Sicherheit und Netzwerk

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.902
Punkte für Reaktionen
0
Punkte
0
Hier im Forum gibt es ab und an heftige Diskussionen über Sicherheitsprobleme und Sicherheitsvorkehrungen, wenn die DS im Internet ihre Dienste offeriert. Dazu mal ein paar Bemerkungen:

(1) Das Internet ist grundsätzlich 'unsicher'. Diese Aussage meint, dass wenn wir einen Rechner hin zum Internet öffnen (z. B. per Router), dann kann jeder per IP-Adresse des Routers oder dem Äquivalent dem DNS-Namen (DynDNS-Namen) und einer entsprechenden Portnummer einen Dienst (Server, Service, was auch immer) auf der DS anrufen und damit ist ein Zugang prinzipiell möglich. Ob der Dienst dann einfach antwortet (ohne Authentifizierung) oder sich verweigert, kann man entweder innerhalb der jeweiligen Dienste programmieren oder man benutzt 'Universalschweine' (Firewalls) dafür. Das ist auch auf der DiskStation so möglich. Allerdings nur in einem üblichen, begrenzten Umfang weist die Firewall dies auf der DiskStation ab (Schwarze oder weiße Liste mit IP/Teilnetzwerk-Adressen der Anrufer).

(2) Die Server selbst können weitere benutzerbezogene Authentifizierungen vornehmen. Das kann ein einfacher Forum durch einen Konfiguration z.B. innerhalb des Webservers erfolgen; bei anderen Diensten ist es zwingend vorgesehen (SSH). Die Authentifizierung kann in einfacher Form durch ein Tupel 'Username, Kennwort' erfolgen oder in komplexerer Form z. B. durch den Vergleich von Schlüsseln auf der Basis von Zertifikaten. Internetserver-Anwendungen z. B. können zusätzlich Penetrationsversuche protokollieren und/oder statistische Verfahren verwenden, um entsprechende Usernamen oder IP-Adressen zu sperren (wird auch im DS-Manager angeboten). Es gibt aber auch Dienste, bei denen das nicht vorgesehen ist (UPnP/DLNA) und diese sich deswegen dann nicht eignen ohne eine weitere Vorkehrung, z. B. durch VPN tunneln.

(3) Bei wichtigen (sensiblen) Daten, kann auch eine Session-Steuerung (z.B. innerhalb des Webservers) mit einer Glütigkeitsverweilzeit (Session-Token mit Verfallsdatum ... kennt ja jeder vom Online-Banking) zum Einsatz kommen. Meist wird das über Cookies im Browser realisiert. Auch das gibt es beim DiskStation-Manager (Benutzer-Anmeldung) und in vielen Webanwendungen. Allerdings fehlt bei bestimmtes Diensten diese Möglichkeit.

(4) Grundsätzlich sollte man davon ausgehen, dass ein zum Internet hin geöffneter Rechner auch 'gehackt' wird. Deswegen sollte man eine Bewertung vornehmen, ob sich sensible Daten auf dem Server befinden und welche Auswirkungen eine Down-Zeit des Servers oder gar der DiskStation hat (das wären ja die sichtbaren maximalen Ausfälle/Verluste der Integrität). Wenn man feststellt, dass dies zu größeren Problemen führen kann, sind Überlegungen zur Parzellierung (rein interner Server - reiner Internetserver - keine internen Netzverflechtungen zwischen diesen Servern) zu überlegen. Solange keine virtuellen Maschinen auf den DiskStations hier das Hardware-Problem abstrahieren, muss man in Geräte-Einheiten denken (zwei, drei, viele DiskStations). Wichtig ist bei jeder Bedrohungslage zu überlegen, wie man im Ernstfall damit umgeht (Desaster-Szenario) und das auch mal übt (ist wie ein Restore beim Backup-Konzept).

(5) Die Diskussion vom Wirken von Malware ist hier nicht vorgenommen worden, weil es sich noch nicht als Problem auf den DiskStation ergeben hat, ist aber prinzipiell natürlich auch wichtig.

Sicherlich ist das nicht alles zu dem Thema und vielleicht fallen euch noch weitere wichtige Dinge hierzu ein. Dann bitte, die Diskussion ist eröffnet.

Itari
 
Zuletzt bearbeitet:

petehild

Benutzer
Mitglied seit
17. März 2011
Beiträge
443
Punkte für Reaktionen
0
Punkte
0
Danke für diese klasse Zusammenfassung :)

Gruß
Pete
 

bohne

Benutzer
Mitglied seit
05. Januar 2011
Beiträge
1.698
Punkte für Reaktionen
0
Punkte
0
Zuerst einmal finde ich es hervorragend, dass dieses Thema hier aufgegriffen wird.

"Einfache" User, wie ich, stürzen sich in Bezug auf Sicherheit erst einmal auf die "'Universalschweine' (Firewall)". Hier ist mir aufgefallen, dass sich oftmals nur auf die Firewall des Router`s verlassen wird und ein Einsatz der DS internen Firewall daher nicht für notwendig gehalten wird (Zitat aus einem Beitrag "Welchen Sinn macht es, sich in der DS noch mit Firewall-Regeln zu ärgern? Netzintern verstehe ich das noch weniger.").
Unter Berücksichtigung der Tatsache, das eine große Anzahl von Anwendern ein Wlan einsetzen, bin ich der Meinung, dass man über den zusätzlichen Einsatz der DS internen Firewall durchaus nachdenken sollte.
Es gibt hier Beiträge, in denen Beschrieben wird, wie mit Hilfe des Fernzugriffs auf die Fritzbox die WoL-Funktion der DS realisiert werden kann. Reicht mir hier wirklich nur die Firewall in der Fritzbox, wohl kaum.

Natürlich ist eine Firewall alleine nicht ausreichend für die Sicherheit, aber für "einfache" Anwender, wie mich, der erste Schritt.

Letzt endlich muß sich jeder seine eigenen Gedanken darüber machen, welche Daten und wie "sicher" er sie freigibt.
 

Ap0phis

Benutzer
Mitglied seit
16. Dezember 2010
Beiträge
6.729
Punkte für Reaktionen
0
Punkte
156
... Unter Berücksichtigung der Tatsache, das eine große Anzahl von Anwendern ein Wlan einsetzen, bin ich der Meinung, dass man über den zusätzlichen Einsatz der DS internen Firewall durchaus nachdenken sollte. ...
Aber nur dann, wenn du einen Angriff von innerhalb deines LAN oder ein unzureichend gesichertes WLAN hast.
Habe die Frage schonmal irgendwo gestellt: Hast du an deinem PC auch alle Ports geblockt? ;)
 

thedude

Super-Moderator
Mitglied seit
30. November 2009
Beiträge
2.237
Punkte für Reaktionen
0
Punkte
82
Danke für Punkt 4 Itari. Danke. Wer nur eine DS hat und darauf seine wichtigsten Daten lagert, diese dann im Internet freigibt - sorry dem ist nicht zu helfen. Der handelt in meinen Augen auch fahrlässig.

Grad hat die c't noch berichtet, unter vorgehaltener Hand sagen die Antivirus Hersteller das es nicht die Frage ist ob ein System im Internet gehackt wird - sondern wann. Ganz gleich auf welche Weise.

Gruß
Dude
 

bohne

Benutzer
Mitglied seit
05. Januar 2011
Beiträge
1.698
Punkte für Reaktionen
0
Punkte
0
@Ap0his
Aber nur dann, wenn du einen Angriff von innerhalb deines LAN oder ein unzureichend gesichertes WLAN hast.
Habe es schon mehrmals erlebt, das ein privates WLan gar nicht geschichert war.:confused:
Das zeigt, daß es Anwender gibt, denen das notwendige Wissen zu dieser Materie fehlt oder die Materie nicht verstehen.
Dennoch, so zeigt auch dieses Forum, teilweise bereit sind, sich damit auseinander zu setzten.
Eben diesen Anwendern könnte der Beitrag von itari, Anregungen und Zusammenhänge darlegen, die sie veranlassen ihre Sicherheitseinstellungen zu überdenken.:)
 

jahlives

Super-Moderator
Mitglied seit
19. August 2008
Beiträge
18.275
Punkte für Reaktionen
0
Punkte
0
Website
911-research.info
@Ap0phis
oder wenn du einen Port am Router vergessen hast, der noch geöffnet ist. Dann kann der Angriff auch von aussen kommen. Sorry aber eine FW gehört auf einen Server (da gibts zumindest für mich nichts daran zu rütteln) :)
 

Ap0phis

Benutzer
Mitglied seit
16. Dezember 2010
Beiträge
6.729
Punkte für Reaktionen
0
Punkte
156
@Ap0phis
oder wenn du einen Port am Router vergessen hast, der noch geöffnet ist. Dann kann der Angriff auch von aussen kommen.
Kein Thema!
Aber ebenso wie die offenen Routerports sind dann die offenen Serverports immer im Auge zu behalten. Ich sehe da also schonmal keinen Unterschied. Im Gegenteil. Denn so muß ich 2 FW´s beachten.
Sorry aber eine FW gehört auf einen Server (da gibts zumindest für mich nichts daran zu rütteln) :)
Persönliches Sicherheitsempfinden ist eigentlich immer entscheidend. Nur muß man damit auch umgehen können. ;)

Und wie bohne schon sagte gibt es in der Tat leider noch genügend unzureichend bis gar nicht gesicherte WLAN´s.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.902
Punkte für Reaktionen
0
Punkte
0
Und wie bohne schon sagte gibt es in der Tat leider noch genügend unzureichend bis gar nicht gesicherte WLAN´s.
Im Grunde sind alle Funkgeschichten, ob WLAN, Bluetooth, Handy-Netze, TV- oder Fernlenkauto-Fernsteuerungen immer ein Unsicherheitsfaktor. Bildschirme, Mikrofone (Headsets), Tastaturen, Mäuse und Touchscreens natürlich auch ... Da mag im ersten Moment lustig klingen, ist es aber gar nicht ... überall, wo elektromagnetische Übertragungen (inkl. Licht - auch nicht sichtbares Licht) vorkommen, hast Induktionen, die mehr oder minder gut isoliert sind und ein Einfallstor sein können. Bei den heutigen Stromleitungsübertragungen (Powerline) bist schneller beim Nachbarn als du denkst ... wenn du da nicht gut verschlüsselst, ist die ganze Welt ganz dicht bei dir. Und Hand aufs Herz, wer ändert den Schlüssel seiner WLAN-Stationen regelmäßig???

Itari
 

eskarion

Benutzer
Mitglied seit
30. September 2009
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Oder nutzt die MAC-Liste in seinem Router beim WLAN-Betrieb?
Wo ist man bereit Bequemlichkeit aufzugeben um mehr Sicherheit zu bekommen?
Das VPN-Addon halt ich aber schon für einen Schritt in die richtige Richtung.
 

Ap0phis

Benutzer
Mitglied seit
16. Dezember 2010
Beiträge
6.729
Punkte für Reaktionen
0
Punkte
156
Oder nutzt die MAC-Liste in seinem Router beim WLAN-Betrieb?
...
Die nutze ich in der Tat! ... und kann es nur jedem empfehlen.
Unbekannte Rechner kommen da zumindest ohne geclonte MAC nicht rein.
 

thedude

Super-Moderator
Mitglied seit
30. November 2009
Beiträge
2.237
Punkte für Reaktionen
0
Punkte
82
Ausser Komfortverlust (man muss ständig clients "freischalten"...) bringt der MAC Filter GAR NIX. Eben weil man eine MAC einfach clonen kann. Ein ausreichend sicherer WPA2 Key reicht völlig.

gruss
dude