Beiträge von CAR

Nun gut, dann gehe ich etwas detailierter auf Q's Post ein:

1. Im Router nur Port 443 an die TS weiterleiten
Port 443 bedeutet SSL = Secure Sockets Layer = ein Netzwerkprotokoll zur sicheren Übertragung von Daten

2. Sehr starke Passwörter vergeben (und die regelmässig änderen)
Ein starkes Passwort besteht aus mindestens 9 Zeichen bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. 9 Zeichen = absolutes Minimum

3. Die Zugriffsrechte sauber vergeben
Bedeutet immer nur die minimal benötigten Rechte erteilen
3a. Admin-Konto in z.B. Flitzpiepe umbenennen und "admin" zum Normalbenutzer machen und nur Zugriff auf ein leeres Verzeichnis (Honeypot "für Arme") gewähren. Siehe http://de.wikipedia.org/wiki/Honeypot

4. Den Netzwerkzugangsschutz der TS aktivieren (NAP, automatisches blocken gegen brute force angriffe)
Funktioniert ja nun mit der FW3

5. Nur die Dienste auf der TS aktivieren, welche ich benötige
Je weinger Dienste offen sind, desto weniger Angriffsmöglichkeiten ergeben sich

6. Den Webfile-Manager per https verwenden für den Datenzugriff per Internet (dyndns)
Stichwort DynDNS: Bedeutet der "Anbieter" hat keine feste IP, diese ändert sich also spätestens alle 24 Stunden und der potentielle Angreifer "darf" wieder von vorn anfangen

Die Beachtung dieser 6 Regeln waren Grundlage für meinen Post. Wir sprachen auch von Hackern (besserer Ausdruck Cracker) und nicht von Script-Kiddies, die bei diesen Maßnahmen am Ende ihres Lateins sind (da sie selber zu wenig Ahnung von der Materie haben). Cracker haben kein Interesse an "Normalos". Die verdienen ihr Geld in/mit der Industrie und haben kein gesteigertes Geltungsbedürfnis nach dem Motto "Guck mal was ich kann!" ...

Zitat von "IamQ"

100% sicher ist ja eh nie was, aber ich denke mal das ist klar.

Zitat von "IamQ"

eine sehr einfache lösung - auch von einen anfänger mit etwas grundwissen in max. 10 minuten machbar - mit einer sicherheit die "gut" ist und kaum nachteile hat. manche mögen mir vielleicht widersprechen, aber das risiko dass hierbei jemand mitliest resp. den TS hacken kann ist bereits SEHR gering... ich halte meine variante für eine praktikable zuverlässige lösung für deine aufgabenstellung, speziell im privatbereich.

Da will ich Dir mal zustimmen! :thumb:

Zitat von "IamQ"

in mittleren/grossen firmen nutzt man meist (ipsec) vpn lösungen. da hat man dann oft nen teuren gateway (ts preis mindestens mal 10 ^^) von irgendeinem mehr oder weniger bekannten hersteller und entsprechend eine client software. der administrator installiert und konfiguriert dann schön alles auf dem notebook für den aussendienstler... dieser macht nur noch nen doppelklick und ist happy, meistens gibt natürlich noch viele weitere tolle lösungen, auch mit hardware keys etc., aber kaum etwas ist wirklich einfach (zumindest nicht für den admin) und günstig.

Für den Fall, dass das Notebook mal wegkommt, sollte noch die Festplattenverschlüsselung erwähnt werden ... :mrgreen:

Zitat von "Sergeant"

Das scheint mir aber nach einigen Lesen hier im Forum mit einem NAS schwer realisierbar, gerade für eine NAS und Netzwerk - Newbie :?

Das ist kein NAS-Thema sondern betrifft ALLE über das Internet bereit gestellten Informationen! Die Punkte, die Q in seinem Post aufgelistet hat, sollten für den Privatbereich aber völlig ausreichend sein. Denn schließlich muss auch erst einmal einer ein Interesse daran haben Dich zu hacken. Dazu kommt, dass der "potentielle Interessent" dann auch noch gewisse Kenntnisse benötigt. Dies sollte im privaten Umfeld doch eher selten vorkommen ...

Zur Information: Bei Zugriff über Port 80 werden sämtliche Daten unverschlüsselt übertragen. Das kommt quasi einer Einladung zum Mitlesen gleich.

Zitat von "jody"

die einfachste Methode ist, kein Umlaute in Datei- oder Verzeichnisnamen zu verwenden! Klingt nach "Klugschei*en" soll es aber nicht sein!
...
Du kannst versuchen in den systemeinstellungen die "Dateinamen-Codierungseinstellungen" auf westeuropäisch/Latein1 einzustellen, das könnte u.U. Dein Problem lösen

Stimmt, das ist die einfachste Lösung!
Hauptsächlich liegt's aber daran, dass die heutigen Linux-Systeme das modernere UTF-8 benutzen und Windows immer noch bei ASCII hängen geblieben ist ...

Zitat von "Halbwissen"

Ist das eigentlich normal, dass vor dem Cursor bei telnet [~] # steht? Sieht komisch aus.

Jupp, ist völlig normal!
~ bezeichnet das Home-Verzeichnis
# bedeutet, Du bist als Admin angemeldet
$ bedeutet, Du bist als (normaler) Benutzer angemeldet

Zitat von "X5_492_Neo"

Ich frage mich die ganze Zeit warum ihr in der Console rum hackt?!?!? Ginge diese Einstellung nicht auch übers Management?!?!?

Grafische Oberfläche bei Linux? Iiigittt ...
Dann würde ja alle Welt lieber Linux als BS nehmen ...

Zitat von "Doc HT"

Hi,

das mit den "Sicherheitsproblemen" von Joomla gilt für alle Systeme, auch Typo3 oder Zope oder Plone, oder... - dass selbst Linux.com auf Joomla setzt, steht z.B. hier: http://forum.qnapclub.de/viewtopic.php?f=19&t=3754.

Und nun?

Naja, gewissermaßen hast Du recht. Allerdings wird es einem bei Joomla besonders einfach gemacht, sein System kompromittierbar zu machen. Sehr dubios sind z.B. AddOns, die "register globals=on" verlangen. Jemand, der genauestens weiß was er tut, wird wohl auch mit Joomla halbweg sicher sein ...

Zitat von "Eraser-EMC2-"

Ich denke, das Problem liegt in der Apache-Konfiguration.
In der Apache.Conf ist der Parameter "Servername" auskommentiert.
Die apache.conf findest du in /etc/config .
Füge hinter dem Parameter deine DynDNS-Adresse ein und entferne das # am Anfang der Zeile.

Interessanter Hinweis!

twinny
Habe mich bisher nie mit Joomla beschäftigt. Habe da immer nur von großen Sicherheitslücken gelesen, so dass ich mich nicht weiter damit beschäftigt und anderweitig orientiert habe. Ob das heute noch so ist, weiß ich nicht.

configuration.php klingt grundsätzlich aber schonmal gut. Möglicherweise gibt's aber auch noch mehr Konfigurationsfiles. In diesen würde ich nach Einträgen "192.168.x.y" suchen und durch probieren mit bei statischer IP "82.82.x.y" ersetzen bzw. bei dynamischer IP den DynDNS-Pfad eintragen.

Vorher aber nicht vergessen die Originalfiles zu sichern.

Gruß
CAR

Das Problem dürfte am "internen Installationspfad" liegen (Config-Datei von Joomla). Hatte das gleiche Problem bei einer anderen Webanwendung. Überprüf mal so Felder wie 'Voller Pfad', 'Relativer Pfad' und 'URL' (habe selber kein Joomla installiert). Was steht da?

Zitat von "Dominik"

Mein Hauptanliegen ist eigentlich die Sicherheit. Unterschieden sich da die einzelnen Modelle grundlegend?
Zugriffe von aussen finden aller Wahrscheinlichkeit nach nur mittels VPN statt.

