Beiträge von jody

10. Wie real sind denn diese Netzwerkangriffe überhaupt?

Nehmen wir mal das Beispiel Shellshock, von dem allein in diesem Forum diverse Nutzer betroffen sind/waren, da es zeigt dass die Gefahren real sind.

Tatsächlich werden stets und ständig Netzwerkscans und Netzwerkangriffe im Internet durchgeführt, mit dem Ziel Ressourcen zu stehlen, Daten und Geheimnisse zu erbeuten oder gar im Infrastrukturen lahmzulegen.
Mittels der Netzwerkscans wird nach lohnenden Zielen gesucht! Lohnend in diesem Sinne ist alles, was Ressourcen (Rechenkapazität/Speicherplatz/Bandbreite etc.) zur Verfügung stellt, oder wertvolle Informationen bietet. Die Ergebnisse der Scans helfen außerdem dabei die "Fundsachen" genau zu identifizieren, also welches Betriebssystem verbirgt sich hinter der IP-Adresse und welche Schwachstellen kann ich am besten ausnutzen. Mit diesem Wissen lässt sich die Suche natürlich zielorientiert optimieren: "suche alle NAS-Systeme, die durch den Shellshock-Bug verwundbar sind" Idealerweise wird dann der notwendige "Angriff" auf die ermittelten Systeme gleich automatisch mit durchgeführt.
Ihr könntet jetzt argumentieren, dass Euer NAS seit X Monaten im Netz steht und noch nie angegriffen wurde, weil ihr meint, es verhält sich völlig normal...
Würdet Ihr Euch zu erkennen geben, wenn Ihr eine "Goldader" gefunden habt? Eben, genauso verhalten sich die Jungs mit den schwarzen Hüten (Blackhat-Hacker),
denn es geht darum Ressourcen zu nutzen...
Es gibt leider keine konkreten Zahlen wie oft oder wer wann von wo Angriffe auf Ziele im Netz macht, aber aus eigener Erfahrung kann ich sagen, dass diese Angriffe rund um die Uhr und aus allen Richtungen kommen! Sei es aus China, Lettland, oder den USA, es sind einfach alle Nationen vertreten und es kann auch Dein Nachbar dabei sein

11. Was kann man wirksam gegen diese Masse von Angriffen tun?

Eigentlich nichts, aber man kann zumindest das Risiko erfolgreich angegriffen zu werden durch den Einsatz von Firewalls mit entsprechenden Filterregeln mimimieren. Meine Empfehlung geht sogar mittlerweile soweit, auf Zugriffe vom Internet auf das eine Netz zuhause komplett zu verzichten (in meinem Firewall-Log konnte ich mittlerweile diverse Bruteforce-Angriffe auf meinen VPN-Zugang ermitteln!)
Sorgt dafür, dass Eure Geräte immer die neueste Firmware haben bzw. die aktuellsten Sicherheitspatche installiert sind! Wechselt regelmäßig Eure Passwörter und schaltet alle nicht benötigten Portweiterleitungen ab (ich empfehle diese min. alle 3 Monate auf Notwendigekeit zu prüfen)!
Wer ganz sicher gehen möchte investiert vielleicht in eine zusätzliche Firewall oder nutzt einen ausrangierten PC um eine Firewall selbst aufzubauen (z.B. IP-Cop)!
Installiert auf allen mit dem Internet verbundenen Geräten einen Virenschutz, der selbstverständlich aktuell gehalten werden muss.

Grüße Jody

Bei Protestesten oder sonstigen Diskussionsbedarf bitte ein neues Thema erstellen, damit diese FaQ möglichst "sauber" bleibt!

Hi,

freut mich, dass ich Dir helfen konnte!
Zu Deiner Frage:
Solange Du nicht gerade mit dem Server auf das iSCSI-Ziel schreibst, kannst Du das NAS jederzeit neustarten. Die beiden finden sich dann schin wieder
Grüße
Jody

HI,

meine TS-109 ist nun schon gefühlt 10 Jahre alt und "jung" wie am ersten Tag! Also durchaus empfehlenswert!

Grüße Jody

Hallo Tom,

da Du darauf verzichtet hast zu schreiben, welche Windowsversion DU benutzt, hier die kurze aber korrekte Anwort auf Deine Frage aus dem Hause Winzigweich:
http://windows.microsoft.com/d…twork-drive#1TC=windows-7

Unter Zuhilfenahme der Suchfunktion (das kleine weiße Quadrat rechts oben in der Ecke wo "Suche..." drin steht und welches mit dem kleinen grauen Knopf wo auch "Suche" drauf steht aktiviert wird....)
finden sich hier im Forum diverse Scripte und oder andere Beispiele, wie man die Netzwerkfreigabe des NAS mit dem Windows-PC kurzzeitig oder dauerhaft verbindet

Ach ja, es zeugt von Freundlichkeit und Anerkennung für die erfahrene Hilfestellung, wenn man wenigsten kurz zurückmeldet, ob die Hilfe erfolgreich war....

Grüße
Jody

Hallo Andy,

ich würde versuchen, einen Rejoin des NAS mit der Domäne vorzunehmen, nicht jedoch ohne zuvor die
"üblichen Verdächtigen" in einem AD zu prüfen: DNS, DNS und DNS!
Sofern es möglich ist, würde ich dem NAS die feste IP in Form einer MAC-Reservierung und DHCP zuteil werden lassen.
(es gibt eine ganze Reihe Themen im Forum, wo das Zurücksetzen auf DHCP die Lösung war..)

Als Test würde ich ggf. vorschlagen ein iSCSI-Drive auf dem NAS anzulegen und dieses als Sicherungsziel direkt im Backupserver einzubinden.

Einen weiteren Versuch würde ich durch das komplette Neuanlegen der Sicherungsaufträge starten...
Grüße Jody

Hmm, wäre das nicht schon die Lösung des Problems?

Muss ja nicht jeder gleich einen "Winzigweich Server 2012" mit AD DS und DHCP etc. hinstellen, nur damit man eine zentrale Nutzerverwaltung bekommt

Grüße
Jody

Im Zweifelsfalle kann eine Himbeere diesen Job für wenig Kohle übernehmen.... das kleine Ding ist wirklich für viele Probleme eine mögliche Lösung!

Zitat von "Eraser-EMC2-"

Die FritzBox bietet diese Möglichkeit nicht.

Upsi!
Aber ich sprach ja auch von Routern :mrgreen:

Nix für ungut
J :engel: dy

Wäre es nicht einfacher den Router als DHCP-Server zu nehmen und dort einen Statischen Eintrag im DNS vorzunehmen?
Grüße Jody

(Also ich nutze meinen Router für solche Zwecke

Hallo Qnapper!

Dieses Forum ist die beste deutschsprachige Anlaufstelle im Netz, wenn es um unsere NASen geht!
Hier sind sehr viele Wissensträger versammelt, die gerne helfen wenn das ein oder andere Problem auftritt
und manchmal wird sogar angeboten, das Problem direkt per Telefon, Skype oder mittels "Fernwartung" zu lösen!

Diejenigen die hier Ihre Hilfe anbieten, tun dies in Ihrer Freizeit, kostenlos,
weil sie Freude daran haben anderen zu helfen oder aus anderen edlen Motiven heraus,
auch wenn sie manchmal kein "Dankeschön" dafür bekommen...
(Leider gibt es einige Beispiele wo der Helfende statt "Danke" zu erhalten, sogar noch beschimpft wird...)

Alle gemeinsam sind daran interessiert Eure auftretenden Probleme mit diesen Geräten zu lösen und Eure Fragen zu beantworten!
Damit alle von diesem System profitieren können, ist es jedoch auch wichtig zu erfahren, ob die vorgeschlagene Lösung erfolgreich war!
Sehr oft "vergisst" der Themenstarter genau dieses Feedback, das anderen mit gleichen Problemen helfen würde und "verschwindet" lautlos aus dem Thema....

Den Klassiker, also die mangelnde Bereitschaft von der Suchfunktion gebrauch zu machen, nenne ich nur noch der Vollständigkeit halber!
Es macht keinen Spaß, eine Frage zum 100sten Mal zu beantworten nur weil jemand keinen Bock hat die Suche zu benutzen,
also wenn Ihr eine Frage im Forum gestellt habt und keine Antwort erhaltet, sucht danach statt zu posten "hat da keiner ein Lösung zu?" oder "kann mir keiner Helfen?"

