Fritz Box 7590 Port nach außen ändern

[Benares]

@MarSche
Warst du nicht schon beim Thema VPN und hast die Lösung für gut befunden?
Warum eierst du jetzt wieder weiter auf diesen unsäglichen Portweiterleitungen rum?

 

[MarSche]

So, danke für Eure Hilfe und Tipps.

Nun ist keine Protfreigabe mehr in der Fritz.
Die NAS hängt ja eh hinter der Fritz und ist somit nicht ungeschützt im Netz.
Laut FritzBox sind nur FritzBox nötige Port geöffnet sonst alles zu. Ein externer Scan ergab alle Ports zu.

Das schöne ist nun sogar, dass ich bei aktiver VPN auch Festnetzanrufe auf mein Smartphone erhalte (Fritz!FonApp).
MyFritz habe ich auch gerade bei AVM regestriert, somit habe ich jetzt eine feste Adresse nach Hause für VPN.

Das hat echt cool geklappt. Merci an Alle

 

[MarSche]

@MarSche
Warst du nicht schon beim Thema VPN und hast die Lösung für gut befunden?
Warum eierst du jetzt wider weiter auf diesen unsäglichen Portweiterleitungen rum?

Nene, ich wollte VPN erst testen, was ich heute gemacht habe. Mache alles zum ersten mal und diese Tipps bzgl. Port unmaskieren der NAS usw. hatte ich alle aus dem Internet. Auch Geoblock ect.
Das habe ich nun alles nach den Tipps hier verworfen und VPN gewählt.

 

[the other]

Moinsen,
denke aber ruhig trotzdem dran, dich mal (in Ruhe) mit der NAS Firewall auseinander zu setzen...heute erfolgen viele Angriffe von innerhalb des eigenen Netzes (kompromittierter Client). Also mal ruhig einlesen und dann für das LAN Interface überlegen, welche Dienste nötig/gewünscht sind und da dann Regeln erstellen.

 

[dtv1899]

Jetzt aber mal realistisch gesehen:

Ich habe mein DSM und meinen Bitwarden Safe (im Docker) offen im Internet, ansteuerbar direkt über den https Port jeweils mit eigener Subdomain (Reverse Proxy in der DS), d.h. wenn man die Subdomains kennt, landet man auf den entsprechenden Anmeldeseiten.

Sowohl DSM als auch Bitwarden sind mit 20-stelligen Passwörtern und 2FA abgesichert. Außerdem informiere ich mich täglich über Sicherheitslücken und halte meine Systeme aktuell. Die DS wird täglich nach extern gesichert.

Was könnte ein Angreifer denn damit überhaupt noch anfangen, außer meine DS zu DDoSen?

 

[blurrrr]

Jetzt aber mal realistisch gesehen:

Ich habe mein DSM und meinen Bitwarden Safe (im Docker) offen im Internet, ansteuerbar direkt über den https Port jeweils mit eigener Subdomain (Reverse Proxy in der DS), d.h. wenn man die Subdomains kennt, landet man auf den entsprechenden Anmeldeseiten.

MÖÖÖÖÖÖÖÖÖÖÖÖÖÖÖP ?????.....

Sowas stellt man einfach nicht öffentlich ins Internet - schon mal an Software-Fehler gedacht?? Und mal davon ab, Du erzählst hier einen davon, dass Du Dich "informierst"? Das ich nicht lache... demnach wäre Dir nämlich auch nicht entgegangen, dass immer wieder extrem kritische Lücken auftauchen, welche seit JAHREN bzw. JAHRZEHNTEN existieren. Wenn man sowas "weiss" (gelesen+verstanden hat), dann setzt man sicherlich keine Software ins "Internet", wo sämtliche eigene (ggf. sogar fremde) Zugangsdaten drauf sind, sondern fängt vermutlich eher wieder an, nach Papier und Stift zu kramen ?

Sowohl DSM als auch Bitwarden sind mit 20-stelligen Passwörtern und 2FA abgesichert. Außerdem informiere ich mich täglich über Sicherheitslücken und halte meine Systeme aktuell. Die DS wird täglich nach extern gesichert.

Was könnte ein Angreifer denn damit überhaupt noch anfangen, außer meine DS zu DDoSen?

"damit"? Was ist ein "damit"? Und.. nicht falsch verstehen, aber das mit den Updates und so, bringt auch nur was, wenn sie "frühzeitig" kommen und installiert werden (und immer früh installieren ist auch nicht die Königslösung, wenn danach "nix" mehr geht). Auch ich hab mir schon was eingefangen (damals ne Lücke im Firefox, wurd ein paar Tage später gefixt).

Wer braucht ein DSM, wenn man es doch schön bequem über die Shell zugreifen kann? Was nutzt der ganze Mist von wegen 20-stellige-Passwörter und 2FA (was übrigens "nur" gegen Bruteforce hilft, das nur mal so am Rande - diesbezüglich gibt es auch noch fail2ban bzw. die automatische Blockierung), wenn der "Schädling" einfach auf dem Client sitzt und - im einfachsten Fall - und sich einfach nur die Inhalte der Zwischenablage alle 5 Sekunden irgendwo speichert? Das ist ja auch irgend ein Umstand, den einfach "niemand" so richtig kapieren will (ist wie mit dieser ganzen bescheuerten Raubkopierschutz-Industrie - da werden Milliarden für den Schutz ausgegeben, wo das Signal trotzdem irgendwann irgendwo wieder rauskommen muss und zwar "ohne alles" (z.B. ein Lautsprecher) - wenn da jetzt wieder ein Aufnahmegerät dran hängt, ist der Kopierschutz halt schon wieder total für die Katz gewesen). Ähnliches gilt in Deinem Konstrukt auch... kannst ja noch einen Panzer für die NAS-Tür setzen und die Selbstschussanlage nicht vergessen! Hilft aber alles nichts, wenn "Du" der Aggressor bist (unwissenderweise) und dann auch noch bereitwillig Haus und Hof von Deinem Client öffnest. Weisst doch... jede Kette ist immer nur so stark... ??

Deine DS kann man auch ganz locker so wegballern, dafür braucht es nichtmals ein DDOS, sondern einfach nur eine Hand voll Besucher ?

 

[dtv1899]

Ich verstehe deine Punkte, aber kann die Bedenken irgendwie nicht ganz teilen.

Wenn in meinem Netzwerk ein kompromittierter Client mit Kontakt ins Internet sitzt, habe ich vermutlich größere Probleme, als einen öffentlich zugänglichen Bitwarden-Safe, auf dem man bestenfalls nur AES-verschlüsselten Datenmüll findet. Klar, nach außen offene Anwendungen können ein Einfallstor für eben jene Schadsoftware sein, aber dahingehend muss man dem Hersteller bzw. der mitarbeitenden Community, den Security-Firmen, die schon Audits durchgeführt haben im Fall Bitwarden einfach trauen.

Ein Passwordmanager, den ich nicht von jedem beliebigen Client ohne VPN Tunnel erreichen kann, ist für mich einfach unpraktikabel. Klar könnte man unterwegs den iOS-Client nutzen, aber teilweise 30-40 stellige kryptische Passwörter in einen anderen Client abzutippen, macht keinen Spaß.

Ob man unbedingt die DS online stellen muss, darüber kann man wirklich streiten, aber wenn man Bekannten und Familie oft Dateien zur Verfügung stellen will, ist das einfach der beste Weg, wenn man den Krempel nicht wieder extra bei einem der gängigen Cloudanbieter zwischenspeichern will.

 

[blurrrr]

Ich sag mal https://www.heise.de/news/Passwordstate-Passwort-Manager-von-Click-Studios-gehackt-6027188.html und so und die haben sich sicherlich (hoffe ich doch mal ? ) mehr um das Thema Sicherheit gekümmert, als Du bei Deiner Syno. Was ich damit meine ist einfach, dass Du selbst ja noch so bemüht sein kannst, nutzt aber alles nichts, wenn die Programmierer es verhauen. Das sowas die "Regel" (und nicht die Ausnahme) ist, wird durch die täglichen Meldungen bestätigt (die Du ja wohl auch mitbekommst). Ich mein, es flattern ja mehr oder minder täglich so Nachrichten wie diese hier https://www.heise.de/news/Kritische-0-Day-Luecke-in-Pulse-Secure-VPN-aktiv-ausgenutzt-6022159.html rein, so dass man schon gar keine Lust mehr hat, überhaupt irgendwas ins Netz zu stellen, was nicht zwingend im Netz sein "muss". Im Falle einer Passwortverwaltung sollte sich die Frage nach dem "öffentlich ins Netz stellen" erst garnicht stellen.

Blogs, etc. - klar - anders wäre ja auch doof. Wäre aber vielleicht besser, wenn man ggf. noch etwas davor packt. Glaube @Ulfhednir hatte da mal SWAG oder so erwähnt - wenn ich mich nicht ganz täusche - ein Reverse-Proxy mit vorgeschalteter Authentifizierung, so dass auch nicht direkt jeder an dahinterliegende Website kann. Sowas wäre z.B. schon eine Möglichkeit, um auch div. Bugs aus dem Wege zu gehen, welche ansonsten ggf. gänzlichst ohne Authentifizierung ausnutzbar wären. Alternativ ein webbased VPN, oder eben - für Freunde und Bekannte und deren "DSL-Anschlüsse" die Zugriffe eben auf die DynDNS-Adressen einschränken o.ä. Das ganze Geraffel mit den Passwörtern nutzt halt nix, wenn es einfach ein Fehler in der Programmierung gibt und dann ist halt... "schade" ?

Ein Passwordmanager, den ich nicht von jedem beliebigen Client ohne VPN Tunnel erreichen kann, ist für mich einfach unpraktikabel. Klar könnte man unterwegs den iOS-Client nutzen...

VPN-on-Demand? Natürlich nur mit Zugriff auf die bestimmten Ressourcen (VPN -> https -> Passwortmanager), weil auch sowas kann natürlich ins Auge gehen. Somit müsstest Du Dich nicht mehr um die VPN-Einwahl kümmern, da sowas dann automatisch passiert (unter iOS brauchste dafür auch nur eine entsprechende Config einspielen).