Mit Fritzbox die NAS nach außen einschränken

    Hallo,

    ich bin Newbie und habe leider über die Suche nichts gefunden.


    Ausgangssituation:

    Ich habe ein Hidrive-Konto bei Strato und sichere die NAS über HBS3 damit, indem Hidrive als CloudServer eingetragen ist.

    Nun will ich eigentlich der NAS alles verbieten, außer nach Updates zu suchen und aufs Hidrive zu synchronisieren.

    Jetzt habe ich in der Fritzbox eine Whitelist mit hidrive.com und strato.com und qnap.com eingerichtet, aber das Backup läuft ewig, weil es nicht "raus" kommt.


    Wer kann mir helfen, meine Fritzbox so einzurichten, dass ich mich einigermaßen sicher fühlen kann?

    Welche Angaben braucht es dazu noch?


    Herzlichen Dank fürs "unter-die-Arme-greifen",

    Carsten

    Musste halt mal mitsniffen wo die Request so hingehen .. aber wenn QNAP Updates erlaubt werden .. wovor wird sich denn genau gefürchtet .. "raus telefonieren" ist keine direkte Bedrohung fürs NAS

    Danke für die erste Antwort. Ich will halt nicht unbedingt nötige Tore offen lassen. Heißt, mir würde gefallen, wenn ich nur die genannten nötigen IPs bzw. URLs zulassen müsste.

    Geht das Mitsniffen unkompliziert oder muss man da mindestens Wireshark einsetzen?

    In meiner Naivität habe ich gedacht, ein Forumsmitglied hat ähnliches schon gemacht und weiß, wie die o.g. Einstellungen sind.

    Es schützt vor dem Ausnutzen bestimmte Sicherheitslücken, wenn man einen Server nicht nach draußen funken lässt.
    Gutes Beispiel ist die Log4J-Lücke von neulich. Um die auszunutzen, bringt man Log4J dazu, von einer URL Code nachzuladen, der dann mit den Rechten des entsprechenden Serverprozesses ausgeführt wird. Kommt der Server nicht auf die URL, läuft die Lücke ins Leere.

    Dafür müsste aber der Server von Außen erreichbar sein .. sonst kann man den Request ja gar nicht absetzen

    Eine Fritte hat doch über so einen bestimmten Aufruf die Funktion eines Captures. Da müsste das erkennbar sein wo die Anfragen hingehen welche erlaubt sein müssen.... Bevor ich mir die Finger wundschreibe: http://fritz.box/html/capture.html


    Ich sehe darin aber ebenfalls keinen Grund für mehr Sicherheit, wenn Malware da ist braucht die nicht immer nach draußen sprechen um zu funktionieren :)

    So, nun herausbekommen, dass auf api.hidrive.strato.com eine Verbindung aufgebaut wird.

    Warum klappt dann meine Whitelist mit strato.com nicht in der FB?

    Sorry, aber das ist nicht wirklich meine Kernkompetenz.

    Zitat von QNAP Newbie

    Warum klappt dann meine Whitelist mit strato.com nicht in der FB?

    Ich vermute, dass sich die IP hinter strato.com ständig ändert, weil das irgendwo in der Cloud liegt und die Fritzbox die entsprechende Zuordnung nicht jedesmal abfragt.


    Mit pfSense und den diversen URLs von QNAP habe ich zumindest das gleiche Problem.

    ... Weil bei der bisherigen Regel keine Wildcard (*) davor ist?

    Schätze ich mal, keine Ahnung wie das bei der fritzbox läuft...

    Vielleicht musst du es mit Wildcard für die Subdomäne als *.strato.com eingeben?


    Edit: Ich seh's manchmal verliert man und manchmal ist man nur Zweiter. ^^

    Hauptsache Erster und Zweiter erzählen keinen Blödsinn :S

    Nicht dass wir uns dann darum zanken wer der erste und wer der zweite Blödmann ist :P

    Das Blocking Feature der FritzBox ist etwas "seltsam", um es mal so zu sagen.


    Ich habe damit auch mal rumexperimentiert, es aber alsbald als hoffnungslosen Fall abgehakt.

    Wenn Du sowas machen will, dann mach es doch über iptables (auf dem QNAP) oder über QuFirewall.

    QNAP Newbie

    Ich würde das nicht weiter verfolgen. Ausgehende Verbindungen sind in der Situation harmlos.


    Wichtig ist, dass keine eingehenden Verbindungen auf das NAS möglich sind. D. h. in der Fritzbox darf bei Freigaben -> Portfreigaben keine Freigabe eingetragen sein. "Selbstständige Freigaben" muss deaktiviert werden. Die MyQnapCloud sollte nicht genutzt werden.


    Mit diesen Einstellungen hast du getan, was nötig ist. Das Restrisiko besteht darin, dass du dir auf dem PC einen Virus einfängst (z. B. vergifteter Mailanhang oder Programm von falscher Stelle installiert), und dagegen hilf eine Blockade ausgehender Verbindungen nicht.


    Die Einschränkung ausgehender Verbindungen ist interessant als Kindersicherung oder in Firmen, wo die Mitarbeiter nicht surfen sollen (Gefahr, auf Schadprogramme zu treffen oder einfach wg. Zeitverschwendung). Beides spielt beim NAS keine Rolle.

    Wunderbar, dann danke ich Euch für Eure Hilfen. Habe auch den Security Counselor mal laufen lassen und bin mit dem Ergebnis zufrieden.

    Hallo Carsten,


    wie Anthracite schon schrieb, ist es in erster Linie wichtig, eingehende Verbindungen aus dem Internet zu vermeiden. Als Ausnahme würde ich eine VPN Verbindung sehen, die auf einen aktuell gehaltenen VPN Server weitergeleitet wird.

    Dazu gehört auch, die über UPNP mögliche Freigabe von Ports zu unterbinden. Das ist standardmässig der Fall, sollte aber kontrolliert werden.


    Tschau

    Uwe