Vermeiden Sie die Verwendung von Standard-Portnummern (80, 443, 8080 und 8081)

    Es ist ja schön, wenn man den im Titel zitierten Hinweis bekommt.

    Noch schöner wäre es allerdings, wenn dabei ein Hinweis wäre, welche Nummernbereiche möglich und sinnvoll sind.

    Zum Beispiel dass der Security Counselor hier auch Rat erteilen würde.

    Nicht jeder hat Informatik studiert und bei mir sind es eben bestenfalls rudimentäre Kenntnisse, was es mit Ports so auf sich hat.

    Und da hilft googeln auch nicht so ohne weiteres.


    Wenn wir schon dabei sind:

    Wie sicher oder unsicher wird Qfile auf Android hier beurteilt?


    viele Grüße

    Festus1

    Moin,


    grundsätzlich sollte man auf jeden Fall vermeiden, irgendwelche Ports/ Dienste freizugeben, wenn man nicht genau weiß, was man da tut!


    Dieser (allgemeingültige Rat) ist aus meiner Sicht ohnehin nur halbgar, ein Plus an Sicherheit gewinnt man damit nicht, bestenfalls ein bisschen Zeit bis das Übel passiert. Hinweise zu den Ports und deren Verwendung hält zB Wikipedia parat: https://de.wikipedia.org/wiki/…er_standardisierten_Ports

    Demnach wären die dynamischen Ports der Bereich, den man verwenden sollte.


    Zitat von Festus1

    Wie sicher oder unsicher wird Qfile auf Android hier beurteilt?

    Wie meinst Du das? Kommt ja auf die Anwendung drauf an... Beim Zugriff mittels Portfreigabe über Qfile ist die App das geringste Übel.

    Grundlegend finde ich die Android Apps von QNAP recht schlampig umgesetzt. Solange man die App im LAN/ VPN verwendet kann nicht viel passieren denke ich.

    Prinzipiell sollte man von unterwegs nur per VPN auf sein Heimnetz zugreifen. Andere Portnummern helfen zwar ein wenig gegen ganz simple BruteForce Scans. mehr aber auch nicht. QFile ist so sicher oder unsicher wie jede andere App auch, der man ggf. Kennwörter anvertraut. Man muss dem Hersteller vertrauen. Ansonsten kann man nur von myQnapCloud abraten, weil darüber das NAS viel zu leicht auch versehentlich im Internet sichtbar werden kann.


    Es ist leider so das ein NAS kein Toaster sondern ein hochkomplexes Serverprodukt ist. Wie praktisch alles, was irgendwie auch nur im Ansatz in Netz kommen kann. Wie bspw. die ganzen smarten Steckdosen etc. pp. Früher oder später findet man bei ALLEN Sicherheitslücken. Dagegen hilft nur Angriffsfläche minimieren:

    • so wenig von außen erreichbare Dienste wie möglich
    • wenn doch, dann möglichst nur mit einer einzelnen, gut gesicherterten Tür ( sprich VPN)
    • Backups, und zwar regelmäßig und auch offline ( wegen Ransomware)


    Und niemals der Sicherheit einer proprietären Herstellerlösung trauen. Keiner kanns nachprüfen bis dann irgendwann mal was durchsickert. Also immer auf Standardprotokolle setzen deren Implementationen sich bewärhrt haben. Und leider auch sich Wissen anlesen. Bei der Elektroverkabelung zu Hause hat man bzw. sollte man ja auch einen gehörigen Respekt haben.

    Zitat von tiermutter

    Dieser (allgemeingültige Rat) ist aus meiner Sicht ohnehin nur halbgar, ein Plus an Sicherheit gewinnt man damit nicht, bestenfalls ein bisschen Zeit bis das Übel passiert.

    So sehe ich das auch.

    Zitat von Festus1

    Nicht jeder hat Informatik studiert und bei mir sind es eben bestenfalls rudimentäre Kenntnisse, was es mit Ports so auf sich hat.

    Muss man auch nicht, man muss sich aber mit der Materie beschäftigen, um ein NAS zu nutzen. Als Nichtschwimmer springst man doch auch nicht in das 1,80 m tiefe Becken.

    Festus1 das ist kein Vorwurf dir gegenüber, eher der vollmundigen Werbung des Herstellers.

    Zitat von frosch2

    Muss man auch nicht, man muss sich aber mit der Materie beschäftigen, um ein NAS zu nutzen. Als Nichtschwimmer springst man doch auch n...

    Ich habe schwimmen gelernt an einem Baggersee. Rückwärts hinein bis das Wasser zum Hals steht und dann richtung Ufer. Dabei bin ich allerdings auch einmal in ein Loch geraten und habe eine Weile strampeln müssen bis ich wieder Boden unter den Füßen hatte.

    Der Vergleich ist gar nicht so schlecht. Schwimmern lernt man nicht im Trockenen, kann aber auch böse enden, wenn man es zu leichtsinnig angeht.


    Es war mir schon klar, dass ich mich da einarbeiten muss. Und dass es wohl nicht ohne lernen durch tun geht.

    Aber so schwierig hatte ich mir das nicht vorgestellt, bzw. die Tücken der Technit und vor allem des Internets unterschätzt.

    Hatte gedacht, wie praktisch, von überall auf mein Nas zugreifen zu können, auch mit dem Smartphone.

    Nach meiner bisherigen Erfahrung beschreiben die Handbücher und Hilfetexte vieles unzureichend und alles im Netz zusammenzusuchen ist sehr mühsam und letztendlich bleibt dann auch oft die Frage, ob das denn stimmt, was man liest.
    Hatte mal im Forum nach einem Glossar für all die hier verwendeten Abkürzungen gesucht, aber nichts gefunden.


    Darüber hinaus bemühe ich mich, ein einigermaßen guter Mensch zu sein und in anderen Menschen das Gute zu sehen. Aber es nutzt halt nichts, wenn nur die meisten Internetnutzer gute Menschen sind....

    Im Zusammenhang mit an anderer Stelle diskutierten Passwortsicherheit ist mir da ein Passwort in den Sinn gekommen:

    "DieblödenH#ckersollderBlitzbeimDefäkierentreffen!!!"

    Lange genug, aber nein, ich nehme die unflätigen Worte mit tiefem Bedauern zurück und überlege mir was besseres.


    Zurück zum Thema:

    Das Nas hat einen Systemport 8080 und den Port 443.

    Und die Frage war, ob ich nun sechzigtausendhaumichtot dafür eintragen sollte.


    Und dann weiß ich auch nicht, wenn ich mit Qfile über das Internet auf das Nas möchte, ob das dann auch schon andere Türen öffnet. Meine Fritzbox 7490 kenne ich auch noch nicht bis ins Letzte.

    Zitat von Festus1

    Das Nas hat einen Systemport 8080 und den Port 443.

    Und die Frage war, ob ich nun sechzigtausendhaumichtot dafür eintragen sollte.

    Die Freigaben herausnehmen (wie schon mehrfach erwähnt ist das ein Einfallstor für Malware .. egal wie stark das Passwort hier ist) und alle Kommunikation nur noch via VPN (Server auf Router oder dedizierter Hardwae, z.B. Raspi)

    Wenn Du myQNAPCloud nutzt (ich glaube das ist der DynDNS von QNAP) brauchst Du keine Portfreigaben. Bin mir aber nicht sicher inwiefern man hier weitere Lücken aufreißt. Das idealste wäre aber VPN am Router terminieren.

    Ich nutze die default Ports und das bewusst.


    Warum, weil ich diese nur im LAN anspreche, wenn ich unterwegs bin, VPN On und ich bin im LAN und komme einfach direkt an alles dran.

    Und mit den default Ports muss ich im Browser nicht noch den Port verbiegen, einfach die Seite eintippen, aufrufen, fertig.


    Ja die Meisten Anfragen vom WAN aus die meine Firewall blocked sind auf den Ports 443, 445, aber es werden auch alle anderen Ports angesprochen.

    Dann lebt die VM halt 1 Tag länger, bevor die übernommen wird...

    Eine ungewöhnliche Portnummer reduziert die Zahl der Angriffsversuche deutlich, und damit sinkt die Wahrscheinlichkeit eines erfolgreichen Angriffs.


    Ich meine, wenn du ein krimineller Hacker wärest auf der Suche nach verwundbaren NAS, wo keine Sicherheitsupdates eingespielt sind und Standard- oder Trivialpasswörter verwendet werden, wo würdest du dann suchen? Natürlich auf dem Standardport, denn dort findest du solche Geräte. Wer sich hingegen die Mühe gemacht hat, den Port zu ändern, hat vermutlich auch mal über Passwörter und Updates nachgedacht.


    Aber sobald ein Hacker IP-Adresse und Port deines Gerätes kennt und den Angriff versucht, bietet die ungewöhnliche Portnummer keinerlei Schutz mehr.

    Zitat von Festus1

    Das Nas hat einen Systemport 8080 und den Port 443.

    Und die Frage war, ob ich nun sechzigtausendhaumichtot dafür eintragen sollte.

    Am NAS? Nein! Damit riskierst du nur, dass du selbst das NAS nicht mehr findest, weil du den Port vergessen hast. Aus dem LAN drohen keine Gefahren.


    Die ungewöhnliche Portnummer wird im Router (Fritzbox) bei der Portweiterleitung gewählt. Der externe 60.000er Port wird auf die 8080 oder 443 des NAS weitergeleitet. Aber das solltest du nur machen, wenn du weißt, was du machst und das Risiko abschätzen kannst (Insbesondere bei 8080 und 443 ist das Risiko hoch). Normalerweise ist deine Lösung ein VPN, und dazu brauchst du gar keine Portweiterleitungen.

    Kann mich nur anschließen. Grundsätzlich sollte man von außen nur einen Zugriff über VPN erlauben. Wenn man schon ohne VPN aus dem Internet auf sein QNAP zugreifen will, dann kann ein ungewöhnlicher Port die Zahl der Angriffe deutlich reduzieren und damit auch die Gefahr bei Massenhacks getroffen zu werden.

    Zu den Ports:

    Port 1-1023 sind reservierte Ports für bestimmte Dienste (80-HTTP, 443-HTTPS, etc.) Ab 1024 bis 65535 sind high Ports und können für eigene Dienste genutzt werden. Eine ganze Reihe davon sind auch für bestimmte Server-Dienste vergeben, d.h. diese bestimmten könnte auch jemand scannen. Ports ab 49152 sind "dynamische" Ports und können frei für eigene lokale Dienste genutzt werden.

    Hier eine Übersicht: https://de.wikipedia.org/wiki/…er_standardisierten_Ports

    Das mindeste, wenn man schon sein NAS über die Webschnittstelle aus dem Internet erreichbar macht, sind sehr sichere Passwörter.

    Danke euch mal soweit.

    Und ja, den Wikipediaeintrag hatte ich schon gesehen.

    Werde noch einige Zeit brauchen, bis ich mich einigermaßen zurechtfinden. Aber ich habe zum Glück keine Eile

    Die Ports 80 und 443 zu ändern ist ja Blödsinn, wenn man Webinhalte veröffentlichen will.

    Das man jenes mit einer QNAP nicht machen sollte, wurde im Forum schon oft erwähnt.