Sicherheitsrisiko "admin"

chrissl · 04. Nov 2009

Hallo,
ich bin neu hier und habe eine Frage, auf die ich beim suchen keine Antwort gefunden habe.
Warum kann ich den "admin" Benutzernamen bei der DS107 eigentlich nicht löschen oder deaktivieren. Meines Erachtens ist dies doch ein erhebliches Sicherheitsrisiko, da ja nur das PW gehackt werden muss und keine Kombination aus Namen und Passwort. Da admin ja sicherlich der häufigste Name ist, wird sich jeder Angreifer auch auf diesen Namen konzentrieren.
Insofern ist es mir auch ein bisschen heiß, ein Loch in die Firewall vom Router zu bohren und einen Port zur DS frei zu geben.
Weiß hierzu jemand Rat?

Vielen Dank schon mal!

Christian

Anzeige · 04. Nov 2009

Hallo chrissl,

Bücher und Hardware zum Thema gibt es bei Amazon: Sicherheitsrisiko "admin"

jahlives · 04. Nov 2009

Weisst du welchen User es auch noch auf jedem Linux gibt? root

Verwende ein 20-stelliges zufälliges Passwort für den admin und gut ist's (das knackt so schnell niemand).
Das mit dem Port ist kein Problem solange weder root noch admin auf diesen Dienst zugreifen können. telnet oder ssh wären aber heikel. Darum telnet nicht vom Web her erlauben und wenn schon auf ssh ausweichen. ssh lässt sich zusätzlich mit Zertifikaten absichern, damit keine Passwortanmeldung mehr erlaubt ist.

Die DS braucht aber den admin und darum kannst du ihn nicht löschen (wie du auch root nicht löschen können wirst)

chrissl · 04. Nov 2009

Vielen Dank für den Tip! Das mit root ist natürlich ein Argument.
Noch ein abweichende Zusatzfrage: wenn ich im Router einen Port für die DS Freigebe, gefährde ich dann den Router oder bekommt der Angreifer nur die Weiterleitung zur DS mit vor dessen Tür er dann steht?

coolhot · 04. Nov 2009

Keine Gefahr für den Router - nur Weiterleitung. Du musst nur aufpassen, dass Router und DS nicht um den selben Port konkurrieren z.B. für das Webkonfigurationsinterface des Routers das meistens mit http:80 oder https:443 angesprochen wird. Aber die Ports in der DS lassen sich ja flexibel zuweisen. Du kannst auch unübliche Ports verwenden z.B. anstatt 22 für ssh einfach 4711 oder sonst einen. Muss halt nur in DS und Weiterleitungsregel im Router richtig eingestellt sein.

jahlives · 04. Nov 2009

coolhot schrieb:
Du musst nur aufpassen, dass Router und DS nicht um den selben Port konkurrieren z.B. für das Webkonfigurationsinterface des Routers das meistens mit http:80 oder https:443 angesprochen wird.

Gerade das Webkonfigmenu des Routers ins Internet freizugeben stellt aber eine ernsthafte Gefahr für den Router und das Netzwerk dahinter dar. Nur im LAN ist es ja kein Problem, aber ins Internet würde ich die Konfig meines Routers echt nicht freigeben.

chrissl · 04. Nov 2009

Ziel ist es halt, die Daten extern abrufen zu können und vielleicht auch die Photostation freizugeben. Die Webkonfig wollte ich auch nicht freigeben - was muss ich da beachten?
Den letzten Tip habe ich nicht ganz verstanden. Wenn ich dem Router einen anderen Port zuweise bzw. ihm seinen lasse und der DS einen anderen zuweise, ist es dann halbwegs sicher oder nicht?

Vielen Dank übrigens an dieser Stelle für die schnelle Hilfe!!!

jahlives · 04. Nov 2009

Ich meinte damit, dass du dir genau überlegen solltest ob du das Webkonfig des Routers wirklich vom Internet her zugänglich machen willst.
Die Photostation hat eine eigene Benutzerverwaltung, die unabhängig von den Systemusern ist. Wenn du also in der Photostation eine User admin anlegst, dann hat der nix mit dem admin zu tun den du im DSM verwendest.

chrissl · 04. Nov 2009

Aha, das mit dem admin dachte ich halt gilt dann immer.

Den Router wollte ich auch nicht für eine Netzkonfig freigeben. Der sollte ja gerade versteckt bleiben. Was er dann hoffentlich tut, wenn er einen eigenen Port hat?

coolhot · 04. Nov 2009

Ich hatte auch nicht empfohlen die Routerkonfig im Inet freizugeben sondern nur darauf hinweisen wollen dass DS und Router möglicherweise um den selben Port konkurrieren. So ist meine Fritzbox z.B. bei Freigabe im Web standardmäßig unter Port 443 zu erreichen, die Photostation aber auch. Das kann nicht funktionieren. Also nur eins von beiden oder einen der 2 auf einen anderen Port ändern. Liste der Ports im Wiki.

chrissl · 04. Nov 2009

Ich muss mich jetzt mal outen, wie gibt man einen Router fürs Netz frei bzw. verhindert selbiges?

coolhot · 04. Nov 2009

Du musst es nicht verhindern, sondern gezielt aktivieren. Passiert nicht von alleine. Ist natürlich unterschiedlichje nach Router. Wie es in einer FB geht kann ich dir sagen. Da heisst der Punkt Fernwartung. Sinnvoll zu nutzen ist das im Heimbereich (dynamische IP-Zuweisung) aber nur mit einem Dienst wie DYNDNS o.ä.

jahlives · 04. Nov 2009

chrissl schrieb:
Aha, das mit dem admin dachte ich halt gilt dann immer.

Den Router wollte ich auch nicht für eine Netzkonfig freigeben. Der sollte ja gerade versteckt bleiben. Was er dann hoffentlich tut, wenn er einen eigenen Port hat?

Eine reine Portweiterleitung zu deiner DS gefährdet den Router nicht mehr als wenn du den Router ohne Regeln betreiben würdest.
Sagen wir du willst via FTP auf deine DS zugreifen. Dazu richtest du also die entsprechenden Portweiterleitungen auf dem Router ein. Um den Account admin zu schützen musst du dann in der Applikation dafür sorgen, dass admin gar nicht darauf zugreife darf. Dazu bietet FTP die Möglichkeit (weiss gerade nicht mehr wie die Datei heisst, aber ich suche sie mal).
Zusätzlich bietet die DS in der aktuellsten Firmware die Möglichkeit IPs temporär zu blocken z.B. wenn ein Cracker sich an einen Brute Force Angriff macht und dabei mehr als x Verbindungen pro Minute öffnet. Zusätzlich hast du auf der DS in der aktuellsten Firmware eine Firewall, wo du noch sehr viel feinere Einstellunge mache kannst.

Grundsätzlich gilt: So viel wie nötig und so weig wie möglich (freigeben) und absolute Sicherheit gibt es nicht

Gruss

tobi
<edit>
Gerade gefunden. Alle User die in /etc/ftpusers eingetragen sind haben KEINEN Zugriff auf den FTP Server
</edit>

chrissl · 05. Nov 2009

Okay so langsam verstehe ich es. Also die DynDNS werde ich wohl aktivieren müssen, damit ich überhaupt von außen zugreifen kann (keine fixe IP) Die Frage ist halt jetzt - Wenn ich die Portweiterleitung zur DS aktiviere komme ich ja sozusagen gleich dahin. - habe ich jetzt aber ein Risiko, dass der Router angegriffen wird, wenn es jemand über den Port des Routers probiert oder ist das für einen Angreifer genauso ein "rumstochern" wie üblich, was die FW abblockt? Ich sehe ja in den Protokollen, dass alle paar Minuten jemand versucht einen Zugriff über die zugeteilte IP zu bekommen.

jahlives · 05. Nov 2009

Es ist vollkommen normal dass in den Logs immer wieder Meldungen auftauchen über unerlaubte Zugriffe. Solange die Zugriffe geblockt werden ist ja alles okay.

Wenn ich die Portweiterleitung zur DS aktiviere komme ich ja sozusagen gleich dahin. - habe ich jetzt aber ein Risiko, dass der Router angegriffen wird, wenn es jemand über den Port des Routers probiert oder ist das für einen Angreifer genauso ein "rumstochern" wie üblich, was die FW abblockt?

Welchen Port des Router meinst du? Bei einer Portweiterleitung öffnest du einen Port (z.B. 80 für http) an der externen Schnittstelle des Routers. Durch die Regel definierst du wohin diese Datenpakete geschickt werden sollen (z.B. IP deiner DS). Ein Zugriff auf deine externe IP auf Port 80 wird dann also direkt von der DS beantwortet.

Über eine Portweiterleitung kann man einen Router afaik nicht angreifen. Gefährlich wird es erst wenn du das Webkonfigmenu des Routers ins Internet freigegeben hast (muss man wie bereits erwähnt aber bei den meisten Router selber einrichten). Dann könnte man das PW des Router admin knacken. Sobald man Zugriff drauf hätte könnte man belibige Portweiterleitungsregeln definieren.
Eine weitere mögliche Gefahr für den Router (wenn er es denn überhaupt unterstützt) ist UPnP. Damit wird es für Applikationen im LAN möglich durch spezielle Requests an den Router dynamisch Ports zu öffnen. Das ist zwar bequem aber auch ein potentielles Risiko!

chrissl · 05. Nov 2009

Vielen Dank!!!

Noch eine Frage jetzt zum Freigeben des Routers bezüglich webmenü. Wenn ich im Router eine DynDNS hinterlege, ist dann das Webmenü automatisch frei oder ist dazu noch was anderes notwendig - im Router hab ich dazu nichts explizites gefunden?

jahlives · 05. Nov 2009

Bei 9 von 10 Routern wird dadurch das Webinterface nicht ins Internet freigegeben. Bei den meisten Routern gibt es dazu einen Menupunkt "Fernwartung"
Ein guter Router lässt dich festlegen ob du das Webinterface des Routers nur im LAN oder auch im WAN und LAN freigeben willst.

chrissl · 05. Nov 2009

Ich hab jetzt noch mal richtig die Glotzen aufgemacht und den Punkt Fernwartung gefunden. Der ist deaktiviert und auch die WAN-Ping ist jetzt deaktiviert.
Sollte man UPnP auch deaktivieren oder kriegt man da mit Druckern und anderen Rechnern im Netz Probleme?

itari · 05. Nov 2009

chrissl schrieb:
Sollte man UPnP auch deaktivieren oder kriegt man da mit Druckern und anderen Rechnern im Netz Probleme?

In meinem Router steht zu diesem Thema:

Die automatische Gerätekonfiguration per UPnP kann aktiviert oder deaktiviert werden. Standardmäßig ist UPnP aktiviert. Wenn UPnP deaktiviert ist, können andere Geräte die Ressourcen des Routers (wie z. B. die Portweiterleitung/Portzuordnung) nicht automatisch steuern.

Also wenn ich gerne von meinen PC aus den Router per UPnP fernsteuern möchte, dann muss es aktiviert sein.

Itari

Suche

Sicherheitsrisiko "admin"

chrissl

Benutzer

Anzeige

jahlives

Benutzer

chrissl

Benutzer

coolhot

Benutzer

jahlives

Benutzer

chrissl

Benutzer

jahlives

Benutzer

chrissl

Benutzer

coolhot

Benutzer

chrissl

Benutzer

coolhot

Benutzer

jahlives

Benutzer

chrissl

Benutzer

jahlives

Benutzer

chrissl

Benutzer

jahlives

Benutzer

chrissl

Benutzer

itari

Benutzer

Kaffeautomat