Eigentlich wäre es die Aufgabe der Netzwerkfirewall Attacken zu unterbinden, nicht von QuFirewall. QuFirewall ist nur für "schön" da, als letzte Instanz oder Notfallplan, wenn man so will.
Über 3000 Login Versuche
- Stern1900
- Unerledigt
-
-
Firewalls auf Clients sind immer dann dienlich, wenn netzwerkintern Restriktionen erfolgen sollen oder es keine Schutzmaßnahmen an anderer Stelle gibt, wo sie sein sollten.
In diesem Fall ist die QuFirewall aber wohl eher eine Notfallmaßnahme wegen der Angriffe, die aufgrund der vielfältigen Versprechungen von QNAP bzgl. des Einsatzzwecks eines QNAP NAS erfolgen.
QNAP hat viel versprochen, die User wollen viel, sind viel zum Opfer gefallen und dann musste QNAP etwas liefern, was den Usern Sicherheit verspricht.
-
Eigentlich wäre es die Aufgabe der Netzwerkfirewall
Es ist der Router gemeint?
Ich denke es gehört zusätzlich eine Absicherung auf alle Geräte die Dienste anbieten können.
Da war vorher die Zugriffsliste, die Nutzer nach falscher PW-Eingabe auf Zeit gespert haben. Qufirewall macht das genauso zuverlässig.
Hatte mich schon zuverlässig nach 3 Versuchen vollständig ausgesperrt, weil ein falsches PW für die Netzwerkfreigabe gespeichert war.
Der Benutzer war komplett deaktiviert gesperrt. Was macht eine Netzwerkfirewall da wesentlich anders?
-
Was macht eine Netzwerkfirewall da wesentlich anders?
Naja erstmal kümmert die sich nicht um Logindaten, sondern erlaubt Traffic oder eben nicht... alles nach entsprechenden Regeln die man auch entsprechend filigran gestalten kann. In der QuFirewall ist das ein wenig rudimentär. Ich würde demnach, sofern ich mein NAS dem Internet aussetzen wollte, eine richtige Firewall so einrichten, dass dies halbwegs sicher ist... diese bietet neben dem reinen packetfilter auch weitere Möglichkeiten zur Absicherung.
Hat man diese Möglichkeit nicht (zB nur nen Standardrouter vom ISP), dann ist die QuFirewall sicherlich besser als nichts. Noch besser wäre es, so ein NAS gar nicht erst ins Netz zu stellen, ist ja klar
Auch eine "ordentliche" Firewall kann nicht immer alles absichern, aber hier hat man doch deutlich mehr Möglichkeiten als mit der QuFirewall, wo es "nur" die PSIRT-Blocklist gibt (Wie viele Einträge hat die? 200? 400?), die bekannte (!) Angreifer fern hält... Meine Sense würde mit aktueller Konfig bis zu 45.000 bekannte, bösartige IPs fernhalten (ohne Geoblocking). Und dann ist da natürlich noch die Sache mit der "Härte". Eine echte Firewall ist was Angriffe angeht abgehärtet, bei QNAP ist alles irgendwie... naja... ist ja bekannt... keine Ahnung wie schnell die QuFirewall einknickt wenn es jemand ernst meint...
Aber ich bin auch kein Experte was Sicherheit angeht... da ist Crazyhorse sicherlich sehr viel besser im Thema.
-
Ein Reverseproxy ist eine Möglichkeit, weil er die Zugriffe aktiv entgegen nimmt und terminiert, dann im Backend eine eigene Verbindung zum Ziel aufbaut.
So kann man anfällige System sicher erreichbar machen.
Das erfordert aber, das man sich mit so einem System auskennt oder rein arbeitet.
-
Netzwerk- / Internetfilter sind auch eine Möglichkeit. Da wird der ein- und ausgehende Verkehr nach diversen Regeln und Verhalten untersucht. Eine spezielle Web Application Firewall wäre auch eine Möglichkeit. Aber das ist eigentlich eher auch nichts für zuhause.
Was macht eine Netzwerkfirewall da wesentlich anders?
Kleiner Vergleich:
Ein professionelle Netzwerkfirewall steht zu QuFirewall in etwas so, wie ein 3-Rad zu einem Formel 1 Boliden. Eine gute Netzwerkfirewall für zuhause dürfte in etwa ein Kleinwagen sein, die Firewall des Routers, je nach Gerät, ein Mountainbike.
-
...
Kleiner Vergleich:
Ein professionelle Netzwerkfirewall steht zu QuFirewall in etwas so, wie ein 3-Rad zu einem Formel 1 Boliden. Eine gute Netzwerkfirewall für zuhause dürfte in etwa ein Kleinwagen sein, die Firewall des Routers, je nach Gerät, ein Mountainbike.
