Sicherheit bei einen USB Stick an einer TS-109Pro II

    Hallo zusammen,


    habe da bestimmt eine blöde Frage, die mich aber intensiv beschäftigt. Wie "sicher" sind die Daten auf einen USB Stick, der im vorderen Slot einer TS-109 Pro II (aktuelle Firmware) steckt und im Netzwerk verfügbar ist?
    Der Stickt wurde mit EXT3 formatiert und dient als Ablage für etliche (vertrauliche, verschlüsselte) Dateien, die im heimischen Netzwerk auch verfügbar sein müssen.
    Obwohl ich Gastzugriffe im Qnap Admin Menü gesperrt habe, kann ich von jeden Rechner im Netzwerk ohne die Eingabe von User/PW auf alle Daten zugreifen.


    Unser Netzwerk ist so aufgebaut : ISDN/DSL Leitung geht in eine FritzBox (welche abgesichert ist, Portforwarding ist nur für spezielle Ports freigeschaltet, VPN ist aus), danach kommen die jeweiligen Switchs und da dran dann die Familienrechner.


    Hin und wieder werkle ich an unseren Gilden/Clan HPs und mache dann für ein paar Stunden den Port 80 auf, damit von außen über DynDNS die Projekte von den jeweiligen Leuten begutachtet werden können. In der Zeit bin ich aber auch vor Ort und reagiere, falls ich merke da kommen Zeitgenossen drauf, die nichts zu suchen haben. Ansonsten ist der Port 80 dicht.


    Bisher hatte ich den USB Stick mit an der Fritzbox, wo er FTP/NFS mässig mit einem Kennwort gesichert war - erst nach Eingabe dessen konnte ich auf die Daten zugreifen.


    Wäre sehr dankbar wenn ich diesbezüglich eine Aufklärung meines Anliegens bekommen würde. Danke im voraus fürs Bemühen.


    grüße
    Peter

    Hi,


    da Ports nach außen offen sind, und kein VPN-Tunnel läuft, würde ich sagen: potenziell angreifbar.


    In deiner Sitauation hängt alles von der Sicherheit deiner Passwörter ab.


    Sicher ist das ganze nur, wenn es zum www hin zu oder via VPN oder vergleichbarem abgeschottet ist.


    FritzBox / FTP ist noch unsicherer meiner Ansicht nach.


    Welche Ports sind offen?

    Hi,


    im GUI die Rechte für die Gruppe 'everyone' entziehen (Haken entfernen) nicht auf 'deny' setzen und dann die nötigen Benutzer auf 'RO' oder 'RW' setzen.
    Evtl. noch

    Code
    /etc/init.d/smb.sh restart


    das stellt sicher, dass die Clients sich erneut an SAMBA anmelden müssen.

    Danke euch beiden,


    aber irgendwie bin ich zu blöde das Umzusetzen. Die offenen Ports (Portforwarding) sind auf zwei Rechner gelegt die das auch benötigen, um beim einen World of Warcraft spielen zu können und beim anderen, um einen TacticalShooter zu ermöglichen. Alle Rechner haben eine feste IP. Der 80er Port fürs NAS wird nur bei Bedarf geöffnet und da bin ich auch in der Zeit anwesend und sehe was passiert.


    So nun habe ich das beim NAS mit der Einstellung der Benutzergruppe "everyone" so gemacht, wie es vorgeschlagen wurde. Nach dem "Übernehmen" wurden die Häkchen in der Benutzergruppe "everyone" wieder überall automatisch auf RO gesetzt. Er lässt nichts frei oder so. Habe dann bei "everyon" alles auf Deny gesetzt, ebenso den Gastzugriffrechte erst einmal auf "Zugriffsverweigerung" und im NFS Bereich ebenso gesetzt.
    Danach bei einen "Lokal" angelegten User, der "Benutzergruppe" Extern die Rechte so verteilt wie ich dachte es würde funktionieren. Mit dem Ergebnis das ich von keinen Rechner mehr auf die jeweiligen Verzeichnisse/Laufwerke zugreifen konnte.


    Im moment habe ich es so gelöst, dass ich wieder alle Zugriffsrechte (auch die Gastzugriffsrechte) auf "RW/Vollzugriff/Keine Einschränkung" gesetzt habe (so war es auch bei mir bisher als Default) und unter Sicherheit die Zugriffe mittels der IP Adressen der jeweiligen Rechner im Heimnetz gegeben habe.


    Bei allen Schritten wurde entweder der SMB neu gestartet bzw. die PCs und das NAS.


    Was aber sicherlich nicht im Sinne des Erfinders sein wird.


    Mein Hausnetzwerk sieht so aus :


    Alle PCs (Windows XP&MacOS) befinden sich in der Arbeitsgruppe "Heimnetz"
    Die Media-Tanks/Player in der Arbeitsgruppe "NMP"
    Die NAS und Netzwerkplatten in der Arbeitsgruppe "NAS"


    Alle Geräte haben eine feste IP und eindeutige MAC Adresse und die Verbindungen funktionieren so auch untereinander.


    Entschuldigung wenn ich hier so Laienhaft frage, aber ich hatte mir das alles in Punkto "Sicherheit" etwas einfacher vorgestellt :).


    grüße
    Peter

    Wenn alle Geräte eine feste IP haben warum machst du dann nicht den Zugang per Whitelisting?


    Was ich damit sagen will, ist dass du in den Einstellungen deines NAS nur die IP Adressen spezifizierst die drauf zugreifen dürfen. Ich mache das ganze ähnlich, ich lasse nur IP-Adressen aus meinem lokalen LAN zu: 10.11.12.1-254 alles andere wird geblockt. Zugriff auf das NAS erhalte ich von extern über ein VPN, der VPN-Server weisst VPN-Clients IP-Adressen im o.g. LAN bereich zu, daher haben diese ebenfalls Zugang zu den Daten.


    Personen von extern haben bei mir also ohne VPN keine Chance Zugriff auf meine Daten zu bekommen.


    Einstellen lässt sich das ganze unter: Systemadministration -> Sicherheit -> Reiter Sicherheitsstufe, dort dann die Stufe auf Hoch stellen und die zugelassenen IP-Adressen bzw. Adressbereiche einstellen.


    Ich hoffe ich habe dein Problem richtig verstanden und konnte helfen.


    MfG

    Hi Peter,


    ich kann im Moment nicht nachvollziehen, warum der Haken bei 'everyone' wieder auf RO gesetzt wird. Hab es gerade noch mal bei meiner 409 versucht und es wird übernommen.
    Wenn du 'everyone' auf deny setzt, ist es logisch, dass keiner Zugriff hat da alle User in dieser Gruppe sind.
    Versuch duch mal deine smb.conf von Hand zu ändern und @"everyone" hinter 'read list =' aus deiner Freigabe zu löschen.