Na, das ist doch schon die sicherste Methode. Dann liegt die Sicherheit noch einzig an der implementierten Verschlüsselung (z.B. IPSec) ...

... abgesehen von internen Unsicherheitsfaktoren (= User)!

Zitat von "halsband"

Es war und ist FAT32

Dann würde ich an Deiner Stelle auch noch auf andere Ideen warten, denn unter FAT32 dürfte das Problem, wie ich es gesehen habe, meines Wissens eigentlich nicht auftreten. :shock:

Du solltest darauf achten, dass die statischen IP-Adressen außerhalb des vom DHCP-Server bereitgestellten Adressraumes liegt. Sonst kann es bei Anschluss eines neuen Gerätes, das seine Adresse über DHCP bezieht, zu den gleichen Problemen führen.

Ich schreibe dies, weil Du Dich als "Netzwerk-Anfänger" bezeichnet hast!

Beispiel:
Netzwerk-Adressraum des DHCP-Servers:
192.168.0.100 bis 192.168.0.200
Adresse des Routers:
192.168.0.1
möglicher Bereich für statische Adressen:
192.168.0.2 bis 192.168.0.99 sowie 192.168.0.201 bis 192.168.0.253
angenommene Netzwerkmaske:
255.255.255.0

Das ganze funktioniert natürlich auch mit 192.168.178.xxx (Standard Fritzbox!?)

Webserver und MySQL sind ja in die FW integriert und somit auf der internen Platte (Dienst). Selbst wenn Du die Verzeichnisse auf eine externe Platte legst, wird die interne Platte noch benötigt. Allerdings: Wenn kein Dienst (also z.B. Webserver) von außerhalb angesprochen wird, sollte die Platte trotzdem in Standby-Betrieb gehen. Ich weiß aber nicht, wie das bei Qnap geregelt ist, ist also nur als allgemeine Aussage zu verstehen ...

Hört sich für mich im ersten Moment nach einem Windoof-Problem an!

Als Du die Platte an die TS angeschlossen hast, waren da schon Daten drauf (so wie es sich anhört). Woher stammen die - vom Windows-Rechner? Wie ist die Platte formatiert - NTFS? Denke nämlich, dass es daran liegt! Bei FAT32 dürfte es keine Probleme geben (da es "weniger Daten" speichert).

Lösung: Alle Daten der Platte über den Windows-Rechner runterziehen; Platte neu formatieren (NTFS soll über Qnap noch sehr langsam sein); Platte an die Qnap anschließen und Daten rüberspielen. Das kann natürlich sehr aufwendig/unangenehm werden (je nach Datenmenge), aber eine andere Lösung sehe ich da leider nicht.

Ja, Du musst Port 443 auf Dein NAS weiterleiten!

Frase
OK - jetzt verstehe ich Dein Problem! Ich greife immer "direkt" (Port 443 auf 443; Port 8080 auf 8080) auf das NAS zu. Kann Dir also keine Erfahrungswerte zum "Vergessen" beisteuern ...

Was ist denn, wenn Du nach dem Klick auf Administration in die Url den Port 7000 wieder nachträgst (also von deinedomain.tld/cgi-bin/index.cgi auf deinedomain.tld:7000/cgi-bin/index.cgi)?

Beginnt eine Adresszeile mit: ftp://... , dann bedeutet dies, dass Port 21 angesprochen wird (eben ftp), beginnt die Adresszeile mit: https://... , dann wird Port 443 angesprochen, bei http://... Port 80! Das ist Standard! Wenn Du per SSL auf das NAS zugreifen willst, dann musst Du eine Portweiterleitung von Port 443 auf Port 443 der internen IP des NAS einrichten ...

Oder wie Christian schon schrieb: Wenn Du auf das NAS zugreifen willst, musst Du auch den Port ansprechen, auf den Du zugreifen willst. Welchen Port Du als "Quellport" angibst ist dabei relativ egal (also z. B. 7000) - der "Zielport" muss stimmen. Also musst Du in diesem Beispiel Port 7000 auf Port 8080 (oder 443) forwarden. Alternativ kannst Du natürlich auch den Port, an der das NAS "horcht" ändern. Wenn im NAS aber Port 8080 als Systemport angegeben ist, dann musst Du auch auf diesen zugreifen. Das NAS "vergisst" da nichts!

