neue NAS - Zugriffsmöglichkeiten von aussen

Es gibt 40 Antworten in diesem Thema, welches 5.069 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronny1978.

  • Gibt von Cloudflare auch eine Tunnel Lösung als Alternative zu DDNS und Portfreigabe.

    Cloudflare Tunnel · Cloudflare Zero Trust docs
    Cloudflare Tunnel provides you with a secure way to connect your resources to Cloudflare without a publicly routable IP address. With Tunnel, you do …
    developers.cloudflare.com

    GitHub - cloudflare/cloudflared: Cloudflare Tunnel client (formerly Argo Tunnel)
    Cloudflare Tunnel client (formerly Argo Tunnel). Contribute to cloudflare/cloudflared development by creating an account on GitHub.
    github.com

  • franzbertbua: Hab das nun genauso gemacht :smiling_face:


    Allerdings ist mir aufgefallen das ich bei Zugriff von extern auf meine Synology DDNS (xxxxxx.i234.me, ohne Portangabe) direkt auf die Unifi Oberfläche komme 🤔


    Ich kann mir das nicht so recht erklären, hab ausschliesslich den Port xxxxx geöffnet in der UDM.

    Du musst ja bei der Portfreigabe sagen z.b. wenn eine anfrage "LAN IN" auf Port 1000 kommt dann bitte weiterleiten auf 192.168.1.5:1000
    wenn du dann von extern zugreifen willst, benötigst du auch wieder den port in der angabe. Sprich https://xxxxxx.i234.me:1000

    Wenn das so nicht läuft, hat es was mit deiner Portfreigabe.

  • Kannst du uns denn noch sachdienliche Hinweise geben, die den Spagat zwischen Security und Usability schaffen und dem TE helfen?

    Ich verstehe diesen Satz und den Rest Deines Beitrags ehrlich gesagt nicht so wirklich.

    Bereits in Beitrag 2 in diesem Thread (den Du dann ja aufgegriffen und zitiert hast) habe ich doch den "sachdienlichen Hinweis" gegeben, den externen Zugriff auf ein NAS bitte grundsätzlich nur über ein VPN zu ermöglichen. Damit ist aus meiner Sicht inhaltlich quasi alles gesagt, denn wenn man dies beherzigt, braucht man keinen einzigen Gedanken mehr daran verschwenden, wie man sein NAS gegen Angriffe von außen härtet.


    Vielleicht kannst du ja noch einmal aus fachlicher Sicht erklären, warum das so gemacht werden sollte.

    Das steht doch ebenso in meinem ersten Beitrag: Synology hat Sicherheitsprobleme, daher bitte nicht direkt ans Internet hängen. Ich bin sicherlich kein Literat, aber allzu unverständlich können die paar Zeilen meines ersten Beitrags doch nicht gewesen sein?

    Ich bin übrigens schon der Auffassung, dass die Ansicht "NAS-Systeme & IOT-Geräte bitte niemals direkt erreichbar machen" breiter Konsenz bei Systemadministratoren ist. Hier mag ich mich aber täuschen.


    Und wie gesagt: Auch mal Lösungen aufzeigen, wie es ohne VPN auch sicher geht. Nicht immer ist VPN möglich bzw. nicht immer ist die Usability bei den Nutzern auch gegeben.

    Aus meiner Sicht geht es ohne VPN nicht sicher, daher tätige ich hier so klare und "kompromisslose" Aussagen. Anderer Betrachtungswinkel: Das Aufsetzen eines VPNs, sei es mit Fritzbox, Unifi oder anderem Gerät, ist heutzutage so einfach und so gut über Anleitungen nachzubauen, dass es in jedem Fall leichter und weniger Arbeit ist, als ein NAS zu härten. Gleichzeitig gewinnt man dadurch die Einrichtung eines VPNs ins Heimnetz auch noch Zugriffsmöglichkeiten auf alle anderen Geräte, die ebenso nicht direkt ans Internet gehören.


    Und wenn VPN angeblich nicht möglich ist, ist meine genau so klare Empfehlung: Dann gibt es eben keinen Zugriff von außerhalb.

    Grundsätzlich ist VPN nämlich immer möglich, man muss natürlich bereit sein, u.U. Eqipment und/oder Provider zu wechseln.

  • Nach den ganzen Tipps von euch wäre das nun mein Plan:

    • die beiden Ports für die DSM (5000, 5001) ändern auf einen beliebigen 5stelligen Port
    • die beiden Ports für die DS File (7000, 7001) ändern auf einen beliebigen 5stelligen Port

    Meiner Meinung nach kannste Dir das sparen, wenn Du via Port-Forwarding von außen auf das NAS zugreifen willst / splltest. Forwarding heißt ja weiterleiten: Du kannst also von außen auf z.B. Port 35876 auf das DSM zugreifen, wirst dann aber auf Port 5001 aufs NAS umgeleitet. Die Port-Änderungen betreffen ja den Service im LAN (VPN), aber nicht von außen. Und falls es jemand ins LAN geschafft haben sollte, dann hindert diese Person / diesen Bot auch keine Port-Änderung das Zielsystem zu finden. Leider... :frowning_face:


    Ich empfehle auch das NAS auf keinen Fall via exposted Host oder ähnlichem direkt aus dem Internet erreichbar zu machen, maximal via Port-Forwarding.


    Ich selbst benutze ausschließlich einen WireGuard-Tunnel, um auf meine Heimnetz-Resourcen zuzugreifen, gern auch via S2S, wenn ich der Gegenseite traue. :winking_face:

  • Bitte auch immer bedenken: Ports zu ändern schadet nicht, ist aber auch nicht viel mehr als "security by obscurity".

    Es gibt bei TCP/IP ja "nur" 65535 Ports und diese lassen sich (auf einer einzigen Adresse) in wirklich kurzer Zeit scannen.


    Beudetet konkret: Rein automatisierte, sehr oberflächliche Angriffe kann ich vielleicht damit verhindern. Sobald jemand aber einen freigegebenen Dienst auf meinem Host finden will, wird ihn eine Portänderung auf keinen Fall daran hindern.

  • Für Synology gibt es 29 CVE-Einträge alleine seit 2023. Die allermeisten davon mit hohem oder sogar kritischem Risiko.

    Das musst du aber differenzierter sehen. AFAIR handelte es sich bei den meisten um privilege ecalation. Wenn du dich erfolgreich auf der Kiste angemeldet hast, konntest du Admin werden. Wenn du aber nur vertrauenswürdigen Personen einen Account gegeben hast: wo ist das Problem?


    Darüber hinaus: die meisten deiner 29 Einträge beziehen sich auf ganz andere Geräte: die Survailiance Station hat 2024 bspw. große Probleme (15 der 29 Einträge), der Router Manager hatte 2023 kein gutes Jahr (7 Einträge). Übrig bleiben nichtmal eine Handvoll minderschwere Vorfälle, die eventuell, wie oben geschrieben, im Betrieb gar keine Auswirkung haben.

  • Das musst du aber differenzierter sehen.

    Finde ich nicht, dass ich das muss. Natürlich kann man ein direkt aus dem Internet erreichbares NAS v.a. über Zugriffs-Regeln in Firewalls weiter absichern. Der große Teil der hier Lesenden und Schreibenden kann das aber nicht, da dies entsprechendes Wissen und am besten auch Erfahrung voraussetzt. Netzwerk-Enthusiast mit Unifi zu Hause zu sein ist eine prima Grundlage, in aller Regel überblicken Leute, die nicht vom Fach sind, trotzdem kaum die Gefahrenlandschaft.


    Ich kann auch tatsächlich nicht verstehen, was an der generellen Empfehlung "pack es hinter ein VPN" falsch sein soll - das ist geringer Aufwand bei riesigem Sicherheitsgewinn und sollte für 99% der Anwender ohne viel Erfahrung der Weg zum Ziel sein.

    Sicherheit ist immer der Feind von Bequemlichkeit, das liegt in der Natur der Sache. Wenn ich mir doch aber wie hier mit minimalem Bequemlichkeitsverlust so viel mehr Sicherheit kaufen kann, sollte der Fall eigentlich klar sein.


    Zu den CVEs: Es ist richtig, dass nicht alle Einträge sich auf die NAS-Geräte beziehen. Aber zum einen macht es einen Hersteller nicht vertrauenswürdiger, wenn in einem Jahr vorwiegend seine Geräte aus anderen Produktbereichen negativ auffallen. Zum anderen wollte ich das an dieser Stelle auch eigentlich nicht im Detail diskutieren, nur den Beitrag von Ronny1978 aus meiner Sicht etwas zurecht rücken.

    Wenn es um "exaktere Quellen" geht, hier wären weitere:


    - Synology 1

    - Synology 2

    - Synology 3

    - Synology 4

    - QNAP 1

    - QNAP 2

    - QNAP 3

    - D-Link


    Das sind jetzt lediglich Ergebnisse aus einer kurzen Google-Suche, ich lege für solche Meldungen keine Lesezeichen an.

    Ja, nicht jede Lücke betrifft jedes Gerät, jede Konfiguration. Ja, manche Lücken stellen sich schnell als rein theoretisches Angriffs-Szenario heraus. Allerdings tun sich oft genug auch die Fachpresse sowie zuständige Behörden (BSI) schwer, eine Risikobewertung abzugeben. Dazu kommt noch, dass wir ja immer nur über Lücken sprechen, die jemand gefunden und veröffentlicht hat.

    Zu glauben, man ist (dauerhaft) schlauer als die bösen Buben da draußen, ist in meinen Augen kein Konzept.


    Sorry für die WoT und dafür, dass ich in dieser Sache nicht wirklich kompromissbereit bin. Für mich bleibt es aber dabei: NAS-Geräte direkt am Internet sind ein unnötiges, weil vermeidbares Sicherheitsrisiko.

  • Für mich bleibt es aber dabei: NAS-Geräte direkt am Internet sind ein unnötiges, weil vermeidbares Sicherheitsrisiko.

    Unterstütze ich zu :hundred_points: %.

  • Wir reden offensichtlich etwas aneinander vorbei.

    Ich kann auch tatsächlich nicht verstehen, was an der generellen Empfehlung "pack es hinter ein VPN" falsch sein soll - das ist geringer Aufwand bei riesigem Sicherheitsgewinn und sollte für 99% der Anwender ohne viel Erfahrung der Weg zum Ziel sein.

    Sicherheit ist immer der Feind von Bequemlichkeit, das liegt in der Natur der Sache. Wenn ich mir doch aber wie hier mit minimalem Bequemlichkeitsverlust so viel mehr Sicherheit kaufen kann, sollte der Fall eigentlich klar sein.

    Das habe ich doch auch gar nicht bestritten?!


    In diesem Thread geht es um NAS. Daher habe ich deine Aussage der "wirklich massiv vielen Sicherheitsprobleme von Synology", die du dann auf Nachfrage mit der Zahl "29" untermauerst, in erster Linie auf deren NAS-Geräte bezogen.

    Und da du in deiner Aussage Synology explizit nennst habe ich in deine Aussage hineininterpretiert, dass deiner Meinung nach die Geräte anderer Hersteller besser dran sind.


    Mir geht es darum, aufzuzeigen, dass die Zahl "29" auf Synology-NAS bezogen komplett falsch ist. Ich betreibe ein Synology-NAS, daher verfolge ich die CVEs dazu einigermaßen intensiv. Mehrfach habe ich festgestellt, dass die Firmware-Version zur Mitigation eines CVEs bereits seit längerem auf meinem Gerät installiert war. Und mehrfach habe ich festgestellt, dass ich gar nicht betroffen bin, weil ich bspw. netatalk gar nicht aktiviert habe. (Das benutzt doch seit langem schon kein Schwein mehr ...) Bei keiner einzigen CVE musste ich akut aktiv werden, sie alle stellten sich für mich als Fehlalarm heraus. Die Heise-Meldungen zu QNAS lasen sich hingegen immer bedrohlicher. Aber: das ist nur meine Wahrnehmung.