Veto: QuFirewall entspricht eher Rollschuhen (die alten, keine Inline Skater)
Und eine gute Firewall würde ich, um im Bild zu bleiben, bei einem Wagen der oberen Mittelklasse ansetzen (z.B. Sophos, pfSense/opnSense).
Gruss
-
Kleiner Vergleich:
Ein professionelle Netzwerkfirewall steht zu QuFirewall in etwas so, wie ein 3-Rad zu einem Formel 1 Boliden. Eine gute Netzwerkfirewall für zuhause dürfte in etwa ein Kleinwagen sein, die Firewall des Routers, je nach Gerät, ein Mountainbike.
Was soll der Vergleich aussagen?
Boliden und Mountainbike sind Fahrzeuge für Leute die fahren können. Oder geht es um die Investitionssumme?
Sorry - verstehe ich nicht wirklich warum Fahrzeuge!
-
Es geht eher um die Leistung, Funktionsumfang und Eignung. Mit nem Mountainbike kann man sicherlich auf der Autobahn fahren, doch ist das nicht sonderlich empfehlenswert... Eine professionelle Firewall kann man den Belastungen im Internet aussetzen, die QuFirewall sicherlich auch, nur ist auch eben das nicht unbedingt sonderlich empfehlenswert.
-
Okay wir wissen ja immer noch nicht was der Treadstarter angestellt hat. Insofern wird es sehr abschweifend.
M.E würden Login-Versuche nicht durch eine Firewall alleine abgehalten oder?
-
M.E würden Login-Versuche nicht durch eine Firewall alleine abgehalten oder?
Nicht direkt bzw je nach Konfig.
Ich glaube es besteht die Möglichkeit eine IP bei überschreiten des Limits für Fehlversuche auch durch die QuFirewall zu blockieren.
-
Was soll es bei IP das Limit sein?
-
X Fehlversuche von einer IP in Zeit Y kann diese IP sperren, wobei X und Y einstellbar sind.
Aber auch das wird nicht zur Lösung beitragen... Fraglich ist ausschließlich woher die Zugriffsversuche kommen und dann warum.
-
X Fehlversuche von einer IP in Zeit Y kann diese IP sperren, wobei X und Y einstellbar sind.
Dafür braucht es bei einem QNAP NAS keine QuFirewall. Das kann QTS selbst schon.
Bei einer professionellen Firewall geht man ja den umgekehrten Weg. Hier wird nicht das störende blockiert, sondern nur das notwendige freigeschaltet. Alles andere ist schon per se blockiert. Im Fall einer Freigabe eines bestimmten Dienstes auf dem NAS, würde man im optimalen Fall den Port und die IP-Adresse des Berechtigen freigeben. Sollte dies eine größere Anzahl sein, z.B. Verein, könnte man auch einen IP-Range (bestimmte ISP) freigeben oder dies auch mit Geoblocking kombinieren, z.B. alles außerhalb von Deutschland wird blockiert. Im Fall des Themenstellers würde dies dann ja ausreichen. Je engmaschiger das Ganze gehalten wird, um so sicherer wird das Ganze. Aber dies bedeutet auch einiges an Verwaltungsaufwand. Etwas was sich die meisten zuhause wohl nicht antun werden.
-
Das kann QTS selbst schon.
Ja ich weiß... QuFirewall kann es aber meine ich auch, zumindest meine ich einst gesehen zu haben, dass solch eine automatisch erstellte Liste verwendet werden kann.
-
Kann gut sein. So genau habe ich mich mit QuFirewall nicht auseinandergesetzt. Sie ist im Alltagseinsatz mehrheitlich mehr im Weg als sie nutzt. Also mir zumindest.
-
eine automatisch erstellte Liste
IP automatisch müsste man die URL der SPAM eingeben können. Hat das jemand gefunden.
Im Weg sein ist ja die Aufgabe einer Firewall 🤣
-
War das offen im Netz?
Was bedeutet das eigentlich genau? Erreichbar über eine Domain? (Bsp.: meinnas.privat.com)?
-
Erreichbar über eine Domain?
Quasi, ja. Es wäre aber nicht besser oder anders, wenn das NAS direkt per WAN-IP (also ohne Domain) erreichbar ist. Das macht keinen Unterschied.
"Offen im Netz" bedeutet über Portfreigaben / -weiterleitungen direkt erreichbar, egal welcher Dienst (GUI, RTRR, QVPN...) wobei es bei den Diensten Ausnahmen gibt, die hart genug sind bzw. sein können.
Fernzugriff ohne offen im Netz zu sein wäre zB mit einem VPN welches bestenfalls auf der Firewall / Router angesiedelt ist oder der MyQNAPcloud LINK Dienst, den ich zwar nicht als sicher betrachte, wo das NAS aber nicht derart offen im Netz ist sondern über Vermuttlungsserver bei/ von QNAP erreichbar gemacht wird.
-
Danke für die Ausführung
