. Synologys Geräte bieten auch einem Webserver und umfangreiche Sicherheitsmechaniken. Und auch sehr viele Anwender die Dienste abgesichert über das Internet nutzen.


    Zitat von mad99

    ganz abgesehen davon, das der Serverbetrieb bei den meisten Providern immer noch in den ABG ausgeschlossen wird

    Ich glaube das hält die wenigsten davon ab. Nicht umsonst ist DynDNS so ein großes Thema. Aber ist das tatsächlich so? Ich hatte noch keinen Provider bei dem das der Fall war.


    Zitat von mad99

    Absolute Sicherheit gibt es in der Tat nicht, aber deswegen ein NAS "offen" ins Internet stellen ist das exakte Gegenteil von absoluter Sicherheit. (Mit Absicht übertrieben!)

    Was ist für dich "offen"? Klar ein VPN ist nochmal ein Stückweit mehr Absicherung. Aber es macht schon mal einen Unterschied ob ich alle Ports öffne, das Managementinterface samt Diensten im Internet erreichbar ist oder nur ein speziellen Dienst, der keine Standardports nutzt und mit SSL-Zertifikat, Login und 2FA abgesichert ist. Dazu noch eine Firewall die einschränkt wer im LAN und von außen was erreichen darf.
    Reinkommen kann man immer noch, aber die Angriffsfläche ist wesentlich kleiner.

    Ein Zertifikat bringt dir am Server keinerlei Sicherheit, das ist nur dazu da den Client in sicherheit zu wiegen und einen SSL Tunnel mit dir auf zu bauen, weil er dir das Vertrauen schenkt.


    2FA ist nett, ja aber das bringt dir auch nur etwas, wenn man try and error versucht.


    Gegen einen Bug inkl. Pufferüberlauf bringt dir das nix, auch den Port zu verstecken bringt dann nur bedingt was, ok du hast 80% weniger Bots die es drauf anlegen, aber der Rest reicht schon, da sind dann die guten und richtig gemeinen.

    Wenn ein Baby es schafft den Linux Login Screen zu knacken, was meinst du was dann ein nur für diesen Zweck geschriebenes Stück Software alles kann.


    Uhh schaue mal hier, das ist doch ja QTS 4.5.1.1566, Moment da hatte ich doch, ahh hier Booom.

    Zitat von OdinsAuge

    Was ist für dich "offen"

    Offen ist für mich alles, außer VPN 8)


    Zitat von OdinsAuge

    nur ein speziellen Dienst, der keine Standardports nutzt

    Augenwischerei, oder glaubst du, die Hacker halten sich an Standardports?


    Du solltest mal loggen, was auf einem Webserver so los ist, an Versuchen über beliebige Ports einzudringen...

    Zitat von Crazyhorse

    Uhh schaue mal hier, das ist doch ja QTS 4.5.1.1566, Moment da hatte ich doch, ahh hier Booom.

    Dazu musst du erst mal wissen das es sich um QTS oder etwas anderes handelt. Klar geb ich einen QNAP-Dienst frei ist alles frei. Geb ich nur den Webserver frei schauts schon anders aus.


    Zitat von mad99

    Augenwischerei, oder glaubst du, die Hacker halten sich an Standardports?


    Du solltest mal loggen, was auf einem Webserver so los ist, an Versuchen über beliebige Ports einzudringen...

    Natürlich nicht, das hilft auch nur gegen Bots und Standardscripte.

    Logging ist bei mir natürlich aktiviert und wird überwacht.

    Zitat von OdinsAuge

    Natürlich nicht, das hilft auch nur gegen Bots und Standardscripte.

    Sorry, wenn ich drauf rumreite, aber gegen die hilft es nicht, maximal gegen die sog. Scriptkiddies, die nicht wissen, was sie tun.

    "Richtige"Skripte probieren einfach alle Ports durch und kommen, wie ich kürzlich erleben durfte sogar von unterschiedlichen IP-Adressen (jede Anfrage von einer anderen ->Botnetz)

    Ich bin jetzt hier raus und warte auf den neuen Thread: "Hilfe, meine Daten sind verschlüsselt" :P