Diskstation gehackt

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Von daher... ihr tut immer so, als ob das alles ein Klacks wäre und man sowas ja voraussetzen sollte,
Tja, da ist ja das Problem Heutzutage. Viele haben die Kohle sich allen möglichen technischen Schnickschnack, von Alexa bis zum Smarthome anzuschaffen. Es haben aber was ich schätze mal nur 1% wirklich tiefgreifendes und fundamentales IT Wissen, 2 % rudementäres Wissen, 2 % denken, sie haben einen Plan,sind aber nur fix um sich Infos über Google zu holen, mehr ist da nicht und der Rest der Bevölkerung hat gar keinen Plan. Ich gehöre zu den 2% rudementäres Wissen, ich kenne auch niemanden mit wirklich tiefgreifendem fundamentalem IT Wissen. Die Technik ist mittlerweile so dermaßen komplex geworden, das hier die absoluten IT Profis natürlich auch hochbezahlte Jobs haben, da man gemerkt hat, das solche Personen nicht auf den Bäumen wachsen. ( Anfang der 90er reichten noch Quereinsteiger, wie Bäcker, Schreiner usw. um mal Computer zusammenzuschrauben und mal ein paar Disketten Windows einzuspielen. Das ist seeeeeehr lange her)
 
  • Like
Reaktionen: Ramihyn und blurrrr

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Zusätzliches Backup, welches in der Regel offline ist und hoffentlich, falls es gebraucht wird, nicht komprimiert ist.
Getrennt vom Netz und Strom ist dabei der wirklich wichtige Punkt, gerne auch zwei Backups auf verschiedenen Medien, wenn nicht aufgrund der Menge möglich, wenigstens die wichtigen Kerndaten doppelt oder dreifach.
Keine Portfreigaben ins www
Wenn offener Port, dann wenigstens mittels Router (Portforwarding) verschieben (Beispiel: 34729 => 8081)
SmartHome ist für zuhause, nicht für unterwegs
Zugriff per VPN, da ist es ja "wie zuhause".
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Tja, da ist ja das Problem Heutzutage. Viele haben die Kohle sich allen möglichen technischen Schnickschnack, von Alexa bis zum Smarthome anzuschaffen. Es haben aber was ich schätze mal nur 1% wirklich tiefgreifendes und fundamentales IT Wissen, 2 % rudementäres Wissen, 2 % denken, sie haben einen Plan,sind aber nur fix um sich Infos über Google zu holen, mehr ist da nicht und der Rest der Bevölkerung hat gar keinen Plan.

Tjo, das ist halt das Problem: Dank Youtube und dem ganzen anderen Bullshit, wo die Themen halt nur so "angerissen werden", da meint halt direkt jeder, er wäre der totale Hecht (ist ja nicht nur in der IT so) und könnte alles ganz easy... grade bei "blinkt bunt!" scheint das besonders gut zu klappen ;) (und jepp, damit bin ich jetzt sicherlich vielen auf die Füsse getreten, aber wie sagt der Volksmund: "Isso!" und sorry, was anderes zu erzählen wäre glatt gelogen, ist nicht so meins (das "blumig verpacken" leider auch nicht) ? )

Ich geb mal ein wirklich "greifbares" Beispiel: Auto fahren.

Auto fahren ist doch ganz einfach:

- Du brauchst ein Auto (ganz egal was, Tretauto, oder LKW, völlig egal)
- Du brauchst einen Schlüssel (auf-/abschliessen) und ein Zündschloss (auch hier brauchen wir den Schlüssel!)
- Schlüssel im Zündschluss rumdrehen, damit der Wagen startet
- Rechts beschleunigen, links bremsen
- Mit dem Lenkrad fährt man links, rechts, gradeaus

-> Auf geht's, AUTO FAHREN!!!!! .......... So "ungefähr" (aber schon ziemlich bis sehr sehr treffend) haben die meisten ihren Kram Zuhause laufen (sorry, aber so isset).

Empörung und Verwunderung!!!!!!!!! Was ist passiert? Achja... Tank alle... Hätte man einem ja auch mal sagen können.... Jut, schieben wir die Karre halt bis zur nächsten Tanke... getankt, weiter gehts, links abbiegen... das schaffen wir noch vor dem, der von vorn kommt... ooooooooder auch nicht. Was? Vorfahrtsregeln? Wasn das für ein Blödsinn?!... Wie jetzt Polizei?! WAT? Zulassungspapiere? Was für Zulassungspapiere?? FÜHRERSCHEIN???????.... anderweitige Dinge wie TüV und so hab ich jetzt mal aussen vor gelassen :p

Und dann kommt das große "Mimi": "Man ist die Welt beschissen und vor allem die Autohersteller, dass man sich nicht einfach ins Auto setzen kann und losfahren kann! Und dann erzählt man dat noch in einer Runde und da sagt einem doch ERNSTHAFT wer, dass das man da besser vorher einen FÜHRERSCHEIN macht! Als ob man so einen Mist bräuchte..... Scheiss Fachchinesisch hier!"

