Quickconnect Sicherheit

[nex1234]

Hallo,

ich habe mal eine Frage bezüglich der Funktion QuickConnect im Zusammenspiel mit einem MyDS-Konto. Ich möchte meine DS nicht so offen wie einen Server z.B. im Rechenzentrum betreiben, da dort hauptsächlich private Daten lagern und kein Fremder von außen Zugang dazu bekommen soll. Natürlich wäre es trotzdem schön, wenn man extern darauf zugreifen könnte. Nun frage ich mich wie sicher ein MyDS-Konto in Verbindung mit Quickconnect ist. Ich kann ja dort via Apps und http://quickconnect.to/meineds auf das NAS zugreifen.

1) Ist das sehr sicher oder besteht da die Möglichkeit "gehackt" zu werden? Sollte man irgendwelche bestimmten Sicherheitsvorkehrungen treffen?

2) Auf welche Daten / Dienste bekommt man somit Zugriff?

3) Sollte ich das wieder deaktivieren und mir lieber eine Fritzbox mit VPN Funktionalität holen und erst via VPN in mein Netzwerk gehen und dann lokal auf die DS zugreifen?


Einen schönen Abend noch!

 

[Tommes]

Wenn deine privaten Daten wichtig und schützenswert sind, würde ich sie nicht über das Internet verfügbar machen, denn im Internet ist nichts sicher. Dabei spielt es erstmal keine Rolle, ob Quick Connect oder ein anderer DDNS-Dienst dir diese Möglichkeit verschafft und du irgendwelche Ports dafür weiterleitest. Auf's Internet würde ich nur "unwichtige" Daten und Systeme loslassen, es sei denn...

... du verwendest VPN! Genauso mach ich das auch. In meiner Fritz!Box habe ich den VPN-Zugang eingerichtet und kann mich so von extern in mein lokales Netzwerk verbinden. Daten die mir unwichtig sind stelle ich über ein weiteres System (einem Raspberry Pi) ins Internet, wobei ich hier mit normalen Portweiterleitungen arbeite.

Aber egal ob über VPN oder Portweiterleitungen, einen DDNS-Anbieter brauchst du i.d.R. immer außer du arbeitest lieber mit einer statischen IP, die dir dein Internet-Provider evtl. zugeteilt hat.

Tommes

 

[nex1234]

Danke, ich konnte nämlich das QuickConnect und die Sicherheit davon nicht so richtig einschätzen - ich habe dafür ja am Router keine Ports geöffnet.

Ich muss mich dann mal um eine VPN-Lösung bemühen. Ich weiß nur noch nicht, ob ich den Telekom W924V behalten soll und dahinter ein Raspberry Pi 2 als VPN-Server hängen soll oder den Speedport durch die Fritzbox 7490 ersetzen soll... Was würdet ihr machen? Oder gibts noch einen ganz anderen Vorschlag?

 

[Tommes]

Zur Areitsweise von Quick Connect findest du hier noch eine sehr gute Beschreibung (leider nur auf Englisch)

Als eingefleischter AVM-Anhänger darfst du mir so eine Frage natürlich nicht stellen, denn auch objektiv betrachtet würde ich wohl ganz klar sagen... 7490 *g* Auch halte ich ein VPN an dieser Stelle... also im Router, am einfachsten und am Sinnvollsten. Aber hier scheiden sich die Geister.

Du kannst auch einen VPN-Server auf der DS laufen lassen, dafür muss es kein Raspberry Pi sein. Letzteren zu konfigurieren ist nicht immer ganz einfach und oftmals tuen sich dabei noch ganz andere Probleme auf. Ich weiß nicht wie fit du in Sachen Linux bzw. Raspi bist, aber ich würde da wohl eher zu einer Router-.oder DSM-Lösung tendieren. Mein Raspi arbeitet als reiner Webserver, wobei nur Port 443 weitergeleitet wird. Alles anderen Zugriffe in mein LAN laufen per Fritz!VPN.

Es mag bestimmt auch noch weitere Möglichkeiten (mit entsprechender Hardware) geben, ein VPN aufzubauen, aber für den Hausgebrauch sollte das oben genannte erstmal reichen.

Tommes

 

[nex1234]

Vielen Dank für den Link zum Blogeintrag zu QuickConnect. Ist zwar ziemlich interessant, aber ein gewisses Restrisiko bleibt dann ja doch. Vor allem in Hinblick auf die vielen gehackten Synology DS letztes Jahr.

Das Problem ist, dass ich gerade den neuen W924V von der Telekom bekommen habe und eine Mindestvertragslaufzeit von einem Jahr habe Ich denke mal, dass ich das Projekt dann erstmal auf Eis lege und mir in einen paar Monaten dann wirklich einen vernünftigen Router als Basis besorge (z.B. Fritzbox 7490). Ist wahrscheinlich mit dem geringsten Arbeits- und Verwaltungsaufwand verbunden.