    Ja, ich weiß: die Zahl der CVEs als Metrik für Sicherheit anzusehen ist mindestens problematisch, aber damit hast du angefangen.


    Es kommt nicht auf die Zahl der CVEs an, es kommt auch nicht darauf an, ob das Gerät hinter nem VPN sitzt oder nicht. Es kommt mehr darauf an, ob sich jemand aktiv um das Teil kümmert, sich dazu Gedanken macht und geeignete Maßnahmen ergreift. Das kann - muss aber nicht zwangsläufig - ein VPN sein.

  • Moin,


    Eine 100 Prozentige Sicherheit wird es niemals geben. Wenn man so ein oder zwei kleinigkeiten mit dem NAS auch ausserhalb machen will, dann reicht auch die Relayverbindung, Mir ist noch kein Fall bekannt das dadurch so einfach der NAS gekapert wurde.

    Wenn man etwas mehr machen will dann ist VPN die bessere Wahl dann ist es ja so als wenn man zu Hause im eigenen Netzwerk wäre.

    Von DYN DNS Adressen bin ich auch nicht gerade ein Freund von, weil dann nach aussen eine eindeutige Adresse vorhanden ist.

    Und es gibt Dienste die auf einen NAS laufen können die nicht mit einem VPN geregelt werden können. Ich weiss da wird kommen klar das geht doch.

    Will ich nicht bestreiten. Aber zum Beispiel PLEX. Hatt man sowas am laufen, dann braucht man einen Port. Der ist bei bei Plex 32400.

    Klar kann man eine VPN einrichten und dann mit dem Mobilgerät dann auch auf den Plex zugreifen.

    Aber wenn man einen Smart TV hatt bei der Schwägerin zum Beispiel der kann kein VPN, und sie kann auch nicht selber eine VPN Verbindung auf ihrem Router einrichten. Dann geht es schon nicht mehr.

    Also je nach Anwendungszenario, würde ich auf jedenfall sagen, dann muss man sich halt mal mit der Firewall im NAS auseinandersetzen und die richtig ein zurichten.

    Das ist genauso wirksam. Da gibt es Mittel und Wege um es wirklich zu erschweren. Aber auch diese sind ausreichend, wenn sie dann richtig angewendet werden.

    Klar wenn man überall Verschwörungen sieht dann gibt es nix was sicher ist.

    Das ganze ist nix anderes wie jedes andere Gerät auch, einschlisslich Router und so weiter.

    Selbst ein Heim PC kann gekappert und übernommen werden allein durch eine verseuchte Email und so weiter. Der kann dasnn auch verschlüsselt werden und gesperrt und wenn die erstmal darauf Zugriff haben können die auch im Netzwerk rumpfuschen und dann ist auch ein NAShinter einer VPN Verbindung nicht mehr sicher. Zum Thema Sicherheitslücken, da geben sich alle Hersteller die Klinke in die Hand. Jeder hatt seine Problem und wie gut und wie schnell der Anbieter dann zu Potte kommt ist ein anderes Thema. Aber das heist noch lange nicht das sich dann ausgerechnet dann auch gleich alle Hacker der Welt auf deinen NAS stürzen.

    Aber das würde jetzt ewig zu einer weiteren Diskussion führen.

    Das beste ist egal welche Verbindung benutzt wird. Den NAS die Firewall einrichten und benutzen. Den Router die Firewall gut zu unterhalten. Portweiterleitungen nur bedingt und auch nur wenn notwendig einrichten und dann am besten nach aussen einen freien anderen Port eigener Wahl nutzen.

    Standard Admin deaktivieren, zuvor einen anderen anlegen. Sichere Passwörter einrichten. Auch bei den Benutzerkonten. Die Protokolle regelmässig im Auge halten, natürlich auch vorher diese Zugangskontrolle und Anmeldeversuche und so weiter konfiguriert haben.

    Skeptisch bei Anhängen sein die man nicht kennt oder weiss woher die kommen, und niemlas in mails verknüpfte Links annehmen, lieber die Webseiten selber aufrufen, um nicht auf eine Fakeseite zu kommen.

    Ach und regelmässig Backup machen.

    Ansonsten nur noch alles abklemmen, nicht ins Netz lassen am besten im Tresor und zu machen und hoffen das zu Hause keiner einbricht.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Also Jungs, ich habe den Eindruck, Ihr lest meine Beiträge nur sehr selektiv. :winking_face:

    Über vieles müsste man gar keine Worte verlieren, da ich es entweder selbst (zumindest inhaltlich) genauso geschrieben habe oder auf das Argument schon eingegangen bin (mit meinem Blickwinkel, was ja nicht bedeutet, dass es für Euch auch widerlegt sein muss.)


    Klar wenn man überall Verschwörungen sieht dann gibt es nix was sicher ist.

    Ich würde vorschlagen, auf dieses niedrige Niveau begeben wir uns hier in der Community bitte nicht. Dieser Satz ist so schlicht, dass er als Argument für absolut gar nichts taugt.


    Und da du in deiner Aussage Synology explizit nennst

    Ja, weil der TE im allerersten Post davon schreibt, dass er sein Synology extern erreichbar machen will...

    Surprise! :grinning_face_with_smiling_eyes:

    Auf die anderen Hersteller bin ich im Folgenden übrigens genauso eingegangen.



    Disclaimer zum Ende: Ich benutze privat seit ungefähr 15 Jahren NAS-Geräte. Beruflich kümmere ich mich um NAS-Geräte bei ca. 30 Kunden. --> Das soll kein Flex sein, ich will damit sagen, dass ich NAS-Geräte keinesfalls pauschal ablehne.

    Lange Zeit habe ich sogar einen kleinen Teamspeak-Server auf meinem NAS gehostet und direkt über's Internet erreichbar gemacht. Ja, für diesen wäre VPN auch keine sinnvolle Lösung gewesen.

    Ich schreibe hier also was ich schreibe, trotzdem ich es selbst anders praktiziere. Ich kann allerdings auch abschätzen, was es für mich bedeutet, wenn man mir die Kiste owned.

  • Networker Moin, ich habe deinen Beitrag garnicht gemeint. Ich meine damit das auch Meldungen von Sicherheitsmängeln auch paranoide Wirkungen erziehlen können. Ich kenne da mindestens zwei Leute die am besten alles in eine faradayscher Käfig legen würden.

    Wenn ich deinen Beitrag gemeint hätte dann hätte ich was zitiert. So viel zum Thema niedriges Niveau, aber danke da du jemanden gleich in diese Schublade steckst.

    Und man will ja nur helfen hier im Forum....

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Ok, dann habe ich es missverstanden, tut mir Leid. Da Du allerdings inhaltlich voll "gegen" meine Argumentation geschrieben hast, denke ich, hätten diesen Fehler hier auch andere genauso gemacht.


    Auch wollte ich nicht Deinen Beitrag insgesamt abwerten ("niedriges Niveau"), ich sehe ja einige Dinge ziemlich ähnlich wie Du und gehe bei vielen Aussagen mit.

    Meine Kritik bezog sich einzig auf den einen zitierten Satz. Der ist aus meiner Sicht eben ein unsachliches Null-Argument, mit dem man jede Diskussion abwürgt.

    Da ich Deinen Text als Erwiderung zu meinen Aussagen verstanden hatte, kam es bei mir so rüber, als unterstelltest Du mir paranoides Denken. Das kannst Du sicherlich nachvollziehen.


    Nochmals sorry für das Missverständnis. Mir ist - trotz mancher recht deutlicher Aussage - immer daran gelegen, sich hier konstruktiv und wohlwollend miteinander auszutauschen.

  • Nee alles gut. Ich will auch das hier ein friedliches Klima herscht und wir alle lernen was dazu und helfen auch weiter.

    Aber wie ich halt feststellen musste das es sehr viele Leute gibt alleine schon im Freundes und Bekanntenkreis durch diese Meldungen mit den Lücken im System sogar dann selbst VPN verteufeln. Du glaubst es nicht wieviele Leute echt Verschwörungstherorien entwickeln. Das geht von das die Russen oder Chienesen es auf die abgesehen haben, bis hin zu das unsere Regierung den Leuten einfach so auf die PC´schaut ob man alles bei der Steuer angegeben hatt und so weiter.

    Die wollen halt am besten alles tausendfach abgesichert haben aber im Gegenzug alles nutzen wollen. Leider kommt dann aber auch sehr oft zu Problemen zwischen Sicherheit und nutzbarkeit. Und wenn es da zu Kollisionen kommt dan ist das Geschreie groß, alles S... und so weiter.

    Selbst das Internet ist voll davon. Aber es soll jetzt gut sein, da ich auch in mehreren Foren unterwegs bin ist mir auch aufgefallen das der Ton immer rauher wird, und sich vieles einfach nur noch hochschaukelt. Wir haben das geklärt und hoffen das wir den TE helfen können.

    Bin mal gespannt wie s hier weiter geht.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Ich hatte ja MEINE Einstellungen im Post #12 schon erläutert. Ja, mit Sicherheit nicht so sicher, wie eine VPN, aber vom Handling her einfacher. Ich hatte ja auch schon einmal geschrieben, dass man mitunter den Spagat zwischen Sicherheit und Usability finden muss, wenn man nicht immer eine VPN einsetzen möchte/kann.

    Grundsätzlich ist VPN nämlich immer möglich, man muss natürlich bereit sein, u.U. Eqipment und/oder Provider zu wechseln

    Das ist aber nicht immer so einfach umzusetzen. Wenn zum Beispiel ein "entfernter" TV LESEND auf das NAS zugreifen möchte... Dann ist die Umsetzung mit einem Reverse Proxy (mit SSL) und zusätzlicher Maßnahmen zum Teil einfacher, wie eine VPN. Und wie schon Naichbindas gesagt hat: Es muss sich halt einer darum kümmern. Klar kann man auch kleine VPN Router am TV einsetzen. Aber die müssen den Durchsatz bringen und sind wieder eine mögliche Fehlerquelle, wenn etwas nicht geht.


    Und auch zu den Sicherheitslücken hatte ich mich in Post #16 schon geäußert. Hier sollte man auch darauf achten, was für Lücken das sind und ob diese bei der verwendeten DSM Version und den installierten Paketen überhaupt zutreffen.


    Networker : Wie gesagt: Du hast vollkommen recht, dass eine VPN die sicherste Variante ist und immer zu bevorzugen ist. Aber Ziel sollte es dem TE Möglichkeiten aufzuzeigen, wie er mit verschiedenen Methoden (recht) sicher auf das NAS zugreifen kann und das auch auf den Anwendungsfall abzustimmen. Und wie schon Naichbindas gesagt hat: Auf den Anwendungsfall abstimmen und das NAS härten, nicht alles was NICHT VPN ist, gleich verteufeln UND auch bedenken das viele Angriffe von INNEN kommen und nicht von außen. Und da nützt mitunter eine VPN nix. Im Synology Forum hatten wir letzten den Fall, dass ein NAS verschlüsselt wurde. Ursache war KEIN ANGRIFF VON AUßEN, sondern ein Laptop mit Adminzugang innen!!! Hätte hier die VPN was genützt? Ich denke nicht, oder?


    Und die VPN dauerhaft an zu lassen und dann, wenn man intern im Netz ist, keine Komplikationen zu erzeugen, erfordert auch Fachwissen was Routing betrifft, was nicht einfach mit ein paar Videos nachzuvollziehen ist. Und leider ist es ja so, dass nicht affine Nutzer die VPN gern vergessen einzuschalten. Und da kann es manchmal besser sein, mein geht einen anderen Weg und nimmt die Härtung das NAS und vielleicht den Mehraufwand in Kauf, als das man ständig "genervt" wird, dass etwas nicht geht.


    Ich spreche HIER NICHT von einem Firmenumfeld, sondern nur vom Privatbereich. Daher meine Empfehlungen aus Post #12 an den TE und durch andere Nutzer ggf. noch ergänzende, empfohlene Einstellungen vorzunehmen. Ich gehe auch nicht davon aus, dass der TE eine Webserver aus dem Internet zugänglich machen möchte. Es ging hier "lediglich" um die Sicherheit der Fotos vom Smartphone zu Synology Photos. Und mit der entsprechenden Rechteverwaltung und den entsprechenden Einstellungen, denke ich schon, dass man dies doch halbwegs sicher gestalten kann.


    Eine Nutzung einer VPN (Wireguard oder OpenVPN) ist natürlich immer zu empfehlen. Aber alles andere sollte man dennoch in Betracht ziehen, mit dem Hinweis auf die nötigen Einstellungen und ggf. Risiken.

    immer daran gelegen, sich hier konstruktiv und wohlwollend miteinander auszutauschen

    Das sollte doch der Sinn eines Forums sein :winking_face: -> Fazit: Jeder lernt was neues dazu. Ich habe hier in verschiedenen Foren schon viel gelernt, weil ich eben nicht vom Fach bin. :thumbs_up:

  • Zu den CVEs: Es ist richtig, dass nicht alle Einträge sich auf die NAS-Geräte beziehen. Aber zum einen macht es einen Hersteller nicht vertrauenswürdiger, wenn in einem Jahr vorwiegend seine Geräte aus anderen Produktbereichen negativ auffallen.

    Zeigt mir ein System, welches 100% sicher ist und es keine CVE's für gibt - spar dir die Arbeit, du wirst keines finden.


    Jedes System hat Schwachstellen, eine 100% Sicherheit gibt es in der IT nicht, auch nicht wenn man gewaltigen Aufwand treibt. Die Frage ist nur, sind alle Lücken eines Systems öffentlich bekannt oder eben nicht.


    Der sicherstes Weg ist, das System erst gar nicht vom Internet aus erreichbar zu machen - das ist nun mal Fakt.

    Und wenn es erreichbar ist, wird irgentwo auf der Welt jemand sitzen, der Spass dran hat, das System hacken zu wollen und er wird es tun.


    Und wenn es dennoch vom Internet erreichbar sein muss, dann nicht direkt, sondern mind. über VPN



    Ich bekomme übrigens nahezu täglich eMails über Securitypatche nur eines einzigen Herstellers von Linux-Software. Mit einem Patch von gestern wurden ein Liste von geschätzt 30+ CVE's behoben.

  • Danke für die interesante Diskussion die hier entstanden ist :smiling_face:


    Nutze aktuell ausschließlich Wireguard und hab auch aktuell kein Port Forwarding aktiv an der UDM-Pro

    Wenn ich von aussen (natürlich mit deaktiviertem VPN) meine ext IP eingebe komm ich trotzdem auf meine Unifi Anmeldeseite.

    Wie kann ich das deaktivieren?

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • Wenn ich von aussen (natürlich mit deaktiviertem VPN) meine ext IP eingebe komm ich trotzdem auf meine Unifi Anmeldeseite.

    Wie kann ich das deaktivieren?

    Auf die Anmeldeseite der UDM - ich denke, das wird nur per Firewallregel möglich sein, da ich aber keine UDM nutzen, kann ich dir nicht die Syntax geben, WAN-in auf UDM Port 80/443/xxx blocken - so ungefährt.


    Bei meiner Firewall ist es umgekehrt, ich muss es expliziert erlauben, wenn ich Zugriff von aussen auf die WebGUI haben will ( was ich nicht will )

  • Ich brauche es eigentlich auch nicht da ich ohnehin über unifi.ui.com von ext. drauf komme...



    Noch was zur Sicherheit generell:


    Für mich wäre es OK wenn ich auf meine Daten Speicherpool der DS IMMER per Wireguard zugreifen würde...

    Bleibt aber noch die Surveillance Station.und dessen Speicherpool.. und wenn ich nur die SS Ports öffnen würde und nicht die "normalen" DSM Ports?

    Würde das sicherheitstechnisch was bringen?

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


    Einmal editiert, zuletzt von roddick84 ()