NAS - eigene Cloud - sicher oder unsicher?

[bowman]

Ich habe meinem WLAN Router ein Passwort verpasst nach dem Prinzip a4D$4tO_5%As4#1

Er hat keine 5 Minuten gebraucht um den Router zu kapern. Was willst da machen an Gedanken?

Wenn Du irgend einen Dienst auf einem Gerät in deinem Netz laufen hast (z.B. eine IP-Kamera, Hauselektronik etc.), das eine unsichere Verbindung nach draussen öffnet (z.B. zu einem Clouddienst des Herstellers des Geräts) und dabei per UPnP den Router umkonfiguriert (so daß dieser eine Portweiterleitung von draussen nach drinnen zu dem Gerät ermöglicht), hast du schon mal schlechte Karten. Dann braucht ein Angreifer nur die öffentliche IP deines Routers ermitteln und kommt über den Port auf das Gerät und von dort aus ggf. in dein restliches Netz. Genau deshalb gehören solche Gadgets ('Internet of shitty things') in ein isoliertes Netz. Mitunter braucht es dazu gar kein Gadget, es reicht ein Rechner der entsprechende Ports öffnet und darauf lauscht - hat dein 'Kumpel' mal deine Geräte 'abgesichert'...?

Ein gutes WLAN-Passwort ist da ziemlich irrelevant (der Angreifer nutzt einfach einen anderen Netzzugang, z.B. per Mobilfunk). Hinzu kommt, daß viele (ungepatchte) Router selbst üble Sicherheitsprobleme haben (z.B. waren einige Teile von Asus erst kürzlich in der Presse...)

 

[Roman78]

Eigentlich gehören IoT Sachen in ein DMZ.

 

[Impcaligula]

Wenn Du irgend einen Dienst auf einem Gerät in deinem Netz laufen hast

...siehst und das meine ich im Bezug auf diesen Thread. Dieses Wissen... wo sind wann wie bestimmte Sicherheitslücken die wann wie wo durch was entstehen können. Welche Mittel muss ich wann wie wo einsetzen um Angriffe Zugriffe zu vermeiden. Nutzt es A komplett zu schützen, wenn der Angreifer aber durch die Seitentüre B rein kommt - und ich gar nicht wusste dass das geht....

Daher meine Frage...
Ist so ein Ansinnen des TE per se nicht unsicher als Normalanwender? Synologie und Co sagen dem Normalanwender ja ...alles easy. NAS an den Router, Port Freigabe, Verbinden, App auf das iPhone. Alles easy. Aber auch sicher für den Normalanwender der das Netzwerkumfeld das er hat schlecht einschätzen kann von der Sicherheit...

 

[Lor-Olli]

...siehst und das meine ich im Bezug auf diesen Thread. Dieses Wissen... wo sind wann wie bestimmte Sicherheitslücken die wann wie wo durch was entstehen können. Welche Mittel muss ich wann wie wo einsetzen um Angriffe Zugriffe zu vermeiden.…

Ich hoffe Du erkennst die Ironie dieser Frage, Du schließt die Nutzung eines von außen erreichbaren Homenetzes aus, nutzt aber gerade eben einen Computer um ins WWW und dieses Forum zu gehen… Was macht Dich da so sicher, dass dies "ungefährlicher" ist? Weißt Du Deinen Rechner besser zu schützen als Dein Heimnetz und warum und wie genau sollte das so sein?

Wir müssen und damit abfinden, dass es eine 100% Sicherheit nicht gibt und hier kommt die Software brain 2.0 zur Anwendung - es gilt das Restrisiko zu verringern, sonst würdest Du weder Autofahren, noch Dein Geld (Karte / teures smartphone etc.) mit Dir herumtragen, noch Dein Haus verlasssen (bleibt ja potenziell einbruchgefährdet zurück…). Also nicht nur die Zugriffe auf das notwendige beschränken, sondern zudem die Hürden für unbefugte Zugriffe hochsetzen, wichtige Daten zudem gut verschlüsseln, regelmäßig den Rechner selbst überwachen und auf Veränderungen checken (welche Zugriffe, wann und worauf) OHNE dabei in Hysterie zu verfallen. Wer ohne Schutzmaßnahmen Aktfotos von sich "überall lagert", könnte sie natürlich auch ausdrucken und an die Hauswnd pinnen (Hinterhof, damit nur jemand sie sieht, der den Hinterhof aufsucht )

Die Gefahr als real einschätzen, Gegenmaßnahmen ergreifen und Panik a là Bildzeitungsschlagzeile unterlassen - ist gar nicht soooo schwierig!

 

[matthias1711]

Ich bin der Ansicht (korrigiert mich wenn ich falsch liege), dass bezüglich der Angriffssicherheit des Heimnetzes schon ein Unterschied besteht, ob ich nur "normales" Internet betreibe oder ob ich irgendwelche zusätzlichen Dienste mit Verbindungen nach außen betreibe. Jeder dieser Dienste, darunter auch die persönlichen Clouds auf NAS Geräten, öffnet doch eigene Verbindungen ins Internet. Und ich bezweifle irgendwie, dass überall gleich hohe Sicherheitsstandards gelten.

Sind Apple, Microsoft & Co. mit Ihrem iCloud, OneDrive usw. besser und sicherer als Synology, Qnap usw.? Oder wie sieht es mit irgendwelchen kleinen Firmen mit all ihren Cloud Lösungen aus? Wie gesagt, ich habe da schon Bedenken obwohl ich natürlich die Vorteile von Cloud Lösungen sehe.

 

[Silence7]

Also Grundsätzlich würde ich nicht so kritisch an das ganze ran gehen.
Es gibt zwei Stufen und diese sind sehr einfach sehr robust gegen Angriffe einzurichten.
Mit nem VPN direkt ins eigene Netz spart das öffnen eines Ports nach außen.

1. Router bspw. Fritzbox regelt welcher Port auf welche interne IP/Port weiterleitet. Damit ist schon einmal sichergestellt, das nicht das gesamte LAN betroffen ist & der Router macht nach außen mit guter Firewall zu.

2. Der Cloud Server kann bspw. ein Raspberry PI oder Qnap sein. Nutze beide und bin sehr zufrieden.

Zu beachten als bspw. beim PI mit OwnCloud (Empfehlung da sehr einfach & gute Tutorials):

- Zugriff nurhttps erlauben & SSL key erstellen
- evtl. anderen Port als 422 einstellen
- PI account umbenennen & PW
- FAIL2BAN einrichten

Das ganze ist in kurzer (<1h) Zeit fertig & läuft sehr stabil... Qnap ist einfacher, aber lässt nicht so viel konfigieren.
Alternative online Clouds ala Google, Apple & Co würde ich nur mit Boxcypter nutzen, aber den würde ich noch weniger vertrauen...

 

[Impcaligula]

Ich hoffe Du erkennst die Ironie dieser Frage, Du schließt die Nutzung eines von außen erreichbaren Homenetzes aus, nutzt aber gerade eben einen Computer um ins WWW und dieses Forum zu gehen…

Das ist richtig. Auf meinem Handy das ich gerade nutze sind aber nicht meine gesammten Daten. Auf einem NAS das an meinem Router hängt und nach außen offen ist sehr wohl...

Sind Apple, Microsoft & Co. mit Ihrem iCloud, OneDrive usw. besser und sicherer als Synology, Qnap usw.?

Die haben immerhin Netzwerk und Security Experten die das möglichste tun um Angriffe zu verhindern. Ich als Laie kenne sicherlich nicht jede Sicherheitslücke die ich unbewusst an meiner eigenen Cloud einrichte...

 

[Silence7]

Die haben immerhin Netzwerk und Security Experten die das möglichste tun um Angriffe zu verhindern. Ich als Laie kenne sicherlich nicht jede Sicherheitslücke die ich unbewusst an meiner eigenen Cloud einrichte...

Sicherlich richtig, aber wie beim normalen Einbrecher muss die Relation Schutzvorrichtung vs. dem was man schützt passen...
Einfamilienhaus ist auch anders gesichert als der Tower of London.

Wenn man eine Qnap oder OwnCloud einmal eingerichtet hat, wird Sie normal wie das OS auch mit Sicherheitsupdates geupdated.
Ich würde daher nicht alles so kritisch darstellen, wenn nicht wirklich Schwachstellen bekannt wären... Grad beim Qnap kann man nichts falsch machen...

 

[Lor-Olli]

Ich wollte hier niemanden belehren oder verrückt machen, es ging mir lediglich darum aufzuzeigen, dass es gewisse Spielregeln (Sicherheitsregeln) gibt die man beachten sollte. Unterschiede zwischen dem Rechner zu Haus, dem Heimnetz und der cloud gibt es natürlich schon, denn wenn man z.B. die cloud nutzt sollte man sich sicher sein, wem man sie anvertreut - die Daten gibt man aus der Hand und entzieht sie damit der eigenen Kontrolle (Clouddienste KÖNNEN sie kopieren, analysieren, auswerten auch Apple baut sich ein eigenes BigDataNetzwerk und der Hauptsinn ist hier nicht die individuelle Analyse, weil anonymisiert, sondern das Datengesamtkonzept - je mehr Daten, desto genauer die Interpretation/Zuordnung neuer, unbekannter User. Das geht heute schon ziemlich erschreckend gut, OHNE die individuellen Daten zu kennen!)

Das Heimnetz bietet die Option es nur temporär ins Netz gehen zu lassen, man kann es SELBST absichern (je nach Eigenkenntnis mehr oder weniger gut), man kann es komplett von der Außenwelt trennen und man ist in der Wahl der Verschlüsselungsoption sehr frei. Auch kann man ein eigenes Sub- oder Parallelnetz kreieren um noch mehr Abschottung bei Zugriff zu haben, genau so wie man die Daten auf diesem Server selbst auswählt.

Der eigene Rechner ist auch nur so sicher wie der User ihn macht, die Zahl der exploits die bekannt sind, sind mitnichten die die es gibt (die NSA bunkert bekanntlich mehrere tausend nicht öffentlich bekannte exploits), nahezu jede Software hat ihre Schwachstelle.

Die größte Schwachstelle saß, sitzt und wird immer vor dem Rechner sitzen, der Mensch denkt nur begrenzt digital. Wer ins Netz geht gibt Daten preis, ob er will oder nicht (von IP über Verbindungsdaten, Rechnertyp, Standort und mehr - auch ein Torbrowser ist heute keine Anonymitätsgarantie).

Man muss sich bei der heutigen Datenflut aber auch im Klaren sein, dass vermutlich 99,99% der Daten irrelevant sind (Katzenvideos… ), es gilt also die wichtigen zu schützen indem man sie sparsamst und nur bei Unumgänglichkeit preisgibt. (logins z.B.)

 

[Olivetti]

Mit nem VPN direkt ins eigene Netz spart das öffnen eines Ports nach außen.

sobald du einen dienst einrichtest, muss mindestens ein port geöffnet werden. du meinst vermutlich, der router nimmt dir die einrichtung dessen ab, was du in 1. quasi andeutest.

- Zugriff nurhttps erlauben & SSL key erstellen
- evtl. anderen Port als 422 einstellen
- PI account umbenennen & PW
- FAIL2BAN einrichten

warum, wenn du doch nur von innen zugreifst? und das bedeutet ja der zugriff via VPN.

Das ganze ist in kurzer (<1h) Zeit fertig

für einen anfänger dauert das sicher länger, auch wenn er zufällig über »let's encrypt« stößt.

Alternative online Clouds ala Google, Apple & Co würde ich nur mit Boxcypter nutzen, aber den würde ich noch weniger vertrauen...

wem vertraust du weniger, boxcryptor oder den cloudanbietern?

 

[Impcaligula]

Ich wollte hier niemanden belehren oder verrückt machen,

Alles grün
Ist doch eine sehr interessante und lehrreiche Diskussion hier im Gange finde ich.

 

[Silence7]

sobald du einen dienst einrichtest, muss mindestens ein port geöffnet werden. du meinst vermutlich, der router nimmt dir die einrichtung dessen ab, was du in 1. quasi andeutest.

ja, meinte den Port des den https Zugriff auf den Server zum knacken bietet. Der VPN an sich im Router sollte noch schwerer sein ...

wem vertraust du weniger, boxcryptor oder den cloudanbietern?

Also def. weniger den Cloudanbietern. BoxCrypter speichert nichts im Netz & mit ner Deutschen Firma dahinter, hab ich zumindest nen besseres Gefühl. Wie WhatsApp vs Threema...

Ob es reicht weis keiner, aber sollte für Private Zwecke mehr als reichen...

 

[Olivetti]

VPN schwerer als https? was heisst bei dir knacken? wenn's lücken gibt, gibt's lücken – dann ist es egal, wo auf welchem port und dann spielt auch das fürchterlich zu oft gebrauchte »brain 4.0« keine rolle.

zumindest bei WA weiss ich, wer die verschlüsselung implementiert hat und der hätte 'nen ruf zu verlieren, bei threema weiss ich das nicht.
ob was reicht, die verschlüsselung von boxcryptor? die cloudanbieter bieten ihre infrastruktur an, für dateiverschlüsselung sorgen die meisten anbieter doch gar nicht und das wird i.d.R. auch so nicht beworben.

ok, sorry, aber ich weiss überhaupt nicht, was du mir sagen willst. vor allem, wenn's da irgendwie nach gefühl geht.

 

[Loki M]

Nein. Man muss dazu sagen, dass besagter Kumpel jemand ist der tagelang das Tageslicht nicht sieht weil er an den Rechnern sitzt.

Wenn der mich ab und zu besucht...dann geht schon mal der Drucker los und drückt "stehe vor der Türen. Gerne lässt er auch mal das DVD Fach auf und zu gehen die ganze Zeit.

Gehört zu der Gruppe die mit dem Fahrrad und Lappi durch Städte fahren und ihren Spass haben.

Das scheint mir trotzdem seltsam. Denn entweder kennt der Kumpel wunderbarerweise die externe IP deines Routers und knackt den so nebenher oder er hat dein WiFi geknackt - beides Dinge, die nicht eben so einfach nebener machbar sind.
Es würde mich wirklich interessieren wie er das gemacht hat - ich kann mich des Eindrucks nicht erwehren, er HAT dich verhinterteilt (und vorab mal irgend einen APT installiert bei passender Gelegenheit) o.ä.
Ernsthaft, es würde mich in professioneller Hinsicht (als OSCP und Forensiker) interessieren was er genau gemacht hat - das klingt fast zu gut (odEr schlecht, nach sichtweise) um wahr zu sein

 

[Silence7]

VPN schwerer als https? was heisst bei dir knacken? wenn's lücken gibt, gibt's lücken – dann ist es egal, wo auf welchem port und dann spielt auch das fürchterlich zu oft gebrauchte »brain 4.0« keine rolle.
zumindest bei WA weiss ich, wer die verschlüsselung implementiert hat und der hätte 'nen ruf zu verlieren, bei threema weiss ich das nicht.

Einfach mal einlesen! WA hätte nen Ruf zu verlieren

 

[Olivetti]

Einfach mal einlesen!

Genau, und damit könntest du anfangen -> https://m.heise.de/security/meldung...linspike-und-Open-WhisperSystems-2140053.html

 

[Nicolas1965]

Ihr unterscheidet zwischen Privatanwender und Firmennetzwerken. Dazwischen gibt es aber z.B. noch die "Klasse" der Freiberufler und "kleinen" Selbstständigen.
Z.B. Rechtsanwalt, junge Kanzlei, eine Sekretärin. Was macht der? Oder Sachverständigenbüro; die haben Ahnung von ihrem Thema, nutzen Macs, damit es einfach bleibt, haben Internetzugang (ja klar, wie soll es auch ohne gehen) und vertrauliche Daten. Da steht nicht "nur" der Datenverlust im Raum sondern auch §203 StGB. An wen wendet man sich da, wenn man Unterstützung bei der Einrichtung braucht?

 

[Olivetti]

An wen wendet man sich da, wenn man Unterstützung bei der Einrichtung braucht?

An Jemanden der für sein tun haftbar zu machen ist, wie alle anderen Firmen auch.

Warum sollte man Freiberufler u.ä. von Firmen unterscheiden?

 

[Madcat]

Ich hab auch eine Synology und wegen der besagten "Probleme" kann man auf die auch nicht aus dem Internet heraus zugreifen. Man kann zwar auch das Heimnetz "sicher" ins Internet bringen, man darf dabei aber nicht den Aufwand unterschätzen, den die Administration diesbezüglich benötigt. Auch ich nutze u.a. deshalb dann doch die kommerziellen Angebote für Daten, die ich zwingend auch aus dem Internet heraus brauche.

 

[Impcaligula]

Man kann zwar auch das Heimnetz "sicher" ins Internet bringen, man darf dabei aber nicht den Aufwand unterschätzen, den die Administration diesbezüglich benötigt.

Das meine ich...