Sicherheit im Netzwerk - Routerkonfiguration

Status
Für weitere Antworten geschlossen.

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
also ich verbinde mich meinem Handy mittels VPN allerdings zu meinem Router, AUf der DS habe ich nur die allernötigsten Anwendungen von aussen offen, der rest - auch nur das benötigte nur von den lokalen adressen. Den via VPN verbundenen Handys werden vom Router wieder spezielle Ip s zugewiesen, denen ich dann in der Firewall wieder noch weniger Rechte, nämlich genau nur das was ich vom Handy aus brauche zugeteilt sind. Für Zugriff von anderen PCs habe ich open VPN auf der DS.
Bisher bin ich so ganz gut gefahren und hoffe das auch weiterhin weder CIA noch Mossad oder sont wer versuchen, in dieses bestimmt nicht perfekte gefüge einzubrechen.
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Hoffe ich bin hier mit meiner Frage richtig?!

Bislang is Dyndns direkt an der DS eingestellt.
Hab mir überlegt das an den Router zu verlegen.
Schafft das nicht ein riesiges Einfallstor für alle Fremdzugriffe?
Und erreich ich die DS dann genau wie vorher, einfach per meinname.dyndns.org über die mobilen apps?
 

Ap0phis

Benutzer
Mitglied seit
16. Dez 2010
Beiträge
6.731
Punkte für Reaktionen
3
Punkte
158
Da gibt es absolut keinen funktionellen Unterschied!
Man kann die DDNS auch in einem PC installieren. Völlig egal!
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Auch Sicherheitsproblem siehst du keins, auch für die andren netzwerkmitglieder?
 

Ap0phis

Benutzer
Mitglied seit
16. Dez 2010
Beiträge
6.731
Punkte für Reaktionen
3
Punkte
158
Nur soweit, wie du Ports im Router weiterleitest. Sonst absolut nicht.
Aber auch da liegt kein funktioneller Unterschied zum Registrieren in der DS vor!

Was macht den DDNS?
Sie macht deine dynamische externe IP über eine feste Web-URL erreichbar. Mehr nicht!
Das macht DDNS in deinem Router, deiner DS oder auf dem PC. Es gibt absolut keinen Unterschied!
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Super, vielen Dank für die Hilfe!
 

manuu

Benutzer
Mitglied seit
06. Jan 2013
Beiträge
83
Punkte für Reaktionen
4
Punkte
14
Ich hätte mal eine Frage zur Sicherheit.

Wenn ich nur die Ports für die File Station öffne am Router.
Wie "sicher" sind meine Files auf der DS?
Gibt es eine möglichkeit dass die DS IP-Adresse sperrt die z.B. 3x einen fehl-login gestartet haben?
Ich gehe gerade Möglichkeiten durch, wie die DS gehackt werden kann...eigentlich ja nur durch eine Bruteforceattacke...d.h. wahllos Logindaten ausprobieren....

Inwieweit kann jemand der nur einen Account hat, der nur Leserechte auf einen speziellen Ordner hat, auf andere Daten der Festplatte zugreifen??

gruß Manu.
 

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
ja die möglichkeit gibt es, wenn du in deinem DSM unter Systemsteuerung - automatische Blockierung schaust wirst du fündig werden.

zu punkt 2 würde ich sagen, bin aber kein experte - gar nicht sonst könnte man dies bei jedem anderen Linux ja auch.
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Moin zusammen,

habe auch mal eine Frage:
ich kann auf der DS unter "Firewall und QoS" - "Sicherheit" den DoS-Schutz aktivieren. Ist dies ratsam?

und noch eine Frage:
wie habt Ihr die interne Firewall eingestellt?

Gruß und Danke
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Firewall an (weil sonst Fail2Ban nicht funktioniert) aber alles zulassen.

h1
also du hast bei "Firewall-Regel erstellen" bei "Ports" und "Quell-IP" "alle" und bei "Aktion" "Zulassen"? Und dadurch wird auch nichts gesperrt?
 

h1bast

Gesperrt
Mitglied seit
10. Jan 2011
Beiträge
279
Punkte für Reaktionen
1
Punkte
0
also du hast bei "Firewall-Regel erstellen" bei "Ports" und "Quell-IP" "alle" und bei "Aktion" "Zulassen"? Und dadurch wird auch nichts gesperrt?

Ja, das ist wie gesagt nur dafür da, damit die Firewall überhaupt läuft und Fail2Ban IP-Adressen (die meinen sie müssten sich an meinem MailServer anmelden) sperren kann. Sonst würde ich keine Firewall einschalten, wozu auch? Ich vertraue den Clients in meinem Netz ja :).

h1
 

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
also ich hab die firewall so eingestellt, dass für quelladressen in meinem Internen Netz das meiste erlaubt ist, kann man ja einfach mit IP Adressbereichen machen. ein paar ganz sensible sachen hab ich auf eine IP beschränkt, den PC von dem ich die DS verwalte, alle anderen geschichten die theoretisch von außen kommen könnten habe ich nur das auf was ich auch wirklich brauche. Klar der Router ist auch noch dazwischen aber z.B. hab ich auch VPN clients die dann wieder in nem anderen Bereich sind und dann auhc nicht gleich automatisch alles dürfen, was ich auch gut finde.
Ist zwar etwas doppelt gemoppelt, funktioniert aber bisher ganz gut.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.544
Punkte für Reaktionen
1.375
Punkte
234
Ich hätte da mal noch eine Verständnisfrage bzgl. Adminkennwort im Router:
Alle raten immer dazu das Kennwort für den Router zu ändern, bwz. überhaupt ein PW zu setzen, aber wo liegt die Gefahr?

Bei einer FritzBox z.B. kann niemand von außen auf die Konfiguration zugreifen, es sei denn, man hat die Fernwartung aktiviert (und hier natürlich mit sicherem PW! - keine Frage). Aber innerhalb des Netzwerks im 'normalen' Haushalt - muss ich auch hier auf ein Kennwort für die Adminoberfläche des Routers achten? Gibt es dadurch eine Schwachstelle, die sich mir nicht erschließt? Für Gäste gibt es einen WLAN-Gastaccount, der eh nicht auf die Konfigurationsseite kommt …
 

Ha34Meiner

Benutzer
Mitglied seit
28. Dez 2012
Beiträge
573
Punkte für Reaktionen
12
Punkte
44
Blasphemie :D Wie kannst Du nur solch eine Frage stellen. Es ist immer wichtig Passwörter zu setzen. Egal wofür :cool:
Nein, im ernst, dies würde uns auch interessieren.
 

Wessix

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
328
Punkte für Reaktionen
0
Punkte
22
Ich würde immer ein passwort setzen, falls auf welchem wege auch immer jemand in dein LAN kommt oder Zugriff auf eines der Geräte in deine Lan bekommt kann er munter an deinem Router rumbasteln.
 

coookie24

Benutzer
Mitglied seit
15. Aug 2013
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Sehe ich dass richtig, dass die NAS halbwegs sicher ist, solange alle ungenutzten Ports gesperrt sind? Macht es daher Sinn ...

... sämtliche nicht benötigten Ports in der Firewall zu sperren?
... Ports die nur zur Konfiguration benötigt werden auch nur vom "Konfigurations-Rechner aus zuzulassen? Bzw. nur dann wieder freizuschalten, wenn sie wieder benötigt werden?

Brauche ich fail2ban wirklich? Eigentlich sollte doch der bei der NAS integrierte Dienst "automatische Blockierung" genau das mache, oder?

Edit: Macht es eigentlich nicht auch Sinn nur temporär benötigte Dienste wie z.B. phpmyadmin auch nur temporär am Laufen zu haben? Somit würde ich doch verhindern, dass mögliche Sicherheitslücken in den Diensten ausgenutzt werden, oder?
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat