Zitat von "Eraser-EMC2-"
Könntest du uns nennen , wo das steht ?
:-/ Ahh, da habe ich etwas falsch wiedergegeben - es war im Rahmen der SQL-Aktvierung und der Inbetriebnahme von Joomla, und zwar der explizite Hinweis in der PDF-Datei "TurboStation-Application-09-Joomla-Installation-V1.0_ENG.pdf", die auf der CD unter "Manual" mitgeliefert wurde (Step 3, S. 4, CD-Version 3.9, 7B000-000211-RS). Streng genommen verlagert das aber das Problem erstmal nur auf Joomla (oder Wordpress etc.), um die Angriffe dann da laufen zu lassen.
Dort soll für das einschalten des TCP/IP Networking der externe Port mitgeöffnet werden, um einen Remote-Zugriff auf den MySQL-Server zu ermöglichen.
In diesem Sinne eine nicht ganz korrkete Angabe von mir, sorry. :roll: Trotzdem wohl eine "angewiesene" Sicherheitslücke, weil dann MySQL über diesen Port direkt angreifbar ist, oder?
Eine Frage nochmal: Das ganze klingt so, als ob es eine gewisse Hierarchie bei der Absicheurng gäbe - kann mir einer erklären, was man wahrscheinlich zuerst angreifen würde, wenn man die Box knackt? In meine konkreten Fall hatte ich die Ports 80, 8080 und den 21er forwarded, um remote Dateien auf das NAS zu kriegen - eine ganz logische und normale Anwendung, finde ich. Alle Ports deswegen, weil man per FTP mehr Dateien in einem Schwung laden kann als per http, ich aus dem Büro aber nur per http auf die Box kommen kann.
Was könnte man in einem solchen Szenario, dessen Hauptaugenmerk auf dem Up- und Download von Dateien liegt, in der Box deaktiviert lassen, was muss wie gesichert werden? Vielleicht würde eine Anleitung hierzu vielen Nicht-Profis wie mir helfen...
Ich will das ganze hier gar nicht überdramatisieren, mir ist klar, dass Webdienste ihre Schwächen haben. Es ist absolut korrekt, wenn hier (sehr freundlich übrigens! :thumb: ) darauf hingewiesen wird, das das NAS zuallererst ein NAS ist. Hier ist das klarer als in der Werbung.
Fakt ist für mich, dass die Bewerbung des ganzen den Eindruck vermittelt, dass das alles einfach geht und sehr wohl sicher ist. Fakt ist aber auch, dass ab Werk Schwächen drin sind, die da so nicht hingehören - in anderen Posts war zu lesen, dass der Apache z.B. zu gesprächig ist. Ich finde, dass Hersteller heute bei der Sicherheit SEHR schnell implementieren müssen.
In der Anleitung sollte es ein ganz klares Kapitel zur Absicherung der Box geben - das fehlt. Einige Details stecken zudem nur in den englischen Beschreibungen, was streng genommen einen Mangel der Dokumentation darstellt, der jederzeit zur Kaufwandlung genutzt werden kann, soweit ich da informiert bin (ich bin KEIN Jurist!) - die vollständigen Bedienungsunterlagen müssen auf Deutsch vorhanden sein.
Auch ist es für mich mehr als unverständlich, dass es Monate dauert, die Sicherheitsfunktionen in die kleinen Serien nachzurüsten, die es in den großen Serien schon gibt.
Der Witz ist, dass man, wenn man auf Sicherheit bedacht ist, etliche Funktionen besser gar nicht nutzen sollte, und dann auch noch besser fährt. wenn man pro NAS nur einen Dienst freigibt, weil dann nichts kompromittiert werden kann. Soll heißen, dass man sich besser eine Anzahl kleinerer Modelle kauft, als eine große!
Das mit der DMZ ist ein wertvoller Hinweis, das hatte ich so noch nicht auf dem Schirm.
Für mich bleibt vorerst nur eins: Da ich Technik prinzipiell so einkaufe, dass ich die Teile mindestens 14 Tage lang zurückgeben kann - eher länger, überlege ich mir genau das jetzt ersteinmal.
Das Forum hier ist sehr gut, schnelle und gute Antworten, die mich auf Linux-Ebene leider noch etwas (zu stark) fordern. Falls ich das NAS zurückgebe, werde ich mich hier weiter informieren, um ev. dann, wenn die Sicherheitsfeatures der großen Boxen nachgerüstet worden sind, wieder zu kaufen.
So, und jetzt denke ich erstmal nach.
Alle Portforwardings sind abgeschaltet, also kann auch nichts passieren.