Na, dann erst einmal: Glückwunsch!

Klar ist es möglich, beide FTP-Server zu nutzen. Wie Du den Port in der Fritzbox änderst bzw. ob es überhaupt geht, kann ich Dir nicht sagen. Bei der TS gehst Du wieder zum "FTP-Dienst" und änderst einfach die "Anschlussnummer" ab. Welche Ports standardmässig nicht vergeben sind, kannst Du unter http://en.wikipedia.org/wiki/L…_TCP_and_UDP_port_numbers sehen. Port 2121 z. B. ist frei

Du musst Deinen "Kunden" dann natürlich mitteilen, dass sie auf den FTP-Server nur über Port (z. B.) 2121 zugreifen können (kann in jedem FTP-Client angepasst werden).

Deinen FTP-Server richtest Du folgendermaßen ein:
Unter der Administration klickst Du auf "FTP-Dienst" unter "Netzwerkeinstellungen" (3. Punkt) und klickst dort auf das Kästchen "FTP-Dienst aktivieren". Das wars auch schon, denn alles andere ist schon vorkonfiguriert.

Die Fernwartung Deiner Fritzbox musst Du nicht abschalten. Du kannst die Fernwartung auf einen anderen Port legen und gibst dann "https:\\.....x-x-x-x-x-x.xxlspeed.de:Portnummer" in der Adresszeile des Browsers ein (Portnummer = Zahl zwischen 400 und 499; je nachdem welchen Port Du der Fritzbox zuweist).

Edit:

Apropos verschiedene Portnummern:
Willst Du direkt auf einen Unterordner zugreifen, funktioniert die Eingabe wie folgt:
"https:\\http://www.domain.de:Portnummer/Unterordner/"

Die Portnummer muss also immer an die TLD (Topleveldomain - z.B.: de, org, net) angehängt werden.

Zitat von "Kaleidoman"

Ich interessiere mich für die "TS-209pro II". Kann ich mit dem Gerät Benutzerrechte so diefferenziert einstellen, dass die
Kunden nur das zu sehen bekommen, was sie sehen dürfen.

Ja, kann man!

Zitat von "Kaleidoman"

Und wie sieht es mit Datensicherheit aus? Ich werde meinen Kunden einen Zugriff über DynDNS.org ermöglichen. Ist das
gefährlich hinsichtlich Datenklau? Ist es leicht in den Rechner "einzubrechen"? (Entschuldigt mein untechnisches Vokabular :oops: )

DynDNS leitet Anfragen nur weiter! Die Sicherheit Deines Systems hängt allein von Dir ab. Passwörter wie "Kennwort", "Dieter" oder "geheim" sind in 2 Sekunden geknackt. Passwörter wie "dgh§56:KKm/77" sind ebenfalls kein 100%iger Schutz - so ein Passwort zu knacken dauert allerdings ein paar hundert Jahre

Bugs in der Systemsoftware können natürlich auch eine potentielle Gefahr bedeuten! Ist bei einem GNU GPL "Projekt" aber geringer wie bei kommerzieller Kaufsoftware, da dort "nur" ein paar Hanseln programmieren und sich nicht gern in die Karten schauen lassen. Deswegen ist es unabdingbar bei seinem System immer auf dem aktuellsten Sicherheitsstandard zu sein (Updates) und regelmässig seine Log-Dateien zu kontrollieren.

Zitat von "DoomSoldier"

Welche Ports benötige ich, um alle Dienste von extern nurtzen zu können:

21 (ftp)
80 (http)
443 (SSL)
8080 (admin und die vielen Web-Dienste)

Stimmt das so, oder habe ich noch was vergessen ?

Passt!

