Hallo,
es gibt ja diese Einstellungsmöglichkeit:
Wäre das so korrekt damit nicht meine eigenen IP´s geblockt werden ?
Bringt das etwas ? Denn die Versuche von außen nehmen wohl zu.
Gruß
Erhöhung der Sicherheit durch IP-Blocken ?
- dogfight76
- Unerledigt
-
Wäre das so korrekt damit nicht meine eigenen IP´s geblockt werden ?
Nein, es würden auch Deine IPs geblockt werden, wenn Du Dich mehrfach falsch einloggen willst. Das passiert zumindest mit SAMBA schon mal sehr schnell unter Windows, wenn ein Programm mit falschen Zugangsdaten versucht aufs NAS zu zu greifen (hat AIMP bei mir öfter mal verursacht).
Bringt das etwas ?
Nur für Loginversuche. Nicht bei jedem Angriff wird ein Login benötigt, ergo:
Was den Schutz angeht wenn das NAS aus dem Internet erreichbar ist, bringt das gar nichts.
Denn die Versuche von außen nehmen wohl zu.
Und wir können uns sicher sein, dass es nicht abnehmen wird... Deshalb:
Das NAS niemals dem WAN aussetzen! Auch nicht wenn "IP Sperren nach Anmeldeversuchen" aktiviert ist.
Wenn ich aber die letzten Threads von Dir richtig gelesen habe, ist Dein NAS zwecks RTRR doch gar nicht mehr von außen erreichbar, da beide NAS nebeneinander stehen?! (Das war übrigens ein kurioses Unterfangen
) -
Wäre das so korrekt damit nicht meine eigenen IP´s geblockt werden ?
Bringt das etwas?
Deine eigenen IPs werden auch geblockt, wenn du zu viele Fehlversuche hast. Ist aber nicht schlimm, du kannst sie vor Ablauf der Stunde aus der Liste der geblockten IPs entfernen. Aber erst mal wundert man sich, wenn plötzlich auch das korrekte Passwort nicht mehr geht.
Und ja, es bringt was. Ein Angreifer kann nicht mehr systematisch Benutzernamen und Passwörter durchprobieren, ob da nicht ein unsicheres Passwort dabei ist, bzw. er bräuchte sehr viele Rechner unter seiner Kontrolle, um den IP-Sperrschutz auszuhebeln. Ein ungeändertes Standard-Passwort für Admin würde er aber trotzdem finden können.
Aber es ist kein alleiniger Schutz:
- Andere Anwendungen als die genannten werden nicht geschützt.
- Es hilft nichts gegen Exploits von Programmfehlern. Die derzeit auftretenden erfolgreichen Angriffe kommen (vermutlich) über eine Lücke in der Multimedia-App. Da brauchte gar kein Passwort ausprobiert zu werden, und die IP-Sperre war damit ohne Wirkung.
Wenn aber z. B. der SSH-Zugang dein einziger offener Port ist, dann ist die IP-Sperre eine sinnvolle Maßnahme.
-
Das System von QNAP - QTS - kann in diese Richtung leider nur sehr wenig. Aber mit der neuen QNAP App QuFirewall kann man da schon ein wenig mehr, wie z.B. Geoblocking. Wieso muss Dein NAS von Kenia oder China erreichbar sein? Also blocken. Aber Vorsicht mit dem Blocken. Manche Server stehen in nicht erwarteten Ländern.
https://www.qnap.com/de-de/software/qufirewall
-
Manche Server stehen in nicht erwarteten Ländern.
Lass sie doch. Die sollen bestimmt keine Verbindung zu "Daheim" herstellen dürfen. Wenn das NAS das will ist doch alles schick wenn ein Server aus geblockten Ländern auf die Anfrage antwortet.
Ich hab zwar eine opnsense die das regelt, aber ich habe den Rest der Welt, außer ein paar Länder Europas grundsätzlich geblockt. Ich könnte demnach aus USA, Russland oder Alaska zunächst keine VPN Verbindung herstellen, aber da bin ich auch nicht so oft (nie).
-
Von Geoblocking halte ich offengestanden - nichts.
Das Design von IP sieht nicht vor, aus der IP-Adresse abzulesen, wo der Rechner geographisch steht.
Alle Versuche in der Richtung sind deshalb Ratespielchen.
Sie funktionieren vielleicht für große Provider und bekannte Netze mit einer annehmbaren Trefferquote, können aber auch komplett danebenliegen.
Wenn man den Bereich einschränken kann, von dem das NAS erreichbar sein muss, ist das auf jeden Fall eine gute Sache.
Das Kriterium sollte aber einigermaßen zuverlässig sein.
Am zuverlässigsten ist natürlich das Whitelisting auf das eigene LAN.
-
Hi tgsbn ,
puuh, das sind Neuigkeiten.
Ich bin bisher immer davon ausgegangen, dass die IP-Kreise nach Ländern verteilt sind.
Und somit könnte man durch GEO-Blocking Zugriffsversuche aus bestimmten Ländern verhindern.
Ich wohne in Frankreich und habe einen Welt+ Account bei der Welt.
Gehe ich mit meiner französischen IP drauf, kann ich Videos nicht sehen.
Gehe ich über VPN mit deutschem Server drauf, geht das.
Ich glaube nicht, dass bei der Welt ein Redakteur sitzt, der sich eine IP-Adresse anschaut und dann rät, ob die aus Deutschland kommt oder aus dem Ausland, oder?
Utrace.de hat mir immer sagen können, wo ich war.
Das ist keine Trefferquote, das ist definiert und festgelegt.
Ich finde GEO-blocking schon ok. Es gibt niemanden aus Afrika, Russland, China, den ich kenne und warum sollte derjenige versuchen dürfen, sich auf meinem NAS anzumelden?
-
Ich denke, die meisten IP-Adressen kann man inzwischen recht gut einem Land zuweisen. Normalerweise werden IP-Adressen über ISP oder andere Institute zugewiesen. Und diese bekomme diese ja auch wieder entsprechend zugewiesen - von der IANA – Internet Assigned Numbers Authority. Also eigentlich sollte eine IP-Adresse nicht irgendwo überraschend auftauchen. Die kann man sich ja nicht so eben aus den Fingern saugen. Und in ein anderes Land damit zügeln wird so auch nicht einfach möglich sein. Klar kann und wird damit sicher auch Schindluder betrieben werden.
-
Hier gibt es entsprechende Listen, siehe Maxmind, die ändern sich aber auch immer wieder.
Das ist wie alles, ein Baustein im Schutzkonzept, aber nix absolutes.
-
Wenn externe IPs direkt auf dein NAS zugreifen können, hast du bei der Erreichbarkeit von QTS Dienste schon verloren!
Wie sich bereits x mal zeigte.
-
*seufz* .. also NAS grade erst von Malware verschlüsselt und schon wieder offen ins Netz gestellt ...
Da Malware Betreiber ja über Angriffszentren Weltweit verfügen, bringt Geoblocking wenig.
Wer es einfach (und sicher) will, nimmt Dropbox,Onedrive. Kann man mit QNAP syncen und mit Anderen teilen.
-
Hab es inzwischen aufgeben, irgendjemanden diesbezüglich noch belehren zu wollen. Letzten Endes muss das jeder für sich selbst entscheiden. Das "Nicht wahr haben wollen" und Ignorieren ist weit verbreitet, nicht nur bei QNAP-NAS und IT.
-
Wer es einfach (und sicher) will, nimmt Dropbox,Onedrive. Kann man mit QNAP syncen und mit Anderen teilen.
Dropbox habe ich sogar 2TB Abo-Plan.
Mit QNAP syncen hört sich genial an. Und die gewünschten Ordner kann ich über Dropbox dann wie gewohnt teilen ?
Aber der QNAP ist doch auch dann "offen" im Netz, oder ?
Hast du einen How-To LInk für mich greifbar ?
Gruß
-
NAS ist dann nicht offen im Netz nein ..nennt sich Hybrid Mount
-
Gehe ich über VPN mit deutschem Server drauf, geht das.
Und genauso machen es die Hacker... Geo-Blocking ist sinnlos.
-
Das ist wie alles, ein Baustein im Schutzkonzept, aber nix absolutes.
-
Geo-Blocking ist sinnlos.
Wie Du meinst. Zwingt Dich niemand es zu verwenden.
Ein Airbag im Auto schützt Dich bei einem Frontalunfall bei über 100 km/h auch nicht. Also raus aus dem Auto.
