Geräteauthentifizierung als SecuritylLayer

    Hallo zusammen,

    ich wundere mich warum bei den QNAP Geräten im 2023 und auch mit der neuen Version des QTS immer noch keine Möglichkeit besteht,
    die Kommunikation mit dem QNAP auf Geräteebene zu limitieren. Es würde doch die Sicherheit extrem erhöhen wenn
    wir in der Lage wären auf Benutzerebene mit einer Gerätefreigabe zu arbeiten. Das bedeutet: Nutzer X muss sein PC, Notebook, Telefon
    entsprechen freigeben lassen bevor diese Geräte mit dem QNAP Gerät kommunizieren können. Somit würden doch zahlreiche Attacken
    erst gar nicht zu Stande kommen da die Angriffe ja in der Regel von nicht autorisieren Clients ausgehen.
    Ob dies mit Hilfe der Geräte ID oder eines Clientzertifikates umgesetzt wird, sei jetzt mal dahingestellt.

    Dieser Sicherheitsmechanismus kommt ja bereits in zahlreichen Lösungen zum Einsatz.


    Was haltet Ihr davon bzw. gibt es aus eurer Sicht einen Grund warum ein solcher Sicherheitsmechanismus nicht zum Einsatz kommen sollte?


    Danke für eure Antworten

    Gruß

    Chris

    Zitat von toptronix

    Somit würden doch zahlreiche Attacken
    erst gar nicht zu Stande kommen da die Angriffe ja in der Regel von nicht autorisieren Clients ausgehen

    Und wie kommst Du zu dieser Erkenntnis? Die meisten Attacken sind durch Exploits in den Apps ermöglicht worden,

    Und wenn der Angreifer erst mal die root Rechte hat, dann kann er auch die -mögliche- Authentifizierung aushebeln.

    Gruss

    Du bist leider schon eine Tür zu weit.

    Diese Authentifizierung findet nicht auf einzelner APP Ebene statt sondern auf Kommunikationsebene.

    Also: nix authentifiziere Device = nix Kommunikation zum NAS unabhängig von APP, Port oder sonst etwas.


    Das ist ja kein Hirngespinst welches mich gerade befallen hat, sondern eine Implementierung die schon so praktiziert wird.

    Nenne es von mir aus DMZ das keine Kommunikation ins lokal LAN zulässt. Ja ist schon klar, gleich kommt das Argument warum nicht gleich eine VPN
    Lösung davorzuhalten. und da hast du natürlich recht. Hier geht es auch um eine benutzerfreundliche Lösung. Mir geht es ehrlichgesagt auf den Zeiger jedes mal eine VPN auf meinen mobilen Geräten aufbauen zu müssen bevor ich auf die Dienste auf dem NAS zugreifen kann.

    Aus diesem Grund würde ich mir eine Lösung wünschen, bei der ein nicht autorisiertes Gerät keine Verbindung zum QNAS aufbauen kann obwohl es die korrekten Zugangsdaten besitzt und vor mir aus auch noch den 2fa code.

    Na ja, wünschen darf man sich ja alles :)


    Gruß

    Hallo, Chris

    genau wie du bin ich der Meinung, dass eine VPN-Lösung nicht die alleinige Lösung für eine sichere Kommunikation sein kann. Aber ich glaube, dass auch bei deiner vorgeschlagenen Lösung offene Ports in der Firewall erforderlich sind, wenn ein globaler Client mit einem lokalen Server kommunizieren soll. Wenn ein Port zum NAS geöffnet ist, dann lauscht ein Dienst, z.B. http/https an diesen Port und kann im Fall, dass dieser Dienst von Sicherheitslücken betroffen ist, zu "unerlaubten" Aktionen gebracht werden, sodass ohne jede Authentifizierung Malware auf den Server gelangen kann. Davor schützen, kann uns eigentlich nur QNAP, indem sie ihre "lauschenden Dienste" gegen jede Art von Manipulationen der entsprechenden Protokolle absichern. Aber gerade hier hat QNAP wohl noch einiges nachzuholen! Also, um festzustellen, ob ein Gerät autorisiert ist, muss es erst einmal mit einem Dienst hinter einem freigegebenen Port (auf unterster Ebene) kommunizieren!


    Ich selbst versuche es damit, dass ich meinen Server nur über IPv6 betreibe. Dazu habe ich Portweiterleitungen für http(s) und ftp(s) im Router eingerichtet und "nur deutschlandweit" über QuFirewall zugänglich gemacht. Ich habe eine Domain bei spdyn registriert (AAAA-Record), über die ich mich problemlos z.B. mit meinem (Android) Handy verbinden kann. IPv6 wird bisher kaum durch Portscanner frequentiert und hat einen gigantischen Adressraum von 3,4 x 1038 Adressen, der es Angreifern schwer macht, diese zu scannen. Außerdem lasse ich jede Nacht meine IP-Adresse/Präfix durch die Fritz!Box ändern, um die Wahrscheinlichkeit eines Angriffes weiter zu verringern. Das Log der Firewall bestätigt mir, dass seid Anbeginn diesen Jahres noch kein geblockter Zugriff (IPv6) auf mein NAS stattgefunden hat.


    Natürlich ist das keine 100 prozentige Sicherheit, aber ich kann damit leben. :!:


    Ein Datenbackup ist natürlich vorhanden! ;)

    Ist im LAN kein Problem, einfach ein Radius einrichten, ne CA hinten dran, Client Certs ausstellen und dann mit 802.1x im LAN über den Switch und im WLAN über den AP oder WLC authentisieren und authorisieren lassen.


    Auf WAN Seite ist das mit einem allways one VPN möglich, Wireguard z.B.

    Hat aber den Nachteil das hier kein 2 Faktor dabei ist und ein entwendetes Gerät weiterhin, bis zur manuellen Sperrung, weiterhin Zugriff hat.