Und so weiter und so weiter... mehr hab ich dazu dann auch nicht zu sagen... ;)

Aber hey: Ich habe nichts dagegen, wenn man sich mit sowas beschäftigt, ganz im Gegenteil - geht alle was an, jeder hat sowas Zuhause - keine Frage! Aber wenn man dann aus der ein oder anderen Ecke dieses versch**** Geseier hört von wegen "Mimimimi ich will aber, dass das einfach ist! Die Hersteller sind doch alle doof! Die im Forum sind auch alle doof! Überhaupt ist alles doof, aber ich bin schlau und der IT-Scheiss ist doch, weil der nicht einfach so funktioniert, wie ich das jetzt will!"... Dieser völlig dreiste vermeintliche Anspruch auf "Egal wie kompliziert es ist, es muss so einfach sein, dass ICH es verstehe, egal wie dumm ich bin!" und IT-Fachleute als wertloses Pack in die Ecke stellen, weil es ja eh jeder Hans und Franz ganz einfach kann... da geht mir dann doch schon ein wenig die Krempe.... :ROFLMAO:

EDIT: iDomix-Videos... "Aber es läuft doch!" ... Jou, n Auto am Berg mit Gang raus und Handbremse los rollt halt auch... ? ?
EDIT2: Ganz so "hart" wie es klingt, war das n EDIT1 nun auch nicht gemeint, aber ich denke, es ist klar, was gemeint ist...
 
Zuletzt bearbeitet:

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
auf das Internetradio oder den TV streamen (DLNA/Airplay)? Wie kann ich vom Handy im LAN auf den Smart-TV YouTube Videos schmeißen?
Weder das Internetradio noch der Smart-TV gehören ins Internet gestellt, haben folglich auch nichts in der DMZ zu suchen, sondern ausschliesslich (!) im LAN. Da ich Netflix und Co. nicht nutze, darf bei mir der Fernseher überhaupt nicht ins Internet. Firmwareupdates ziehe ich auf nen Stick und führe das Update dann offline durch.
 
  • Like
Reaktionen: Puppetmaster

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Weder das Internetradio noch der Smart-TV gehören ins Internet gestellt...
Meinst du die Geräte sollten offline sein? Dann sind es doch nur noch Briefbeschwerer. Das kann nicht Sinn und Zweck sein.
 
  • Like
  • Haha
Reaktionen: Tommes und blurrrr

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314
  • Like
Reaktionen: Mettigel

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Internet-only, bedingt aber vernünftige Firewall-Regelsets und erstmal ein Gerät, welches sowas auch entsprechend umsetzen kann (die SoHo-Router gehören da ja nicht grade zu, ausser man packt so ein Internetradio in ein Gast-Netz (wobei dann meist nix mehr mit streamen von Geräten im LAN ist)...

Ein Teufelskreis... ?
 

Mettigel

Benutzer
Mitglied seit
30. Mrz 2013
Beiträge
288
Punkte für Reaktionen
12
Punkte
18
Klärt mich mal auf.
Was kann schlimmstenfalls passieren, wenn ich ein Gerät habe, welches ins Internet darf und in meinem LAN hängt - nehmen wir als Beispiel ne "SmartLED Lampe". Nur weil ich die Lampe habe, sind ja noch keine Ports (nach außen) offen. Klar, die Lampe könnte im lokalen Netz rumschnüffeln... Kann JEDE App am Handy auch.
Was sollte ich denn jetzt in der Firewall einstellen?
Das einzige, was mir jetzt einfällt, wäre das Gerät nur ins Internet lassen und zu allen anderen im LAN befindlichen Geräten blocken.

Beispiel 2: mein WLAN Küchenradio. Entweder ich spiele direkt Onlineradio ab, oder ich streame via DS Audio. Also brauche ich Zugriff ins www und die DS muss das Gerät auch im LAN finden können...

Wer Lust hat kann mal ne Skizze machen, wie ein Heimnetzwerk aussehen könnte mit den allgemein vorhandenen (und weiterhin komfortabel nutzbaren) Geräten. Gerne auch mit DMZ oder VLAN, bei Bedarf auch 2. Router

Dürft gerne weitere Hardware hinzufügen...

NAS (mit wichtigen Daten, Datenbanken und auch Medien)
Backup-NAS
SmartHome (lokal)
SmartHome (via Server)
IP-Kameras
Multimedia (Radios, TV)
PC
Handy und Tablet
Gäste (nur Internet)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wer die Funktionalität einer DMZ und wie man Dienste, die in der DMZ laufen aus dem LAN bedient sollte einfach mal die Wiki lesen.
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
Und nein, ein Smart-TV oder andere Smart Geräte oder IoT gehören NICHT in das LAN sondern immer in die DMZ.
Wer das Gegenteil behauptet hat immer noch nichts verstanden, Beratungsresistenz nennt man sowas.
Beispiele, wo Smart-Geräte ungewollte Kommunikation nach Aussen betreiben git es zu hauf und Smart-TV erhalten updates, senden Nutzerverhalten auf beliebigen Ports und keiner bekommt es mit, ausser man überwacht derartige Geräte mal.
Wer sowas ungefiltert in sein LAN stellt hat keine Ahnung von der Materie oder es ist ihm egal welche Türen er da öffnet! Was im LAN ist kann ungehindert nach draussen beliebige Verbindungen aufbauen, denn eure Firewall schützt nur gegen das was von Aussen kommt. Was drin ist kann machen was es will. Hier werden sich wohl die wenigsten die Mühe gemacht haben in einer "richtigen" Firewall auch die ausgehenden Ports zu beschränken.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Wie man an den letzten Beiträgen erkennt, ist es entweder sicher oder komfortabel. Ein Spagat aus beiden ist schwierig bzw. bei voller Sicherheit unmöglich.

Thema Audiogerät:
Ein solches Gerät benötigt in der Regel Internetzugriff (z.B. Radio) und Zugriff auf ein NAS (MP3/FLAC), sowie will man es über das Smartphone steuern. Schon aus Bequemlichkeit muss es daher ins LAN.
Ich würde es daher ins LAN setzen, eine feste IP vergeben und über den Router ins Internet lassen. Der Zugriff auf das NAS sollte mit einem eigenen Benutzeraccount erfolgen, der nur die Mediadateien zum Lesen freigibt.
 
  • Like
Reaktionen: tilki

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314
Klärt mich mal auf.
Was kann schlimmstenfalls passieren...
Ich denke, hier überlasse ich jemand anderem wie z.B. @blurrrr das Spielfeld, der kann das als Fachmann bestimmt präziser und umfangreicher erklären als ich. Am Ende geht es aber darum sein Netzwerk in Aufgabengebiete (IP Adressbereiche) zu unterteilen und über die Firewall entsprechende Regeln zu definieren, wie die unterschiedlichen Segmente miteinander kommunizieren dürfen oder auch nicht. Ein Gerät der DMZ sollte primär keinen Zugriff auf das private LAN oder ein anderes Segment haben. Auch möchte ich meine Backup NAS in einem anderen Segment haben, als mein privates LAN. Über die Firewall kann ich dann aber einstellen, das z.B. nur meine DS218+, die sich im privaten LAN befindet, eine Verbindung zwecks Backup zu meiner DS115, welche sich in einem separaten VLAN befindet, aufbauen darf. Umgekehrt jedoch nicht. Das mal als grobes Beispiel...

Aktuell versuche ich, mein Netzwerk irgendwann mal so aussehen zu lassen, wobei hier die Artenvielfalt und Konstellationen wohl nahezu unendlich und individuell ist. Daher sollte nachfolgende Skizze wirklich nur als Beispiel dienen.

Code:
                   ISP
                    |    
           .------------------.
           |  Fritzbox 7590   |
           |      (VoIP)      |
           | 192.168.178.0/24 |
           '------------------'
                    |
                   WAN
               (Port 1194)
                    |
           .------------------.         OpenVPN
           |  192.168.178.254 |    .---------------.
           |      APU.2D4     |----| 10.16.8.0/24  |
           |     (pfsense)    |    '---------------'
           |    172.16.8.1    |
           '------------------'
                    |
                   LAN                    Weiterer Switch
                    |                            |
                    '-----------------------.    |
                                            |    |
 VL10: 172.16.10.0/24                       |    |
 VL20: 172.16.20.0/24                       |    |
 VL30: 172.16.30.0/24                       |    |
 ....                                       |    |
                                            |    |
.----------------------------------------------------.
|              Cisco Switch SG350-10       |    |    |
|VL10 VL20 VL30 VL40 VL50 VL10 VL40 VL50 Trunk Trunk |
|  |    |    |    |    |    |    |    |    |    |    |
|  1    2    3    4    5    6    7    8    9    10   |
|  |    |    |    |    |    |    |    |              |
'----------------------------------------------------'
    |    |    |    |    |    |    |    |
   Home  |  Backup |   DMZ   |    |    |
    |  Office |   IoT   |  DS218+ |  DS216+
    |    |    |    |    |      RasPi4
   .......................
    Weitere Verteilung an
    Switch, Patchpanel,AP
    oder direkt Verbunden
   .......................
    |    |    |    |    |
    PC   |  DS115  |  RasPi3
       Laptop    IP-Cam
( @blurrr : Diesmal sogar mit stimmigen IP Ranges ;) )

Tommes
 
Zuletzt bearbeitet:

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
meine DS218+, die sich im privaten LAN befindet, eine Verbindung zwecks Backup zu meiner DS115, welche sich in einem separaten VLAN befindet, aufbauen darf.
Wäre das umgekehrt nicht besser? Wenn die DS218+ kompromittiert ist, könnte man von dort das Backup auf der DS115 löschen. Andersrum greift die DS115 nur auf die DS218+ zu und holt sich das Backup. Danach geht sie wieder schlafen und lässt keinerlei Zugriffe, egal von wo, zu.
 
  • Like
Reaktionen: blurrrr und Tommes

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
besser vielleicht .. einfacher halt nicht.

das liegt auch viel an der tatsache, dass die backup nas meist aus der guenstigsten karre besteht, wie bei mir halt auch.

220+ ist primaer nas
116 ist backup nas

220+ ist datengrab, nas speicher, bilderablage, docker, pihole, openvpn server, .. alles halt
116 hat nur 2 encrypted shared folder in einen davon drueckt die 220+ per hypa hypa das backup in den vault

im ersten ueberlegen sehe ich noch gar nicht, wie ich von der 116 ziehen koennte .. die kann kein ABB, hat weder
smb noch irgndwelche anderen fileservices am laufen .. aber die kriegt eh naechste woche eine neue platte, damit
nicht mehr nur "wichtiges" gesichert wird sondern einfach die komlette 220+ auf die 116 passt.

also tipps und hinweise was ich gerade uebersehe, nehm ich gerne an .. die 116 muss ja eh von grund auf neu
gemacht werden wenn ich die platte wechsel.
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Meinst du die Geräte sollten offline sein?
... selbstredend mit dem Internet (in welcher Form auch immer) verbunden sein.
Aber in der LAN-Zone platziert, nicht in der DMZ. Kann doch nicht so schwierig zu verstehen sein.
Die Geräte müssen von innen nach AUSSEN INS Internet kommunizieren können, aber NICHT umgekehrt.
Deshalb haben sie NICHTS in der DMZ zu suchen, da gehören AUSSCHLIESSLICH Komponenten hin, die von AUSSEN erreichbar sein sollen.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314
im ersten ueberlegen sehe ich noch gar nicht, wie ich von der 116 ziehen koennte ..
Ob das mit Hyper Hyper geht, kann ich dir aus dem Stehgreif grad garnicht beantworten, da ich hier auch nur das Klassische Backup fahre... bzw. schiebe und nicht ziehe. Mit Ultimate Backup kannst du aber push und pull Backups ausführen... aber hier bedarf es dann wieder der Konfiguration von SSH, wenngleich das unter der GUI zum größten Teil automatisch durchgeführt wird.
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Beispiele, wo Smart-Geräte ungewollte Kommunikation nach Aussen betreiben git es zu hauf und Smart-TV erhalten updates, senden Nutzerverhalten auf beliebigen Ports und keiner bekommt es mit, ausser man überwacht derartige Geräte mal
Und was hat dieses Verhalten mit einer DMZ zu tun? Eine DMZ ist nicht dazu da, Kommunikation nach aussen zu unterbinden, sondern von aussen nach innen. Das, was du beschreibst (Überwachen des Traffics nach aussen für einzelne Geräte) ist eine Sandbox, keine DMZ.
 
Zuletzt bearbeitet:

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Das Problem scheint auch zu sein, das jetzt immer mehr vermehrt smarte Geräte auf den Markt geworfen werden, die meist mit dem LAN verbunden sind und auch brav nach Hause funken. In naher Zukunft wird es dann nur noch solche Geräte geben. Kühlschrank, Herd, Waschmaschine, Staubsaugerroboter, Smart TV usw usw. Jeder kauft sich die Geräte, ob Jung oder Alt läßt die per Knopfdruck ins eigene WLan und schwups haste irgendwann die ganze Hütte voll Wanzen und massiven Schwachstellen. Und die Geräte kommen ja meist aus Ländern, die es eben nicht so genau mit Datenschutz nehmen. Ich denke dies lässt sich nicht mehr aufhalten und wird irgendwann zum Supergau führen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Meinst du die Geräte sollten offline sein? Dann sind es doch nur noch Briefbeschwerer.
Beim Radio vielleicht. SMART TV sicher nicht. Hab auch so ne Kiste, ins Netz kommt sie dennoch nicht. Wozu? IoT ist die Pest des 21 Jahrhunderts. Wer darauf schonmal verzichtet, lebt leichter, gesünder und vermutlich länger.
Dann lese ich hier immer was von Trockner, Staubsauger, Kühlschrank, ... Da schüttelt es mich. Zum Teil vor Lachen, zum Teil vor Grauen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat