Danke jody, gute Idee.
Leider habe ich derzeit noch keine Zeit dafür gefunden.
Ich denke das Einfachste wäre, einen Sniffer wie bspw. Ettercap oder Ethereal inzwischen Wireshark direkt auf dem NAS zu installieren und den Verkehr mitzuprotokollieren.
Wenn ich mich noch recht erinnere, sollte das auch von einem Laptop in einem geswitchten Netzwerk funktionieren, oder?
Für helfende Tipps wäre ich dankbar, habe sowas schon ewig nicht mehr gemacht.
Danke und Gruß
Hallo Leute,
ich habe auch eine interessante Frage zur Access Violation meines QNAP TS-639 Pro.
Hintergrund:
Aus Sicherheitsgründen habe ich die Sicherheit dermaßen erhöht, sodass nur ganz bestimmte IP Ranges Zugriff auf das NAS haben. Da das NAS direkt mit diversen Diensten im Internet hängt, war das leider unumgänglich. In meiner Security Log erscheinen permanent Access Violations auf Port 80 und 21 mit entsprechenden Portprobes, was nichts ungewöhnliches darstellt.
Frage / Problem:
Um das Webinterface zu schützen, habe ich den Port von 8080 auf 31247 gelegt und siehe da:
Access Violation from 174.129.237.157
... ok dachte ich mir, Zufall ...
Nun habe ich das Webinterface von 31247 auf Port 8119 gelegt und siehe da:
Access Violation from 174.129.237.157
... hmm, tja, also merkwürdig ...
Nun habe ich das Webinterface von 8119 auf 9098 gelegt und siehe da:
Access Violation from 174.129.237.157
Um diese IP aufzulösen, folgende Infos:
174.129.237.157
Host nicht erreichbar
174.129.0.0 - 174.129.255.255
Amazon.com, Inc.
Amazon Web Services, Elastic Compute Cloud, EC2
1200 12th Avenue South
Seattle
WA
98144
United States
Amazon EC2 Network Operations
+1-206-266-2187
aes-noc@amazon.com
Abuse:
Amazon EC2 Abuse
+1-206-266-2187
ec2-abuse@amazon.com
PDNS1.ULTRADNS.NET
PDNS2.ULTRADNS.NET
PDNS3.ULTRADNS.ORG
AMAZON-EC2-5
Erstellt: 2008-08-08
Aktualisiert: 2009-07-28
Quelle: whois.arin.netMeine Frage:
Es ist bekannt, dass die QNAPs Amazon S3 Services anbieten, aber warum habe ich Access Violations genau auf meinem Webinterface Port?
Und nicht nur das, es ist gezielt nur dieser Port, kein Scan o.ä.
Vermutung / Spekulation:
Diese Fakten deuten darauf hin, dass sich hier eine "Phoning Home" Funktion in dem NAS befindet.
Hat hier jemand ähnliche Erfahrungen gemacht?
Anlage:
system-log.csv (alte Logdatei, siehe Eintrag Zeile 132, 2010-02-28 00:25:08)
Danke und Gruß
Hallo Community,
ich habe ein TS-639 Pro (Aktuelle Firmwareversion: 3.2.3 Build 0209T) als Webserver an einem T-DSL Anschluss (IP ist fiktiv, nehmen wir mal 62.24.30.128 an) laufen und habe im Router ausschließlich Port 80 freigegeben.
Zum testen habe ich einen Rechner an einem Unitymedia Internetanschluss (IP fiktiv, nehmen wir mal 94.1.1.25 an) um auf den NAS zuzugreifen, was auch gut funktioniert.
Ziel:
Ich möchte auf dem NAS nur bestimmte IP Bereiche aus der EU freigeben, da immer häufiger russische und chinesische Einbruchsversuche stattfinden.
IP Range: 62.0.0.0 bis 95.255.255.255 (als Beispiel)
Lösungsansatz:
Meine Lösung sieht vor, unter Sicherheit und Sicherheitsstufe nur 2 IP Ranges zuzulassen,
die vom internen LAN (Intranet) (z.B. 192.168.0.1 - 192.168.0.254) und die vom europäischen IP Adressbereich (62.0.0.0 - 95.255.255.255).
--> damit ich innerhalb meines Netzwerkes auch zugreifen kann
Das schaut in etwa so aus:
siehe Anhang ...
Problem:
Wenn ich mit meinem Unitymedia Internetanschluss IP (94.1.1.25) zum testen auf die T-DSL IP (62.24.30.128) zugreifen möchte (beide sind in der Range im NAS freigegeben!), werde ich geblockt, obwohl meine IP innerhalb der Range liegt, welche ich im NAS definiert habe!
Woran kann das liegen, ist das ein Bug?
Vorläufige Lösung:
Stelle ich die Sicherheit auf "Niedrig: Alle Verbindungen zulassen" und begrenze nur die Anzahl der Login Versuche über "Netzwerkzugangsschutz", dann funktioniert es kurioserweise tadellos.
Ich benötige aber dringend einen gesperrten IP Block der alles außerhalb der EU blockiert, wie oben beschrieben.
Bitte um Hilfe, ich weiß keinen Rat mehr und bin echt am verzweifeln 
Danke und Gruß
[EDIT & UPDATE]
Des Rätsels Lösung ist, das ich einen Linksys LoadBalancing Router RV042 betreibe an einem HP 1810G-24 ProCurve Layer2 Switch.
Darüber läuft eine Unitymedia Leitung und eine manitu T-DSL über LoadBalancing um eine Lastverteilung zu bekommen.
Eigentlich sollte man annehmen, dass man mit dem Unitymediaanschluss auf die IP des manitu Anschlusses zugreifen kann, wenn hinter dem manitu ein NAS mit Webserver läuft, ... sollte
Nachdem ich nun beide Internetleitungen mit 2 getrennten Routern betreibe ist das Problem verschwunden!
In diesem Sinne, ... danke für nix 
P.S.: Christian, das mit der externen Verlinkung geht klar, sorry,
sieht aber in dem Beitrag trotzdem schei*zensiert*e aus :thumb:
Hallo Erazer-EMC²,
hmm mal sehen ob ich verstanden habe was Du meinst.
Ich habe nun als Admin über den Windows Explorer im Ordner KUNDEN die Userordner angelegt.
> Nachname_Vorname1
Damit ist der Besitzer dieses Ordners der Admin! richtig?
Da es der Admin ist, kann ich über CHMOD die Berechtigung auf 700 ändern, sodass nur der Besitzer (also der Admin) zugreifen kann.
Ergo, müsste ich den Ordner nochmal löschen,
müsste auf den Ordner KUNDEN (übergeordnetes Verzeichnis) Vollzugriff gewähren,
müsste mich dann mit jedem User einmal einloggen und immer mit dem eingeloggten User das Verzeichnis anlegen.
>> Da ich dann den jeweiligen Ordner unter dem User angelegt habe, kann ich anschließend jeden Ordner auf 700 setzen und es würde passen, richtig?
Wenn ich aber auf dem übergeordneten Ordner KUNDEN den Vollzugriff habe, dann vererbt sich das doch autom. auf alle Unterordner oder nicht?
Danke und Gruß
EDIT:
Ich habe nun folgende Schritte unternommen:
1. Ich habe im FTP Programm folgende User mit Passwort angelegt äquivalent zu den Usern im NAS
> Nachname_Vorname1
> Nachname_Vorname2
> Nachname_Vorname2
> Nachname_VornameN
2. Habe den übergeordneten Ordner KUNDEN für everyone full access freigegeben und habe mich
mit jedem einzelnen User, mit entsprechend unterschiedlichem User/Pass viá FTP eingeloggt und unter
KUNDEN den Userordner erstellt (z.B. Nachname_Vorname3) und den CHMOD auf 700 gestellt.
Soweit hat alles funktioniert.
Check folgt noch ...
Ich hatte ein ähnliches Problem auch mit der TS-639 Pro, lag an dem intergrierten 4-fach Switch in meinem Linksys Router.
Nach Anschluss an einen extra Switch war das Problem verschwunden.
Bei mir funktioniert es unter XP mit verschiedenen Arbeitsgruppen einwandfrei, unter Win Vista Ultimate 64 funzt es bei mir nicht richtig und ich muss das NAS in die gleiche Arbeitsgruppe stellen wie die restlichen PCs, k.A. warum!
Kannst Du mal einen Screenshot schicken (ich lade das immer mit imageshack hoch, dass kann man im Forum einbauen).
Bei mir schaut es dann in etwa so aus:
Extern verlinktes Bild entfernt! Der Grund!
Nutzt Du phpMyAdmin oder die Konsole?
Falls Du phpMyAdmin noch nicht hast installiere Dir diesen über den QPKG oder lade Dir die aktuelle Version über Sourceforge herunter, im QWeb entpacken und die phpMyAdmin Config Datei per Hand anpassen.
Hallo,
ich habe schon einiges im Forum gefunden, aber ich bin bald der Verzweiflung nahe.
Ich brauche einen Workaround, wie man eine bestimmte Struktur erstellen und bestimmten Nutzern freigeben kann und zwar so, dass der eine User den Ordner des anderen Users nicht einsehen kann.
Ich habe es bisher nicht geschafft, vielleicht könnt Ihr mir dabei helfen :oops:
1. Die Struktur soll folgendermaßen aussehen:
Network Recycle Bin 1
Public
Qdownload
Qmultimedia
Qrecordings
Qusb
Qweb
KUNDEN
(neu ist nur der Ordner KUNDEN)
2. Es soll nur der Ordner KUNDEN sichtbar sein (schon realisiert)
Die anderen Ordner sind zugriffsgeschützt und unsichtbar.
3. Der Ordner KUNDEN soll folgende Unterordner haben
KUNDEN
-> Nachname_Vorname1
-> Nachname_Vorname2
-> Nachname_Vorname3
-> Nachname_Vorname4
-> Nachname_Vorname5
-> Nachname_Vorname6
-> surename_forenameN
4. Es soll für jeden Unterordner ein User im Webinterface angelegt werden, mit Username und Password (schon realisiert).
Frage:
- Wie bekomme ich nun die Berechtigung von Unterordner Nachname_Vorname1 eingerichtet,
sodass nur der bereits angelegte User Nachname_Vorname1 mit seinem Username und Password darauf zugreifen darf?
Auflagen:
- Ein Firmwareupdate ist nicht möglich!
- Der Zugriff per SSH ist nicht möglich!
- Der Zugriff per FTP ist möglich.
- Modell QNAP TS-639 Pro
- Firmware 2.1.1 Build 0122T
Zitat von "xled"... Kann man eigentlich ganze IP Region sperren?
Ja! Je nachdem welcher Router im Einsatz ist kann man das tun wenn der Router dies unterstützt.
Meistens können das Router im Preissegment > 300 Euro mit eingebauter Firewall. Besonders beliebt sind Geräte von Cisco, denn hier wird ersteinmal deny all als Regel definiert, d.h. alles ist gesperrt. Danach öffnet man die Ports und IPs die man zulassen möchte. Ich habe zum Beispiel alle europäischen IP Adressen erlaubt, muss dazu aber sagen, dass wenn die Telekom eine IP Range eines ausländischen Partners dazukauft und diese verwendet, geht die ganze Schooose schon nicht mehr :-/
Tip: Beim Routerkauf darauf achten was für ein System darauf läuft. Es sind div. Linksys Router mit Linux Firmware im Umlauf die diese Funktion evtl. beherrschen und nur kleines Geld kosten, da muesste man mal nach googeln.
gr33tz
TW
Hallo Hansjörg,
das man einen externen Port auf einen internen umleitet ist in diesem Fall hier wohl geräteunabhängig. Man konfiguriert dies in seinen Netzwerkkomponenten, was bei den meisten Forenbesuchern sicherlich der Router sein wird.
Ein Beispiel:
Anfrage aus dem Internet von 80.82.113.61:21 auf die Adresse 89.92.123.64 (das ist Deine WAN IP der T-Com o.ä.) wird von Deinem Router 192.168.1.1 weitergeleitet auf 192.168.1.100:21 (das ist Dein Rechner/Laptop im LAN)
Hast Du nun hier einen FTP Dienst (Port 21) auf Deinem Rechner 192.168.1.100 laufen, so wird die Anfrage aus dem Internet direkt auf Deinen Rechner durchgeleitet (Router Forward Regel vorausgesetzt) und einem FTP Hack Angriff steht nichts mehr im Wege.
Da die meisten Hacker nur die Standard Ports scannen, ist die Wahrscheinlichkeit gering, dass Sie z.B. sehr hohe Portnummern abscannen. Also verwenden wir nun einen sehr hohen Port für unseren FTP-Server > 20000 bspw.
Anfrage aus dem Internet müsste z.B. auf Port 34132 erfolgen, also auf die Adresse 89.92.123.64:34132 (das ist Deine WAN IP der T-Com o.ä.) diese wird nun von Deinem Router 192.168.1.1 weitergeleitet und samt Port konvertiert auf Deinen LAN PC 192.168.1.100:21
Hast Du nun hier einen FTP Dienst (Port 21) auf Deinem Rechner 192.168.1.100 laufen, so wird die Anfrage aus dem Internet von Port 34132 direkt auf Deinen Rechner durchgeleitet (Router Forward Regel wieder vorausgesetzt) und der FTP Hack Angriff kann so erschwert werden, da der Hacker "hoffentlich nur" auf Port 21 nach einem FTP Server sucht. Würde ein Hacker alle Ports Deiner WAN IP (0 bis 65535) scannen, dann würde er auch Deinen Port 34132 finden. Da dies auber recht unwahrscheinlich ist, finde ich diese Methode von Christian gar nicht so schlecht.
Wie das nun in Deinem Router konfiguriert werden muss, entnehme bitte dem Handbuch :thumb:
Hallo Christian,
also langsam vergeht mir hier ein wenig das Lachen 
Ich habe tatsächlich auch eine 3er Lizenz von KIS2009 und ich bin nicht ganz unfit was das administrieren der Firewalls angeht, aber bei Kaspersky bin ich so langsam echt abgenervt, denn man kann die entsprechenden Punkte nur mit Mühe oder gar nicht finden!
Kannst Du mir sagen wo ich diesen 8080 eintragen muss?
Und Du sagst bis vor kurzem, was hast Du denn inzwischen für eine Lösung gefunden? Ich liebäugel seit Monaten mit einer Astaro Hardware / Gateway Lösung, aber die Viren/Firewall und Spamlizenzen kosten ja auch noch ein bisserl was pro Jahr und macht den Virenscanner auf dem Client leider doch noch nicht völlig nutzlos, auch wenns schön wäre komplett ohne auszukommen.
Gruß Timo
Zitat von "christian"Alles anzeigenHallo Timo,
also mit dem IE7, Chrome und FF kann ich das Verhalten nicht bestätigen. Ob nun mit 2 oder aber nur mit 1 LAN Anschluss in Nutzung läd die Seite Tadellos, achja du kannst dank des Display auch an der Gerätefront die IP einstellen ;).
Mfg
Christian
Hi Christian,
ich habe es auch mit diversen Browsern getestet inkl. DNS (ipconfig /flushdns und Browser-Cache leeren.
Ich nutze übrigens IE7 7.0.5730.13, Firefox 3.0.6, Google Chrome 1.0.154.48 und SWare Iron 1.0.155.0 (6886), Lynx als Web-Entw. Browser. In jedem Browser das gleiche Ergebnis, leere Seite - keinerlei Quelltext.
Als Security Lösung ist Kaspersky Internet Security 2009 installiert.
Das Einzige was ich noch nicht getestet habe, ich habe alle OS als Guest unter Vista x64 Ultimate unter VMWare Workstation laufen. Da ich aber auch unter Vista x64 die leere Seite habe, denke ich nicht das es am Browser liegt - bleibt nur KIS 2009 und die Firmware des TS-639 Pro mit 2.1.1 Build 0122T.
P.S.: Das man dies am Display einstellen kann ist schon klar, aber ich möchte ungern jedes Mal zu der Kiste laufen
P.P.S.: Das Problem existiert nur bei LAN1 und DHCP, LAN2 (nicht angeschlossen und ebenfalls DHCP).
LG Timo
Ahhh, jetzt verstehe ich was Du meintest!
Danke für den Tipp, von der Seite hatte ich das noch nicht betrachtet! Das werde ich doch glatt mal versuchen :thumb:
Gruß
Zitat von "christian"
Für die TS-109 gibt bisher keine Möglichkeit Angriffe zu blocken, jedoch ist es oft schon sehr effektiv wenn man den Port ändert oder einen externen auf den internen umleitet.
Mfg
Christian
Hallo Christian,
sorry wenn ich den Thread nochmal hochhole, ich bin neu hier und habe noch eine Frage.
Wenn man den Port von extern auf intern umleitet, dann sprechen wir doch hier von einer klassischen NAT (Network Address Translation) oder nicht?
Sprich, wenn ich "von aussen" einen Client PC innerhalb meines LAN ansprechen möchte, z.B. via FTP, dann muss ich meinem Router in der NAT mitteilen, dass er bitte alle Anfragen die für Port 21 (FTP) bestimmt sind an den LAN PC mit der IP xxx.xxx.xxx.xxx weiterleiten soll.
Das verstehe ich nicht, warum soll das effektiv gegen Hackerangriffe sein?
Hallo,
ich möchte hier auch eine kleine Randbemerkung posten, denn ich habe dieses Problem auch mit dem TS-639 Pro (6 x 1000GB WD).
Ausgangssituation, nur LAN1 ist aktiv und bekommt über DHCP von meinem Linksys RV042 die IP (statisch über MAC) zugewiesen, was auch gut funktioniert.
1. Ein Klick auf die Netzwerkeinstellungen im Webinterface erzeugt "leider" eine leere weiße Seite!
2. Geht man über den QNAP Finder und konfiguriert von dort das Netzwerkinterface, dann wird nach der Änderung auf eine statische IP Adresse der Server neu gestartet.
3. Nach dem Neustart und nach erfolgreichen einloggen in das Webinterface, steht die Seite Netzwerkeinstellungen wieder wie gewohnt zur Verfügung!
Ich finde dies etwas verwirrend, funktioniert so aber durchaus sonst ohne Probleme :thumb:
Vielleicht sollte die QNAP Entwicklungsabteilung einfach die Seite ausgegraut anzeigen lassen, das würde für weniger Verwirrung sorgen
Vielleicht noch ein Tipp:
Ich habe es nun so gelöst, dass ich die IP des LAN1 statisch vergeben habe und als DNS die IP des Routers eingetragen habe. LAN2 ist wie LAN1 standalone und als DHCP gekennzeichnet. Das funktioniert so mit einem LAN(1)-Kabel einwandfrei (bis jetzt)