Zitat von "DoomSoldier"

Thema DDNS

Habe ich schon eingerichtet, jedoch habe ich heute in der Firma bemerkt, dass der NAS seine eigene lokale IP Adresse und nicht die WAN
eingetragen hat (also 192.168.0.50)
Der NAS ist auf DHCP eingestellt (Jedoch im Router satic routs auf MAC Basis immer auf xx.50), ist also als statische Adresse zu betrachten
Im NAS habe ich das Feld DNS frei gelassen. Liegt es vielleicht daran? Soll ich da den Router als DNS Server eintragen ?

Da komme ich jetzt nicht ganz mit!
Hast Du einen DDNS-Account bei einem Anbieter (z.B.: dyndns.org)?
Dann musst Du bei DDNS nur den entsprechenden Anbieter auswählen, Deinen Benutzernamen eintragen (z.B.: DoomSoldier), das Passwort und den Hostnamen (z.B.: doomsoldier.dyndns.org). Deine IP interessiert dabei nicht!

Die IP-Adresse im LAN stellst Du unter "Netzwerkeinstellungen" - "TCP/IP-Konfiguration" ein. (Dort dürfte also bereits 192.168.0.50 eingetragen sein. Standardgateway ist Dein Router. Im übrigen ist es besser sowohl DDNS als auch DHCP im Router einzurichten (wenn der Router abschmiert ist eh nichts mehr zu erreichen, schmiert die TS ab, funktionieren aber DDNS und DHCP noch).

Ein DNS-Server hat im übrigen nichts mit dem DDNS-Dienst zu tun. Der DNS-Server (steht z.B. bei Deinem Provider) sorgt dafür, dass Du Server im Internet erreichst (er wandelt den "Server-Namen" (Url) in eine IP-Adresse um). Der DDNS-Dienst sorgt dafür, dass Du trotz dynamischer IP-Adresse auch jederzeit erreichbar bist.

Zitat von "Maverik"

Ich habe versucht den Port der Fritz Box zusätzlich auf 444 umzustellen, was die TS jedoch nicht zugelassen hat.

Das hört sich etwas merkwürdig an, denn ich gehe davon aus, dass die Fritzbox vor der TS kommt. Dementsprechend kann die TS nichts "verweigern"! Port 443 darfst Du nicht für die Fritzbox verwenden, da Du den Port für die TS brauchst.
In der Fritzbox klickst Du auf "Einstellungen" - "Erweiterte Einstellungen" - "Internet" - "Freigaben". Dann erscheint eine Liste mit Portfreigaben. Das Häkchen für "Aktiv" muss angeklickt (Haken) sein für: Bezeichnung SSL; Protokoll TCP; Port 443; an IP-Adresse der TS (LAN: 192.168.xxx.xxx): an Port 443! Falls Du das nicht hast, musst Du eine Portfreigabe einrichten: Klick auf "Neue Portfreigabe"; Portfreigabe aktiv für Andere Anwendung; Bezeichnung 'SSL' oder 'HTTPS' (ist nur der Name der Freigabe); Protokoll TCP; von Port 443 bis Port (freilassen); an IP-Adresse (TS-LAN-Adresse); an Port 443.
Da ich nicht weiß, inwieweit Du Dich auskennst, hab' ich's ausführlicher beschrieben ...

Kannst Du bei Dir einen Portscan dürchführen? Open TCP-Port 443 https könnte dann die TS sein, da die Fritzbox nicht https sondern "cvc_hostd" meldet. Außerdem siehst Du dann, ob Port 444 tatsächlich schon vergeben ist. Als Tipp: Schränk bei dem Portscan den Portbereich (also z.B. 440 bis 450) ein, sonst ist Weihnachten, bis er fertig ist ...

Zitat von "Eraser-EMC2-"

Manche Router können die Ports bei der Weiterleitung auch anpassen,
daß Zb. der FTP-Port 2679 vom Internet auf die 21 im LAN weitergereicht wird
und somit im LAN mit dem Port 21 weiterarbeiten kannst.

Oha, da kann man alt werden wie 'ne Kuh, man lernt immer noch dazu ...

Auf die Idee bin ich bis jetzt irgendwie noch nicht gekommen! :thumb: