Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 11
  1. #1
    Anwender Avatar von sowosamma
    Registriert seit
    16.06.2009
    Beiträge
    549

    Standard Passwort ändern

    Hallo,

    ich habe bisher meine DS nur intern genutzt. Jetzt will ich aber den ein oder anderen Dienst auch von extern nutzen. Fremde Benutzer (als Freunde, Verwandte etc.) schalte ich nur temporär frei. D.h. wenn ich weiß dass ein Freund was runterladen will, dann aktiviere ich seinen User nur für 2 oder 3 Tage. Sowohl bei meinen eigenen (admin, mein Win-Benutzer, mein Linux-Benutzer) als auch bei den fremden Nutzern verwende ich sichere Kennwörter.

    Trotzdem bin ich jetzt ein bißchen verunsichert, denn nach nicht mal einem Tag mit offenen Ports hatte ich schon Besuch aus Fernost. Die IP wurde auch von der DS wunderbar geblockt.

    Sollte man die Kennwörter regelmäßig ändern, auch wenn man sichere Kennwörter verwendet? Mir gehen nur irgendwann die Tiere und Obstsorten aus ;-)
    Ie90%dÄf7€! gebildet aus den fett hervorgehobenen Zeichen von „Ich esse 90 % der Äpfel für 7 € !“).
    /Andi
    DS-109+ & WD10EADS & DSM 4.2-3255 - Features
    ext. Backup mit Fantec MR-35US2 USB & eSATA & HD103UJ
    Fritz!Box 7270 | Netgear GS105 | HDX-1000 & 32 GB Transcend SSD

  2. #2
    Moderator Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    12.946
    Blog-Einträge
    46

    Standard

    Ich bekomme in der Regel alle paar Stunden einen Besuch von Hackern aus aller Welt. Aber solange die IP-Sperre ihren Dienst tut, musst du dein Passwort nicht ändern. Stattdessen alle paar Tage die Übertragungsprotokolle überprüfen und du bist besser geschützt. Ich ändere meine Passwörter ungefähr 2x pro Jahr und hatte noch nie Probleme. Ich hoffe du hast zum deaktivieren der Nutzer schon die Funktion zum zeitgesteuerten deaktivieren gesehen

    MfG Matthieu
    Paketzentrum-Server "Community Package Hub"
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB | RS818+ 16GB
    || 4x WD20EFRX, 4x ST4000VN008, 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast 2 | Chromecast Audio | Fairphone 2

    "There is no cloud, just other people's computers" - Free Software Foundation Europe

  3. #3
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Zitat Zitat von sowosamma Beitrag anzeigen
    Sollte man die Kennwörter regelmäßig ändern, auch wenn man sichere Kennwörter verwendet? Mir gehen nur irgendwann die Tiere und Obstsorten aus ;-)
    hi Andi,

    ja, man sollte. Man sollte möglichst lange (ab 10 Stellen), möglichst unsinnige (auch mit Ziffern und Sonderzeichen) und möglichst singuläre (das Kennwort nur einmal pro Gelegenheit verwenden) Kennworte benutzen. Da man sich das nicht merken kann, und Eselsbrücken ja schon wieder ein wenig 'Sinn' in die Geschichte bringen, ist es sinnvoll, sich die Kennworte generieren zu lassen und sie irgendwo abzuspeichern (weil man sie sonst vergisst). Das Abspeichern - selbst verschlüsselt und per Kennwort geschützt) ist allerdings wieder ein Quelle neuer Gefahren Man muss also immer irgendwo einen Kompromiss finden.

    Klar gibt es schützenwerte und weniger schützenswerte Bereiche und man kann da auch Unterschiede bei der Qualität der Kennworte machen.

    Eine Idee, die mir persönlich sehr gut gefällt und auch recht durchdacht erscheint ist die Password Card - hier zu finden: Auf einer Karte sind 22 x 11 zufällige Zeichen wie auf einem Schachbrett oder einer Excel-Tabelle eingerahmt von Zeilen-Nummern und Spalten-Buchstaben. Wenn man ein Kennwort braucht, dann positioniert man sich gedanklich auf eine Startposition und kann dann ab dort die Zeichen nacheinander, untereinander, in L-Form oder Rösselsprung ablesen, ganz wie man möchte. Niemand kennt die Methode sowie die Länge des Schlüssels und somit ist die Gefahr des Verlierens, Kopierens usw. vernachlässigbar.

    Itari
    Geändert von itari (20.10.2009 um 08:59 Uhr)
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  4. #4
    Anwender Avatar von sowosamma
    Registriert seit
    16.06.2009
    Beiträge
    549

    Standard

    Zitat Zitat von Matthieu Beitrag anzeigen
    Ich hoffe du hast zum deaktivieren der Nutzer schon die Funktion zum zeitgesteuerten deaktivieren gesehen
    Nee, gibt's sowas wirklich Klar, hab ich das so gemacht. Ist echt klasse. Mein Kumpel hat sich beim Login am WE vertan so dass er gesperrt wurde. Hab ihn dann gestern einfach nochmal für zwei Tage freigeschalten udn gestern war er auf meinem Kistchen (natürlich mit einer neuen IP von seinem Provider).

    Danke für den Tip. Dann beobachte ich mal die Protokolle die nächsten Tage ein bißchen genauer an...

    /Andi
    DS-109+ & WD10EADS & DSM 4.2-3255 - Features
    ext. Backup mit Fantec MR-35US2 USB & eSATA & HD103UJ
    Fritz!Box 7270 | Netgear GS105 | HDX-1000 & 32 GB Transcend SSD

  5. #5
    Anwender Avatar von Supaman
    Registriert seit
    26.01.2007
    Beiträge
    1.447

    Standard

    mehr sicherheit erreichst du durch ganz einfache tricks:
    - nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
    - dem user root keinen ftp/ssh,telnet zugang gewähren
    - eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen

    damit bremst du crawler aus russland, china etc zuverlässig aus, als login versuchen die root + admin auf den standard ports. die güte des passworts spielt dann nicht mehr eine ganz so grosse rolle.

  6. #6
    Anwender Avatar von sowosamma
    Registriert seit
    16.06.2009
    Beiträge
    549

    Standard

    Zitat Zitat von itari Beitrag anzeigen
    Da man sich das nicht merken kann, und Eselsbrücken ja schon wieder ein wenig 'Sinn' in die Geschichte bringen, ist es sinnvoll, sich die Kennworte generieren zu lassen und sie irgendwo abzuspeichern (weil man sie sonst vergisst). Das Abspeichern - selbst verschlüsselt und per Kennwort geschützt) ist allerdings wieder ein Quelle neuer Gefahren Man muss also immer irgendwo einen Kompromiss finden.
    Da gefällt mir die Eselsbrücke schon besser als das verschlüsselte Speichern. Denn es können auch recht sinnlose Eselsbrücken sein "Ein Grüner Hund Schifft" (Eichel Gras Herz Schellen, die Reihenfolge beim Schafkopfen)

    Aber vielen Dank für den Hinweis. Werde das ein oder andere Passwort noch um paar Zeichen erweitern.
    DS-109+ & WD10EADS & DSM 4.2-3255 - Features
    ext. Backup mit Fantec MR-35US2 USB & eSATA & HD103UJ
    Fritz!Box 7270 | Netgear GS105 | HDX-1000 & 32 GB Transcend SSD

  7. #7
    Anwender Avatar von sowosamma
    Registriert seit
    16.06.2009
    Beiträge
    549

    Standard

    Zitat Zitat von Supaman Beitrag anzeigen
    mehr sicherheit erreichst du durch ganz einfache tricks:
    - nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
    - dem user root keinen ftp/ssh,telnet zugang gewähren
    - eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen
    Das klingt jetzt sehr interessant.
    - Ist die IP ähnlich einer PLZ aufgebaut? Also z.B. alle 200.... kommen aus Fernost?
    - Wie kann ich dem root keinen Zugang gewähren?
    - Mit umbiegen meinst Du, dass der Nutzer z.B. ftp://meine_Adresse:66 eingibt und der Router den Port 66 auf Port 20 bei der DS umleitet?

    /Andi
    DS-109+ & WD10EADS & DSM 4.2-3255 - Features
    ext. Backup mit Fantec MR-35US2 USB & eSATA & HD103UJ
    Fritz!Box 7270 | Netgear GS105 | HDX-1000 & 32 GB Transcend SSD

  8. #8
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Zitat Zitat von sowosamma Beitrag anzeigen
    Ist die IP ähnlich einer PLZ aufgebaut? Also z.B. alle 200.... kommen aus Fernost?
    Guck hier:

    http://de.wikipedia.org/wiki/IP-Adre..._Netzbereichen
    http://de.wikipedia.org/wiki/RIPE_Ne...ination_Centre

    Itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  9. #9
    Anwender Avatar von Supaman
    Registriert seit
    26.01.2007
    Beiträge
    1.447

    Standard

    Zitat Zitat von sowosamma Beitrag anzeigen
    Das klingt jetzt sehr interessant.
    - Ist die IP ähnlich einer PLZ aufgebaut? Also z.B. alle 200.... kommen aus Fernost?
    - Wie kann ich dem root keinen Zugang gewähren?
    - Mit umbiegen meinst Du, dass der Nutzer z.B. ftp://meine_Adresse:66 eingibt und der Router den Port 66 auf Port 20 bei der DS umleitet?

    /Andi
    ja, ja und ja.

    beispiele:
    217.*.* -> telekom ip, 80.*.*.* -> arcor - genaue beriech musst du selbst irgendwo nach gucken. wenn man in die logs schaut, sieht man das als login immer root / admin / administrator mit einem standard bzw wörterbuch passwort benutzt wird. entweder abschalten oder die privilegien reduzieren.

    sollte man so gemein sein, und einen beliebigen anderen port für einen service benutzen, klappt noch nicht mal der versuch.

  10. #10
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.275
    Blog-Einträge
    20

    Standard

    Zitat Zitat von Supaman Beitrag anzeigen
    mehr sicherheit erreichst du durch ganz einfache tricks:
    - nur IPs aus deutschland zulassen (mal davon ausgehen, das nur deine freunde etc zugrifen sollen)
    - dem user root keinen ftp/ssh,telnet zugang gewähren
    - eingangs ports für ftp/ssh/telnet/auf andere ports umbiegen
    - Das ganze mit IPs hatten wir doch auch schon mehrmals. Es gibt ja auch noch Proxies und Anonymisierungsdienste, die u.U. ihre Server ausserhalb von DE haben.
    - Wie adminisrierst du die Kiste, wenn du kein telnet/ssh für root erlaubst? Ich würde den Root Zugriff nur via ssh von extern erlauben und dabei auf eine zertifikatsbasierte Anmeldung setzen (verunmöglicht BruteForce komplett)
    - nur das Verstecken löst das Sicherheitsproblem nicht, sondern versteckt es nur. Ich würde keine Applikation als sicher bezeichnen, nur weil die URL oder der Port nicht bekannt ist (mit einem Portscanner und etwas Zeit findet man einen versteckten telnet- oder ssh-Port ohne Weiteres)

    Gruss

    tobi
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Admin Passwort vergessen.
    Von erossore30 im Forum Geräte der +-Serie
    Antworten: 5
    Letzter Beitrag: 14.03.2015, 14:20
  2. Passwort vergessen
    Von ZS_Kanoni im Forum Geräte der Nummer-Serie
    Antworten: 11
    Letzter Beitrag: 26.07.2012, 22:17
  3. Admin-Passwort
    Von karl2014 im Forum Sonstiges
    Antworten: 2
    Letzter Beitrag: 24.04.2009, 12:07
  4. Anmeldemaske mit Benutzername + Passwort?
    Von Phoenix585 im Forum File Station
    Antworten: 4
    Letzter Beitrag: 14.02.2009, 08:54
  5. Standart IP und Passwort?
    Von bright! im Forum Installation und Konfiguration allgemein
    Antworten: 1
    Letzter Beitrag: 20.11.2007, 14:37

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •