Tja, Smartphones und auch viele PCs sind mit Software von irgendwelchen Ländern voll. Kaspersky=Russland nur als Beispiel. Da wir in Deutschland es leider nicht geschafft haben vernünftige Software zu entwickeln die dem Weltmarkt paroli bieten, muss man eben mit USA Software, Russland Software, Chinasoftware usw leben. Da sehe ich z.B. die allergrößten Sicherheitsbedenken, wenn hier diverse Länder versuchen den Stecker zu ziehen. Oder weiß jeder ganz genau, wie die Codezeilen der diversen Programme aussehen, die jeder auf seinen Kisten laufen hat?
Diskstation gehackt
- Ersteller youthman
- Erstellt am
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.097
- Punkte für Reaktionen
- 2.065
- Punkte
- 259
Der Gastzugang einer FB kann kaum konfiguriert werden - u.a. keine Portweiterleitungen. Der ist wirklich auf den Use Case „Ich habe Gäste, wie bringe ich deren Handies über WLAN ins Internet“ ausgerichtet. Dazu richte ich ihn ein und drucke die Konfig-Seite mit dem QR-Code. Das Blatt hänge ich neben die Garderobe, den kann jeder scannen, und ist „drin“.
Hi,
auch Mitte bis Ende der 90er wurden selbst normale Einwahlzugänge über Modem und ISDN schon übers Netz nach offenen Ports abgeklopft. Ich hab mich damals schon gefragt, woher die Leute denn so kamen und hatte die Adressbereiche über die verschiedenen Listen manuell abgeprüft...
Auch damals kamen die schon aus der ganzen Welt.
Man darf sich, aus meiner Sicht, halt nie sicher fühlen, wenn das eigene LAN eine physikalische Verbindung zum WAN hat.
„Schlaue“ Leute dürften IMO vermutlich immer irgendwo was finden, wo sie den Hebel ansetzen können.
Daher stellt sich natürlich im Privaten, sowie im Geschäftlichen die Frage, würde ja auch schon hier gestellt, was „muss unbedingt“ mit dem Internet verbunden werden, was nicht?
Kann ich mein kleines LAN zu Hause komplett vom Netz lassen?
Der ganze Haken an der Geschichte ist, dass mittlerweile sehr viel Kommunikation mittlerweile per Mail und nicht mehr per Brief läuft, Daten ebenso über Webseiten oder Server übermittelt werden.
Sicherlich will auch ich da nicht mehr zurück...
Aber mir fehlen einfach an vielen Stellen eindeutige Warnungen an den normalen Nutzer..., der sich neue Hard- oder Software anschafft, was bei welchem Klick passiert oder passieren kann.
Und der normale Nutzer kauft oder bekommt halt den „Kram“ zugeschickt und will alles einfach und ohne Probleme haben.
Ich bin insofern kuriert, dass ich Freunden und Bekannten beim Einrichten helfe.
Denn wenn was passiert, bin ich derjenige, der was falsch gemacht hat ^^.
Da sorge ich mich lieber um mich selbst.
auch Mitte bis Ende der 90er wurden selbst normale Einwahlzugänge über Modem und ISDN schon übers Netz nach offenen Ports abgeklopft. Ich hab mich damals schon gefragt, woher die Leute denn so kamen und hatte die Adressbereiche über die verschiedenen Listen manuell abgeprüft...
Auch damals kamen die schon aus der ganzen Welt.
Man darf sich, aus meiner Sicht, halt nie sicher fühlen, wenn das eigene LAN eine physikalische Verbindung zum WAN hat.
„Schlaue“ Leute dürften IMO vermutlich immer irgendwo was finden, wo sie den Hebel ansetzen können.
Daher stellt sich natürlich im Privaten, sowie im Geschäftlichen die Frage, würde ja auch schon hier gestellt, was „muss unbedingt“ mit dem Internet verbunden werden, was nicht?
Kann ich mein kleines LAN zu Hause komplett vom Netz lassen?
Der ganze Haken an der Geschichte ist, dass mittlerweile sehr viel Kommunikation mittlerweile per Mail und nicht mehr per Brief läuft, Daten ebenso über Webseiten oder Server übermittelt werden.
Sicherlich will auch ich da nicht mehr zurück...
Aber mir fehlen einfach an vielen Stellen eindeutige Warnungen an den normalen Nutzer..., der sich neue Hard- oder Software anschafft, was bei welchem Klick passiert oder passieren kann.
Und der normale Nutzer kauft oder bekommt halt den „Kram“ zugeschickt und will alles einfach und ohne Probleme haben.
Ich bin insofern kuriert, dass ich Freunden und Bekannten beim Einrichten helfe.
Denn wenn was passiert, bin ich derjenige, der was falsch gemacht hat ^^.
Da sorge ich mich lieber um mich selbst.
Kann das funktionieren, wenn ioBroker auf der NAS läuft? Das ist ja ein Gerät, also eine Verbindung.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
das kann, wenn die Netzwerkbereich getrennt angelegt sind und das NAS 2 Netzwerkports hat. Aber warum soll man sich das antun?
Nochmal: die wohl allermeisten hier nutzen das NAS als Fileserver (entweder für die Dateisammlungen oder backup). Jede (behaupte ich jetzt mal) weitere Anwendung / jeder weitere Dienst, der dann noch zusätzlich auf dem Teil läuft und ggf. Ports nutzt, die von außen erreichbar sind / sein sollen, kompromittiert die Sicherheit der ursprünglichen Funktion, die Datensammlung.
Sicherlich können manche Geräte mit Docker und VM noch viel viel mehr, als die zig Pakete bereits bieten. Das kann man sicherlich auch mal probieren, zum Austesten usw.
Ich rate aber weiterhin davon ab, dass man langfristig alles nebeneinander her auf EINEM Gerät nutzt.
Ihr wollt VPN Server? IoBroker? Downloadserver? Minecraftserver? Mailserver? Okay, kein Problem...holt euch halt n Raspberry oder potenteres Gelöt. Das kann das dann übernehmen, im Idealfall packt ihr alles was von außen erreichbar ist in ein extra NEtz mit restriktiven Rechten, ggf. eben DMZ. Ihr hab ne alte Fritz? Baut euch zur Not einfach ne Routerkaskade, im vorderen Bereich dann das IoT usw Geraffel rein, hinter den 2. Router dann euer eigentliches produktiv LAN. Oder kauft euch noch mehr Hardware wie Firewall und Co...Egal wie, Hauptsache, sich mal mit der zugrunde liegenden Technik auseinandersetzen!!
Was hier im Forum (und nicht nur hier) wieder und wieder auffällt ist eben: alles was geht wird auch gnadenlos probiert und dann geht was nicht und HUI, schnell mal alles portweiterleiten, geht nicht, HUI, mal schnell UPnP Routerkonfiguration einstellen...HUI, wo sind denn meine Daten alle hin...
Ich persönlich denke, dass alles dazu gesagt wurde und dieser (und der andere Hackerthread) bieten mittlerweile genug Infos und Anmerkungen zu was kann gehen, was sollte eher nicht gehen und was geht gar nicht...
Wem das nun immer noch nicht reicht, dem empfehle ich die Lektüre des Leitartikels aus der letzten ct zum Thema (auf der Titelseite, im Heft Seite 16 ff.). Damit sollte dann auch dem noch-auf-dem-Baum-Schlafenden etwas bewusster werden, wie schnell man mit irrwitzigen PWLs und Diensteinrichtungen gegen die Wand fährt.
Für mich nun mal der vorerst letzte Beitrag hierzu, denn es wurde alles gesagt dazu...(bis zum nächsten Mimimi).
das kann, wenn die Netzwerkbereich getrennt angelegt sind und das NAS 2 Netzwerkports hat. Aber warum soll man sich das antun?
Nochmal: die wohl allermeisten hier nutzen das NAS als Fileserver (entweder für die Dateisammlungen oder backup). Jede (behaupte ich jetzt mal) weitere Anwendung / jeder weitere Dienst, der dann noch zusätzlich auf dem Teil läuft und ggf. Ports nutzt, die von außen erreichbar sind / sein sollen, kompromittiert die Sicherheit der ursprünglichen Funktion, die Datensammlung.
Sicherlich können manche Geräte mit Docker und VM noch viel viel mehr, als die zig Pakete bereits bieten. Das kann man sicherlich auch mal probieren, zum Austesten usw.
Ich rate aber weiterhin davon ab, dass man langfristig alles nebeneinander her auf EINEM Gerät nutzt.
Ihr wollt VPN Server? IoBroker? Downloadserver? Minecraftserver? Mailserver? Okay, kein Problem...holt euch halt n Raspberry oder potenteres Gelöt. Das kann das dann übernehmen, im Idealfall packt ihr alles was von außen erreichbar ist in ein extra NEtz mit restriktiven Rechten, ggf. eben DMZ. Ihr hab ne alte Fritz? Baut euch zur Not einfach ne Routerkaskade, im vorderen Bereich dann das IoT usw Geraffel rein, hinter den 2. Router dann euer eigentliches produktiv LAN. Oder kauft euch noch mehr Hardware wie Firewall und Co...Egal wie, Hauptsache, sich mal mit der zugrunde liegenden Technik auseinandersetzen!!
Was hier im Forum (und nicht nur hier) wieder und wieder auffällt ist eben: alles was geht wird auch gnadenlos probiert und dann geht was nicht und HUI, schnell mal alles portweiterleiten, geht nicht, HUI, mal schnell UPnP Routerkonfiguration einstellen...HUI, wo sind denn meine Daten alle hin...
Ich persönlich denke, dass alles dazu gesagt wurde und dieser (und der andere Hackerthread) bieten mittlerweile genug Infos und Anmerkungen zu was kann gehen, was sollte eher nicht gehen und was geht gar nicht...
Wem das nun immer noch nicht reicht, dem empfehle ich die Lektüre des Leitartikels aus der letzten ct zum Thema (auf der Titelseite, im Heft Seite 16 ff.). Damit sollte dann auch dem noch-auf-dem-Baum-Schlafenden etwas bewusster werden, wie schnell man mit irrwitzigen PWLs und Diensteinrichtungen gegen die Wand fährt.
Für mich nun mal der vorerst letzte Beitrag hierzu, denn es wurde alles gesagt dazu...(bis zum nächsten Mimimi).
- Mitglied seit
- 01. Jun 2015
- Beiträge
- 458
- Punkte für Reaktionen
- 271
- Punkte
- 119
Und genau so habe ich es gestern Abend eingerichtet. Hat mich rund 2 Stunden beansprucht.