Einzig positiv sei hier die Arbeit der MODs genannt, die hier unermüdlich die Themen sauberhalten, mit ihrem Fachwissen helfen und
selbstlos ihre Freizeit opfern um Euch zu helfen, dafür meine Anerkennung :thumb:

Jody

Hmm,

kann denn Dein Win7-Client die Domäne auflösen?
Wenn Du am Client in der CMD "ping mydomain.local" eingibst, sollte die IP des NAS zurückkommen.
Ist das nicht der Fall, solltest Du in jedem Fall die DNS-Einstellungen prüfen.
Grüße Jody

Hi,

da der Fehler nur auftritt, wenn Porttrunking aktiv ist, würde ich vermuten, dass es sich um eine fehlerhafte Konfiguration des Trunks auf dem Switch handelt.
Leider kenne ich die Oberfläche von Deinem Switch nicht, sonst würde ich Dir gerne diesbezüglich weiterhelfen.
(alternativ, wenn auch bei einem neuen Gerät unwahrscheinlich könnte eine der Netzwerkports vom NAS defekt sein)

Grüße
Jody

Zitat von "player83"

Danke!
Was heisst ohne Standard-Gateway einrichten? Das Feld einfach leer lassen? Kann ich dann immer noch auf das NAS zugreifen?
Ich habe das NAS nie dafür freigeschaltet um über das Internet darauf zuzugreifen. DDNS ist nicht aktiv.

Jup, Standardgateway einfach leer lassen, im lokalen Netz kommst Du trotzdem auf das NAS.
Grüße J dy

OKay, dann das NAS mit fester IP aber Ohne Standard-Gateway einrichten.
Somit dürfte zumindest das fluten des Routers aufhören.

Besteht/bestand die Möglichkeit vom Internet auf das NAS zuzugreifen?
Grüße
Jody

Hallöle,

für mich sieht das so aus, als würde das NAS die Rolle des Routers übernehmen...
Also zur Eingrenzung des Fehlers bitte folgendes machen:
1. Router aus
2. einen PC mit dem NAS verbinden und die Netzwerkeinstellungen des NAS prüfen (insbesondere die Funktion DHCP-Server deaktivieren)
3. Netzwerkschnittstelle des NAS als DHCP Client konfigurieren
4. Router wieder einschalten
Eigentlich sollte nun alles wieder funktionieren..

Wahrscheinlich wurde durch das Update der DHCP-Server des NAS aktiviert. Da nun aber Router und NAS als DHCP-Server fungieren,
es aber in einem Netzsegment prinzipbedingt nur einen geben kann (ja, es gibt auch Ausnahmen mit Failover-Servern, aber das verwirrt hier bloß),
schaltet sich einer von beiden aus, in Deinem Fall der Router...

Grüße
Jody

Hallöle,

ich geben zu, dass mich das NAS mit 8GB etwas verwirrt hat :mrgreen: ...

Also es wäre hilfreich zu wissen, welche Hardware insgesamt vorhanden ist und wieviel "Mittel" zusätzlich zur ggf. erforderlichen Beschaffung von Hard-/Software zur Verfügung steht.

Ich würde einen Hyper-V-fähigen PC/Server aufstellen und das "Notenprogramm" auf der entsprechenden Anzahl virtueller Maschinen (VM) installieren. Der Zugriff auf die VMs erfolgt dann
mittels RDP-Session von dem bestehenden Win7-PCs über das Netzwerk.
Nun muss nur noch während der Bearbeitung der Noten die Netzwerkverbindung zum pädagogischen Netz & Internet getrennt werden (Kabel ziehen).
Wenn die Bearbeitung abgeschölossen ist, wird der Hyper-V heruntergefahren (und zur Sicherheit das Netzwerkkabel gezogen )
Somit besteht nur noch einmal die Notwendigkeit die VMs zu erstellen und der Sicherheit dürfte ausreichend genüge getan werden (ggf. kann man den Hyper-V auch im Stahlspind verschließen)

Grüße
Jody

PS.: Aufgrund der "Personenbezogenen Daten" verbieten sich hier Spielereien mit "Netzwerkverbindungen" oder "Firewall-Tricks"

Zitat von "ingobb9"

Hab die Daten bei Dyn DNS eingetragen. Müssen diese jetz noch bei der Portfreigabe eingetragen werden?
Grüße

Hi,
ich empfehle ein genaues Studium der folgenden Themen:
http://forum.qnapclub.de/viewtopic.php?f=35&t=15268
und
http://forum.qnapclub.de/viewtopic.php?f=95&t=1754

Anschließend solltest Du nochmals genau in Dich gehen und Dich fragen, was Du genau möchtest.
Alles weitere wurde bereits mehrfach im Forum erwähnt bzw. ausführlich beschrieben!

Wir erklären es Dir auch gerne noch ein bis zweimal, aber verstehen musst Du das schon alleine

Grüße
Jody

Hallo bluechiper!

Zitat von "bluechiper"

Es sind nun mal offene Ports erforderlich um sich im Internet zu bewegen...
... Es geht um die Ports, die zur Kommunikation offen sein müssen.

Hmmm..
Ja, es müssen Ports geöffnet sein um sich im Internet zu bewegen.
ABER:
Wenn Du in Deinem Browser "http://forum.qnapclub.de" eingibst, sendet Dein Computer diese Anfrage von einem x-beliebigen High-Port (also einer der größer 1024 ist) an den Server von Christian, der auf Port 80 (http) darauf wartet/lauscht.
Nun kramt der Server die Startseite raus und liefert diese an genau den High-Port zurück, von dem Dein Compi die Anfrage gestartet hat. Soweit so gut, aber hier war nun noch kein Router oder gar eine Firewall dazwischen!

Nun bauen wir den Router dazwischen:
Dein Compi richtet genau wie eben die Anfrage an den Server von Christian (von einem High-Port an Port 80 des Servers) nun muss aber Dein Router diese Anfrage anpassen! Dazu merkt sich der Router erstmal, welcher Client die Anfrage gestellt hat und ändert die Absenderadresse (die IP von Deinem Compi) in seine eigene öffentliche IP (also die die im Internet hängt). Nun schickt er die Anfrage (von einem High-Port) an den Server von Christian.
Der Server macht seinen Job wie oben beschrieben und schickt das Paket an den besagten High-Port der öffentliche IP Deines Routers zurück.

Nun weiß der Router, dass er auf genau diesem High-Port eine Anfrage verschickt hat und nur unter genau diesen Umständen akzeptiert er die Antwort des Servers und "bittet" die Antwort quasi herein. Nun ändert er die Ziel-IP der Serverantwort und trägt wieder die IP Deines Compis ein um die Antwort an Deinen Browser zu schicken!
Für diese Form der Kommunikation, die genauso oder ähnlich für Email, FTP, Streaming etc funktioniert (!) muss nicht ein einziger Port des Routers auf dem WAN-Interface (also das böse Ende das im Internet hängt) geöffnet sein!

Dein Beispiel mit der Fritzbox ist in diesem Falle nicht anwendbar, weil:
Hier wurde eine Sicherheitslücke von schlecht konfigurierten Routern ausgenutzt!
Grundsätzlich sollte man Router/Firewalls etc so konfigurieren, dass sie (wenn überhaupt per Netzwerk) nur aus sicheren Netzen heraus administrierbar sind!
Im Falle der Fritzbox sollte die Fernadministration (die eben genau die von Dir genannten Einstellungen erfordert) deaktiviert werden.
Wenn die Fernwartung deaktiviert ist, sind auch die Ports 80/443 nicht mehr auf der WAN-Seite der Fritte geöffnet!

Zitat von "Eraser-EMC2-"

Der Konfigurationsport 443 der Fitzbox muß aber nicht ins Internet offen sein...

100%ige Zustimmung!

Wenn Du aus welchen Gründen auch immer zwingend auf die Fernadministration angewiesen bist, solltest Du dies wenigstens über eine VPN-Verbindung tun! So lässt sich beispielsweise über VPN eine Verbindung zu einem Computer im internen Netz aufbauen, um von dort aus die Konfiguration der Fritzbox (oder eines beliebigen anderen Routers!) zu starten.

Hallöle!

Zitat von "bluechiper"

Oftmals benutzen heutige Anwendungen und damit auch „böse Angreifer“ Ports welche meistens auf jedem Router geöffnet sind.

Unter normalen Umständen sollte auf einem handelsüblichen Router kein Port nach außen geöffnet sein!
Dies gilt jedoch nicht generell für alle Router, aber in Sachen Sicherheit haben die Hersteller in den letzten Jahren immens nachgezogen!

Zitat von "bluechiper"

Im besonderem werden über den Port 80 viele Anwendungen getunnelt, umgehen damit die Firewall und werden auf die internen Rechner weitergeleitet.

Diese Aussage ist so nicht ganz korrekt! Sieht man sich die Kommunikationsbeziehung bei HTTP/HTTPS genau an:
der Nutzer öffnet eine Seite irgendwo im Internet, damit richtet der Client (der PC zuhause) eine Anfrage an einen Webserver, der an Port 80 (http) oder 443 (https) auf genau solche Anfragen wartet.
In der Zeit merkt sich der Router, welcher Client die Anfrage gestellt hat und leitet die Antwort des Server durch die Firewall hindurch zum Client!
Hier ist generell vorausgesetzt, dass jemand eine Frage gestellt hat, eine "sinnfreie" Antwort (oder ein Angriff oder wie auch immer) wird vom Router abgelehnt, weil der Verbindungsauf nicht von innen (das heimische Netz) kommt!
Das über das HTTP-Protokoll jede Menge anderes Zeugs zusammen mit der o.g. Antwort ins heimische Netz strömen kann, sollte jedem klar sein (dies ist der Grund warum es Virenscanner gibt )

Zitat von "bluechiper"

Ist keine Firewall vorhanden, welche den Inhalt der Datenströme analysieren kann, ist es mit der Sicherheit nicht zum bestem bestellt.

Leider ist auch diese Aussage so nicht korrekt!
Eine Firewall alleine ist kein Garant für Sicherheit! Hier wäre nun eine Definition von Firewall gefordert, aber ich kürze mal ab:
Eine Firewall prüft lediglich ob eine Kommunikationsbeziehung zwischen zwei Netzen mittels eines bestimmten Netzwerkprotokolls in eine bestimmte Richtung erlaubt/erwünscht ist, oder nicht! Sollte diese Kommunikation nicht gewollt sein, werden die zugehörigen Datenpakete entweder verworfen (den Absender erhält keine Rückmeldung und läuft in einen Timeout) oder abgelehnt (der Client bekommt "Du kommst hier nicht rein!" als Antwort)

Um den Inhalt von Datenströmen zu analysieren, sind Inspectionmodule oder Intrusion-Detection-Systeme (IDS) gefordert! Sie können die Funktion einer Firewall erweitern, oder als eigenständige Produkte zusätzlich zur Firewall geschaltet werden.
Generell gilt, dass eine Firewall kein Produkt, sondern vielmehr ein Konzept ist:
Aufgestellte Regeln, welche Kommunikationsbeziehungen gewollt oder nicht gewollt sind, verbunden mit IDS, Proxysystemen und Virenschutz!
Die Gänze dieses Themas füllt seit Jahren bereits Newsgroups und Foren, so sollte jeder bei tiefergehenden Interessen sein Lieblingsinternetorakel bemühen!

Zitat von "bluechiper"

.. wenn du das willst, schalte deinen Router auf Modem-Modus und legt dir eine echte Hardwarefirewall/UTM zu.

Bei diesem Punkt kann ich weitestgehend zustimmen

Wer ein wirklich sicheres Netzwerk möchte, sollte sein Netzwerk vollständig von anderen Netzen, also insbesondere dem Internet trennen :mrgreen:
Da dies jedoch unrealistisch ist, empfehle ich zunächst eine "Bewertung" des persönlichen Sicherheitsbedarf vorzunehmen und den "Wert" der persönlichen Daten zu ermitteln!
Aus diesem Ergebnis und dem vorgesehenen Etat für die Netzwerksicherheit lässt sich dann eine Lösung stricken, die je nach finanziellem Einsatz von "ein bischen sicher" bis "eigentlich ziemlich sicher!" reicht.
100%ige Sicherheit wird es selbst mit immensen Kapitalaufwand nicht geben!

Ich unterstütze dennoch die Aussage von biboca, dass das eigene Netz weitestgehend geschützt ist, sofern man kein Portforwarding am Router aktiviert hat (natürlich mit den o.g. Einschränkungen )

Grüße Jody

Zitat von "dr_mike"

Mach ein Kondom über den Netzwerkstecker, dann hast du geschützten Netzwerkverkehr. :mrgreen:

100% ACK

um es ganz sicher zu machen, solltest Du es nicht eingeschaltet lassen...

Sorry, der musste jetzt sein :tongue:
Wie gesagt, erklär doch erst mal was Du möchtest und was DU definitiv nicht möchtest!
Daraus lässt sich recht sicher ableiten, was sinnvoller Weise abgeschaltet werden muss/sollte und was für den Betrieb, so wie Du ihn Dir vorstellst zwingend eingeschaltet sein muss.
Optimal wäre es, wenn Du uns noch ein paar Infos zu Deinem Netz und den genutzten Geräten gibst...
Batterien für Glaskugeln sind ganz schön teuer

Gruß Jody

Hallöle,

hier werdet Ihr fündig:
DynDNS-Anbieter allgemein
kostenlose Anbieter in Deutschland

Eigentlich von jedem Router-Hersteller unterstützt: http://de.dyn.com/dns/
Leider nicht kostenlos, dafür sehr zuverlässig.

Grüße Jody