DS207+ vom Internet abschotten

Status
Für weitere Antworten geschlossen.

DSUser

Benutzer
Mitglied seit
04. Mai 2009
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bin neu hier im Forum und habe gleich eine Frage bezüglich Sicherheit. Ich möchte meine DS207+ zunächst nur als FileServer innerhalb meines lokalen Netzes (WLAN Router inkl. DSL-Modem, DS207+, 3 PCs) nutzen. Ich brauche also zur Zeit absolut keinen externen Zugang vom Internet auf meine DS. Dementsprechend habe ich auf der DS Anwendungen wie FTP, Webserver, Photstation, etc. nicht aktiviert.

Da meine DS notgedrungen über meinen Router trotzdem mit dem Internet irgendwie verbunden ist, stellt sich mir nun die Frage, ob böswillige Hacker auf meine DS zugreifen könnten oder ob die Firewall im Router, bei der ich natürlich keine Ports geöffnet oder umgeleitet habe, tatsächlich dicht hält? Oder gibt es da doch noch irgendein Hintertürchen für die Bösewichter dieser Welt?

Da ich kein Experte in Sicherheitsfragen bin, begleitet mich immer das ungute Gefühl, dass irgendjemand auf meiner DS herumstöbern könnte. Sind diese Bedenken berechtigt oder bin ich mit meiner Konfiguration auf der sicheren Seite? Gibt es eine clevere Möglichkeit, die DS komplett vom Internet abzuschotten und sie nur im lokalen Netzwerk zu betreiben?

Wäre nett, wenn ihr mir helfen könntet.

Danke und Gruß,

DSUser
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Das ist schon ok so. Deine DS ist in dieser Konfiguration nicht vom Internet aus erreichbar. Zumindest solange niemand Deinen Router vom Internet aus ausser Gefecht setzt oder einer Deiner PCs im lokalen Netz durch einen Trojaner gekapert wird. 100prozentige Sicherheit gibt es halt niemals solange das Kabel eingesteckt ist und eine Verbindung zum Internet besteht.

Du solltest im diesem Zusammenhang mal überprüfen, dass die Verwaltung Deines Routers nicht vom Internet aus zugänglich ist. Ansonsten sehe ich da keine größeren Gefahren. Ob die entsprechenden Anwendungen auf der DS aktiviert sind spielt dabei keine wirkliche Rolle.

Trolli
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Wenn man ganz übervorsichtig eine Lösung konstruieren will, dann müsste man die PCs mit einer 2. Netzwerkkarte ausstatten und sich einen schnellen Switch zulegen und die DS sowie die PCs ein zweites Mal über diesen Switch verbinden (natürlich mit einem anderen IP-Adress-Kreis) und die Verbindung zwischen DS und Router entfernen. Dann hätte man 2 sogar physikalisch getrennte Netzwerke ... und nur wenn ein Rootkit auf einem PC das erkennen würde und ausnützen würde, wäre man mit einer PC-Bridge in der Lage, zu der DS zu gelangen. Also extrem unwahrscheinlich sowas ...

Itari
 

riwe

Benutzer
Mitglied seit
10. Okt 2008
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Eine VLAN würde auch genügen...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Eine VLAN würde auch genügen...
Ich würde einen geschlossenen Port als sicherer betrachten als einen offenen Port für ein VPN. JEDER Dienst der vom Internet her erreichbar ist stellt ein Sicherheitsrisiko dar...
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

DSUser

Benutzer
Mitglied seit
04. Mai 2009
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Vielen Dank für Eure Beiträge! Echt super das Forum!

Das mit dem VLAN hört sich ganz interessant an. Das muss ich mir noch mal in Ruhe anschauen.

Ein Kollege von mir meinte noch, es würde auch helfen, wenn man in der DS einfach das Feld mit dem Standardgateway löscht. Denn dann wäre die DS nicht mehr vom Router sichtbar/erreichbar und somit auch nicht mehr vom Internet angreifbar. Im lokalen Netz sei die DS über den eingebauten Switch im Router weiterhin erreichbar. Was haltet Ihr von diesem Vorschlag?

Danke und Gruß,

DSUser
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ein Kollege von mir meinte noch, es würde auch helfen, wenn man in der DS einfach das Feld mit dem Standardgateway löscht. Denn dann wäre die DS nicht mehr vom Router sichtbar/erreichbar und somit auch nicht mehr vom Internet angreifbar.

Das halte ich für Humbug ... die DS kann dann zwar nicht Pakete zum Internet via Router schicken, aber der Router (der das Tor zum Internet darstellt) kennt weiterhin die IP-Adresse der DS und kann auf deren Server zugreifen ... vielleicht können sie dann nicht mehr richtig antworten, aber sie könnten angegriffen werden ... und nur so am Rande ... man kann locker per Programm den Standard-Gateway wieder einrichten ... das zu verhindern geht nicht, in dem man das Feld leer lässt ... man müsste auch das neu besetzen kontrollieren ... ich halte das alles für äußerst vage als Sicherheitstechnik ... die meisten Firmen haben für Sicherheitsbelange meist zwei physikalische Netzwerke (natürlich von den Kabelbauern aufgeschwätzt) und fahren damit recht gut ... ich denke ein vernünftiger Router tuts auch und wenn man dann noch VLAN machen möchte, bitte sehr ... aber ganz ehrlich, die größte Gefahr sitzt immer noch vor dem PC und nicht im Netz :D

Aber vielleicht habe ich nie richtig aufgepasst ;) - dann wäre es Zeit, dass mir das jemand erklärt ...

Itari
 

_TokTok_

Benutzer
Mitglied seit
18. Nov 2007
Beiträge
1.310
Punkte für Reaktionen
0
Punkte
0
Ich denk es ist alles gesagt, aber noch ein Zusatz von mir: Bei dem vorgestellten Szenario kann ich mir sehr gut vorstellen, die DS nur bei Bedarf einzuschalten. Damit hält man die Zeitfenster für einen Angriff (btw: Das Risiko stufe ich als äußerst gering ein) und das Risiko sehr gering.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat