hallo, ich habe eine entfernte fritz!box 7490 bei meinen eltern stehen. Ich benutze kein dns, da mein vater einen geschäftskunden anschluß hat und die ip adresse immer die gleiche ist. jetzt habe ich nas dort hin getellt, da die upload geschwingigkeit dort viel interessanter als bei mir zu hause ist. auf die fritz!box oberfläche komme ist, wenn ich https://11.22.33.44 (ip adresse der fritz!box) eingebe. was muss ich eingeben, um auf die oberfläche vom nas zu kommen? Die lokale ip adresse lautet 192.168.178.39 muss ich einen port dafür frei geben? wenn ja, welchen und wo? ja, ich habe diese wissenslücke leider. vielen dank dennis
Bist Du Sicher das es eine gute Idee ist einen Geschäftsanschluss zu manipulieren wenn Du nicht genau weißt was Du tust? Was willst Du schnell hochladen? Alles 100% legal? Bedenke das evtl. die dann Firma haftet. Bei Sicherheitsproblemen wirst Du der Erste Ansprechpartner sein.
...die Firma dann haftet... soll das natürlich heißen.
das stichwort ist NAT, das sollte sich auf der fritzbox einstellen lassen. ich gebe allerdings pegel recht… lass das lieber. hab ich dich außerdem richtig verstanden? du kannst auf die verwaltungsoberfläche der fritzbox übers internet zugreifen? und du willst einen http(s) port einer internen nas im internet erreichbar machen? zwei ganz schlechte ideen.
c.m. schrieb: > hab ich dich außerdem richtig verstanden? du kannst auf die > verwaltungsoberfläche der fritzbox übers internet zugreifen? und du > willst einen http(s) port einer internen nas im internet erreichbar > machen? zwei ganz schlechte ideen. ja, ist alles richtig. warum ist das schlecht? auf die fritz!box oberfläche kann ich mit dem benutzernamen und kennwort bereits zugreifen. jetzt mochte ich genau so auf die benutzeroberfläche vom nas zugreifen. Genau so mit benutzernamen und passwort. ich habe dafür gerade in der entfernter fritzbox die portweiterleitung zur nas-ip eingerichtet. funktioniert leider nicht, weil ich den port noch im nas einstellen muss. muss dafür also hin fahren. in wie fern ist das gefährlich?
dennis schrieb: > einen port dafür frei geben? Einen oder auch mehrere. Jenachdem mit welchen Protokollen du auf das NAS zugreifen willst. Und zwar auf der Fritz deines Vaters. Oder du machst es per VPN. dennis schrieb: > habe diese wissenslücke Dann nimm einen der unzähligen HowTos im Net. > auf die fritz!box oberfläche komme ist, wenn ich https://11.22.33.44 (ip > adresse der fritz!box) eingebe. Wenn die Oberfläche aus dem WAN ereichbar ist solltest du ein STARKES Passwort haben
Hallo Dennis, Du musst mindestens ein Vpn einrichten. Alles andere ist Harakiri. Suchbegriffe dazu sind um das richtig zu machen: DMZ, VPN, FIREWALL mit mehreren Schnittstellen zur Trennung von internem Netz / Firmennetzwerk Solange Du nicht genau weißt was Du tust, würde ich empfehlen Dir Hilfe zu holen und schnellstens den Zugang zur Fritzbox über Internet abzuschalten. Gruß Sven
vielen Dank an alle, werde dann lieber ein vpn einrichten. eine Frage habe ich trotzdem: >Wenn die Oberfläche aus dem WAN ereichbar ist solltest du ein STARKES >Passwort haben was ist daran sooooo schlimm, wenn jemand auf meine(bzw die von meinem vater) fritzbox kommt? was kann man damit anrichten, außer alle einstellungen verstellen? jetzt wirklich.
