SICHERHEIT ??????????????????

    Hallo, also der Modemrouter ist von Thomson TG585v7.
    Habe jetzt am Port1 vom Thomson einen Linksys WRT55AG angeschlossen (kostete damals 150 Euro) und die Internetverbindung über den Linksys hergestellt.
    Der Linksys hat Sicherheitseinstellungen:
    SPI Firewall Protection: Enabled
    Block Anonymous Internet Requests: Enabled
    VPN Passthrough
    IPSec Passthrough: Enabled
    L2TP Passthrough: Enabled
    PPTP Passthrough: Enabled


    Port Range Forwarding für FTP, HTTP, Telnet, SMTP, usw möglich.


    Wenn ich jetzt das NAS am Port1 vom Linksys-Router anstecke, dann bringen mir die Sicherheitseinstellungen vom Linksys was?
    Die Linksys Routermaske lässt mich auch DMZ aktivieren (Source IP Address, Host IP adress). Bringt DMZ irgendwas an Sicherheit?
    Ich bin zwar keiner der das WLAN unverschlüsselt hat, aber du hast Recht viel weiter reichen meine Netzwerk-Kenntnisse nicht. Danke für den Buchtipp! :D

    Zitat von "PAPPL"

    Bringt DMZ irgendwas an Sicherheit?


    DMZ bietet eher das Gegenteil. Ist DMZ aktiviert, werden alle Port-Anfragen an die angegebene IP-Adresse weitergeleitet, also somit weit offen für allem und jedem.

    Hallo,


    Zitat von "PAPPL"


    Thomson TG585v7, Linksys WRT55AG


    Die können das beide, du brauchst nur einen. Da der Linksys ja wohl eh schon vorhanden ist würde ich dir den empfehlen, den anderen kenne ich nicht. Du kannst den Linksys direkt als Router verwenden.



    Die SPI Firewall auf jeden Fall enabled lassen genauso wie "Block Anonymous Internet Requests". Den Rest kannst du Disablen, da du kein VPN betreibst und das Tunneln deshalb nicht benötigst.


    Zitat


    Port Range Forwarding für FTP, HTTP, Telnet, SMTP, usw möglich.


    Hier must du das Port Forwarding einrichten für die Dienste, die du auf dem NAS nutzen möchtest.


    Zitat


    Wenn ich jetzt das NAS am Port1 vom Linksys-Router anstecke, dann bringen mir die Sicherheitseinstellungen vom Linksys was?


    Ja, sofern dein Internet am WAN Port des Linksys hängt.


    Zitat


    Bringt DMZ irgendwas an Sicherheit?


    Nein, im Gegenteil, das Feature ist für einen sogenannten "exposed host". Damit werden alle Ports und Protokolle ungefiltert an einen Internen Rechner weitergereicht. Dieser Rechnern ist so gestellt, als wäre dieser direkt mit dem Internet verbunden!


    Gerald

    Zitat von "Eraser-EMC2-"


    DMZ bietet eher das Gegenteil. Ist DMZ aktiviert, werden alle Port-Anfragen an die angegebene IP-Adresse weitergeleitet, also somit weit offen für allem und jedem.


    Hallöle!
    Je nach dem wie die DMZ-Funktion im Router implemntiert ist, ganz sie der Sicherheit dienen oder das Gegenteil erreichen.
    Bei einigen Routern ist mit DMZ das Portforwarding auf einen bestimmten HOST gemeint, bei anderen die Weiterleitung aller Port-Anfragen an einen bestimmten HOST.
    Sofern die erste Variante greift, lässt sich der Zugriff auf einzelene Ports beschränken.


    gn0778
    Da es sich bei dem Thomson um einen Modem-Router handelt, wird er diesen nicht ohne weiteres durch den Linksys ersetzen können ;) jedoch wäre folgendes denkbar:

    Code
    Splitter -> Thomson --> Portforwarting zum NAS  
                    |
                    |-> Linksys ---------------> internes Netz


    Diese Konstellation würde zumindest dem internen Netz ein hohes Maß an Sicherheit bieten...


    Grüße
    Jody

    Hallo,


    Zitat von "jody"


    Da es sich bei dem Thomson um einen Modem-Router handelt ...


    Ups, du hast natürlich Recht :D Habe ganz übersehen, daß der Linksys kein integriertes Modem hat. Sofern also nicht noch ein externes Modem greifbar ist müsste man dann doch wieder über den Thomson gehen.


    Gerald

    Zitat von "PAPPL"

    Hallo,
    wäre es Ratsam den Thomson und den Linksys gegen eine Kombilösung zu tauschen?
    z.B. Linksys WAG200G-EU Router/ADSL2+ Modem, 54Mbps
    Der hat auch SPI Firewall und IP Blocking und kostet nicht die Welt. Dann wäre das NAS auch hinter einer Firewall.
    Danke für eure hilfe.
    Gruss Pappl


    Hallo Pappl,


    wozu willst Du tauschen, Du hast mit den beiden Geräten und evtl. einem Switch dazwischen alle Möglichkeiten!
    Ich würde die von mir genannte Konstellation auf jeden Fall mal testen, andere Hardware beschaffen kannst Du immernoch!
    Abgesehen davon ist es in Punkto Sicherheit besser zwei getrennte Systeme zu haben (sofern beide auch unterschiedliche Passworte haben!)
    als nur ein Gerät....


    Grüße
    Jody

    Hallöle


    Den Brute-Force-Schutz hätte ich echt auch gerne - für meinen 209er.
    (Wie in #p9637 zu sehen.)


    Gibt es denn schon irgendwelche Neuigkeiten diesbezüglich?


    Grüße
    Felix

    Zitat von "christian"


    tut mir leid wenn ich dich jetzt enttäusche aber bisher gibt es nichts neues.


    Hallo Christian


    danke für die schnelle Antwort, auch wenn ich anderes erhofft habe ... so als Weihnachtsgeschenk :D .


    Frohe Weihnachten.


    Grüße
    Felix

    Hallo Leute


    So langsam regts mich gewaltig auf. Die haben mir vor einem halben Jahr geschrieben, dass die etwas in der nächsten Firmware gegen die Brute Force Sache einbauen wollen. Seit dem sind einige Updates vergangen und nix is. Komischerweise ist es in der 5 er Serie drin. Anscheinend machen die mit der 2 er nichts mehr so richtig weiter, nur noch kleinkram. Hätte ich dies vorher gewußt, dann hätte ich mir kein 209 II bzw. überhaupt kein Qnap geholt.


    Gruss
    MMTF

    Puh, das ist ein langer Thread. Ich wollte zu dem "Portscans und BF-Attacken"-Problem mal was sagen: Irgendjemand hat hier im Thread schon mal den Ausdruck "Security through obscurity" in den Mund genommen (Ich duck mich schon mal prophylaktisch, damit mich das "the enemy knows your system" nicht am Kopf trifft ;) ).


    Nachdem ich testhalber Port 21 für ftp auf das NAS weitergeleitet hatte, dauerte es keine Minute da hatte ich gefühlte 7 Mio. Login-Versuche. Also bin ich extern auf einen hohen Port umgestiegen (jenseits der 8000, man muß sich halt Gedanken machen damit man keinen Port erwischt, der schon in Verwendung ist). Seitdem ist Ruhe, absolute Ruhe, und das seit Monaten.


    Den Zugriff per SSH aus dem WAN zu ermöglichen halte ich für sehr mutig. Ich würde mich das nicht trauen, auch nicht mit einer nicht standardmäßigen Portnummer, zumal die Update-Zyklen bei QNAP ja eher länger sind. Gleiches gilt aus meiner Sicht für die Admin-Oberfläche. Wer weiß schon, ob das Login wirklich sicher ist? Wenns einen Weg gibt da durchzukommen, finden die Spielkinder das raus, da kann man sich sicher sein.


    Wenn als Webserver genutzt, dann ab in die DMZ, engmaschige Backups der Daten machen und NUR als Webserver verwenden. Wenn die Script-Kiddies dann erfolgreich waren ist das System so wenigstens schnell wiederhergestellt.


    LG


    Volker

    dann muss ich auch mal was zum Thema sagen:


    Mir ist im Syslog aufgefallen ca 3 -4 mal in der Woche versucht wird per FTP auf mein NAS zu kommen.
    Das knallt mir dann das Log voll, weil die Login versuche quasi alle paar Sekunden erfolgen.


    Das mein NAS (TS 209 pro II) ist nur per dyndns auf Port 21 also FTP von aussen zu erreichen.


    Inwiefern kann da jemand per FTP aufs NAS kommen ? bzw Könnte.


    Würde mich mal interresieren.


    Gruss

    Moin,


    wenn du den FTP Server aktiviert hast und dieser dann auch im Router durchgelassen wird ist es doch gut Möglich das jemand (wer auch immer) versucht sich darauf einzuloggen. Wenn dieser jemand dann via Brute Force oder wie auch immer sich versucht auf das NAS zu verbinden, dann entstehen diese unzähligen Einträge in dem Syslog.
    Alternativ kannst du den Port von 21 in einen anderen weniger genutzen ändern.



    Christian