Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Sicherheitsproblem Portweiterleitung 443, 5001, 7001 etc?
120 views
Skip to first unread message
Max M
Feb 20, 2012, 6:33:20 PM2/20/12
to
Hi.
Ich komme irgendwie bei o.g. Frage selbst mit Google / Wiki etc nicht
weiter, daher hier die Frage:
Ich habe mir eine NAS gekauft auf die ich auch "von extern" (z.b. über
android Handy, Iphone, andere PCs, etc) zugreifen möchte. Überall
steht ich solle im Router Ports auf die NAS weiter leiten.
Das klappt auch Problemlos (mit ner DYNDNS Adresse).
Ist es denn "unsicher" die o.g. Ports (443, 5001, 7001) weiter zu
leiten? Habe ich sonst irgendwelche Nachteile?
Ich habe absichtlich nicht 80, 5000 und 7000 weiter geleitet, da ich
meine gelesen zu haben dass es sich hierbei um unverschlüsselte Ports
handelt (was auch immer das heißt^^)
Danke im Voraus
Max
Ich komme irgendwie bei o.g. Frage selbst mit Google / Wiki etc nicht
weiter, daher hier die Frage:
Ich habe mir eine NAS gekauft auf die ich auch "von extern" (z.b. über
android Handy, Iphone, andere PCs, etc) zugreifen möchte. Überall
steht ich solle im Router Ports auf die NAS weiter leiten.
Das klappt auch Problemlos (mit ner DYNDNS Adresse).
Ist es denn "unsicher" die o.g. Ports (443, 5001, 7001) weiter zu
leiten? Habe ich sonst irgendwelche Nachteile?
Ich habe absichtlich nicht 80, 5000 und 7000 weiter geleitet, da ich
meine gelesen zu haben dass es sich hierbei um unverschlüsselte Ports
handelt (was auch immer das heißt^^)
Danke im Voraus
Max
Dieter Schultheis
Feb 21, 2012, 5:28:08 AM2/21/12
to
potentielles Sicherheitsrisiko dar. Daher sollte man nur die freigeben,
die wirklich nötig sind.
Bei einem offenen Port werden Angriffsversuche nicht mehr vom Router
geblockt. Daher muss man dafür sorgen, das die Geräte, auf die im
Heimnetzwerk zugegriffen wird, den Angriffsversuchen widerstehen können.
Dieses ist z.B. bei Fehlern in der Software bzw. Firmware (eines NAS)
nicht mehr der Fall. Daher sind regelmäßige Updates auch dieser Geräte
im Heimnetzwerk Pflicht.
Das Webinterface eines NAS kann man im eigenen Heimnetzwerk bzw. aus dem
Internet mit dem Http (Port 80) oder Https (Port 443) Protokoll in z.B.
dem Firefox Browser aufrufen.
Die Verbindung zu normalen Http Web-/Internetseiten (ohne "s" für
secure/sicher) läuft unverschlüsselt ab. Das gilt auch für übertragene
Anmeldedaten/Passwörter.
Bei Https Internetseiten wird die Datenverbindung mit SSL bzw TLS
verschlüsselt. Sicher ist das ganze aber auch nur mit einem guten
Passwort. Also nichts aus einem Wörterbuch oder Namen/Zahlen aus dem
persönlichen Umfeld. Und 10 oder etwas mehr Zeichen sind auch von Vorteil.
Gute Passwärter wie "Die-ist-1-Bei " bildet und merkt man sich am Besten
aus Sätzen wie "Dieses ist 1 Beispiel". Besser sind natürlich etwas
längere Sätze.
Zu den Diensten, die die Ports 5000/5001 bzw. 7000/7001 benötigen, kann
ich jetzt nichts sagen. Sollte man nur freigeben, wenn wirklich für den
NAS Zugriff aus dem Internet nötig (siehe NAS BDA) und Anmeldedaten und
persönliche Daten verschlüsselt übertragen werden.
Noch etwas mehr Sicherheit erreicht man, wenn man statt der
Standardports für die Dienste einen anderen einstellt. Die meisten
Portscanner testen nur auf offene Standardports. Dann muss man die
eigene Dyndns Adr aber mit der geänderten Portnummer ergänzen.
"https://www.ich.dyndns.com:50443" statt nur "https://www.ich.dyndns.com"
--
MfG
Dieter
Max M
Feb 21, 2012, 6:18:38 AM2/21/12
to
On 21 Feb., 11:28, Dieter Schultheis <news4d...@t-online.de> wrote:
-schnipp-
>
> MfG
> Dieter
Dank dir für die ausführliche Antwort. Hat mir sehr geholfen. Also
besser https (81,5001,7001) statt http da ansonsten meine anmeldedaten
unverschlüsselt gesendet werden. Firewall hat meine NAS. Dann richte
ich die wohl auch mal ein^^
-schnipp-
>
> MfG
> Dieter
Dank dir für die ausführliche Antwort. Hat mir sehr geholfen. Also
besser https (81,5001,7001) statt http da ansonsten meine anmeldedaten
unverschlüsselt gesendet werden. Firewall hat meine NAS. Dann richte
ich die wohl auch mal ein^^
Message has been deleted
gUnther nanonüm
Feb 22, 2012, 7:03:23 PM2/22/12
to
"Oliver Sch@d" <spam.entfernen.und.bring...@oschad.de>
schrieb im Newsbeitrag news:9qlbl2...@mid.dfncis.de...
> Kann man so nicht sagen - ich würde ein NAS niemals ans Internet hängen.
> Also eigentlich würde ich es für sogar total bescheuert halten.
> Ausnahmen mag es geben, wenn ich das System unten drunter selbst warte,
> aber sonst sollte man das nicht tun.
>
> Die Hersteller gehen normalerweise davon aus, dass die Teile in internen
> Netzen stehen, so sieht dann auch das Ergebnis aus.
Hi,
naja, je nach Risikobereitschaft halt. Wenn Du aus dem haus gehst, machst Du
dann den Raumanzug wasserdicht?
>
>> Habe ich sonst irgendwelche Nachteile?
>
>
>> Ich habe absichtlich nicht 80, 5000 und 7000 weiter geleitet, da ich
>> meine gelesen zu haben dass es sich hierbei um unverschlüsselte Ports
>> handelt (was auch immer das heißt^^)
>
> Ports kann man nicht verschlüsseln. Es gibt aber Standardports für
>> Ich habe absichtlich nicht 80, 5000 und 7000 weiter geleitet, da ich
>> meine gelesen zu haben dass es sich hierbei um unverschlüsselte Ports
>> handelt (was auch immer das heißt^^)
>
> Anwendungen und auf Port 80 läuft standardmäßig die Anwendung HTTP,
> welche unverschlüsselt überträgt.
>
> Port 5000, 5001, 7000 und 7001 kann ich gerade gar nicht einordnen: was
> soll das sein? Solange du nicht ganz genau weißt, was du da
> freischaltest, solltest du das lassen. Ich empfehle dringend ein VPN -
> hab ich bei einem Kumpel auch eingerichtet, OpenVPN mit Android. Der
> wollte auch von unterwegs auf seinen Dateiserver rauf.
Reicht nicht FTP? NAS ist doch nur Storage, mit nem schlauen Router wie der
Fritzbox handelt der Client dann alles weitere selber aus. Und eine
"genügend dumme" NAS-CPU kann auch ein sicherer Schutz sein. Ich hab das
billigstmögliche NAS (lange danach gesucht..) und dieses stürzt nach einer
gewissen Zahl von Paßwortrateversuchen einfach ab :-), seine
"Rechenleistung" ist so erbärmlich, daß es nur 2-3 gleichzeitige Zugriffe
überhaupt schafft, und jeder Loginversuch benötigt etliche Sekunden
"Erholungspause"... Scriptkiddies vergnügen sich gelegentlich dran, aber
zwecklos.
Ich hab sogar nen Public-Bereich mit Schreibrecht, aber nichtmal dadrauf hat
je einer was Verbotenes gelegt.
--
mfg,
gUnther
Holger Jeromin
Feb 23, 2012, 2:37:38 AM2/23/12
to
gUnther nanonüm schrieb am 23.02.2012 01:03:
> "Oliver Sch@d"<spam.entfernen.und.bring...@oschad.de>
> schrieb im Newsbeitrag news:9qlbl2...@mid.dfncis.de...
>> Kann man so nicht sagen - ich würde ein NAS niemals ans Internet hängen.
>> Also eigentlich würde ich es für sogar total bescheuert halten.
>> Ausnahmen mag es geben, wenn ich das System unten drunter selbst warte,
>> aber sonst sollte man das nicht tun.
>> Die Hersteller gehen normalerweise davon aus, dass die Teile in internen
>> Netzen stehen, so sieht dann auch das Ergebnis aus.
> "Oliver Sch@d"<spam.entfernen.und.bring...@oschad.de>
> schrieb im Newsbeitrag news:9qlbl2...@mid.dfncis.de...
>> Kann man so nicht sagen - ich würde ein NAS niemals ans Internet hängen.
>> Also eigentlich würde ich es für sogar total bescheuert halten.
>> Ausnahmen mag es geben, wenn ich das System unten drunter selbst warte,
>> aber sonst sollte man das nicht tun.
>> Die Hersteller gehen normalerweise davon aus, dass die Teile in internen
>> Netzen stehen, so sieht dann auch das Ergebnis aus.
> naja, je nach Risikobereitschaft halt. Wenn Du aus dem haus gehst, machst Du
> dann den Raumanzug wasserdicht?
Hat deine Haustür ein Buntbartschloss oder ein Zylinderschloss?
> dann den Raumanzug wasserdicht?
Ein Zylinderschloss (Router) sichert die Haustür, das Buntbartschloss
(NAS) braucht dann keine große Sicherheit mehr.
>>> Ich habe absichtlich nicht 80, 5000 und 7000 weiter geleitet, da ich
>>> meine gelesen zu haben dass es sich hierbei um unverschlüsselte Ports
>>> handelt (was auch immer das heißt^^)
>> Ports kann man nicht verschlüsseln. Es gibt aber Standardports für
>> Anwendungen und auf Port 80 läuft standardmäßig die Anwendung HTTP,
>> welche unverschlüsselt überträgt.
>>
>> Port 5000, 5001, 7000 und 7001 kann ich gerade gar nicht einordnen: was
>> soll das sein? Solange du nicht ganz genau weißt, was du da
>> freischaltest, solltest du das lassen. Ich empfehle dringend ein VPN -
>> hab ich bei einem Kumpel auch eingerichtet, OpenVPN mit Android. Der
>> wollte auch von unterwegs auf seinen Dateiserver rauf.
> Reicht nicht FTP?
> NAS ist doch nur Storage, mit nem schlauen Router wie der
> Fritzbox handelt der Client dann alles weitere selber aus. Und eine
> "genügend dumme" NAS-CPU kann auch ein sicherer Schutz sein. Ich hab das
> billigstmögliche NAS (lange danach gesucht..) und dieses stürzt nach einer
> gewissen Zahl von Paßwortrateversuchen einfach ab :-), seine
> "Rechenleistung" ist so erbärmlich, daß es nur 2-3 gleichzeitige Zugriffe
> überhaupt schafft, und jeder Loginversuch benötigt etliche Sekunden
> "Erholungspause"... Scriptkiddies vergnügen sich gelegentlich dran, aber
> zwecklos.
genau ein Request. Das schafft auch deine CPU.
> Ich hab sogar nen Public-Bereich mit Schreibrecht, aber nichtmal dadrauf hat
> je einer was Verbotenes gelegt.
--
Holger
gUnther nanonüm
Feb 23, 2012, 12:18:45 PM2/23/12
to
"Holger Jeromin" <news0...@katur.de> schrieb im Newsbeitrag
news:9qm8m2...@mid.dfncis.de...
> Hat deine Haustür ein Buntbartschloss oder ein Zylinderschloss?
> Ein Zylinderschloss (Router) sichert die Haustür, das Buntbartschloss
> (NAS) braucht dann keine große Sicherheit mehr.
egal, ein offener Port und ein dazu überperformanter NAS-PC reichen
vielleicht hinne. Remote den kapern und Du hast ne 5.Kolonne.
> FTP ist meist unverschlüsselt.
>
>> NAS ist doch nur Storage, mit nem schlauen Router wie der
>> Fritzbox handelt der Client dann alles weitere selber aus. Und eine
>
> ???
verlagert, mit Hilfe des Routers.
> Es geht auch um Sicherheitslücken in der Software. Und dafür brauchst du
> genau ein Request. Das schafft auch deine CPU.
geradezu lächerlich schwach denkt. Wenn der "Sicherheitslücken" haben
sollte, nur zu :-)
>
>> Ich hab sogar nen Public-Bereich mit Schreibrecht, aber nichtmal dadrauf
>> hat
>> je einer was Verbotenes gelegt.
ein verschlüsseltes File damit, etwa als Truecryptdatei tut besser. Dann
können einem selbst komplette Datenabsaugereien keinen Schaden tun. Oder
falls der Datendieb die orthodoxe Methode wählt und direkt das NAS klauen
geht. Immerhin sind Wohnungen mit NAS oft lange leer :-)
--
mfg,
gUnther
Message has been deleted
Holger Jeromin
Feb 23, 2012, 3:44:49 PM2/23/12
to
gUnther nanonüm schrieb am 23.02.2012 18:18:
> "Holger Jeromin"<news0...@katur.de> schrieb im Newsbeitrag
> news:9qm8m2...@mid.dfncis.de...
>> Hat deine Haustür ein Buntbartschloss oder ein Zylinderschloss?
>> Ein Zylinderschloss (Router) sichert die Haustür, das Buntbartschloss
>> (NAS) braucht dann keine große Sicherheit mehr.
> "Holger Jeromin"<news0...@katur.de> schrieb im Newsbeitrag
> news:9qm8m2...@mid.dfncis.de...
>> Hat deine Haustür ein Buntbartschloss oder ein Zylinderschloss?
>> Ein Zylinderschloss (Router) sichert die Haustür, das Buntbartschloss
>> (NAS) braucht dann keine große Sicherheit mehr.
> egal, ein offener Port und ein dazu überperformanter NAS-PC reichen
> vielleicht hinne. Remote den kapern und Du hast ne 5.Kolonne.
>> FTP ist meist unverschlüsselt.
>>> NAS ist doch nur Storage, mit nem schlauen Router wie der
>>> Fritzbox handelt der Client dann alles weitere selber aus. Und eine
>> ???
> Port21 als "Eingang", die Kommunikation wird dann ja auf andere Ports
> verlagert, mit Hilfe des Routers.
Gerade bei FTP ist nicht einfach durch NATs zu kriegen. Wenn du da noch
> vielleicht hinne. Remote den kapern und Du hast ne 5.Kolonne.
>> FTP ist meist unverschlüsselt.
>>> NAS ist doch nur Storage, mit nem schlauen Router wie der
>>> Fritzbox handelt der Client dann alles weitere selber aus. Und eine
>> ???
> Port21 als "Eingang", die Kommunikation wird dann ja auf andere Ports
> verlagert, mit Hilfe des Routers.
ports umbiegst, wird das nicht einfacher.
>> Es geht auch um Sicherheitslücken in der Software. Und dafür brauchst du
>> genau ein Request. Das schafft auch deine CPU.
> Ja, klar. Bloß ist das eben ne saudoofe Firmware auf einem Chip, der
> geradezu lächerlich schwach denkt. Wenn der "Sicherheitslücken" haben
> sollte, nur zu :-)
löschen. Beides evtl uncool.
>>> Ich hab sogar nen Public-Bereich mit Schreibrecht, aber nichtmal dadrauf
> Man sollte eh niemals direkt persönliche Daten offen zugänglich vorhalten,
> ein verschlüsseltes File damit, etwa als Truecryptdatei tut besser. Dann
> können einem selbst komplette Datenabsaugereien keinen Schaden tun. Oder
Ein ungepatchtes NAS am Internet hängen ist gleichbedeutend mit "offen
> ein verschlüsseltes File damit, etwa als Truecryptdatei tut besser. Dann
> können einem selbst komplette Datenabsaugereien keinen Schaden tun. Oder
zugänglich machen". Per Lese und Schreibzugriff.
--
Grüße
Holger
gUnther nanonüm
Feb 23, 2012, 6:09:53 PM2/23/12
to
news:9qnmq0...@mid.dfncis.de...
> Gerade bei FTP ist nicht einfach durch NATs zu kriegen. Wenn du da noch
> ports umbiegst, wird das nicht einfacher.
Hi,
ich weiß genau was Du meinst...aber nicht jeder hat nen D-Link :-) Mit
meiner Hardware hatte ich solche Probleme nie. Nur mit der von anderen.
Kenne wen, der hat im internen Netz dieselbe "Performance" über FTP wie
extern...dank D-Link.
> Durch die Lücke kann man vielleicht alle deine Daten klauen oder gar
> löschen. Beides evtl uncool.
Wenn es Lücken gibt, ja. Doch leiderleider, Lücken gibts immer. Da ists
schon besser, am Grunde eines Brunnenschachtes zu leben, mit ner geladenen
Schrotflinte nach oben zu zielen und zu warten...und selbst dann wird einen
ein Regenwurm von unten beißen...
Alle Freigaben sind stets auch Einfallstore. Je mehr Aufwand in die
Abschottung steckt, desto mehr Einfälle gilt es abzufangen. Meine Erfahrung.
Dagegen zieht meine IP offenbar Interessenten wie Sau an, aber keiner hat
Geduld genug, bei 5sec/try lange genug dran zu knabbern. Und nach einer
ungewissen Zahl von Versuchen macht die Firmware die Blutgrätsche, genau wie
nach gewissen Firmwarebefehlen.
> Ein ungepatchtes NAS am Internet hängen ist gleichbedeutend mit "offen
> zugänglich machen". Per Lese und Schreibzugriff.
Ich täte es ja gerne mal einem Hackerkongreß "vorstellen", ich täte auf
Wahnsinnsanfälle der Hacker setzen. Wer auch nur in die Nähe des richtigen
Paßwortes kommt, ist entweder Hellseher oder reitet ein totes Pferd.
--
mfg,
gUnther
> Gerade bei FTP ist nicht einfach durch NATs zu kriegen. Wenn du da noch
> ports umbiegst, wird das nicht einfacher.
ich weiß genau was Du meinst...aber nicht jeder hat nen D-Link :-) Mit
meiner Hardware hatte ich solche Probleme nie. Nur mit der von anderen.
Kenne wen, der hat im internen Netz dieselbe "Performance" über FTP wie
extern...dank D-Link.
> Durch die Lücke kann man vielleicht alle deine Daten klauen oder gar
> löschen. Beides evtl uncool.
schon besser, am Grunde eines Brunnenschachtes zu leben, mit ner geladenen
Schrotflinte nach oben zu zielen und zu warten...und selbst dann wird einen
ein Regenwurm von unten beißen...
Alle Freigaben sind stets auch Einfallstore. Je mehr Aufwand in die
Abschottung steckt, desto mehr Einfälle gilt es abzufangen. Meine Erfahrung.
Dagegen zieht meine IP offenbar Interessenten wie Sau an, aber keiner hat
Geduld genug, bei 5sec/try lange genug dran zu knabbern. Und nach einer
ungewissen Zahl von Versuchen macht die Firmware die Blutgrätsche, genau wie
nach gewissen Firmwarebefehlen.
> Ein ungepatchtes NAS am Internet hängen ist gleichbedeutend mit "offen
> zugänglich machen". Per Lese und Schreibzugriff.
Wahnsinnsanfälle der Hacker setzen. Wer auch nur in die Nähe des richtigen
Paßwortes kommt, ist entweder Hellseher oder reitet ein totes Pferd.
--
mfg,
gUnther
gUnther nanonüm
Feb 23, 2012, 6:12:18 PM2/23/12
to
"Oliver Sch@d" <spam.entfernen.und.bring...@oschad.de>
schrieb im Newsbeitrag news:9qneo6...@mid.dfncis.de...
> Soll ich dir eine Liste von Exploits für FTP schicken? Mach doch was du
> willst - aber S-Bahn-Surfer sollten vielleicht normalen Passanten nicht
> erklären, wie man Bahn fährt.
Hi,
schick mal. Gibts wirklich einen Exploit, der unabhängig von
Hardware/Software funzt? Kann man den auch anwenden, wenn das NAS aus ist?
--
mfg,
gUnther
Message has been deleted
gUnther nanonüm
Feb 24, 2012, 11:22:23 AM2/24/12
to
"Oliver Sch@d" <spam.entfernen.und.bring...@oschad.de>
schrieb im Newsbeitrag news:9qp4c5...@mid.dfncis.de...
> Deine implizite Unterstellung war, dass FTP sicher wäre. Die zahlreichen
> Exploits für diverse FTP-Server belegen das Gegenteil. Man sollte also
> immer schauen, dass man möglichst keine Dienste nach außen anbietet.
Hi,
Deine implizite Ansicht war es, daß "FTP" Exploits hätte. Keine Rede von
einem "Server"...das Protokoll ansich war fehlerhaft gemeint.
Und ein hanelsübliches Billig-NAS als einen "Server" anzusehen ist zwar
statthaft, aber doch arg bemüht. Ist ja wie ein "gefährlicher Teddy".
>
> OpenVPN fällt durch recht gute Sicherheit auf, das würde ich also
> empfehlen. Updates sollte man aber trotzdem machen.
Wenn man die Rechenpower auf dem NAS-Server hat, lohnt das sicher...aber ist
gleichzeitig gerade wegen der Rechenleistung auch nötig. Denn der "Server"
könnte gehackt, übernommen werden...und damit hätte man ein Einfallstor ins
Intranet. Keine schöne Idee.
Ich bin lieber den anderen Weg gegangen, an DSL rechne ich nämlich nicht mit
"Kundenschwemme" und Trafficorgien. Also hab ich ein möglichst billiges NAS
gesucht und bei kuroutoshikou.com gefunden
(http://kuroutoshikou.com/modules/display/index.php?iid=924).
Was für ein erbärmliches Machwerk....aber es stellte sich als Glückstreffer
heraus. Performant genug für DSL-Upload, und so dumm, daß es nichtmal
Sonderzeichen versteht. Und gnadenweise abstürzt, wenn jemand Shares
anwählt, für die er keine Berechtigung hat. Jedenfalls nach dem xten
Versuch. Klappt sogar mit public...einigemale reinraus mit public, und die
Kiste steht und wartet auf einen Homereset.
Das entmutigt jedes Scriptkiddie.
Übrigens erwies sich die "Hardware" als erstaunlich verbreitet, diverse
Billig-NAS haben wohl dieselbe CPU, habe erfolgreich die Firmwares von
Conceptronic, Lanpower, Usbex und Mapower geflasht...außer am Dessin änderte
sich nix.
--
mfg,
gUnther
Malte Schirmacher
Feb 24, 2012, 11:43:25 AM2/24/12
to
gUnther nanon�m
Feb 24, 2012, 4:53:41 PM2/24/12
to
"Malte Schirmacher" <th...@thana.ath.cx> schrieb im Newsbeitrag
news:9qpt1d...@mid.dfncis.de...
> http://yourmotivational.com/uploads/10373.jpg
Hi,
FACK!
Jetzt hab ich ein Problem. Wie kann ich mich noch steigern?
--
mfg,
gUnther
Jens Hektor
Feb 27, 2012, 3:09:01 AM2/27/12
to
Am 24.02.2012 22:53, schrieb gUnther nanonüm:
> "Malte Schirmacher" <th...@thana.ath.cx> schrieb im Newsbeitrag
>
>> http://yourmotivational.com/uploads/10373.jpg
> "Malte Schirmacher" <th...@thana.ath.cx> schrieb im Newsbeitrag
>
>
> Jetzt hab ich ein Problem. Wie kann ich mich noch steigern?
So?
> Jetzt hab ich ein Problem. Wie kann ich mich noch steigern?
http://i8.photobucket.com/albums/a13/simate/TripleFacePalm-1.jpg
gUnther nanonüm
Feb 27, 2012, 7:12:07 AM2/27/12
to
"Jens Hektor" <hek...@rz.rwth-aachen.de> schrieb im Newsbeitrag
news:9r0s0t...@mid.dfncis.de...
>> Jetzt hab ich ein Problem. Wie kann ich mich noch steigern?
>
> So?
ich meinte eher in Sachen "Vorlage". Kommentare in Bildern bei anderen zu
klauen hat ja keine merkliche "Schöpfungshöhe". Vor einem guten Eigentor
brauchts erstmal eine sehr gute Vorlage.
--
mfg,
gUnther
0 new messages