Ich habe auch einen Raspberry Pi und man spielt ja dann doch immer ein bisschen rum. Leider muss ich gestehen, dass ich noch nie einen richtig guten Einsatzzweck für ihn gefunden habe. Aus dem VPN-Pi wird dann wohl auch nichts

Ich wünsche euch ein schönes Wochenende!

 

[Tommes]

Ich weiß nicht, ob das Speedport W924V von Hause aus VPN kann. Wenn nicht, hast du ja noch die Möglichkeit den VPN-Server des DSM zu verwenden. Du mußt im Router dann nur die entsrechenden Ports für den VPN-Aufbau freigeben (Siehe DSM-Hilfe). Dafür mußt du jetzt nicht unbedingt eine Fritzbox kaufen bzw. solange auf VPN verzichten bis du eine Fritzbox hast. Das geht durchaus ohne.

Tommes

 

[jugi]

QC ist schon sicher genug, dass wir Privatnutzer es nutzen können… Die Fritz!Boxen sind auch ziemlich offen und plaudern (vermutlich) die VPN-Daten weiter, wenn man die richtigen Fragen stellt…

Ich nutze momentan beides, QC für die DS Apps und VPN um von meinem Mac aus auch von extern "zuhause" zu sein - das hat aber in dem Fall eher den Grund, dass ich mit meiner Kiste in sehr vielen verschiedenen WLANs hänge und nichtmal der hälfte der Betreiber traue (damit mein ich mehr das technische Verständnis, als das die mir wirklich was böses wollen)…

Über die Sicherheit vor NSA und Co mache ich mir da relativ wenig Illusionen, genausowenig bin ich wirklich sicher, wenn es "die anderen bösen Jungs" auf mich abgesehen haben… Ausreichend lange Passwörter und nur verschlüsselte Verbindung zu nutzen hilft schon sehr viel gegen die "Hobby-Hacker", für alles weitere brauchts dann deutlich mehr Aufwand (und Budget).

 

[Tommes]

Die Fritz!Boxen sind auch ziemlich offen und plaudern (vermutlich) die VPN-Daten weiter, wenn man die richtigen Fragen stellt…

Kannst du deine Aussage irgendwie untermauern oder ist das deine persönliche "Vermutung"?

 

[nex1234]

Der Speedport W924V kann es leider nicht, Telekom halt Ich werde mir vllt. dann mal den VPN-Server von Synology anschauen. Habe dazu direkt bei Synology ein gutes Tutorial gefunden: https://www.synology.com/de-de/knowledgebase/tutorials/459

Ich hätte mir vermutlich direkt die Fritzbox holen sollen aufgrund der guten Ausstattung. Ich habe allerdings im Vorfeld auch schon einige schlechte Sachen über die Fritzbox 7490 gelesen. Die Firmware sei unsicher (Sicherheitslücken), Fritzbox nicht mehr das was es mal war, der Support von IP-DSL Leitungen und Vectoring (Telekom) schlecht. Deswegen habe ich mir dann doch den Speedport geholt. Hast du denn schonmal irgendwelche Probleme mit ihr gehabt?

 

[jugi]

Naja is ja nu nich so, dass es bei AVM noch nie Sicherheitslücken gab.
Im September 2014 war doch zuletzt der Fernzugriff offen - und wer ans Fritz!OS kommt, kommt auch an die VPN Daten…
> http://www.golem.de/news/avm-alte-s...tzbox-wird-wieder-ausgenutzt-1409-109497.html
Anfang 2014 war soweit ich mich erinnere auch schonmal was offen… *such*
> http://www.heise.de/security/meldun...elegt-Millionen-Router-in-Gefahr-2136784.html

 

[Tommes]

Ich will AVM ja auch garnicht verteidigen und wenn es Sicherheitslücken geben sollte die ich noch nicht kenne, würde ich mich über aktuelle Infos natürlich freuen. Jedoch sind die Vorfälle, die du da verlinkt hast, ja bereits ein alter Hut und längst gefixt. Und grade Anfang 2014 kamen wohl noch viele andere Router-Hersteller nicht gut weg! AVM ist auch einer der wenigen Hersteller, die solche Dinge im Gegensatz zu manch anderen, zügig fixen.

Auch gibt es natürich Dinge, die man immer beachten sollte und nicht leichtsinnig freigeben sollte. So würde ich nie den myFritz-Fernzugriff-Dienst freischalten, genauswenig wie ich den SSH- oder DSM-Port der DS in Internet stellen würde. UPnP und Konsorten runden die Sache dann ab. Natürlich machen solche Dienste einem das Leben leicher... aber eben auch dem Hobby-Hacker! Von daher bestätigt sich wieder mein Leitsatz: Sicherheit schafft man sich nur mit Wissen, dann ist es auch egal, welches System du verwendest. Kennst du die Schwächen, so kannst du darauf reagieren...

Von daher meine Frage an dich bzw. euch nach mehr Backgroudinfos zu aktuellen Sicherheitslücken oder negativ-Kritiken aus den Medien, die auf Sicherheitslücken schließen lassen. Aber scheinbar gibt es aktuell keine Bekannten Sicherheitslücken, oder?

@nex1234
Ich hatte mit meiner Fritzbox (7390 sowie 7490) bisher noch keine Probleme gehabt. Im Gegenteil, ich bin von diesem System überzeugt und es bietet mir alles, was meinen Vorstellungen entspricht. Ich kann AVM nur empfehlen. Aber ich bin ja kein Maßstab.

Tommes

 

[nex1234]

Bei meinem letzten Post hatte ich die Seite wohl nicht aktualisiert und so euere beiden vorherigen Posts gar nicht berücksichtigt.

Also ich habe als bei mir die Entscheidung anstand mir nur ein paar Meinungen über die Google Suche (w924v vs 7490) eingeholt und bin da z.B. auf folgendes gestoßen: http://www.gutefrage.net/frage/speedport-w724v-oder-fritzbox-7490

Das war genau das, auf das ich mich eben bezogen habe. Ist natürlich auch wieder alles die subjektive Meinung derjenigen, die es geschrieben haben. Ich werde mir das nochmal in Ruhe überlegen, wie ich es mache. Habe ja nun genügend Alternativen, die wahrscheinlich alle Vor- und Nachteile haben

 

[jugi]

Von daher meine Frage an dich bzw. euch nach mehr Backgroudinfos zu aktuellen Sicherheitslücken oder negativ-Kritiken aus den Medien, die auf Sicherheitslücken schließen lassen. Aber scheinbar gibt es aktuell keine Bekannten Sicherheitslücken, oder?

Nein, mir ist nichts dergleichen bekannt und ich wollte auch keine Panik schüren Ich wollte nur der Illusion entgegentreten, das VPN das Allheilmittel ist (so klang es bei dir ein wenig ) - Damit gibt es genauso Probleme wie mit offenen Ports oder eben QC.

Und ich würde die Fritz!Box auch für Privatanwender jederzeit Empfehlen und setze sie ja auch selber ein. Ist schon aktuell wohl mit das beste, was es aufm Markt so gibt. (DD-WRT und ähnliche Bastellösungen mal ausgenommen).


@nex1234: lol… 100% speedport? ich hab ja von gutefrage.net noch nie viel gehalten, aber das

 

[nex1234]

Keine Ahnung, halte da eigentlich auch nicht viel von. Steht aber bei Google immer direkt als erstes und man stolpert dann doch das ein oder andere Mal, wenn es schnell gehen muss darüber

Hast du gesehen, was darüber steht: "Das Ergebnis basiert auf 2 Abstimmungen"
Das erklärt es wohl

 

[jugi]

Hast du gesehen, was darüber steht: "Das Ergebnis basiert auf 2 Abstimmungen"
Das erklärt es wohl

Jein, ich hätte eigentlich das übliche Telekom-ist-doch-eh-scheisse Ergebnis erwartet -> nahezu 100% für AVM

Ist deine Frage denn geklärt? Bevor wir hier komplett OT werden und es ist noch was offen

 

[nex1234]

Ja meine Fragen sind soweit alle geklärt. Ich habe auch noch einen alten interessanten Thread dazu hier gefunden und durchgelesen: http://www.synology-forum.de/showthread.html?46267-Synology-vs-FritzBox-VPN

Bin wohl nicht der erste, der nach der besten Lösung sucht. Wahrscheinlich gibt es sie auch nicht, dafür gibt es zu viele Alternativen.

Danke an euch!

 

[Tommes]

@nex1234
Haha, in dem von dir verlinkten Thread bin ich auch vertreten *g*

@jugi
Na gut, dann hab ich mich vielleicht etwas missverständlich ausgedrückt was VPN angeht. Jedoch würde ich VPN in jedem Falle vorziehen wenn ich die Wahl zwischen QuickConnect, Portweiterleitungen oder VPN habe. Aber VPN ist ja auch nicht gleich VPN... bla, bla, bla...

Ich denke wir verstehen uns und werde das Thema jetzt auch mal zum Abschluss bringen.

Off_Topic>Exit

Tommes

 

[ottosykora]

QC hat nichts mit spezieller Sicherheit zu tun und ist auch nicht als eine vPN oder so was ausgedacht.

Es ist nur eine Hilfe für Leute die sonst keinen Kontakt zu ihrer DS aufbauen können. Das kann sein weil der Heimanschluss hinter irgendwelchen Kaskaden von NAT liegt und keine öffentlich Adresse bekommt, oder weil man hinter einer Firewall ist die nur 'surfports' durchlässt auf der einen oder anderen Seite.
Es ist eine sehr wichtige Einrichtung auch wenn es hier nur wenige Leute nutzen.
Natürlich ist es langsam, es muss schliesslich über die Vermittlungsserver laufen wenn sonst keine Kontaktmöglichkeit zu der DS besteht.
Viele Leute machen sich lustig über QC, aber die sollen sich mal vorstellen wie es wäre wenn man sonst gar keine Möglichkeit hätte auf den Server zuzugreifen.