SICHERHEIT ??????????????????

    Grüß Gott,


    mir ist nach ersten Tests aufgefallen, dass die aktuelle Firmware 2.1.0 einige Sicherheitslücken aufweist.
    Daher will ich das Thema Sicherheit generell ansprechen.


    Da ich mich seit längerem mit IT Sicherheit befasse will ich an dieser Stelle QNAP ans Herz legen, es den Hackern und Scriptkiddies in der nächsten Firmwareversion nicht so einfach zu machen!


    Das ist ja wirklich ein Armutszeugnis und eine Freude für jeden, der in das NAS einbrechen will, wenn man sich anschaut, was in Sachen Sicherheit bisher gemacht wurde. Als Hersteller hat man in der heutigen Zeit des E-Crime doch eine Verantwortung dafür, dass Systeme sicher sind. Aktuell sind die Sicherheitsvorkehrungen doch eher schlampig!
    Mein alter Linuxserver, den ich Jahre nicht gewartet habe, lief zu Spitzenzeiten ohne Absturz und Einbruch ca. 1 Jahr durch.
    Das neue QNAP-System TS-109 ist mir heute am ersten Online-Tag abgeschmiert wegen mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!


    Ich versichere Ihnen, IT-Sicherheit ist sehr sehr wichtig und sollte eine hohe Priorität haben!
    Es ist nicht im Sinne der QNAP-Kunden, dass Hacker leicht auf sensible, persönliche Daten zugreifen können!
    Sollte sich daran nichts ändern, werde ich mit Sicherheit kein QNAP-System mehr kaufen.


    Sehr nützlich für Hacker sind Informationen über das verwendete System. Demnach sollte nach Möglichkeit so wenig wie möglich über die Software des Systems öffentlich preisgegeben werden.
    Der Webserver dieses Forums gibt z.B. auch nur Preis, dass es ein Apache-Server ist. Das ist gut so.
    Das QNAP NAS hingegen redet sehr gerne:


    Bei HTTP: Apache/1.3.37 (Unix) PHP/5.2.0
    Bei FTP: 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.0.2]


    Das ist eine völlig unnötige Preisgabe von Informationen über die sich Hacker sehr freuen.
    Ist das NAS online, wird es auch durch Suchmaschinen erfasst (oder Scans durch Hacker). So müssen Hacker nur nach z.B "Apache/1.3.37" suchen und können bei einer gegebenen Sicherheitslücke dieser Softwareversion sehr schnell das System kapern.
    Es werden ständig neue Sicherheitslücken entdeckt, so dass die Preisgabe solch heikler Versionsdaten heutzutage ein hohes Sicherheitsrisiko birgt!


    Dass man sich so oft man will über FTP ins QNAP NAS einloggen kann ist natürlich auch unglaublich fahrlässig.
    Sogar der SSH-Login ist ein Traum für Hacker. Zwar wird nach (glaube ich) 8 fehlerhaften Loginversuchen die Verbindung unterbrochen, allerdings kann man trotzdem einfach wieder eine neue TCP-Verbindung aufbauen und hat wieder 8 Versuche. Automatisiert man das, ist man mit einer Wörterbuchattacke schnell in einem QNAP NAS seiner Wahl. ;)


    Ich finde es wirklich sehr sehr schlimm, dass man das mit der Sicherheit derzeit so vernachlässigt.
    Dass Nicht-IT-Experten es mit der Sicherheit nicht so ernst nehmen und gehackt werden verstehe ich ja noch, aber wenn man tausende von Systemen in die Welt setzt, hat man doch auch eine Verantwortung gegenüber seinen Kunden!


    Wenn QNAP da nichts tut, wird die Kriminalität im Internet dadurch unterstützt. Dem sollte man sich klar sein.
    Ich hoffe das ist Anreiz genug der Grundfunktionalität Sicherheit etwas mehr Aufmerksamkeit zu schenken. :thumb:

    Hallo!


    Ich sehe das ganz genauso. Da ich mich vom Beruf her auch auch mit IT-Sicherheit befasse und FImen in genau solchen Fragen berate, kann ich natürlich nicht in meinem eigenen Netz so offensichtliche Sicherheitsproblemen Probleme dulden.


    Ich mache den QNAP Programmierern auch keinen wahnsinnig grossen Vorwurf, denn kann mir bitte mal jemand eine Liste von bekannten Sicherheitsfirmen aus Fernost nennen??? Ja gut, Trend Micro ist glaube eine... Aber auch die absolut einzige. Alle anderen Firmen kommen entweder aus Europa, US oder aus Israel. Aus meiner Zusammenarbeit mit global operierenden Kunden weiss ich auch, dass Sicherheit in Fernost schon immer sehr viel lockerer genommen wird als z.B. bei uns. Naja, lange Rede kurzer Sinn...


    Lass uns die NAS-Systeme doch selber abdichten. Ein Problem nach dem anderen. Ich wäre erst mal für einen Installation von IP-Tables was rein technisch kein Problem darstellen sollten. Des weiteres sehe ich den Einsatz des IP-Filters des NAS selber. Leider verliert man dabei etwas Flexibilität. Aber Sicherheit und Flexibilität sind sowieso 2 Sachen die meissten kontraproduktiv sind ;)


    Wärst Du denn bereit, da an ein paar Versuchen und Dokus mitzuarbeiten um damit anderen Usern die Chance zu geben, Ihre NAS-Systeme auch abzudichten?


    Gruss, Thomas

    Nochmal Moin Thomas,


    ich hab da mal den Finger und zeige auf Zyxel, von denen kommt meines Erachtens auch sehr viel brauchbares. Noch eine Frage wenn du so in die Sicherheit involviert bist, ist es von rein logischen her nicht sinvoller eine Hardwarefirewall vor das LAN zu schalten, denn beim Einsatz einer Friewall auf dem NAS wird dieses doch nur zusätzlich belastet!?



    Christian

    Zitat von "christian"


    ich hab da mal den Finger und zeige auf Zyxel, von denen kommt meines Erachtens auch sehr viel brauchbares. Noch eine Frage wenn du so in die Sicherheit involviert bist, ist es von rein logischen her nicht sinvoller eine Hardwarefirewall vor das LAN zu schalten, denn beim Einsatz einer Friewall auf dem NAS wird dieses doch nur zusätzlich belastet!?


    Ich würde mal sagen, fast alles was sich Firewall "schimpft" ist besser als keine zu haben. Von Zyxel bin ich nicht ein Fan, aber auch vielleicht weil wir die nicht verkaufen ;) Nein im ernst...
    Ich finde selber auch die Firewall von SonicWall sehr gut. Die gibt es auch schon für den gleichen Preis wie eine Zywall und die bieten schon sehr ansprechende Sicherheitsfeatures.


    Zum anderen muss man ja auch sagen, wahrscheinlich hat fast jeder von uns einen Router Zuhause der einzelne Ports per NAT von Aussen nach Innen auf aufmacht. Um Grunde ist das in etwa das selbe, dass eine Firewall macht. Man sollte auf keinen Fall das NAS oder seinen ArbeitsPC als "DMZ" oder "exposed Host" angeben. Soll heissen, der Router schickt alles was er nicht zuordnen kann an diese IP weiter.
    Wer sich von Euch noch mit seinem Windows-PC direkt ins Internet einwählt, ist somit auch komplett schutzlos. Wer dann noch die Windows-Firewall (auch die ist nicht doll, aber besser als keine) ausschaltet, der darf dich freuen seinen Rechner bald auch anderen zur Verfügung zu stellen. z.B. als Host zum versenden von Spam.


    Noch was interessante....


    Schon mal was von Google-Hacking gehört? Das ist sehr interessant...
    <br>http://www.google.de/search?hl…nter&btnG=Suche&meta=</a>


    Mit dem Suchstring findet man hunderte von NAS-Systenen von Qnap. Sollte mal irgendein Hacker einen Schwachpunkt finden und ausnutzen, wird er nicht lange suchen müssen. Noch viel einfacher ist es, alle zu testen die noch das Default-Kennwort auf dem NAS haben...


    Gruss, Thomas

    Hallo Thomas,


    die Einstellungen die man nicht wählen sollte wie z.B. DMZ etc. , dessen bin ich mir bewusst. Die Frage ist aber wieviele wissen das und wieviele meinen es sich einfach machen zu können indem sie das NAS einfach auf dem DMZ setzen.


    Google-Hacking ist mir bekannt ;) .



    Um jetzt mal etwas Ruhe vorweg auszustreuen,
    kommt hier ein Zitat aus meinem morgentlichen Chat:


    Wann kann ich nicht sagen aber die Info sollte vorerst erstmal ausreichen.



    Grüße
    Christian

    IT-Sicherheit definiert sich wie folgt:


    • Vertraulichkeit
    • Verfürbarkeit
    • Integrität


    Worum geht es denn in diesem Thread nun?


    - Christoph

    Zitat von "chrispi"

    IT-Sicherheit definiert sich wie folgt:

    • Vertraulichkeit
    • Verfürbarkeit
    • Integrität


    Moin!


    Nicht schlecht, da haben wir ja mal jemand vom Fach... Leider ist der Hinweis aus das AIC-Triad für die meisten User hier nur wenig hilfreich, wenn sie sich fragen, wie man die eigenen Daten vor fremden Zugriff schützt. Es zeigt nur eines, nämlich das Du dich auskennst... :thumb:


    Zitat

    Worum geht es denn in diesem Thread nun?


    Mir ging es in dem Thread eigentlich nur darum, den Leuten die IT-Sicherheit praktisch ein wenig näher zu bringen. Leider ist es doch so, dass es vielen Usern (nicht auf dieses Board bezogen, sondern eher auf meine Kunden :D ) an der Awareness für Sicherheitsprobleme stark mangelt. Oft kann man mit ein wenig Information an der richtigen Stelle schon sehr vielen Leuten helfen und das sehe ich auch in einem Board wie hier so... Daher spiele ich den Ball mal zurück: Was wolltest Du mit Deinem Post erreichen?


    Gruss, Thomas

    Hallo liebe IT Experten :)


    Freut mich sehr, dass sich beim Thema Sicherheit etwas tut. :thumb:


    Ich kann gerne ein paar Tips geben, falls es an Sicherheitsexperten in Fernost mangelt.
    Aber so wie es sich anhört, tut sich ja so einiges und ich wollte in erster Linie mal wachrütteln. :)


    Die wichtigsten Dinge habe ich ja genannt.
    Einfach so wenig wie nötig preisgeben und eine Intrusion-Prevention aufsetzen.


    Weil es einfach nur wenige gibt, die sich mit Sicherheit gut auskennen und denen das überhaupt bewusst ist, gibt es eben viele NAS Systeme, die schutzlos im Internet stehen (siehe Google).
    Und damit man möglichst nicht die Kriminalität im Internet unterstützt, sollte man als Hersteller immer davon ausgehen, dass der Kunde keine Ahnung von Sicherheit hat und viel falsch macht. Daher muss das System Sicherheitsvorkehrungen treffen, so dass selbst fahrlässige Konfigurationen des Systems nicht dazu führen, dass man ohne Weiteres dort einbrechen kann.


    Aktuell ist das NAS Bruteforce- und Wörterbuchattacken schutzlos ausgeliefert.
    Auch ein hinweis auf die Passwortqualität wäre toll, aber wäre jetzt nicht das erste, was zu machen ist.


    Schönen Gruß aus dem sonnigen Süden

    So, jetzt muss ich doch nochmal schreiben, weil es mich so langsam aber sicher tierisch aufregt.
    Mein TS 109 hängt sich spätestens alle 3 Tage auf.
    Ich nehme an, dass es mit den Online-Attacken zusammenhängt. Die Standard-Ports HTTP, HTTPS und FTP (auch PASV) sind öffentlich für jeden zugänglich und ja eigentlich auch völlig normal für einen Server, diese offen zu haben.


    Nicht normal für einen Server ist es, dass er innerhalb so kurzer Zeit schlapp macht.
    Das kann es doch echt nicht sein, dass man alle paar Tage den Server rebooten muss, damit er wieder läuft.


    Bitte bitte tut schleunigst was, damit eure NAS-Systeme stabiler laufen. Das ist echt grausam!
    Da tu ich sonst echt lieber wieder meine alte Linuxkiste hin. Die läuft wenigstens viele Monate bis Jahre ohne Wartung.

    Hallo!


    Das ist echt übel, wenn Dein NAS so angegriffen wird. Ich habe bei mir ein wenig Abhilfe geschaffen, weil ich mir am Wochenden eine kleine Firewall (SonicWall) dazwischen geschaltet habe. Das IPS der Firewall ist nun fleissig am rattern und findet auch fast minütlich Scan- oder Login-Events zum blocken...


    Ich fand sonst den Thread von Eraser noch hochinteressant. http://forum.qnapclub.de/viewtopic.php?f=35&t=799
    Nach der Anleitung brauchst Du ja nur noch einen Port für SSH of fen zu lassen. Wenn der dann noch weit oben liegt, sollte das Problem schon etwas besser sein. Was hälst Du davon? Den Putty könnte man auch von einem USB-Stick starten und dann kannst Du von überall zugreifen. Du hast dann sogar einen Vollzugriff in Dein Netz und der Transfer wäre komplett verschlüsselt... Ansonsten hilft nur das einrichten von IP-Filtern, aber das kommt wohl für dich wegen der Einschränkung nicht in Fragen... oder?


    Gruss,

    Servus,


    ja, das große Problem ist, dass das NAS als Server für die Firma meines Dads vorgesehen ist.
    Da sollen dann Kunden über FTP und HTTP Dateien hochladen können. Diese Funktion darf nicht fehlen. Den Kunden kann man dann nicht erklären, hey, macht doch nen SSH-Tunnel weil so läuft unser System stabiler... ;)


    SSH selbst läuft nicht auf dem Standardport und das Hauptproblem scheint echt das Hämmern auf den FTP zu sein.
    Gerade bin ich aber dabei das per Hand abzudichten.
    Ich mach gerne nochmal einen Thread auf mit einer Anleitung, wie man die Sicherheit mit wenig Aufwand verbessern kann.


    Schön wäre es, wenn diese Sachen dann auch in der kommenden Firmware vorzufinden wären.
    Dazu schreib ich aber nochmal den Herrn Admin von hier an.


    Mit der aktuellen Firmware ist es auf jeden Fall zu empfehlen möglichst keine Ports in die weite Welt offen zu haben.
    Bim letzten Absturz gab es auf jeden Fall keine FTP Zugriffe. An was es genau liegt, kann ich noch nicht sagen. Muss mal tiefer die Logs begutachten.


    Schlecht finde ich aktuell auch, dass die Apache Logs bei einem Neustart automatisch gelöscht werden. Da kann man dann herzlich wenig über Angriffe erfahren. Sollte auch noch geändert werden.
    Hab die Logs jetzt umgelenkt auf den unersättlichen Speicher der 3,5" Platte.


    Edit:


    Achso,


    und zum Thema Firewall, das ist natürlich sehr nützlich, wenn man einen Router/Firewall hat, der/die Intrusion-Prevention kann.
    Bei kleinen Firmen will man halt leider nicht allzuviel in gescheite Hardware investieren. Die SPI des Routers muss da ausreichen.


    Aber ich habe erkannt, dass das TS-109 aktuell einfach nicht für Firmen gemacht ist, die eine gewisse Sicherheit brauchen.


    Aber kann man ja noch anpassen und neue Märkte erschließen. :)

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden! Siehe Forenregeln!

    Zitat von "elschafo"

    Aber ich habe erkannt, dass das TS-109 aktuell einfach nicht für Firmen gemacht ist, die eine gewisse Sicherheit brauchen.


    Leider etwas spät ;) aber genau deshalb wirbt QNAP für die TS-109 und TS-209 Serie plus TS-409 als HOME & SOHO. Für Firmen und höhere Ansprüche wird die TS-409 Pro, TS-409 U und die neue TS-509 Pro angeboten.
    Dann wäre da noch die Sache mit der Hardwarefirewall, die sollte meines Erachtens vorm Server platziert werden und nicht darauf. Es gibt am Markt eine Menge günstige und dennoch vom umfangreiche Hardwarefirewalls.



    Christian

    Zitat von "elschafo"

    Servus,
    ....
    Schlecht finde ich aktuell auch, dass die Apache Logs bei einem Neustart automatisch gelöscht werden. Da kann man dann herzlich wenig über Angriffe erfahren. Sollte auch noch geändert werden.
    Hab die Logs jetzt umgelenkt auf den unersättlichen Speicher der 3,5" Platte.
    ....


    Hallo,


    ich verfolge diesen Fred sehr interessiert, dahingehend wäre ich für nen Tip dankbar... :thumb:


    Kann man das auch so machen das es Tägliche ne neue Datei gibt ???


    Und sich nicht auf die letzten paar Zugriffe beschränkt ???


    Ich nutze das NAS ausschließlich als Webserver... :oops:

    Zitat von "W650"


    Kann man das auch so machen das es Tägliche ne neue Datei gibt ???


    Und sich nicht auf die letzten paar Zugriffe beschränkt ???


    Ich nutze das NAS ausschließlich als Webserver... :oops:


    Ja kann man.


    Ich habs folgendermaßen gelöst:


    Editiere die Datei /etc/init.d/Qthttpd.sh


    Bei der Funktion clean_apache_log() wird standardmäßig in den ersten beiden Zeilen die aktuelle Logdatei gelöscht.
    Setze also vor die beiden Zeilen noch folgende:


    Code
    LOG_BACKUP="/share/HDA_DATA/Verzeichniswologdateihinsoll/"
LOG_TIME=$(date +"%Y%m%d%H%M%S")
/bin/cp /usr/local/apache/logs/apache_error_log "$LOG_BACKUP"apache_error_log_"$LOG_TIME"
/bin/cp /usr/local/apache/logs/apache_access_log "$LOG_BACKUP"apache_access_log_"$LOG_TIME"


    Damit wird dann bei jedem Neuladen des Apaches nicht nur die Logdatei gelöscht, was wohl einen Sinn haben wird, sondern auch die Log-Dateien mit aktuellem Datum als Logdatei gespeichert.


    Ich hoffe das hilft.


    Schönen Gruß,


    Das Schaf

    Und wenn ich schon dabei bin, folgendermaßen kann man den Apache-Server weniger geschwätzig machen und somit die Gefahr vermindern, gehackt zu werden, da Hacker oft nach dem Serverstring suchen:


    Editiere die Apache-Config unter: /mnt/HDA_ROOT/apache/conf/apache.conf


    Und ändere Serversignature On zu ServerSignature Off
    und füge die Zeile ServerTokens Prod hinzu.


    Weitere Abdichtungen zu FTP folgen, wenn ich mehr weiß.

    Hallo Elschafo,


    DANKE das ist doch schonmal was... :thumb:


    Da werde ich mich doch gleich mal ransetzen, sobald der Traffic etwas nachläßt... :thumb:

    Zitat von "christian"


    Leider etwas spät ;) aber genau deshalb wirbt QNAP für die TS-109 und TS-209 Serie plus TS-409 als HOME & SOHO. Für Firmen und höhere Ansprüche wird die TS-409 Pro, TS-409 U und die neue TS-509 Pro angeboten.
    Christian


    Bietet die Software der gehobenen Klasse denn auch die gewünschten Sicherheitsmerkmale?
    Ich hatte den Eindruck als wäre die Hardware einfach stärker und die Software sonst ähnlich. Aber in der Firma meines Vaters muss der Server TS-109 eigentlich nicht mehr tun, als er es in meiner HOME-Umgebung tun müsste. 1 TB Speicher reicht auch allemal. Und trotzdem schmiert er ab. ;)


    Mich würde vor allem mal interessieren woher das kommt. Ich habe selbst ein embedded Linuxsystem mit ähnlicher Hardware (566Mhz und 128MB Ram), jedoch Ubuntu Server als Betriebssystem. Der läuft erheblich stabiler als mein TS-109 und ich musste den noch nie neu starten. Auch habe ich da natürlich die Sicherheitsrichtlinien auf dem Gerät sehr streng, so dass ein Hämmern durch Skriptkiddies praktisch unmöglich ist.
    Kommt ein Aufhängen dann einfach durch die zu schwache Hardware?


    Ansonsten finde ich, dass die Intrusiun-Prevention trotzdem auf das NAS gehört (muss ja kein Superduperteil sein, aber eben wohl durchdacht), da im HOME-Bereich der Standard ist: Router (evtl. mit SPI - was nicht reicht) und dann direkt das NAS. Und Fakt ist, es schmiert aktuell zu oft ab.

    Zitat von "elschafo"


    Ansonsten finde ich, dass die Intrusiun-Prevention trotzdem auf das NAS gehört (muss ja kein Superduperteil sein, aber eben wohl durchdacht), da im HOME-Bereich der Standard ist: Router (evtl. mit SPI - was nicht reicht) und dann direkt das NAS. Und Fakt ist, es schmiert aktuell zu oft ab.


    Meine Meinung: Wenn man ein NAS betreibt, welches vom Internet erreichbar ist und erst noch Kundendaten darauf speichert, so gehört einfach eine "rechte" Firewall davor!


    Zum Intrusion-Prevention: Der Sinn des Intrusion-Prevention bzw. allgemein einer Firewall ist ja, dass der Datenverkehr vor dem NAS bzw. vor dem LAN abgefangen wird und nicht erst auf dem NAS bzw. im LAN. Also gehört eine Firewall zwischen WAN & LAN.

    Zitat von "ruuudi"

    Zum Intrusion-Prevention: Der Sinn des Intrusion-Prevention bzw. allgemein einer Firewall ist ja, dass der Datenverkehr vor dem NAS bzw. vor dem LAN abgefangen wird und nicht erst auf dem NAS bzw. im LAN. Also gehört eine Firewall zwischen WAN & LAN.


    Genau meine Meinung!
    :thumb: wärst du hier bei mir, hät ich jetzt nen Bier für dir. (Lied:könnte auch nen Hit werden)


    Mfg
    Christian

    Zitat von "christian"

    Genau meine Meinung!
    :thumb: wärst du hier bei mir, hät ich jetzt nen Bier für dir. (Lied:könnte auch nen Hit werden)


    Mfg
    Christian


    BRING HER DAS BIER !!! 8-)


    Meine TS-201 zu Hause ist per FTP von überall her erreichbar - via HTTPS komme ich nur vom Büro drauf. Jedoch legt mir niemand den FTP lahm, dank der schönen SonicWall für nicht wirklich viel Geld. Da sollte die Datensicherheit wichtiger sein, als das Geld ...