Das ganze "Geraffel" wie Wäschetrockener, Saugroboter, Smarthome, Luftreiniger, InternetRadio, Smart-TV, Kamera u.s.w. liegt im Netz, das der Router vom ISP zur Verfügung stellt. Dahinter habe ich eine schon länger unbenutzt herumliegende Unifi-Dream-Machine" angeschlossen. Vom LAN (ISP-Router) zum WAN (UDM) ein Netzwerkkabel.
Die wirklich wichtigen Geräte wie NAS (inkl. Backup-NAS, MacBook, iPhone, iPad sind nun im dahinterliegende Netz. Hoffentlich so sicher wie noch nie. Interessant zu sehen, wie wenig wirklich relevante Geräte vorhanden sind. Höchsten 1/4 aller am Netz hängenden Geräte.
Auch überdenkt habe ich den Umstand, ob es für mich wirklich relevant ist, NAS von Aussen zu nutzen. Vorerst verzichte ich darauf. Ich habe am ISP-Router keinen einzigen Port offen bzw. weitergeleitet. Ebensowenig natürlich an der UDM. Quickconnect ist deaktiviert. VPN geht nur bis in die erste Ebene. Somit also vorerst nutzlos. Die Firewall am NAS läuft natürlich mit den engen Einstellungen die schon vorhanden waren weiter.
Ich hoffe und ich glaube, dass ich damit für meine Verhältnisse die grösstmögliche Sicherheit hergestellt habe. Das ganze Zeugs soll ja auch noch bedienbar sein und nicht unablässig meine Aufmerksamkeit benötigen.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen @Michael336,
a) ja, die Frage sollte man in der Tat immer erst stellen...
b)Ja, kannst, dann aber auch Updates eben manuelle einspielen. Musst aber nicht, du kannst ruhig ans Netz, aber du musst nicht die Zugänge von außen nach innen freigeben. Da idR du ja mit den Clients erst eine Anfrage nach außen stellst, wird die eh als Antwort durchkommen.
c)Auf Mails will ich auch nicht verzichten, aber dann muss ich eben auch bestimmte Spielregeln (hui, ein Anhang, wow, ne MS Office Datei, NEUGIER schnell mal aufmachen...) befolgen. Alternativ: ein Client für den regen Mailverkehr. Ein anderer (zB nur für Telebanking) gut abgeschottet, ohne Mail, ohne Internetbrowsing), ohne erlaubt Verbindung von/auf andere Netzsegmente...
d) klar wäre ne Warnung toll, wird aber vermutlich ebenfalls von 90% ignoriert und ne Ausnahme eingerichtet...viele wollen sich mit dem Thema nicht auseinandersetzen, die wollen das es läuft, verdammt nochmal. So wie eben auch viel wollen, dass es heute und an den anderen 364 Tagen Fleisch und Wurst gibt, das Schnitzel aber nur 10 Cent kosten soll und man sich dann wundert, dass es antibiotikaverseucht ist, die Herstellungsbedingung an moderne Sklaverei erinnern und die Tiere grausam behandelt und gehalten werden. Nix gegen Warnungen, aber selber denken ersetzen die auch nicht...
edit: verdammt, doch wieder was geschrieben...
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Warum versuchen hier einige das Rad neu zu erfinden oder schmeissen Begrifflichkeiten durcheinander bzw kennen diese gar nicht.
Man braucht nur einen "richtigen" Router.
Diese Router stellen mindestens ein LAN und eine DMZ zur Verfügung.
In die DMZ kommt alles auf das man von Aussen Zugriff hat und alles was einem gewissen Sicherheitsrisiko unterliegt wie IoT oder auch der Smart-TV.
Im LAN ist der PC, das NAS, der Drucker etc.
Das sauber konfiguriert braucht man, nicht mehr und nicht weniger, aber keine Performance hemmenden, kaskadierte Router.
Und dann kann ich auch problemlos direkt per VPN in mein LAN.
Man braucht nur einen "richtigen" Router.
Diese Router stellen mindestens ein LAN und eine DMZ zur Verfügung.
In die DMZ kommt alles auf das man von Aussen Zugriff hat und alles was einem gewissen Sicherheitsrisiko unterliegt wie IoT oder auch der Smart-TV.
Im LAN ist der PC, das NAS, der Drucker etc.
Das sauber konfiguriert braucht man, nicht mehr und nicht weniger, aber keine Performance hemmenden, kaskadierte Router.
Und dann kann ich auch problemlos direkt per VPN in mein LAN.
Die Info, welcher Trojaner beim TO die DS verschlüsselt hat, ob es schon einen Schlüssel gibt, oder wie er weitergemacht hat, fehlt aber immer noch... oder habe ich was übersehen.. ? (Ruderrumreißer)
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
So kann man das leider nicht stehen lassen:
0. Nochmal zur Verdeutlichung: Wir reden hier derzeit ausschliesslich über den Zugriff vom Internet ins Heimnetzwerk. Im Sinne der hier diskutierten Sicherheitsproblematik dürfen erstmal alle Geräte natürlich weiterhin ins Internet.
1. Eine NAS, die mit einem Port nach aussen offen und mit einem Port im LAN steht, kontakariert sämtliche Sicherheitsvorkehrungen, über die wir hier reden. Absolutes NoGo!
2. Die primäre Entscheidung, die man treffen sollte, ist, ob die NAS von aussen erreichbar sein soll bzw. muss und mit welchen Diensten. Wenn ja, gehört diese ganz klar in die DMZ.
3. ioBroker läuft zwar auf der NAS, aber nicht nativ, sondern gekapselt in Docker. Daher kann ich ioBroker in ein eigenes Netz hängen - getrennt von der NAS. ioBroker sollte keinerlei Zugriff auf die NAS haben!
4. Der Begriff Routerkaskade ist negativ belegt und beschreibt eigentlich genau das, was bei jeder Netzwerkverbindung von A nach B stattfindet - nämlich Routing. Das ist weder schlecht, noch irgendwie eine Performancebremse. Richtig ist, wenn ich es falsch mache (bspw. Fritzbox hinter Fritzbox mit NATing), dann ist es auch nicht gut. Auf ein hinter einem 2. Router liegendes LAN darf es auf gar keinen Fall Zugriffe aus dem Internet geben! Ursächlich für schlechte Konfigurationen ist meist mangelndes Wissen, aber eben auch mangelnde Funktionalität der eingesetzten Router (inbesondere Fritzbox u.a.).
5. Die Fragestellung, welche Dienste und Netze man via VPN verfügbar machen sollte, kann man im Privatbereich diskutieren. Für mich gilt: Man kommt auch via VPN bitte nur in die DMZ und nicht ins LAN! Wer sein LAN via VPN im Zugriff braucht, sollte sich über das Risiko aber im Klaren sein. Ich persönlich würde dann lieber den Teil der Daten, den ich unterwegs brauche, in die DMZ stellen und den Rest sicher im LAN wissen, aber das muss jeder selber wissen.
6. Über die Variante dies über einen einzelnen (richtigen) Router, der die Trennung in mehrere Netze (Internet, DMZ, LAN und ggf. Gast-WLAN) unterstützt, kann man natürlich reden. Das macht es für Viele sicherlich einfacher. Ich habe mich dagegen entschieden, da ich meinen äusseren Router als untrusted betrachte. Dies ermöglicht mir u.a. IP-Sperren nach Portscans u.a.; aber wie gesagt: das geht auch einfacher mit einem anständigen Router.
0. Nochmal zur Verdeutlichung: Wir reden hier derzeit ausschliesslich über den Zugriff vom Internet ins Heimnetzwerk. Im Sinne der hier diskutierten Sicherheitsproblematik dürfen erstmal alle Geräte natürlich weiterhin ins Internet.
1. Eine NAS, die mit einem Port nach aussen offen und mit einem Port im LAN steht, kontakariert sämtliche Sicherheitsvorkehrungen, über die wir hier reden. Absolutes NoGo!
2. Die primäre Entscheidung, die man treffen sollte, ist, ob die NAS von aussen erreichbar sein soll bzw. muss und mit welchen Diensten. Wenn ja, gehört diese ganz klar in die DMZ.
3. ioBroker läuft zwar auf der NAS, aber nicht nativ, sondern gekapselt in Docker. Daher kann ich ioBroker in ein eigenes Netz hängen - getrennt von der NAS. ioBroker sollte keinerlei Zugriff auf die NAS haben!
4. Der Begriff Routerkaskade ist negativ belegt und beschreibt eigentlich genau das, was bei jeder Netzwerkverbindung von A nach B stattfindet - nämlich Routing. Das ist weder schlecht, noch irgendwie eine Performancebremse. Richtig ist, wenn ich es falsch mache (bspw. Fritzbox hinter Fritzbox mit NATing), dann ist es auch nicht gut. Auf ein hinter einem 2. Router liegendes LAN darf es auf gar keinen Fall Zugriffe aus dem Internet geben! Ursächlich für schlechte Konfigurationen ist meist mangelndes Wissen, aber eben auch mangelnde Funktionalität der eingesetzten Router (inbesondere Fritzbox u.a.).
5. Die Fragestellung, welche Dienste und Netze man via VPN verfügbar machen sollte, kann man im Privatbereich diskutieren. Für mich gilt: Man kommt auch via VPN bitte nur in die DMZ und nicht ins LAN! Wer sein LAN via VPN im Zugriff braucht, sollte sich über das Risiko aber im Klaren sein. Ich persönlich würde dann lieber den Teil der Daten, den ich unterwegs brauche, in die DMZ stellen und den Rest sicher im LAN wissen, aber das muss jeder selber wissen.
6. Über die Variante dies über einen einzelnen (richtigen) Router, der die Trennung in mehrere Netze (Internet, DMZ, LAN und ggf. Gast-WLAN) unterstützt, kann man natürlich reden. Das macht es für Viele sicherlich einfacher. Ich habe mich dagegen entschieden, da ich meinen äusseren Router als untrusted betrachte. Dies ermöglicht mir u.a. IP-Sperren nach Portscans u.a.; aber wie gesagt: das geht auch einfacher mit einem anständigen Router.
Und genau daran scheitert es bei 95% aller User. Man darf nicht immer hier von Forum Usern sprechen, sondern von der großen Masse. Deutschland überaltert, für die meisten ist außer dem betätigen des Lichtschalters, schon eine Weltreise, wie ich schon geschrieben hatte. Das soll jetzt nicht überheblich klingen, aber es ist Fakt. Ich hatte früher mal auch stets bei den Bekannten und Verwandschaft alles konfiguriert und bei Problemen die Feuerwehr gesspielt. da ich gemerkt habe, das die nix, Zerro selbst dazulernen, sondern immer wieder mich mit den gleichen Problem holten ( natürlich nur für einen kostenlosen Kaffee, obwohl man manchmal den halben Tag drüber war), habe ich es komplett eingestellt. Sie sollen sich IT Profis von extern für teuer Geld holen oder sich selbst einarbeiten. Ich musste mir ja auch über Jahrzehnte selber alles anlernen. Alles was hier in diesem Forum geschrieben wird ist meist eh nicht für oben genannte User, denn die scheitern ja schon meist am Account anlegen. Klingt hart, aber ist halt meine Erfahrung.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Du schreibst immer so lapidar was in die DMZ gehört und was nicht. Faktisch bedeutet dass, dass du 2 NAS benötigst, eines in der DMZ und eines im LAN.
Zu bedenken ist da noch, dass das DMZ NAS ja auch Inhalte braucht. Die bekommt es vom LAN NAS. Also muss auch hier eine Verbindung vorliegen die sicher ist. Früher ging das sehr einfach via Netbios. Das ist nicht routingfähig und damit nicht so angreifbar. Trotzdem kann das DMZ NAS übernommen werden.
In einem Punkt gebe ich dir Recht, was die meisten machen sind Routerkaskaden mit Natting. Das ist Murks. Das habe ich im Stillen implementiert aber oben nicht so beschrieben. Bei 2 sauber konfigurierten Routern gibt es sicher nur geringfügige Performanceeinbussen.
Bleibt nur noch eine Anmerkung: Dieses Konstrukt ist für den Normalo einfach oversized!
Ich wette das mindestens 50% alle Nutzer hier keine regelmässigen Backups fahren.
Weitere 50% haben upnp aktiviert und lassen im Router automatische Portfreigaben zu.
Das ist Hopfen und Malz ganz einfach verloren.
Dei einzig brauchbare Rat für jemanden der sich mehr mit einem Router beschäftigen will als eine Fritz anzuschliessen ist sich einen VPN Router anzuschaffen. Die haben eine DMZ, die stellen mehrere LAN und VLAN zur Verfügung und bieten eine vernünftige VPN Performance, einige sogar kostenfreie VPN Clientsoftware.
Wer so per VPN in sein LAN kommt hat alles getan um sein kleines Netz vor Angriffen zu schützen.
Die Syno gehört dabei mit keinem einzigen Port ins Internet.
Dann klappts auch mit der Sicherheit.
Zu bedenken ist da noch, dass das DMZ NAS ja auch Inhalte braucht. Die bekommt es vom LAN NAS. Also muss auch hier eine Verbindung vorliegen die sicher ist. Früher ging das sehr einfach via Netbios. Das ist nicht routingfähig und damit nicht so angreifbar. Trotzdem kann das DMZ NAS übernommen werden.
In einem Punkt gebe ich dir Recht, was die meisten machen sind Routerkaskaden mit Natting. Das ist Murks. Das habe ich im Stillen implementiert aber oben nicht so beschrieben. Bei 2 sauber konfigurierten Routern gibt es sicher nur geringfügige Performanceeinbussen.
Bleibt nur noch eine Anmerkung: Dieses Konstrukt ist für den Normalo einfach oversized!
Ich wette das mindestens 50% alle Nutzer hier keine regelmässigen Backups fahren.
Weitere 50% haben upnp aktiviert und lassen im Router automatische Portfreigaben zu.
Das ist Hopfen und Malz ganz einfach verloren.
Dei einzig brauchbare Rat für jemanden der sich mehr mit einem Router beschäftigen will als eine Fritz anzuschliessen ist sich einen VPN Router anzuschaffen. Die haben eine DMZ, die stellen mehrere LAN und VLAN zur Verfügung und bieten eine vernünftige VPN Performance, einige sogar kostenfreie VPN Clientsoftware.
Wer so per VPN in sein LAN kommt hat alles getan um sein kleines Netz vor Angriffen zu schützen.
Die Syno gehört dabei mit keinem einzigen Port ins Internet.
Dann klappts auch mit der Sicherheit.
Zuletzt bearbeitet:
Das Hauptproblem bleibt: der Großteil der Nutzer weiß gar nicht, dass er es besser machen könnte. Diesen Thread lesen nur Interessierte oder Leute, die ein aktuelles Problem haben.
Noch eine Frage zum DMZ. Ich will ja zwischen DMZ und LAN auch eine Verbindung. Wie soll ich denn sonst auf die lokalen IoT usw. zugreifen, wie kann ich von meiner NAS im LAN auf das Internetradio oder den TV streamen (DLNA/Airplay)? Wie kann ich vom Handy im LAN auf den Smart-TV YouTube Videos schmeißen?
Heißt Sicherheit ich muss auf jeglichen Komfort verzichten?
Noch eine Frage zum DMZ. Ich will ja zwischen DMZ und LAN auch eine Verbindung. Wie soll ich denn sonst auf die lokalen IoT usw. zugreifen, wie kann ich von meiner NAS im LAN auf das Internetradio oder den TV streamen (DLNA/Airplay)? Wie kann ich vom Handy im LAN auf den Smart-TV YouTube Videos schmeißen?
Heißt Sicherheit ich muss auf jeglichen Komfort verzichten?
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
(ich kann es nicht lassen, es ist schlimm)
Absolut gesehen: ja. Sicherheit oder Komfort, absolut gemeint bzw. bestmöglich, schließen sich aus. Das ist ja das Dilemma...
Aber du kannst sowohl in einer Kaskade mit doppelt NAT vom LAN in die DMZ als auch mit besseren Routern Regeln anlegen. Es wäre also durchaus bequem möglich, dass ein Zugang vom LAN in die DMZ geht, andersherum dagegen nicht.
Aber:
In wie weit dass dann (streng genommen) den Sinn einer DMZ in Frage stellt, wird hier sicherlich auch noch diskutiert...
Im Firmenumfeld ist die DMZ meist der nasse Bereich, also der, der potentiell als infektiös eingestuft wird. Von da geht dann keine Verbindung in oder aus die DMZ von LAN Seite her afaik. Komplett isoliert, die Administration erfolgt meist aus demselben DMZ heraus...
Dass das daheim eher overkill wäre, wurde hier ja schon erwähnt.
(ich kann es nicht lassen, es ist schlimm)
Absolut gesehen: ja. Sicherheit oder Komfort, absolut gemeint bzw. bestmöglich, schließen sich aus. Das ist ja das Dilemma...
Aber du kannst sowohl in einer Kaskade mit doppelt NAT vom LAN in die DMZ als auch mit besseren Routern Regeln anlegen. Es wäre also durchaus bequem möglich, dass ein Zugang vom LAN in die DMZ geht, andersherum dagegen nicht.
Aber:
In wie weit dass dann (streng genommen) den Sinn einer DMZ in Frage stellt, wird hier sicherlich auch noch diskutiert...
Im Firmenumfeld ist die DMZ meist der nasse Bereich, also der, der potentiell als infektiös eingestuft wird. Von da geht dann keine Verbindung in oder aus die DMZ von LAN Seite her afaik. Komplett isoliert, die Administration erfolgt meist aus demselben DMZ heraus...
Dass das daheim eher overkill wäre, wurde hier ja schon erwähnt.
Ich habe ein VLAN für IoT, welche über externe Server laufen (z.B. Heizung, Staubsauger). Dieses VLAN kann nicht aufs LAN zugreifen, aber kann ins Internet. Aber mein Libratone WIFI Lautsprecher ist im LAN. Ich will via Airplay streamen, gleichzeitig braucht der auch Internet, falls ich mal einfach nur Onlineradio hören will.
Wie handhabt man das? Ideen?
Ports im Router habe ich keine nach WAN offen, weil ich alles via VPN von extern mache...
Wie handhabt man das? Ideen?
Ports im Router habe ich keine nach WAN offen, weil ich alles via VPN von extern mache...
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.669
- Punkte für Reaktionen
- 1.566
- Punkte
- 314
Man muss hier aber auch mal klar die Profis sowie Nerds von der breiten, unwissenden Masse unterscheiden. Ich zähle mich hierbei auch eher zu der breiten Masse und es haben sich während der Umstrukturierung meines Netzwerkes sicherlich ein paar weitere graue Haare dazu gesellt. Dabei habe ich immer noch nicht das Gefühl, alles richtig gemacht zu haben. Das liegt aber oft auch daran, das jeder eine andere Auffassung des - State of the Art - hat. Liest man in der ct z.B. etwas von einer Router Kaskade, schreien alle gleich - doppeltes NAT und wie scheiße das mit zwei oder mehr Consumer-Routern ist.
Also liest man weiter und kommt zu dem Ergebnis das es ein APU Board mit pfSense werden soll. Stellt man dieses hinter die Fritzbox hat man aber erstmal immer noch das Problem mit doppelten NAT, kennt man nicht die Tricks und Kniffe, die es ermöglichen, dieses zu unterbinden. Aber vor allem... WTF ist doppeltes NAT? Ebenso die Frage ob nur benötigte Ports an die pfSense geleitet werden oder man die pfSense besser als Exposed Host laufen lässt. Mal ehrlich... fragt 10 Leute nach ihrer Meinung und ihr bekommt mindestens 12 Antworten. Der 13’te sagt dann... ist alles Quatsch... die pfSense gehört vor die Fritzbox und vor der pfSense gehört ein einfaches Modem? Wie man dann die pfSense einrichten muss, damit am Ende noch die IP Telefonie an der Fritzbox funktinotiert erspare ich mir jetzt auszuführen.
Gleiches Thema DMZ. DMZ zwischen Fritzbox und pfSense (so wie im Beispiel der ct bei der Router Kaskade favorisiert ist) ist nach Meinung vieler (in anderen Foren) keine richtige DMZ. Diese gehört hinter die pfSense in ein separates Netzsegment... wo wir beim Thema VLAN wären. Alles klar... einen Cisco Switch SG350 geschossen und lustig herumkomfiguriert. Kurze Randbemerkung: Die GUI von Cisco ist ja sowas von grottig... da hat man das Gefühl, die haben Mitte der 90‘er mit HTML 4 aufgehört, das System weiter zu entwickeln. Meine Güte...
Und wenn man noch nie ein VLAN eingerichtet hat und obendrein noch eine ganz andere Vorstellung davon hatte, bis man dann merkt, das das alles totaler Quatsch war, den man mehrere Wochen fabriziert hat, kommt dann irgendwann die Erkenntnis... ist aber immer noch nicht am Ziel. Mittlerweile habe ich die pfSense bestimmt schon 8 mal, den Cisco Switch bestimmt schon 20 mal zurückgesetzt uns so langsam bekomme ich das Gefühl, ein einigermaßen sicheres LAN Konstrukt geschaffen zu haben... aktuell aber immer noch ohne VLAN und einer DMZ zwischen Fritzbox und pfSense. Da ich jetzt aber endlich verstanden habe, was die pfSense und der Switch mir die ganze Zeit zum Thema VLAN sagen wollten, überlege ich, mein Netzwerk abermals umzubauen.
Von daher... ihr tut immer so, als ob das alles ein Klacks wäre und man sowas ja voraussetzen sollte, will man eine DS per Portfreigabe ins Internet stellen... bestenfalls gefangen in einer DMZ und abgesichert durch eine richtige, echte Firewall.
Mal ehrlich. Ich kann auch nicht wirklich kochen, würde aber mal behaupten, das ich trotzdem in der Lage bin zu überleben ( ich würde es nur niemand anderem zumuten wollen, mein gekochtes zu essen) Ich fahre auch Auto, hab aber keine Ahnung von Tuning oder dem ganzen Schnick Schnack drum herum. Ich kann mit der Karre trotzdem mit 200 über die Autobahn blasen, ohne das ich vorher an meinem Fahrwerk rumgeschraubt, Chiptuning betrieben oder einen Überrollbügel eingebaut habe.
Was ich damit sagen will ist... nicht jeder hat das ISO/OSI Schichtenmodell mit der Muttermilch aufgesaugt und Leute wie ich müssen uns das alles hart erarbeiten. Daher könnt ihr nicht voraussetzen, das jeder der seine DS ins Internet stellt im Vorfeld seinen Bachelor in Informatik absolviert haben sollte. Klar macht das alles Sinn, was ihr sagt und mittlerweile bin ich von dem Tal der Ahnungslosen in das Tal der Anwender mit gefährlichen Halbwissen gerutscht. Vielleicht bin ich auch einfach mur zu blöd, das große Ganze zu sehen, aber... das was ihr teilweise für selbstverständlich haltet ist für uns breite Masse erstmal ein Buch mit sieben Siegeln.
Meine Güte, das war jetzt aber mal sowas von OffTopic... und Haue bekomm ich dafür bestimmt auch noch von euch. Aber das sprudelte jetzt so aus mir heraus.
Tommes
Also liest man weiter und kommt zu dem Ergebnis das es ein APU Board mit pfSense werden soll. Stellt man dieses hinter die Fritzbox hat man aber erstmal immer noch das Problem mit doppelten NAT, kennt man nicht die Tricks und Kniffe, die es ermöglichen, dieses zu unterbinden. Aber vor allem... WTF ist doppeltes NAT? Ebenso die Frage ob nur benötigte Ports an die pfSense geleitet werden oder man die pfSense besser als Exposed Host laufen lässt. Mal ehrlich... fragt 10 Leute nach ihrer Meinung und ihr bekommt mindestens 12 Antworten. Der 13’te sagt dann... ist alles Quatsch... die pfSense gehört vor die Fritzbox und vor der pfSense gehört ein einfaches Modem? Wie man dann die pfSense einrichten muss, damit am Ende noch die IP Telefonie an der Fritzbox funktinotiert erspare ich mir jetzt auszuführen.
Gleiches Thema DMZ. DMZ zwischen Fritzbox und pfSense (so wie im Beispiel der ct bei der Router Kaskade favorisiert ist) ist nach Meinung vieler (in anderen Foren) keine richtige DMZ. Diese gehört hinter die pfSense in ein separates Netzsegment... wo wir beim Thema VLAN wären. Alles klar... einen Cisco Switch SG350 geschossen und lustig herumkomfiguriert. Kurze Randbemerkung: Die GUI von Cisco ist ja sowas von grottig... da hat man das Gefühl, die haben Mitte der 90‘er mit HTML 4 aufgehört, das System weiter zu entwickeln. Meine Güte...
Und wenn man noch nie ein VLAN eingerichtet hat und obendrein noch eine ganz andere Vorstellung davon hatte, bis man dann merkt, das das alles totaler Quatsch war, den man mehrere Wochen fabriziert hat, kommt dann irgendwann die Erkenntnis... ist aber immer noch nicht am Ziel. Mittlerweile habe ich die pfSense bestimmt schon 8 mal, den Cisco Switch bestimmt schon 20 mal zurückgesetzt uns so langsam bekomme ich das Gefühl, ein einigermaßen sicheres LAN Konstrukt geschaffen zu haben... aktuell aber immer noch ohne VLAN und einer DMZ zwischen Fritzbox und pfSense. Da ich jetzt aber endlich verstanden habe, was die pfSense und der Switch mir die ganze Zeit zum Thema VLAN sagen wollten, überlege ich, mein Netzwerk abermals umzubauen.
Von daher... ihr tut immer so, als ob das alles ein Klacks wäre und man sowas ja voraussetzen sollte, will man eine DS per Portfreigabe ins Internet stellen... bestenfalls gefangen in einer DMZ und abgesichert durch eine richtige, echte Firewall.
Mal ehrlich. Ich kann auch nicht wirklich kochen, würde aber mal behaupten, das ich trotzdem in der Lage bin zu überleben ( ich würde es nur niemand anderem zumuten wollen, mein gekochtes zu essen) Ich fahre auch Auto, hab aber keine Ahnung von Tuning oder dem ganzen Schnick Schnack drum herum. Ich kann mit der Karre trotzdem mit 200 über die Autobahn blasen, ohne das ich vorher an meinem Fahrwerk rumgeschraubt, Chiptuning betrieben oder einen Überrollbügel eingebaut habe.
Was ich damit sagen will ist... nicht jeder hat das ISO/OSI Schichtenmodell mit der Muttermilch aufgesaugt und Leute wie ich müssen uns das alles hart erarbeiten. Daher könnt ihr nicht voraussetzen, das jeder der seine DS ins Internet stellt im Vorfeld seinen Bachelor in Informatik absolviert haben sollte. Klar macht das alles Sinn, was ihr sagt und mittlerweile bin ich von dem Tal der Ahnungslosen in das Tal der Anwender mit gefährlichen Halbwissen gerutscht. Vielleicht bin ich auch einfach mur zu blöd, das große Ganze zu sehen, aber... das was ihr teilweise für selbstverständlich haltet ist für uns breite Masse erstmal ein Buch mit sieben Siegeln.
Meine Güte, das war jetzt aber mal sowas von OffTopic... und Haue bekomm ich dafür bestimmt auch noch von euch. Aber das sprudelte jetzt so aus mir heraus.
Tommes
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
ja, wir schweifen schon seit mehreren Seiten immer weiter in die Tiefen ab, und du hast Recht @Tommes, dass das in der Tat nicht so mal eben geschraubt ist. Kann ich ja, wie du weißt, aus eigener Erfahrung leidvoll bestätigen. Als Hobbykelleradmin gehst du da anders ran als die Profis hier, die das ggf. beruflich eh betreiben.
Ich finde, dass es schon einen Anfang darstellt, wenn der Thread einige Newbees dazu gebracht hat, zu sehen wie komplex und potentiell gefährlich das alles ist. Und wenn von denen 5 mehr als vorher sich die Frage stellen,ob das NAS wirklich ins wilde weite web muss, dann hat es schon was gebracht.
Und wenn dann nochmal 2 Leute einen Schritt weitergehen wollen und sich mit ihre Netzwerkstruktur speziell und dem Thema allgemein auseinandersetzen beginnen, dann erst recht.
Zumindest bei mir hat das genau so angefangen...
Fritzbox, Clients, hui, neues Nas. Fertig.
Dann nach und nach wegen Fragen in die Materie einsteigen...und schwupps landeste vielleicht irgendwann mal bei VLANs und VPN und Firewall und so weiter.
Vielleicht bleibste auch beim alten, machst aber zumindest mal die PWLs weg, weil du zumindest darüber jetzt ein wenig mehr Bescheid weißt.
Keiner (ahem, also, die allerwenigsten) brauchen DMZ und VLAN und einen fetteren Router für den normalen Alltag, solange etwas rücksichtsvoll mit dem eigenen Netz umgegangen wird. Aber eben da fängt es eben an...
ja, wir schweifen schon seit mehreren Seiten immer weiter in die Tiefen ab, und du hast Recht @Tommes, dass das in der Tat nicht so mal eben geschraubt ist. Kann ich ja, wie du weißt, aus eigener Erfahrung leidvoll bestätigen. Als Hobbykelleradmin gehst du da anders ran als die Profis hier, die das ggf. beruflich eh betreiben.
Ich finde, dass es schon einen Anfang darstellt, wenn der Thread einige Newbees dazu gebracht hat, zu sehen wie komplex und potentiell gefährlich das alles ist. Und wenn von denen 5 mehr als vorher sich die Frage stellen,ob das NAS wirklich ins wilde weite web muss, dann hat es schon was gebracht.
Und wenn dann nochmal 2 Leute einen Schritt weitergehen wollen und sich mit ihre Netzwerkstruktur speziell und dem Thema allgemein auseinandersetzen beginnen, dann erst recht.
Zumindest bei mir hat das genau so angefangen...
Fritzbox, Clients, hui, neues Nas. Fertig.
Dann nach und nach wegen Fragen in die Materie einsteigen...und schwupps landeste vielleicht irgendwann mal bei VLANs und VPN und Firewall und so weiter.
Vielleicht bleibste auch beim alten, machst aber zumindest mal die PWLs weg, weil du zumindest darüber jetzt ein wenig mehr Bescheid weißt.
Keiner (ahem, also, die allerwenigsten) brauchen DMZ und VLAN und einen fetteren Router für den normalen Alltag, solange etwas rücksichtsvoll mit dem eigenen Netz umgegangen wird. Aber eben da fängt es eben an...
Sorry,
a) Wie leitest du die Benachrichtigungen n Telegramm weiter? Ich hab da (bisher) keine passende Einstellung gefunden.
b) Irgendeine Einstellung fehlzt mir wohl auch. Ich habe grad testweise am DSM GUI versucht mit Schrottuser und Schrottpwd einzuloggen. Eine Meldung via Mail oder App hab ich nicht erhalten :-( (Testmail bzw. Testbenachrichtigung kommt aber). Muss ich wo extra einstellen dass ich fehlgeschlagene Logins sehen will? (ggF Wo?)
Mein Fazit:
Zusätzliches Backup, welches in der Regel offline ist und hoffentlich, falls es gebraucht wird, nicht komprimiert ist.
Keine Portfreigaben ins www
SmartHome ist für zuhause, nicht für unterwegs
Schönes Restwochenende
Zusätzliches Backup, welches in der Regel offline ist und hoffentlich, falls es gebraucht wird, nicht komprimiert ist.
Keine Portfreigaben ins www
SmartHome ist für zuhause, nicht für unterwegs
Schönes Restwochenende
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
