Hallo, ich habe gerade eben auf golem gelesen dass es mehr oder minder schwere Probleme mit NAS-System von WD gibt. https://www.golem.de/news/festplatten-wd-my-cloud-nas-geraete-kommen-mit-backdoor-account-1801-132169.html (WD-NAS hat unsichtbaren Zweitaccount neben dem eigentlich Nutzer. Benutzername und Passwort stehen hierfür im Internet...) Was ich nun nicht so ganz verstehe ist folgendes: es wird empfohlen dass man schnellstmöglich ein Update der Firmware durchführt wodurch der ominöse Backdoor-Accout gelöscht wird. Klar, ist sinnvoll. Aber wie groß ist (oder war in der Vergangenheit) denn das Problem wirklich? Jede NAS hängt mit großer Wahrscheinlichkeit an einem Router, in meinem Fall eine FritzBox. Klar dass diese auch ein eingebautes Modem hat, aber man kann doch nicht direkt aus dem Internet durch die FritzBox hindurch auf die NAS zugreifen? Hierfür müsste ich für mein Verständnis erst einmal einen webzugriff auf der FB einrichten (bei AVM heißt sowas "MyFRITZ!-Konto") und i.d.R. hat so ein webzugriff dann Anmeldenamen und Passwort - oder eine Sicherheitslücke. Ich denke solange die NAS nicht direkt am Modem hängt dürfte sowas wie im obigen Link "erst einmal" kein Problem sein, oder? Blöd wird es doch erst, wenn jemand das Passwort vom (Router-)webzugriff hat oder der Router selbst auch ein Sicherheitsproblem hat, richtig?
Peter schrieb: > Hierfür müsste ich für mein Verständnis erst einmal einen webzugriff auf > der FB einrichten (bei AVM heißt sowas "MyFRITZ!-Konto") Nein. Das ist dafür nicht nötig. Nötig ist eine Portweiterleitung oder -Freigabe, d.h. daß die Fritzbox vom Internet einlaufenden Traffic auf bestimmten Ports an das NAS weiterleitet.
aber eine firewall müsste sowas doch eigentlich direkt abblocken, oder? Keine Anfrage von Innen = kein Zugang von außen!?
Man will ja dass es von außen erreichbar ist weil man so auch wenn man unterwegs ist auf seine Daten zugreifen kann.
Manche Leute haben bewusst eine Portweiterleitung eingerichtet, um von Unterwegs auf das NAS zugreifen zu können. Diese Leute sind nun halt besonders von der Backdoor betroffen.
ein weiterer weg könnte vielleicht der eigene browser sein. man surft eine seite mit bösartigem javascript an, das im browser ausgeführt wird, und auf die NAS zugreift. wie weit das relisierbar und weiter ausnutzbar ist weiß ich jetzt nicht - bin kein webentwickler, und auch kein hacker ^^
Danke für die Antworten und gleich mal Entschuldigung dass ich so blöd frage, ich weiß es wirklich nicht besser.... Dann ist es also so, dass eine Portweiterleitung ein Problem darstellt, man diese aber erst einrichten muss! Per default gibt es keine Portweiterleitung?
Peter schrieb: > Per default gibt es keine Portweiterleitung? Nein, so etwas gibt es auf NAT-Routern nicht, insbesondere nicht auf Fritzboxen. Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk sich so eine Portweiterleitung über UPNP selbst einrichtet - das sollte man daher tunlichst deaktivieren; wer weiß, was und womit die Firmwarebastler von WS sich da gedacht haben.
Rufus Τ. F. schrieb: > Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk > sich so eine Portweiterleitung über UPNP selbst einrichtet Wenn man die Malware schon im Haus hat, gibt es nur noch wenig zu verteidigen. Ein Trojaner weiss spätestens nach einem Zugriff auf die Fritzbox-Verwaltung die Zugriffsdaten, und wie eine Fritzbox tickt ist auch bekannt. Wahrscheinlich könnte ein gewiefter Hacker sogar eine gefälschte Firmware in die Box laden. Superbequeme Einrichtungen wie UPNP unterscheiden sich von echter Malware nur in der guten Absicht, aber nicht in der Wirkung. Georg
Peter schrieb: > Ich denke solange die NAS nicht direkt am Modem hängt dürfte sowas wie > im obigen Link "erst einmal" kein Problem sein, oder? Oder. Du vergisst den Webbrowser, den man heutzutage auch als Brückenkopf einsetzen kann. Und der lädt jede Menge Müll als Werbebanner nach :-( Es existieren zwar Sicherungen dagegen, aber natrürlich gibt es auch Wege drumherum. Anderes Beispiel für'n Brückenkopf sind "kostenlose" Apps fürs Smartfon.
Rufus Τ. F. schrieb: > Peter schrieb: >> Per default gibt es keine Portweiterleitung? > > Nein, so etwas gibt es auf NAT-Routern nicht, insbesondere nicht auf > Fritzboxen. Nach diesem Satz wollte ich schon irgendwas mit "facepalm"...aber dann kam zu Glück das: > Allerdings besteht die Möglichkeit, daß ein Gerät im lokalen Netzwerk > sich so eine Portweiterleitung über UPNP selbst einrichtet Allerdings sollte man hier dringend darauf hinweisen, dass nahezu alle "Zuhause-Plastebomber" incl. der Fritzbox sinnloserweise UPNP per default *ein*geschaltet haben. Das sich kaum jemand damit auseinandersetzt, was er da tut, erkennt man sehr gut an den allerorts aufzufindenden Geräten ;)
Jupp schrieb: > incl. der Fritzbox sinnloserweise UPNP per > default *ein*geschaltet haben Bei meinen 7490 sind alle per default *AUS*geschaltet
bingo schrieb: > Bei meinen 7490 sind alle per default *AUS*geschaltet Dann hast du andere 7490 als der Rest der Welt. UPNP ist per default an.
Simple Portweiterleitungen sind heute kaum noch zu verantworten. "myfritz.net" verwendet man als kostenlosen DynDNS-Ersatz, um bei wechselnder IP den eigenen Internetanschluss überhaupt zu finden - so gesehn schon ganz nützlich. Man kopiert sich die etwas kryptische URL z.B. in das Adressfeld für den VPN-Clienten. Damit wären wir schon beim halbwegs sicheren Zugang: VPN. Die Fritzbox bietet diese Möglichkeit mit dem Protokoll L2TP/IPsec. Leider verwendet AVM eine IKE-Version, die unter Windows nicht mit Bordnitteln verarbeitet werden kann, man benötigt eine extra VPN-Client-Software. AVM empfiehlt die freie Version des Shrew Soft VPN Client. Der Verbindungsaufbau von einem aktuellen Mac aus gelingt ohen zusätzliche Software. Mit Linux kenn ich mich nicht aus. Verwendet man statt einer Fritzbox das VPN eines Routers von Draytek oder Lancom, gelingt der Verbindungsaufbau sowohl von Windows als auch vom Mac ohne Zusatzsoftware. Steht die VPN-Verbindung, versetzt man den Rechner logisch in die selbe Situation, als befände er sich innerhalb des lokalen Netzes ... alle Geräte sind wie zuhause erreichbar. Man muss noch darauf achten, dass das fremde Netz in dem sich z.B. der Laptop gerade befindet, um ein VPN aufzubauen, ein anderes Subnetz aufweist, als das heimische, in das man sich verbinden möchte, sonst funktioniert das Routing nicht. Gleiches Subnet auf beiden Seiten = keine Verbindung! Das könnte vor Allem unerfahrene Fritzbox-User treffen, weil bei denen wohl bestimmt 90% das Subnet 192.168.178.0/24 nutzen ... :-)
:
Bearbeitet durch User
Herzlichen Glückwunsch an Q3. 1000 Wörter bei dem der Inhalt NICHTS mit der Frage zu tun hat.
M. P. schrieb: > Herzlichen Glückwunsch an Q3. > 1000 Wörter bei dem der Inhalt NICHTS mit der Frage zu tun hat. Hä? Ok, vlt. war ich etwas ausschweifend. Oder du kannst nicht über kleinteilige Fakten hinaus in Zusammenhängen denken. Der TE wollte von Außen auf sein NAS zugreifen, war verunsichert wegen einer Backdoor und deshlab bezüglich Portweiterleitung unentschlossen ... Ich habe als Alternative VPN empfohlen ... und ein wenig zu umfangreich erklärt, möglich. Was ist jetzt dein Problem?
:
Bearbeitet durch User
Frank E. schrieb: > Der TE wollte von Außen auf sein NAS zugreifen Das ist Deine Interpretation; ich bin mir da nicht so sicher. Mir kam es so vor, als ob er sich wg. der Backdoor Sorgen macht, daß es möglich sein könnte, von "außen" auf sein NAS zuzugreifen, obwohl er das gar nicht will/braucht. Schön, wenn Leute so ganz klare und eindeutige Aussagen machen, nicht?
Frank E. schrieb: > Der TE wollte von Außen auf sein NAS zugreifen, war verunsichert wegen > einer Backdoor und deshlab bezüglich Portweiterleitung unentschlossen Nein... Wo liest Du das? Sondern: Er hat das Teil. Keine Weiterleitung oder ähnliches. Besteht trotzdem ein Risiko...
Rufus Τ. F. schrieb: > Schön, wenn Leute so ganz klare und eindeutige Aussagen machen, > nicht? Also ich finde es durchaus eindeutig. Ich sehe nirgends einen Hinweis darauf, dass der TE die Idee haben könnte, sich einen Zugang von außen einrichten zu wollen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.