Forum: PC Hard- und Software Erreichbarkeit von LAN-clients auf dem internet


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,
ich habe gerade eben auf golem gelesen dass es mehr oder minder schwere 
Probleme mit NAS-System von WD gibt.
https://www.golem.de/news/festplatten-wd-my-cloud-nas-geraete-kommen-mit-backdoor-account-1801-132169.html
(WD-NAS hat unsichtbaren Zweitaccount neben dem eigentlich Nutzer. 
Benutzername und Passwort stehen hierfür im Internet...)


Was ich nun nicht so ganz verstehe ist folgendes: es wird empfohlen dass 
man schnellstmöglich ein Update der Firmware durchführt wodurch der 
ominöse Backdoor-Accout gelöscht wird. Klar, ist sinnvoll. Aber wie groß 
ist (oder war in der Vergangenheit) denn das Problem wirklich?

Jede NAS hängt mit großer Wahrscheinlichkeit an einem Router, in meinem 
Fall eine FritzBox. Klar dass diese auch ein eingebautes Modem hat, aber 
man kann doch nicht direkt aus dem Internet durch die FritzBox hindurch 
auf die NAS zugreifen?

Hierfür müsste ich für mein Verständnis erst einmal einen webzugriff auf 
der FB einrichten (bei AVM heißt sowas "MyFRITZ!-Konto") und i.d.R. hat 
so ein webzugriff dann Anmeldenamen und Passwort - oder eine 
Sicherheitslücke.

Ich denke solange die NAS nicht direkt am Modem hängt dürfte sowas wie 
im obigen Link "erst einmal" kein Problem sein, oder?
Blöd wird es doch erst, wenn jemand das Passwort vom (Router-)webzugriff 
hat oder der Router selbst auch ein Sicherheitsproblem hat, richtig?

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Hierfür müsste ich für mein Verständnis erst einmal einen webzugriff auf
> der FB einrichten (bei AVM heißt sowas "MyFRITZ!-Konto")

Nein. Das ist dafür nicht nötig. Nötig ist eine Portweiterleitung oder 
-Freigabe, d.h. daß die Fritzbox vom Internet einlaufenden Traffic auf 
bestimmten Ports an das NAS weiterleitet.

von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
aber eine firewall müsste sowas doch eigentlich direkt abblocken, oder?
Keine Anfrage von Innen = kein Zugang von außen!?

von J. S. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Man will ja dass es von außen erreichbar ist weil man so auch wenn man 
unterwegs ist auf seine Daten zugreifen kann.

von Stefan P. (form)


Bewertung
0 lesenswert
nicht lesenswert
Manche Leute haben bewusst eine Portweiterleitung eingerichtet, um von 
Unterwegs auf das NAS zugreifen zu können. Diese Leute sind nun halt 
besonders von der Backdoor betroffen.

von c.m. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
ein weiterer weg könnte vielleicht der eigene browser sein.
man surft eine seite mit bösartigem javascript an, das im browser 
ausgeführt wird, und auf die NAS zugreift.
wie weit das relisierbar und weiter ausnutzbar ist weiß ich jetzt nicht 
- bin kein webentwickler, und auch kein hacker ^^

von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke für die Antworten und gleich mal Entschuldigung dass ich so blöd 
frage, ich weiß es wirklich nicht besser....


Dann ist es also so, dass eine Portweiterleitung ein Problem darstellt, 
man diese aber erst einrichten muss!
Per default gibt es keine Portweiterleitung?

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Per default gibt es keine Portweiterleitung?

Nein, so etwas gibt es auf NAT-Routern nicht, insbesondere nicht auf 
Fritzboxen.


Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk 
sich so eine Portweiterleitung über UPNP selbst einrichtet - das sollte 
man daher tunlichst deaktivieren; wer weiß, was und womit die 
Firmwarebastler von WS sich da gedacht haben.

von georg (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk
> sich so eine Portweiterleitung über UPNP selbst einrichtet

Wenn man die Malware schon im Haus hat, gibt es nur noch wenig zu 
verteidigen. Ein Trojaner weiss spätestens nach einem Zugriff auf die 
Fritzbox-Verwaltung die Zugriffsdaten, und wie eine Fritzbox tickt ist 
auch bekannt. Wahrscheinlich könnte ein gewiefter Hacker sogar eine 
gefälschte Firmware in die Box laden.

Superbequeme Einrichtungen wie UPNP unterscheiden sich von echter 
Malware nur in der guten Absicht, aber nicht in der Wirkung.

Georg

von Jim M. (turboj)


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Ich denke solange die NAS nicht direkt am Modem hängt dürfte sowas wie
> im obigen Link "erst einmal" kein Problem sein, oder?

Oder. Du vergisst den Webbrowser, den man heutzutage auch als 
Brückenkopf einsetzen kann. Und der lädt jede Menge Müll als Werbebanner 
nach :-(

Es existieren zwar Sicherungen dagegen, aber natrürlich gibt es auch 
Wege drumherum.

Anderes Beispiel für'n Brückenkopf sind "kostenlose" Apps fürs Smartfon.

von Jupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Peter schrieb:
>> Per default gibt es keine Portweiterleitung?
>
> Nein, so etwas gibt es auf NAT-Routern nicht, insbesondere nicht auf
> Fritzboxen.

Nach diesem Satz wollte ich schon irgendwas mit "facepalm"...aber dann 
kam zu Glück das:

> Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk
> sich so eine Portweiterleitung über UPNP selbst einrichtet

Allerdings sollte man hier dringend darauf hinweisen, dass nahezu alle 
"Zuhause-Plastebomber" incl. der Fritzbox sinnloserweise UPNP per 
default *ein*geschaltet haben.

Das sich kaum jemand damit auseinandersetzt, was er da tut, erkennt man 
sehr gut an den allerorts aufzufindenden Geräten ;)

von bingo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Jupp schrieb:
> incl. der Fritzbox sinnloserweise UPNP per
> default *ein*geschaltet haben

Bei meinen 7490 sind alle per default *AUS*geschaltet

von Jupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
bingo schrieb:
> Bei meinen 7490 sind alle per default *AUS*geschaltet

Dann hast du andere 7490 als der Rest der Welt. UPNP ist per default an.

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Simple Portweiterleitungen sind heute kaum noch zu verantworten.

"myfritz.net" verwendet man als kostenlosen DynDNS-Ersatz, um bei 
wechselnder IP den eigenen Internetanschluss überhaupt zu finden -  so 
gesehn schon ganz nützlich. Man kopiert sich die etwas kryptische URL 
z.B. in das Adressfeld für den VPN-Clienten.

Damit wären wir schon beim halbwegs sicheren Zugang: VPN. Die Fritzbox 
bietet diese Möglichkeit mit dem Protokoll L2TP/IPsec. Leider verwendet 
AVM eine IKE-Version, die unter Windows nicht mit Bordnitteln 
verarbeitet werden kann, man benötigt eine extra VPN-Client-Software. 
AVM empfiehlt die freie Version des Shrew Soft VPN Client. Der 
Verbindungsaufbau von einem aktuellen Mac aus gelingt ohen zusätzliche 
Software. Mit Linux kenn ich mich nicht aus.

Verwendet man statt einer Fritzbox das VPN eines Routers von Draytek 
oder Lancom, gelingt der Verbindungsaufbau sowohl von Windows als auch 
vom Mac ohne Zusatzsoftware.

Steht die VPN-Verbindung, versetzt man den Rechner logisch in die selbe 
Situation, als befände er sich innerhalb des lokalen Netzes ... alle 
Geräte sind wie zuhause erreichbar.

Man muss noch darauf achten, dass das fremde Netz in dem sich z.B. der 
Laptop gerade befindet, um ein VPN aufzubauen, ein anderes Subnetz 
aufweist, als das heimische, in das man sich verbinden möchte, sonst 
funktioniert das Routing nicht. Gleiches Subnet auf beiden Seiten = 
keine Verbindung!

Das könnte vor Allem unerfahrene Fritzbox-User treffen, weil bei denen 
wohl bestimmt 90% das Subnet 192.168.178.0/24 nutzen ... :-)

: Bearbeitet durch User
von M. P. (matze7779)


Bewertung
0 lesenswert
nicht lesenswert
Herzlichen Glückwunsch an Q3.
1000 Wörter bei dem der Inhalt NICHTS mit der Frage zu tun hat.

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
M. P. schrieb:
> Herzlichen Glückwunsch an Q3.
> 1000 Wörter bei dem der Inhalt NICHTS mit der Frage zu tun hat.

Hä? Ok, vlt. war ich etwas ausschweifend. Oder du kannst nicht über 
kleinteilige Fakten hinaus in Zusammenhängen denken.

Der TE wollte von Außen auf sein NAS zugreifen, war verunsichert wegen 
einer Backdoor und deshlab bezüglich Portweiterleitung unentschlossen 
...

Ich habe als Alternative VPN empfohlen ... und ein wenig zu umfangreich 
erklärt, möglich.

Was ist jetzt dein Problem?

: Bearbeitet durch User
von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:
> Der TE wollte von Außen auf sein NAS zugreifen

Das ist Deine Interpretation; ich bin mir da nicht so sicher.

Mir kam es so vor, als ob er sich wg. der Backdoor Sorgen macht, daß es 
möglich sein könnte, von "außen" auf sein NAS zuzugreifen, obwohl er das 
gar nicht will/braucht.


Schön, wenn Leute so ganz klare und eindeutige Aussagen machen, 
nicht?

von M. P. (matze7779)


Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:
> Der TE wollte von Außen auf sein NAS zugreifen, war verunsichert wegen
> einer Backdoor und deshlab bezüglich Portweiterleitung unentschlossen

Nein...
Wo liest Du das?

Sondern: Er hat das Teil. Keine Weiterleitung oder ähnliches. Besteht 
trotzdem ein Risiko...

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Schön, wenn Leute so ganz klare und eindeutige Aussagen machen,
> nicht?

Also ich finde es durchaus eindeutig. Ich sehe nirgends einen Hinweis 
darauf, dass der TE die Idee haben könnte, sich einen Zugang von außen 
einrichten zu wollen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.