Zum Beispiel das gleiche das du vorhast. (S)einen Rechner mit in das Firmennetzwerk bringen. Kundendaten sammeln, Viren verbreiten, weltweit telefonieren usw usw
dennis schrieb: > was ist daran sooooo schlimm, wenn jemand auf meine(bzw die von meinem > vater) fritzbox kommt? Ähh wenn du das nicht selbst herausfindest solltest du von dem Projekt die Finger lassen. Die Fritzbox ist der zentrale Zugangspunkt zu dem Netzwerk. Wenn man den unter Kontrolle hat kann man damit wirklich alles anstellen. Beispiel: Daten abfangen/verändern, Telefongespräche mitschneiden, sämtliche Geräte im LAN ausspähen/hacken, Angriffe von eurer IP aus starten, ... AVM hatte vor gar nicht so langer Zeit auch eine heftige Sicherheitslücke in der Oberfläche. Das UI von einem Router (besonders von den Plastikroutern) sollte NIEMALS vom WAN aus erreichbar sein. Genau genommen sollte so ein Gerät überhaupt keinen Dienst anbieten, nur Routing & Firewall machen. Das geht bei den Kombigeräten natürlich nicht, aber man sollte diese Regel beherzigen wenn man entscheidet was von wo aus erreichbar sein muss. VPN wurde erwähnt, das ist schon der richtige Ansatz. Die Oberfläche vom NAS wird auch nicht besonders gesichert sein, das sollte also auch nicht weltweit erreichbar sein. Alternative: Kleinen Server mit richtiger Software (z.B. Seafile über Apache Proxy mit HTTPS) und den ans www hängen. Aber bitte mit richtiger Hardware, Raspberry Pi usw. kannst du dafür vergessen.
dennis schrieb: > und die ip adresse immer die gleiche ist. > auf die fritz!box oberfläche komme ist, wenn ich https://11.22.33.44 (ip > adresse der fritz!box) eingebe. Diese IP-Adresse ist sicher gefaked. Natürlich ist es richtig, das zu tun, aber du hättest es auch klarstellen können, dass sie gefaked ist. > was muss ich eingeben, um auf die oberfläche vom nas zu kommen? Die > lokale ip adresse lautet 192.168.178.39 > > muss ich einen port dafür frei geben? wenn ja, welchen und wo? Es gibt (mindestens) zwei Möglichkeiten. Die erste (und einzig empfehlenswerte) ist die Einrichtung eines VPN. Und dann schnellstmöglich die Möglichkeit zum Fernzugriff bei der Fritzbox abschalten... Der "Fernzugriff" auf die Fritzbox ist dann immer noch über das VPN möglich, Zieladresse: 192.168.178.1. Das NAS kannst du nach Aufbau des VPN genauso erreichen, als wärest du im LAN des Zielnetzwerks. Die zweite ist Port-Forwarding auf eine andere Portnummer. Sprich: Du suchst dir irgendeinen Port aus, über den du das NAS erreichen willst, z.B. 44444. Dann richtest du auf der Fritzbox ein Port-Forwarding von 44444 auf 192.168.178.39 Port443 ein. Im Browser des entfernten Rechners musst du dann als Ziel-URL eingeben "https://11.22.33.44:44444".
Vorsicht vor Serverbetrieb! Egal ob Du eine "Portfreigabe" einrichtest oder irgendwas über VPN zauberst: Du betreibst damit einen Server im Internet (entweder einen File-Server mit http(s), cifs, nfs, whatever oder eben einen VPN-Server). Ein aus dem Internet erreichbarer Server ist immer ein Angriffsvektor und sollte professionell betrieben und laufend gewartet werden. Gerade NAS-Kisterln sind typischerweise schlecht gewartet (von wem auch?) - ich kenne z.B. Unmengen von solchen Boxen, die noch die zwei Jahre alte Heartbleed-Lücke aufweisen. Der harmlos scheinende Begriff "Portfreigabe" bedeutet auch: Die Protokolldiodenfunktion des NAT-Gateways (manche nennen das Firewall) wird dadurch unterlaufen. Angreifer befinden sich dadurch direkt im vermeintlich internen Netz und können, wenn es mit dem Server ein Problem gibt, munter von innen aus agieren. Ergebnis: Wer Server betreibt, geht damit ein Risiko ein. Die Balance zwischen gefährdeten Assets (Daten am Server, andere Geräte im Netz) und dem Aufwand, der in den Betrieb gesteckt wird, sollte wohlüberlegt werden. Wer erst fragen muß, wie er das Netz durch eine Fritzbox zum Server bekommt, hat wahrscheinlich nicht die Kenntnisse, um das Risiko ausreichend abzuschätzen und zu behandeln und fährt daher mit einem Account bei einem beliebigen Webhoster besser.
Alexander T. schrieb: > und fährt daher mit einem > Account bei einem beliebigen Webhoster besser. [ironie] ja ist klar, die werden nie gehackt und sind alle zuverlässig. [/ironie] ich nehme my.fritz und abweichende Ports sowie Zufallspassworte, das muss reichen. Man kann noch dazu VPN Tunnel nehmen https://www.google.de/search?q=vpn&ie=utf-8&oe=utf-8&client=firefox-b&gws_rd=cr&ei=e7EVWLiKBsqagAaCoozgDA#q=vpn+tunnel
:
Bearbeitet durch User
Alexander T. schrieb: > Egal ob Du eine "Portfreigabe" einrichtest oder irgendwas über VPN > zauberst > in aus dem Internet erreichbarer Server ist immer ein Angriffsvektor Ein über VPN erreichbarer Server ist KEIN aus dem I-Net erreichbarer Server! VPN = virtual PRIVATE Network!
Max M. schrieb: > Ein über VPN erreichbarer Server ist KEIN aus dem I-Net erreichbarer > Server! > > VPN = virtual PRIVATE Network! Auch ein VPN Endpunkt ist nicht von selber da! Dazu gehört eine Serversoftware und eine Konfiguration; beides ggf. auf der Fritzbox. Und auch diese Komponente will, wie jeder Web-, File- oder Sonstwas Server gewartet, konfiguriert und betrieben betrieben werden. Ansonsten ist es ein Angriffspunkt. Das ist alles keine Zauberei und durchaus möglich! Man muss auch keine Angst davor zu haben es zu testen, auszuprobieren und zu lernen. ABER: - Das Netzwerk von Vatterns Firma ist nicht der richtige Ort damit anzufangen. - Wenn die gewünschte Funktion zu ersten Mal da ist heißt das noch lange nicht, dass nichts weiter getan werden muss.
Joachim B. schrieb: > Alexander T. schrieb: >> und fährt daher mit einem >> Account bei einem beliebigen Webhoster besser. > > [ironie] > ja ist klar, die werden nie gehackt und sind alle zuverlässig. > [/ironie] Aber wenn ein gehostetes Service gehackt wird ist nicht Pappas Firmennetz als Kollateralschaden betroffen. Kompartimentierung ist die Idee dabei.
Viele NAS können als VPN-Endpunkt (Server) arbeiten, zB. Synology oder Qnap. So mache ich das: Portweiterleitung (VPN) von Fritzbox auf NAS, das macht die VPN-Verbindung auf und dann bin ich "drin" ... Hacker haben seit ca. 3 Jahrem noch keine Spuren hinterlassen.
Max M. schrieb: > Ein über VPN erreichbarer Server ist KEIN aus dem I-Net erreichbarer > Server! Zumindest nicht, wenn richtig gemacht und bei Bedarf aktualisiert.
dennis schrieb: > jetzt habe ich nas dort hin getellt, da die upload geschwingigkeit dort > viel interessanter als bei mir zu hause ist. Wozu benötigst du eine hohe Upload-Rate? Deine Uploads selbst können es kaum sein, denn von dir aus ums Eck ins Internet ist dadurch auch nicht schneller. Ob dein Vater glücklich darüber sein wird, wenn sein Uplink vom Sohnemann zugestopft wird und er dadurch in seiner Arbeit behindert wird?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.