SICHERHEIT ??????????????????

SICHERHEIT ??????????????????

Hallo Qnap-Gemeinde,

es kann auch anders laufen ...

fünf Wochen USA-Urlaub, fünf Wochen NAS im Netz. Keine Probleme. Nur die Ports offen die ICH benötigte (darunter SSH, Web und Admin/Portal, alles auf Standard-Ports). Automatische Uploads umständlich über Script und crontab geregelt (siehe Wunsch hier).

Die meisten Login-Versuche erwartungsgemäß auf den SSH Port (und das waren nicht wenige).
Vor dem NAS nur noch die Fritz!Box mit ihrer rudimentären NAT/FW Funktion.
Alles bestens gelaufen.

Freundlicher Gruß Michael

Hallo,

hinreichende Sicherheit muss auch nicht furchtbar kompliziert sein.

• QNAP hinter Router / Hardware Firewall
• Port Forwarding nur für die notwendigen Dienste
• Sichere Passwörter
• Sensitive Daten separieren oder verschlüsseln

Damit ist das QNAP hinreichend sicher. Wer das QNAP für Webhosting und oder öffentliche Zugriffe verwendet sollte nach Möglichkeit darauf keine sensitive Daten speichern, sollte sich dies aus welchen Gründen auch immer nicht vermeiden lassen, dann sollten alle sesitiven Daten verschlüsselt abgelegt sein! Dazu biete sich zum Bsp. http://www.truecrypt.org/ an, um entsprechende Container auf den Shares anzulegen. Ein Intruder kann dann erst mal nichts mit den Daten anfangen.

Admin Zugang nach Möglichkeit komplett vermeiden, wenn dies nicht möglich ist dann auf jeden Fall Zugang nur über gesicherte Verbindungen wie z.B. SSH.

Gruß,

Gerald

Hallo Leute

Auch das letzte Update hat keinen Brute-Force Schutz. Letzte Nacht wieder sekündlich Einlogversuche gehabt. Vor einem viertel Jahr hatte ich und andere denen geschrieben und die wollten dies ins nächste Firmware einbauen, nix is.................super. Kann man nur hoffen , was aber ein schwaches Bild ist.

Gruss
Markus

hab meinen nas nun ~3 wochen in betrieb. am anfang war garnichts, jetzt hab ich auch ca jeden 2ten tag brute force angriffe auf meinen nas.

den warnton bei qlogr musst ich mitlerweile ausschalten, es passiert zu häufig und geht über längere zeiträume -> dauergepiepse!

Zitat

Auch das letzte Update hat keinen Brute-Force Schutz.

in der neusten TS-509 beta ist die funktion drin. für die anderen ts-x09 dauert's sicher auch nicht mehr allzu lange.

Wo steht denn das?
In den Release Notes zur aktuellen Beta der 509 hier im Forum kann ich nichts diesbezügliches finden...

Gruß, gdev

Zitat

- Network security

OK ist vielleicht nicht soooo klar was damit gemeint ist :mrgreen:

ein screenshot:

Das sieht ja schon gut aus

Problem wird sein, dass die haupsächlich für die neue 509 Entwickeln und es bei den kleinen 109 oder 209 liegen bleibt.

gruss

Zitat von "MMTF"

Problem wird sein, dass die haupsächlich für die neue 509 Entwickeln und es bei den kleinen 109 oder 209 liegen bleibt.

1. liegt das in der Natur der Sache und 2. wer sagt das deine Vermutung zutrift? Bisher haben wir doch weitaus mehr bekommen als wir beim Kauf je zu träumen gewagt haben. Zumindest bei mir war es so, kein Slimsersupport, keine benutzerfreundlichen QPKG´s, kein Syslog usw. Es wäre ja schön diese "Block" Funktion auch auf den kleineren Geräten nutzen zu können doch ich bin bisher mehr als zufrieden.

Christian

wer sein qnap aber erst seit paar wochen hat, der darf noch von neuen features träumen

also wenn das oben gezeigte feature in meinen 209 wandert, werd ich zum qnap-promoter, oder missionar? xD

Zitat von "OLK"

also wenn das oben gezeigte feature in meinen 209 wandert, werd ich zum qnap-promoter, oder missionar? xD

´
Ich nehme dich beim Wort

Christian

Zitat von "IamQ"

OK ist vielleicht nicht soooo klar was damit gemeint ist :mrgreen:

ein screenshot:

Hallo, ich suche eine NAS-Lösung die so eine IP-Sperrfunktion eingebaut hat, jedoch möchte ich keine teure und laute Raid-Lösung. Was kann ich tun?
Ich habe vor mir ein TS-109 Pro zuzulegen um von meiner Arbeit aus (WinXP Rechner mit Gast-Rechten) ab und zu auf meine privaten Dateien zuzugreifen und bei Bedarf etwas von Rechnern von Freunden auf das NAS raufzuspielen. Somit müsste ich nicht dauernd meine USB-HDD mitschleppen.
Anschließen würde ich das TS-109 Pro zuhause auf meinem Router.
Was kann ich tun damit ich die Daten sicher vom Web abrufen kann OHNE dass irgend ein Hackerjunkie auf meine Daten zugreifen kann?
Hier habe ich schon gelesen, daß FTP unsicher sein soll. Das wäre aber eigentlich mein Vorhaben gewesen.
Ich habe mir schon überlegt die Partition am NAS mit Truecrypt zu verschlüsseln, damit ein Fremder bei unerlaubtem Zugriff nichts mit den Daten anfangen kann.
Das Problem ist aber, dass ich nur WinXP mit Gastrechten in der Arbeit habe und darum Truecrypt zum entschlüsseln nicht ausführen kann.
Habe auch von Sharecrypt und dm_crypt gelesen aber absolut keine Erfahrung damit.
Gibt es ein Verschlüsselungsprogramm welches wie ein portable App / U3 am USB-Stick ohne Registryeinträge öffnet und mir das NAS entschlüsselt? USB-Stick kann ich nämlich in der Arbeit anstecken und verwenden.
Hier gibt es Infos zu Truecrypt portable und USB-Platten und hier den Download von portable Truecrypt, ich weiss aber nicht ob das einbinden eines Containers auch über das Web funktioniert bzw. ob weiterhin Admin-Rechte für Truecrypt nötig sind..
Interessantesten wäre das neue Feature, dass man nun eine Partition verschlüsseln kann, ohne dass deren Daten gelöscht werden (bei einer Nicht-Systempartition), das geht aber bei der portable Version angeblich nicht.
Weiters gibt es Rohos, das ist wie Truecrypt und verlangt keine Adminrechte, nur funktioniert das über das Web?

-------------
Verlangt keine Adminrechte

Sie können den Zugriff zu Ihrer virtuellen Disk auf dem USB flash Laufwerk oder DVD-ROM auf einem Gastcomputer zu bekommen, ohne dafür Adminrechte zu haben.
-------------

Bin auch kein Netzwerkprofi, darum habe ich auch etwas Angst das NAS in Betrieb zu nehmen weil ich nicht weiß wie sicher das wirklich ist. Ich will auf keinen Fall, daß jemand meine Familienfotos, Daten usw. runterladet.
Hat irgendjemand Tipps was ich machen kann?
Lg Pappl

Moin,

Zitat von "PAPPL"

... aber was ich da lese stellt mir die Nackenhaare auf.

was genau stellt dir den die Nackenhaare auf?

Gerald

Beispiele die mich verunsichern:

Zitat von "christian"

.....

Noch was interessante....

Schon mal was von Google-Hacking gehört? Das ist sehr interessant...
<br>http://www.google.de/search?hl…nter&btnG=Suche&meta=</a>

Mit dem Suchstring findet man hunderte von NAS-Systenen von Qnap. Sollte mal irgendein Hacker einen Schwachpunkt finden und ausnutzen, wird er nicht lange suchen müssen. Noch viel einfacher ist es, alle zu testen die noch das Default-Kennwort auf dem NAS haben...

Gruss, Thomas

Alles anzeigen

Gibt es eine Lösung?

Zitat von "elschafo"

Grüß Gott,

mir ist nach ersten Tests aufgefallen, dass die aktuelle Firmware 2.1.0 einige Sicherheitslücken aufweist.
......
Das neue QNAP-System TS-109 ist mir heute am ersten Online-Tag abgeschmiert wegen mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!
......

Sehr nützlich für Hacker sind Informationen über das verwendete System. Demnach sollte nach Möglichkeit so wenig wie möglich über die Software des Systems öffentlich preisgegeben werden.
Der Webserver dieses Forums gibt z.B. auch nur Preis, dass es ein Apache-Server ist. Das ist gut so.
Das QNAP NAS hingegen redet sehr gerne:

Bei HTTP: Apache/1.3.37 (Unix) PHP/5.2.0
Bei FTP: 220 NASFTPD Turbo station 2.x 1.3.1rc2 Server (ProFTPD) [192.168.0.2]

Das ist eine völlig unnötige Preisgabe von Informationen über die sich Hacker sehr freuen.
Ist das NAS online, wird es auch durch Suchmaschinen erfasst (oder Scans durch Hacker). So müssen Hacker nur nach z.B "Apache/1.3.37" suchen und können bei einer gegebenen Sicherheitslücke dieser Softwareversion sehr schnell das System kapern.
Es werden ständig neue Sicherheitslücken entdeckt, so dass die Preisgabe solch heikler Versionsdaten heutzutage ein hohes Sicherheitsrisiko birgt!

Dass man sich so oft man will über FTP ins QNAP NAS einloggen kann ist natürlich auch unglaublich fahrlässig.
Sogar der SSH-Login ist ein Traum für Hacker. Zwar wird nach (glaube ich) 8 fehlerhaften Loginversuchen die Verbindung unterbrochen, allerdings kann man trotzdem einfach wieder eine neue TCP-Verbindung aufbauen und hat wieder 8 Versuche. Automatisiert man das, ist man mit einer Wörterbuchattacke schnell in einem QNAP NAS seiner Wahl.

Ich finde es wirklich sehr sehr schlimm, dass man das mit der Sicherheit derzeit so vernachlässigt.
Dass Nicht-IT-Experten es mit der Sicherheit nicht so ernst nehmen und gehackt werden verstehe ich ja noch, aber wenn man tausende von Systemen in die Welt setzt, hat man doch auch eine Verantwortung gegenüber seinen Kunden.!.......

Alles anzeigen

Gibt es eine Lösung?

Zitat von "Eddie the eagle"

Hi.

Hatte auch mal wieder das gleiche Problem.
Weiß jetzt aber endlich, dass die Logfile bei 10.000 Einträgen anfängt die ältesten zu löschen (9964 davon fehlgeschlagene Logins am Stück).
Ich habe auch keine Erklärung dafür, warum Qnap nicht endlich eine Funktion implementiert, die bspw. einer IP nach 5 oder 10 fehlgschlagenen Logins erstmal eine Stunde Pause verordnet - wurde schließlich schon oft genug vorgeschlagen.
Zum Ändern der Ports stehe ich eher kritisch, da Du dann jedem, der Zugriff haben soll auch noch den Port mitteilen musst und dieser dann auch noch in der Lage sein muss das in seinem FTP-Programm einzurichten.
Ich hoffe mal auf eine der nächsten Firmwares, da die Sicherheit wohl einer der Hauptaspekte bei einer Netzwerkfestplatte sein sollte (vor allem, wenn sie am Internet hängt).

Gibt es eine Lösung?

Zitat von "Eddie the eagle"

Hatte heute ein sehr seltsames Ereignis.
Heute morgen laut Protokoll mal wieder eine Brute-Force-Attacke und nach knapp 400 Versuchen ein "Login OK" (zwar nur für 1 Sekunde, dann wieder Logout, aber trotzdem sehr beunruhigend).
Bei einem 8-stelligen, recht sicheren Passwort konnte ich mir dies überhaupt nicht vorstellen (habe schon Attacken mit über 10.000 Versuchen gehabt).
Nun habe ich die Daten gecheckt (scheint alles unverändert zu sein) und alle Passwort geändert.
Nun habe ich diverse Logins ausprobiert und u.a. einfach mal in WS-Ftp einen Login als "admin" und das Passwortfeld leer gelassen und ich konnte es nicht glauben, ich bekam Zugriff und konnte sogar Dateien löschen! Habe das mehrfach ausprobiert und hat immer wieder geklappt.
Inzwischen habe ich die Turbostation und meinen PC neu gestartet und kann nicht mehr ohne Passwort zugreifen.
Hat irgendjemand schonmal diesen Fehler gehabt? Wie kann man den vermeiden (denn ich denke, dass der Angriff auch auf diese Weise Erfolg hatte)?

Alles anzeigen

Gibt es eine Lösung?

Moin,

Zitat von "PAPPL"

Beispiele die mich verunsichern:

In erster Linie stellt das QNAP ein NAS dar. Wer Webhosting betreiben möchte und dies im öffentlichen Netz (Internet) tut, der sollte sich im Vorfeld gedanken über Sicherheit und entsprechende Konzepte machen. Ein NAS alleine kann dies nie erfüllen, dazu gehört einfach mehr. Man kann sein QNAP in's Netz hängen, dann sollte man aber keine sensitiven Daten darauf hosten, damit wäre der Schaden im Fall der Fälle (Hacker) bereits schon wesentlich reduziert.

Zitat

Schon mal was von Google-Hacking gehört? Das ist sehr interessant...
http://www.google.de/search?hl…Fcounter&btnG=Suche&meta=

Das funktioniert mit anderen Suchstrings auf andere NAS/SOHO Server auch. Wer in's öffentliche Netz geht ist sichtbar und wird schwerlich verhindern können, daß einen Google erfasst. Stellt aber erst mal auch kein Problem dar.

Zitat

Das neue QNAP-System TS-109 ist mir heute am ersten Online-Tag abgeschmiert wegen mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!

Da müste man erst mal näheres erfahren was mit "mangelhaften Sicherheitsvorkehrungen von Seiten der Firmware!" gemeint ist. Jedes System birgt die Gefahr von Sicherheitslücken und jedes Sicherheitssystem ist mit beliebig hohem Aufwand überwindbar.

Zitat

Sehr nützlich für Hacker sind Informationen über das verwendete System. Demnach sollte nach Möglichkeit so wenig wie möglich über die Software des Systems öffentlich preisgegeben werden.

Nützlich vielleicht ändert aber auch nichts, da Systeme immer nach vorhanden Sicherheitslücken abgesucht werden, den Vorteil den ein Hacker durch die Preisgabe von verwendeten Versionen erhält ist verschwindend gering. Er braucht halt anderweitg 5 Versuche mehr.

Gerald

Zitat von "gn0778"

Moin,
....
In erster Linie stellt das QNAP ein NAS dar. Wer Webhosting betreiben möchte und dies im öffentlichen Netz (Internet) tut, der sollte sich im Vorfeld gedanken über Sicherheit und entsprechende Konzepte machen. Ein NAS alleine kann dies nie erfüllen, dazu gehört einfach mehr. Man kann sein QNAP in's Netz hängen, dann sollte man aber keine sensitiven Daten darauf hosten, damit wäre der Schaden im Fall der Fälle (Hacker) bereits schon wesentlich reduziert.
....
Gerald

Eigentlich wollte ich ab und zu vom Web im Bedarf auf meine Dateien zugreifen, damit ich nicht immer meine externe HDD mitschleppen muss.
Klar sind meine Dateien sensitiv, sind ja auch private Daten, darum will ich nicht daß ein Fremder zugriff darauf hat.
Also ist es nicht möglich mit einem einfachen Single/Raid1-HDD-NAS vom Web sicheren Zugriff zu haben?
Was wäre eine sichere Lösung?
Ich dachte das TS-109 Pro ist eine sichere Lösung, steht ja auf der qnap-Seite:

Powerful All-in-one NAS Server for Small Business Users:
The principle purpose of file server is for data storage and sharing. Data security and access management are the major concerns of most users. The Turbo NAS allows server manager to create user ID and password, and define the authority and quota for each user. Thus, personal data stored on the Turbo NAS is well protected. :?

weiters:

Secure data storage, access, and sharing
Personal data stored on the Turbo NAS is well protected: Server manager can create user ID and password, and define the authority and quota of each user.

* IP filter control: Users can allow or deny specified IP connections to the Turbo NAS.
* SSL Security (HTTPS): The Turbo NAS can be accessed and configured by web browser securely.
* Remote login your Turbo NAS by SSH (secure shell) or Telnet connection.
* Secure FTP: Share and transmit your data over SSL/TLS (Explicit) encryption. Passive FTP port range setup is also supported.
* Smart FTP policy control: The maximum number of all FTP connections and a single account can be configured.
* Encrypted remote replication: Data on the Turbo NAS can be backed up to another QNAP NAS over the Internet securely.

Nabend,

da es in diesem Thema mehr und mehr um das Thema Sicherheit geht, wird das Thema in das Unterforum Sicherheit verschoben. Ich würde mich freuen auch in Zukunft weitere dieser interessanten Diskussionen lesen zu können.

Mfg
Christian

Moin,

Zitat von "PAPPL"

Also ist es nicht möglich mit einem einfachen Single/Raid1-HDD-NAS vom Web sicheren Zugriff zu haben?

Das kommt darauf an welche Anforderungen du an die Sicherheit deiner Daten stellst und welchen Zugriff du von extern haben möchtest. Langt dir ein einfaches Vorhängeschloss oder möchtest du deine Daten in einem Tresor sicher aufbewahrt wissen.

Sicher gibt es Lösungen, aber ein NAS für sich alleine reicht da nicht. Ein Router, eine Firewall sowie die korrekte Konfiguration von Router, Firewall und NAS sind die Mindestvoraussetzung für einen sicheren Zugriff aus dem öffentlichen Netz auf seine Daten.

Zitat von "PAPPL"

Was wäre eine sichere Lösung?

Zugriff über SSH (http://de.wikipedia.org/wiki/Secure_Shell), Dateizugriff über sftp (http://de.wikipedia.org/wiki/SSH_File_Transfer_Protocol), Netzwerk über VPN (http://de.wikipedia.org/wiki/Virtual_Private_Network)

Für gelegentliche Dateizugriffe ist sicher sftp ausreichend, dafür gibt es auch Programme wie z.B. WinSCP (http://de.wikipedia.org/wiki/Winscp). Hier findet der Zugriff über eine verschlüsselte Verbindung (SSH Tunnel) statt und dafür wird nur der Zugriff auf die SSH Ports des NAS benötigt.

Will man alle Freigaben erreichen und diese auf dem Remote Rechner wie auf einem lokalen Rechnern einbinden, dann bietet sich VPN an. Über ein Virtual Private Network bindet man dem Remote Rechnern in seine Netzwerkumgebung über eine verschlüsselte Verbindung ein und hat damit Zugriff auf alles was im lokalen Netz verfügbar ist. Hierzu ist ein VPN-fähiger Router oder ein VPN Server im Netz notwendig.

Der externe Zugriff auf die Webbasierte Oberfläche des QNAP ist sicher bequem aber auch mit entsprechenden Risiken verbunden. Webserver als auch Webseiten können Sicherheitslücken aufweisen, die wesentlich leichter zu hacken sind als eine SSH Verbindung. Unverschlüsselte Verbindungen auf das NAS sollte man aus dem öffentlichen Netz heraus ganz vermeiden.

Die Weboberfläche ist IMHO für's Intranet ausreichen und dafür auch gedacht.

Zitat von "PAPPL"

Ich dachte das TS-109 Pro ist eine sichere Lösung, steht ja auf Seite ...

Was da steht ist ja auch implementiert und vorhanden, es gibt eine Userverwaltung und die Möglichkeit Zugriffsrechte zu regeln, allerdings hilft dir das alles nichts wenn z.B. dein Admin Account gehackt wird und der Hacker somit sämtliche Zugriffsrechte ändern kann.

Gerald

Hallo,
danke für deine ausführliche Erklärung. :thumb:
Also FTP über SSH wäre eine sichere Lösung? Ich habe in der Bedienungsanleitung gelesen, dass FTP über TLS/SSL geht. Das ist nicht das selbe oder?
Kann das Qnap TS-109 Pro FTP über SSH?

Einen Router habe ich von meinem Internet-Provider, aber ich bezweifle, daß der irgendetwas besonderes kann.
Hab mir mal Hardware-Firewallrouter angesehen, aber die kosten ja teilweise über 1000 Euro. :shock:

Externen Web-Zugriff auf die Weboberfläche brauche ich nicht, es soll nur Zugang auf die Daten am NAS möglich sein.
Das Problem ist auch, daß ich auch im Web von einem XP-Rechner mit Gastrechten auf die Dateien am NAS zugreifen will, darum werde ich Programme wie WinSCP dort nicht installieren können.
Manchmal wünsche ich mir die "Sendung mit der Maus" wenn es um Netzwerk und IT geht.
Weiss jemand wo es weitere einfache Infos gibt um die Sicherheit als 0815-Anwender zu erhöhen, bzw. auf was man aufpassen sollte bevor man sein NAS ins Netz stellt?
EDIT: Habe gerade die Sicherheit FAQ im neuen Subforum gefunden.
Lg Pappl

Hallo,

Zitat von "PAPPL"

Also FTP über SSH wäre eine sichere Lösung? Ich habe in der Bedienungsanleitung gelesen, dass FTP über TLS/SSL geht. Das ist nicht das selbe oder?
Kann das Qnap TS-109 Pro FTP über SSH?

FTPS ist im Detail etwas anderst http://de.wikipedia.org/wiki/FTP_%C3%BCber_SSL läuft aber auf dasselbe heraus. Auch hierfür gibt es Windows Clients, die einem das Leben erleichtern. Ob es Clients gibt, die keine Installation erfordern also vom USB Stick weg laufen weis ich grad nicht. Da ich hier aus anderen Gründen eh ein VPN habe nutze ich weder sFTP noch FTPs.

Beide Wege sind hinreichend sicher.

Zitat von "PAPPL"

Einen Router habe ich von meinem Internet-Provider, aber ich bezweifle, daß der irgendetwas besonderes kann.

Das kommt auf deinen Router an. Wenn du den Typ angeben kannst kann ich da mal nachsehen. Wenn es ein SOHO NAT Router ist, was eigendliche jede Router Dose mittlerweile ist, dann ist eine NAT Firewall integriert und alles wesentliche (Portforwarding) vorhanden.

Zitat von "PAPPL"

Hab mir mal Hardware-Firewallrouter angesehen, aber die kosten ja teilweise über 1000 Euro. :shock:

Ohne zu wissen was du dir da genau angesehen hast liegt der Preis im Bereich überdimensioniert für SOHO

Ein einfacher NAT Router mit integrierter NAT Firewall genügt in der Regel, Portforwarding für SSH/sFTP/FTPs vom Router auf das QNAP konfigurieren. Am besten lokal mit festen IP Adressen arbeiten und DHCP abschalten. Sichere Passwörter für alle Accounts auf dem NAS und sicher ist hier mind. 12-15 Zeichen, keine Wörter, Sonderzeichen und Zahlen mit im Passwort verwenden. Alternative ist eine Authentifizierung über Key's, die man dann allerdings wie seinen Haustürschlüssel per USB Stick mitführen muss!

Die Passwörtlänge bestimmt massgeblich den Schlüsselraum! Kurze Passwörter werden binnen Sekunden durch einfache Brute Force Attacken (stupides Durchprobieren aller mögichen Passwörter) geknackt.

Zitat von "PAPPL"

Manchmal wünsche ich mir die "Sendung mit der Maus" wenn es um Netzwerk und IT geht.

Ich will dir ja die Träume nicht nehmen, aber ohne ein gewisses Grundwissen wird es schwer ein Netzwerk sicher zu betreiben. Das sieht man an den vielen unverschlüsselten WLAN's in direkter Nachbarschaft, die einem munter Tür und Tor öffnen in's heimische Netzwerk.

Vielleicht hilft ja ...

http://www.amazon.de/Netzwerke…oks&qid=1228144364&sr=8-2

weiter, auch wenn ich das Buch selber nicht kenne, aber das liegt in vielen Buchhandlungen rum. Einfach mal einen Blick reinwerfen, ob so Spezialitäten wie Router drin vorkommen weis ich nicht, aber mit der richtigen Grundlage sollten dann diese Dinge auch einfacher zu verstehen sein.

Gerald