HTTPS deaktiviert sich nach Aktivierung

  • Hallo Zusammen,


    heute ist mir aufgefallen, dass HTTPS auf dem Webserver deaktiviert ist und meine Webseiten und Schnittstellen nicht mehr erreichbar sind.

    Jedes Mal wenn ich HTTPS wieder aktiviere, dann deaktiviert es sich sofort wieder.


    Ich habe gedacht, dass es an der Firmware Version 5.2.0.2860 liegt und habe deswegen ein Upgrade auf die Version x.2930 gemacht, da bei einem Bekannten unter dieser Version das Problem nicht auftritt.


    Ich habe das Model TVS-H1688X


    Kann jemand weiterhelfen?


    Viele Grüße...

  • Was meinst du mit deaktiviert? HTTPS Zuhause is eh unnütz und im Web hilft es gegen Hacker auch nicht (Transportunverschlüsselung)

  • Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Lass uns bitte nicht vom Thema abkommen was unnütz ist und Hacker etc.


    Zur Konfiguration:

    FritzBox 7590 + Benutzerdefiniertes SSL Zertifikat von GoGetSSl Zertifiziert

    Nach der Fritzbox Hardware Firewall

    Port 443 ist auf der Fritzbox freigegeben und wird an die Firewall weitergeleitet. Von der Firewall wird 443 an einen Port der QNAP weitergeleitet.

    Wie gesagt hat das alles funktioniert und wenn ich den Haken für HTTPS im Webserver aktiviere und die Einstellungen über den Button bestätige, dann werden die HTTPS Einstellungen ohne einen Fehler zurückgesetzt und deaktiviert.

  • Ach das Teil is wirklich WAN .. na viel Spass


    Mach halt ein Ticket bei QNAP auf wenn irgendwas deaktiviert wird.

  • Dass der Zugriff von außen ohne VPN, sondern per Portweiterleitung potentieller Datenselbstmord ist.

    Es gibt mehrere 10.000 Opfer (mindestens) von Malware, allein die letzte Malware Welle hat weit über 1Mio. € Lösegeld "eingebracht".

    Such nach "Deadbolt".


    Wenn ein NAS von außen erreichbar sein soll/muss, dann nur über VPN!


    Gruss

  • Wenn schon Hardware Firewall, dann ja wohl über diese per reverse Proxy erreichbar machen.

    NAS in eine DMZ stecken in der nur es selbst drin ist und das Interface der Firewall.


    Am besten dann aber noch offloading und mit dem NAS explizit http sprechen, damit hier ein IDS laufen kann.


    So würde man es dann aufbauen können und halbwegs sicher zu betreiben.

    Ich hoffe daher, das die Struktur so aufgebaut ist.

    Und trotzdem, Backups in so einem Fall nur vom Backup server per pull. Das DMZ NAS dar nirgends wo hin.

  • Das SSL-Zertifikat bekommst du ja nur, wenn Port 80 UND 443 von der Zertifizierungsstelle erreicht werden kann. Hast du Port 80 auch weitergeleitet? Vielleicht liegt es daran.

  • Ich verstehe nicht, wieso meine Konfiguration unsicher sein soll. Was genau ist unsicher / falsch an diesem Aufbau?

  • Man ist hier der Meinung, dass jede Art von Portweiterleitung zum NAS ein Sicherheitsrisiko darstellt - was ja auch nicht unbedingt von der Hand zu weisen ist. Besonders über IPv4 finden haufenweise Portscans statt, wobei die Angreifer dann mögliche Sicherheitslücken der Dienste hinter diesen Ports anzugreifen versuchen, um Zugang zum NAS zu bekommen.

  • q.tip

    Ok, dann nenne bitte 2 Beispiele für die folgende Anforderung:
    - Strato Domain im privaten Netzwerk hosten und über sichere Verbindung erreichbar machen

  • Sicherheit vor Angriffen aus dem Internet und sichere Verbindungen sind 2 paar Schuhe. Die Verbindung ist zwar verschlüsselt - der offene Port schützt aber nicht vor Cyberangriffen.


    Um aber das Risiko (etwas) zu mindern, hätte ich ein paar Tipps:

    1.) Dein Server ist nur über IPv6 erreichbar (nur AAAA-Record bei der Domain einrichten)- ist dann evtl. nicht von (nur) IPv4-Clients erreichbar!

    2.) Deinen Router so einstellen, dass du jeden Tag eine neue IP/Präfix erhälts. (Die FritzBox kann das).

    3.) Die App QuFirewall installieren, obwohl hier im Forum strikt abgelehnt und die Ports über Geo-IP länderspezifisch freigeben.

    Selbst wenn du auch IPv4 verwenden musst, hättest du mit QuFirewall einen kleinen Vorteil durch die von QNAP ständig aktualisierte PSIRT-Liste.


    All das gibt aber immer noch keine 100 prozentige Sicherheit! 100 prozentige Sicherheit hast du nur dann, wenn du deine Webseite bei einem Hoster einrichtest.


  • 100 prozentige Sicherheit hast du nur dann, wenn du deine Webseite bei einem Hoster einrichtest.

    Zumindest für das Netzwerk zu Hause. Beim Hoster können auch Lücken entstehen.

    Und sagen wir mal lieber 99,99% ;) .


    Gruss

  • q.tip Ok, verstehe. Aber welche Vorkehrungen sollen in meinem Fall noch getroffen werden, als bereits:

    1. QuFirewall und kostenpflichtige McAfee installiert ist.

    2. Nur der Port 443 in der FritzBox freigegeben, der auf eine Firewall weitergeleitet wird und von Dir aus auf die QNAP verweist, mit einem anderen Port.

    3. Ein kostenpflichtiges SSL Zertifikat in der FritzBox installiert ist.


    Als kleine privat Person bin ich für Angreifer meiner Meinung nach uninteressant, weil es bei mir nicht zu holen gibt. Keine Personenbezogene Daten, keine Kreditkartendaten etc.

    Wenn aus irgendwelchen Gründen mein System trotzdem infiziert wird, dann wird das System neu aufgespielt und die Sache ich erledigt. Gleiche Vorgehensweise wie bei einem infiziertem PC nur mit dem Unterschied, dass die QNAP nicht im Netz surft und irgendwelche Seitenaufrufe macht oder Dateien downloaded.


    In jedem Thread zum Thema Netzwerk / Internet mit der QNAP kommen immer wieder die gleichen Kommentare und man weicht vom eigentlichen Thema ab, anstatt Denjenigen auf die Risiken hinzuweisen und im statt nur die Problem aufzulisten eine anständige Lösung zu sagen, die er für sein Anliegen nutzen kann.


    Neunmal kluge Antworten kann ich mir auch bei Friseur holen (das ist nicht an dich gerichtet).

  • Meinen Beitrag #7 hast du scheinbar gekonnt überlesen.


    So könnte man das erreichbar machen und das Risiko massiv reduzieren.

    Auf dem HD Proxy kann man dann auch einen ACME Dienst einsetzten um das Zertifikat automatisch zu erneuern.


    Und dynamische Adressen, die oft aus dem gleichen Pool zugewiesen werden, helfen nicht wirklich vor einem Angriff.

  • Crazyhorse Entschuldige, aber ich habe es nicht überlesen sondern bin noch dabei zu verstehen, wie du das meinst.

    Ein DMZ kapselt Netzwerke voneinander, wenn ich die Definitionen im Internet richtig verstanden habe. Wenn ich die QNAP in ein Netzwerk außerhalb des Netzwerkes meiner Clients hinzufüge, dann muss ja trotzdem eine Weiterleitung an das QNAP Netzwerk gemacht werden. Die Anfragen aus dem Internet müssen ja weitergereicht werden und das Ziel wäre meines Verständnis nach das QNAP Netzwerk.


    Welchen Unterschied macht es dann zu meiner aktuellen Konfiguration?

  • Die Anfragen gehen vom Internet an den Reverse Proxy, der gibt diese dann, nach eine Prüfung erste weiter.

    Du sprichst also mit dem Proxy, nicht mit dem QNAP.

    Sprich, Sicherheitslücken die im QTS existieren, sind auf dem Wege nicht aus nutzbar, da du von WAN Seite mit dem Proxy redest.

    Und erst nach eine Anmeldung, was auch immer man hier bauen kann oder will, wird man weiter geleitet an das QTS.


    Eine DMZ ist ein völlig getrennter Netzbereich, das wird meist über eine Firewall realisiert und so kann man über diese, dann Clients aus dem LAN auch wiederum den Zugriff auf das NAS erlauben, über entsprechendes Regelwerk tcp/445 für SMB z.B..


    Das ist dann aber deutlich komplexer, als mal eben den Wireguard Setup Wizzard in der FritzBox durch zu spielen und einen QR Code zu scannen.

  • Aktuelle Firmware für dein NAS ist die 5.2.2.2950! Gerade bei offenen Ports immer die aktuelle Firmware mit den neusten Sicherheitspatches verwenden! :)

    Dein SSL Zertifikat befindet sich in der FritzBox. Vielleicht ist der Grund für das Verschwinden des "https", weil dein NAS nichts von diesem Zertifikat weiß. Vielleicht solltest du das Zertifikat ins NAS einfügen??