Quickconnect ID und DDNS, ich kapiere es einfach nicht...

Status
Für weitere Antworten geschlossen.

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Wie sicher oder unsicher ist das eigentlich, was ich hier veranstalte? Ist das leicht zu hacken bzw. hätte jemand die Chance auf vollen Zugriff auf alle auf dem NAS liegenden Daten? Kann ich evtl. einzelne Ordner von dem Zugriff von außen ausschließen?
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Das hängt im Wesentlichen davon ab, wie sicher dein PW ist.
Und wenn du dann eben NICHT die Standard-Ports nimmst, machst du es "pöhsen Hackern" ein wenig schwieriger. Port 443, welcher ja bei dir zur Photostation führt, ist mit Sicherheit einer der meist-gescannten Ports überhaupt.
Du kannst/solltest noch die automatische Blockierung aktivieren, um sicherer zu sein.
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Wie ändere ich denn den Standard 443 Port? Bei Webdiensten in der DS habe ich gesehen, dass ich weitere Ports hinzufügen kann. Dort eintragen und dann dafür eine Weiterleitung analog wie bisher in der Fritzbox? Und mit dem 443 Port kommt man doch nur auf die Photo Station, oder? Also kein Zugriff auf die DS bzw. anderen Pfade?

PW für Admin meinst Du, das ist schon recht lang und sicher, werde ich aber wohl noch etwas verlängern. Die anderen User dürften ja egal sein?
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Genauso, wie du vorhin Port 443 eingerichtet hast, kannst/solltest du auch einen anderen Port nehmen.
"Nur" Photostation? Naja, wir wissen nicht, was du da für Fotos lagerst und ob es dir egal ist, wenn diese JEDER sehen kann?
Wenn du eine vernünftige Rechteverwaltung aufgesetzt hast, wäre das schon nützlich.
Trotzdem würde ich auch bei den PW der "einfachen" Nutzer einen gewissen Standard setzen! Also "123456" oder "password" würde ich nicht zulassen!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wie ändere ich denn den Standard 443 Port?
Gar nicht - Standardport heißt der ja gerade deshalb, weil überall dieser Port als Standard verwendet wird, den Du nicht explizit angeben musst.
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Er hat den aber auch in der Fotostation eingestellt und das wäre zu ändern!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
In der Photo Station? Der User-Apache läuft per Default verschlüsselt auf 443, da muss man nichts einstellen. Das gilt ansonsten auch für alle Pakete, die über diesen Apache laufen. Man kann dann sicherlich einen weiteren Port definieren - der ist dann aber eben kein Standard und ist bei einem Aufruf immer mitzugeben.
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Bei ihm komme ich per 443 auf die Photostation und der Port wird standardmäßig von allen Hackern dieser Welt gescanned(Stichwort: RPC)! Der Port gehört DICHT gemacht.
Guckst du bei Steve Gibson?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
Bei ihm komme ich per 443 auf die Photostation und der Port wird standardmäßig von allen Hackern dieser Welt gescanned

und?
es werden auch die 443 von Google, Deutsch Bahn, Lufthansa und Chinesiche Botschaft gescannt. Das hat nun mit Sicheitsfragen nicht viel zu tun. Hier läuft ein Server und der bietet eben ein Dienst an damit es öffentlich verwendet werden kann.
Genau so wie Millionen andere Server auf der Welt. Da zu sind ja die Server da.

Das ist nicht das gleiche wie Ports (Programme) die dazu da sind etwas in dem Server drin zu verändern. Also viele Leute stellen gar den 5001 auf einen anderen Port um, da kann man sich streiten, aber für Sicherheitsfreaks kann ich es nachvollziehen.
Sicherlich gehört zum Bsp der Port 22 geschlossen, da kann man direkt in das Innenleben des Servers eintreten.

Aber einen Webservice auf einen anderen Port zu verlegen und es den Besuchern dadurch kompliziert zu machen es anzuwählen halte ich persönlich für kompletten Unfug.


Und vielleicht etwas OT: Beiträge von Frogman kannst du durchaus ernst nehmen, der hat etwas mehr Erfahrung als viel andere
 
Zuletzt bearbeitet:

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Danke für die interessante Diskussion. Ich werde auf jeden Fall das Passwort noch etwas sicherer machen. Die User PW sind auch definitiv kein Standard, das ist klar :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Bei ihm komme ich per 443 auf die Photostation und der Port wird standardmäßig von allen Hackern dieser Welt gescanned(Stichwort: RPC)! Der Port gehört DICHT gemacht.
Guckst du bei Steve Gibson?
Jaja, wenn Mäuse Tango tanzen... :D
Ich hab hier mal Deinen Steve Gibson beim Servertest der SSLLabs durchgejagt... echt lustig. Achso, der läuft übrigens auch auf 443 ;)

Steve.jpg
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Ich weiß gar nicht, was du mit "meinem" Steve Gibson meinst. Ich kenne die Seite schon seit fast 20 Jahren und allein diese langjährige Existenz spricht für sich.

Wenn aber deine SSLLabs so aussagekräftig sind: Klär uns auf! Was bedeutet denn nun die "Tatsache", dass grc.com anfällig für POODLE ist?
Wer oder was ist POODLE? Noch nie gehört; kenne nur Pudel, das sind niedlige Hunde...Tango tanzende Mäuse sind mir eher unbekannt.

es werden auch die 443 von Google, Deutsch Bahn, Lufthansa und Chinesiche Botschaft gescannt. Das hat nun mit Sicheitsfragen nicht viel zu tun....
Aber einen Webservice auf einen anderen Port zu verlegen und es den Besuchern dadurch kompliziert zu machen es anzuwählen halte ich persönlich für kompletten Unfug
Das bleibt komplett dir überlassen. Aber Fakt ist: Warum sollte man einen Standardport nach außen zugänglich machen, wenn es nicht notwendig ist.
Da du den Besuchern sowieso einen Link zukommen lassen musst, ist es nicht wirklich aufwändig, den Link um einen Doppelpunkt + Portnummer zu "verlängern".

Beiträge von Frogman kannst du durchaus ernst nehmen, der hat etwas mehr Erfahrung als viel andere
siehe oben.
Wenn er seine Erfahrung durch mehr als einen "undurchsichtigen" Screenshot zum Ausdruck bringen würde, wäre das eventuell hilfreich. POODLE? Bahnhof?:p
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
Ich weiß gar nicht, was du mit "meinem" Steve Gibson meinst. Ich kenne die Seite schon seit fast 20 Jahren und allein diese langjährige Existenz spricht für sich.

Wenn aber deine SSLLabs so aussagekräftig sind: Klär uns auf! Was bedeutet denn nun die "Tatsache", dass grc.com anfällig für POODLE ist?
Wer oder was ist POODLE? Noch nie gehört;

da mittlerweile jeder, der auch nur im Ansatz etwas mit Sicherheit im Netz zu tun hat, weiss was mit POODLE gemeint ist, können wir dich halt nur auf Tante Google verweisen. Vielleicht nicht direkt bei Steve Gibson anfangen, sondern etwas mehr seriöses in dieser Richtung.



Das bleibt komplett dir überlassen. Aber Fakt ist: Warum sollte man einen Standardport nach außen zugänglich machen, wenn es nicht notwendig ist.
Da du den Besuchern sowieso einen Link zukommen lassen musst, ist es nicht wirklich aufwändig, den Link um einen Doppelpunkt + Portnummer zu "verlängern".

Webseiten sind ja dazu da gemacht um öffentlich zu sein und einfach zugänglich. Photostation ist dazu da um es den Anwendern auf möglichst einfache Art ermöglichen Bilder ins Internet zu stellen. Das Ziel und Zweck ist also die Zugänglichkeit von aussen. Somit ist es das Ziel diesen Service möglichst auf Standard zu setzen und somit einfach erreichbar zu machen. Das ist ein Service nach aussen und wenn es jemand verstecken will dann braucht er gar keine Webseite anzubieten. Öffentliche Webserver werden nun mal auf eine etablierte Art aufgerufen und die ganze Welt ist damit bis jetzt zufrieden.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich weiß gar nicht, was du mit "meinem" Steve Gibson meinst. Ich kenne die Seite schon seit fast 20 Jahren und allein diese langjährige Existenz spricht für sich.
Du hast ihn zitiert... wenn auch nur die Einstiegsseite und keineswegs einen direkten Link, der Deine Andeutung belegt, der gute Mann würde dazu plädieren, Port 443 "DICHT zu machen", wie Du es so reißerisch in die Welt rufst.

Wenn aber deine SSLLabs so aussagekräftig sind: Klär uns auf! Was bedeutet denn nun die "Tatsache", dass grc.com anfällig für POODLE ist?
Wer oder was ist POODLE? Noch nie gehört; kenne nur Pudel, das sind niedlige Hunde...
Tja, Otto hat's schon treffend beschrieben. Ja - und Suchmaschinen haben in unserer Zeit auch schon den Horizont von Erstklässlern erreicht. Aber da Steve mit seiner Webseite rund um Security Geld verdient und man dort sogar in seinem Onlineshop seine Kreditkartendaten eingeben kann, sollte man meinen, er wäre auf der Höhe der Zeit... Aber gut, ich will da nix kaufen :D

Das bleibt komplett dir überlassen. Aber Fakt ist: Warum sollte man einen Standardport nach außen zugänglich machen, wenn es nicht notwendig ist.
Da du den Besuchern sowieso einen Link zukommen lassen musst, ist es nicht wirklich aufwändig, den Link um einen Doppelpunkt + Portnummer zu "verlängern".
Wenn es Dich denn tatsächlich ruhiger schlafen lässt, wenn Du und Deine 9 Menschen, denen Du den Zugriff auf "Deinen Webservice" geben magst, einen exotischen Port für den https-Zugriff auf die Photo Station nutzt - dann bleibt das auch Dir überlassen. Doch Du solltest nicht andere User hier mit derartigen Schauergeschichten in die Irre führen! Auch hier kann ich mich den treffenden Ausführungen meines Vorschreibers anschließen - und ergänzen, dass Du Dich einfach mal auf einschlägigen Seiten (ach, und selbst dazu schreibt Steve etwas...) über die Absicherung eines Webservers informierst. Dass es tatsächlich Leute gibt, die ihren Webservice auch für Leute anbieten, die sie vorher noch gar nicht kennen und denen sie folglich auch keine Links schicken, sollte dabei auch Dir einleuchten.
Und um Dir jetzt noch etwas zum Grübeln mitzugeben: Glaubst Du ernsthaft, dass Dein Server mit exotischem Port sicherer ist, wenn Du Deine Links in die Welt verschickst? Jeder 0815-Robot scannt Deine Mails auf solche Adressen. Und jeder, der Deine Seite besucht, hinterläßt diese Adresse auch bei seinem Provider, die sich als Spur durchs Netz zieht...

***EDIT***
Ach so, wer mal einen tieferen Blick auf Steves Seite wirft... ok, mal abgesehen davon, dass er an jeder Ecke seine SpinRite-Software verkaufen will, ist man schon verwundert ob der Details. Bzgl. RC4 bspw. ist er kritisch eingestellt - wie auch sonst jeder - doch bietet sein Server gar noch RSA_WITH_RC4_128_MD5 an. Respekt, damit dürfte er einer der letzten sein...
 
Zuletzt bearbeitet:

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Mal für den Laien, ein langes, Zeichen durchmischtes Passwort schützt doch sowieso ziemlich sicher, oder? Da ist doch jede andere Diskussion recht irrelevant, oder mache ich es mir da zu einfach?

BTW: Ich plädiere auch für die einfache Variante, also einfach für den Anwender, dem ich meine Fotos/ Dateien zur Verfügung stellen möchte. Und wirklich wichtige wie auch immer kritische Fotos liegen dort sowieso nicht und meine privaten Dateien auf einem anderen Laufwerk der DS, das sollte doch gegen alle Bot Standard Angriffsversuche ausreichen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Mal für den Laien, ein langes, Zeichen durchmischtes Passwort schützt doch sowieso ziemlich sicher, oder? Da ist doch jede andere Diskussion recht irrelevant, oder mache ich es mir da zu einfach?
Nein, damit machst Du es Dir grundsätzlich nicht zu einfach, das ist eine der grundlegenden Maßnahmen. Ein sicheres Passwort ist ausreichend lang (mindestens 8 Zeichen), enthält neben Klein- und Großbuchstaben auch Zahlen und durchaus auch mal Sonderzeichen wie -,._
Entweder man verwendet Tools wie Master Passwort, die aus einem leicht zu merkenden Haupt-Passwort entsprechende Passwörter ableiten, oder man behilft sich mit Merksätzen.

Daneben gilt es aber auch, vorhandene Sicherheitspatche einzuspielen, um mögliche Lücken für einen Angriff zu schließen. Das geschieht auf der DS meist mit den "kleinen" Updates.
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Ok, danke Dir, da bin ich dann ganz gut unterwegs und kann beruhigt schlafen :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Soweit kannst Du ruhig schlafen, ja.
Eine Anmerkung noch zu diesem Teil:
...Und wirklich wichtige wie auch immer kritische Fotos liegen dort sowieso nicht und meine privaten Dateien auf einem anderen Laufwerk der DS, das sollte doch gegen alle Bot Standard Angriffsversuche ausreichen?
Wirklich sehr sensitive Daten solltest Du nach Möglichkeit auf keinem Laufwerk lagern, was in einem Gerät läuft, welches von außen zugänglich ist. Es gibt eben auch immer Lücken, die noch nicht allgemein bekannt sind - was aber dennoch nicht bedeutet, dass sie nicht ausgenutzt werden.
Ein anderes Volume der DS hilft Dir nicht, wenn jemand weitreichenden Zugriff auf Deine DS bekommt. Im Extremfall bekommt er auf diese Weise sogar Zugriff auf andere Rechner in Deinem LAN. Das beste Mittel ist daher, solche Daten nur auf externen Platten zu sichern (da man sie auch nicht in allen Fällen ständig im Zugriff haben muss) und nur dann anschließt, wenn man sie benötigt.
 

RudiWiesmayr

Benutzer
Mitglied seit
19. Mai 2012
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Habs jetzt grade probiert. Die neueren Links funktionieren. (Hab zuerst übersehen, dass der Thread sooo lang ist.)
lG Rudi
 
Zuletzt bearbeitet:

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Danke. Mit dem Thema Sicherheitswarnung/ Zertifikat muss ich mich auch noch beschäftigen, aber dafür müsste ich glaube ich von Domain auf Subdomain umstellen und und und, irgendwann :) Bis dahin gebe ich jeweils immer die Info mit, dass die Warnung nur gefährlich ausschaut, es aber nicht ist :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat