Die Oberklasse

Hallo,

eine Frage an die Cracks hier: Wie sicher oder unsicher beurteilt ihr den in der Fritz!Box implementierten Fernzugriff auf die Box per https aus dem Internet?

Szenario: Ich nutze die Fritz als NAS Server mit angehängter USB Platte für persönliche Daten, die ich nicht in eine fremde Cloud laden möchte. Ab und zu brauch ich auch mal Zugriff vom Arbeitsplatz aus. VPN zur Box vom Arbeitsplatzsrechner aus geht nicht, weil hinter einer Firewall.
Bisher mache ich es also so: VPN mit iPhone zur Fritte, Fernzugriff aktivieren, per Browser vom Arbeitsplatz Fernzugriff auf's NAS, danach den Fernzugriff wieder mit iPhone deaktivieren. Das ist mir irgendwie zu umständlich!

Zurück zur Frage: Wie sicher oder unsicher ist es, den Port permanent offen zu lassen?

Ich würde mir von AVM eine OpenVPN Lösung wünschen, die auch hinter Firewalls funktioniert; oder wenigstens eine Funktion, IP Adressen/Bereiche zu filtern, da ich vom Arbeitsplatz immer mit der selben IP ins Netz komme.

Wenn du nur die NAS-Daten per FTP? / HTTP? (sicherer ist FTP weil einfacheres Protokoll) freigeben möchtest, dann ist das Risiko eher vertretbar als die Freigabe kritischerer Funktionen. Besser wäre natürlich ein Tunnel auf HTTPS-Basis, weil der überall durchkommt

Nur die NAS Dateien freizugeben schränkt das Risiko für Missbrauch deutlich ein, da hast du recht.

Zugriff (nur) per ftp klappt. ftps klappt anscheinend nicht, weil die Firewall der Firma das nicht durchlässt - meine Vermutung. Die Fritz lässt sich ja so einstellen nur ftps zu akzeptieren.
Allerdings: Bevor ich eine ungesicherte ftp Verbindung verwende, die ja nun wirklich jeder mitlauschen kann, bleib ich lieber bei der Lösung per https und schalte es nur bei Bedarf zu und ab.

Wie schon gesagt, ein ordentlicher Tunnel oder eine Einschränkung von IP Adresse wäre wünschenswert - ich habe es mal als Anregung an AVM geschrieben. Hören die sicher nicht zum ersten Mal.

Zurück zu meiner Frage: Dani, du schätzt das Risiko also als durchaus berechtigt ein?

Aber hallo - natürlich ist das total unsicher. Ungeschützte Serverports findet heutzutage doch jedes minderbemittelte Scriptkiddie völlig automatisiert mit drei Tastendrücken.

Vergiß, was ich zuvor hier stehen hatte. Https mit sicheren Credentials sollte die meisten Gefahren abhalten. Ich gehe davon aus, daß du eine aktuelle Firmware ohne die bekannten Lücken älterer Versionen installiert hast. Denn damals konnte man sich sogar ohne Paßwort als Admin einloggen.

Das schon, die Frage ist nur ob der offene Port für einen Exploit zu gebrauchen ist.

AVM ist ja Anfang 2014 mal deswegen in die Schlagzeilen geraten, aber aktuell kann ich nichts darüber finden, dass der Fernzugriff per https auf die Fritzbox als Schlupfloch genutzt werden kann. Deswegen meine dumme Frage Mir ist natürlich selbst klar, dass jeder Port den ich auf mache ein potentielles Sicherheitsrisiko darstellt und es nur eine Frage der Zeit ist, bis wieder eine verwundbare Stelle gefunden wird. Die Frage ist, welchen Preis bezahlt man - und ich will halt nur eine Aussage, dass ich damit ruhig schlafen kann.

Preisfrage: wie soll jemand wie ich eine belastbare Aussage darüber abgeben, wie kritisch bisher unbekannte Sicherheitslücken in den nach außen sichtbaren Serverfunktionen der Fritte sind?

OK OK - ich hab's ja selbst schon eingesehen
Allerdings könnte AVM, die sowieso schon gute Fritz!Box dahingehend nachbessern, dass man die Autorisation auf IP Adressen oder Adressbereiche eingrenzt. Wünsche darf man ja haben...

Zitat : Das schon, die Frage ist nur ob der offene Port für einen Exploit zu gebrauchen ist.

Sicher ist jeder offene Port dafür gut. Watt für eine naive Frage....
Auch https bietet keine so gute Sicherheit, wie einige es glauben wollen.
Es kommt auf das Protokoll dahinter an und selbst die meisten Online banking Protokolle sind höchst unsicher.
Es forderte ja mal einer hier https, was ich als zu überschätzt einstufe bei so einem Forum. Kaum ein solches Forum nutzt https zum einloggen.
Selbst wenn, dann nur mit sicherem Protokoll, sonst wird der Zweck verfehlt finde ich.

Einen Router ohne VPN Tunnel von aussen zu steuern, ist schon sehr gewagt, um nicht zu sagen deppert.
Aber es ist ja auch alles so umständlich mal 2 knöppe mehr zu drücken......

Deinen wunsch kann man selbst realisieren, man muß nur Ahnung von Routern und PCs haben....

Marder hat geschrieben:Deinen wunsch kann man selbst realisieren, man muß nur Ahnung von Routern und PCs haben....

Danke für dein Kompliment
Es geht "out of the box" aber eben nicht, ich müsste irgend eine veränderte SW auf die Fritz aufspielen (Danisahne Mod, Freetz, o.ä.), was ich aber nicht möchte.
Ich möchte es von AVM mit der offiziellen SW gelöst haben und nicht eine Bastelsoftware Dritter.

Moin,
das sollte keine Beleidigung oder ähnliches sein.
Es gibt dafür einige Möglichkeiten, das selbst zu realisieren.
Früher hat AVM eine eigene Konfiguration für einen VPN Tunnel angeboten für die Fritzboxen in der Software.
Schau doch mal auf deren Seite, ob es das noch gibt.

Ich würde Dir raten, sonst sowas zu machen : http://www.heise.de/netze/artikel/DMZ-s ... 21656.html" onclick="window.open(this.href);return false;

Alternativ ein Nas von Qnap, welches nach 10 Fehlversuchen beim einloggen die IP sperrt, oder nur eine zulässt (je nachdem).
Klappt prima kann ich Dir sagen, man kann ja die Versuche sehen auf dem NAS, was die für Namen probieren.

Aber nie einen Port öffnen, wo man einen Router oder NAS mit konfigurieren kann übers I-Net.
http://www.netzwelt.de/news/72750-dmz-n ... ewall.html" onclick="window.open(this.href);return false;

Habe mir ein Synology NAS gekauft, eine DS214. Ich denke, die sollte das auch können. Aber ich werde wohl bei der VPN Lösung bleiben und keine Ports öffnen. Danke für deine Hinweise.

Mit der Synology NAS konnte ich erreichen was ich wollte und die Fritz!Box per se nicht kann:

Ich habe es nun so gelöst, indem ich den Port durch die Fritte durchleite und die Firewall der Synology aktiviert habe. Durch die Firewall der NAS werden nur die LAN IPs sowie die kurzen IP Range meines Arbeitgebers akzeptiert; alle Anfragen von unbekannten IPs auf dem Port bleiben unbeantwortet (und sehen per Portscan als geschlossen nach außen aus). Zugang aus sonstigen Netzen kann ich sowieso per VPN zur Fritte erreichen.

Ich denke, dass ist das Maximum an Sicherheit, was ich erreichen kann wenn ich es möchte.

Mal als Tip, die beste Sicherheit ist ein gutes Passwort (hIer236koMmt013diE48sOnne)o.ä.,was nicht gleich mit einem simplen Bruteforce Hack geknackt wird.

Wenn ein Port offen ist, kann er von aussen gescannt und angegriffen werden.
Hier kannst Du schauen, welche bei Dir offen sind :
http://www.dnstools.ch/port-scanner.html" onclick="window.open(this.href);return false;

Der Router hat eine Firewall die auch hilft, aber bei einem NAS ist sowas unnütz.
Die sperrt auch keine IPs aus, sowas macht die Sicherheitssoftware eines NAS.
Das hat man oder nicht.
Meinst Du sonst eine NAT Firewall ? Die kann sowas auch, kenne ich aber nur bei Routern, wo man bestimmte Ranges und IPs zulässt.

Selbst bei Sony oder Panasonic wurde der Server schon gehackt, mit Kundendaten....

Ich verstehe nicht, was du meinst... wenn ich meine aktuelle IP scanne (z.B. mit dem von dir vorgeschlagenen Tool), sind alle Ports geschlossen. Ich habe zwar einen bestimmten Port an meine Synology weitergeleitet, aber auch dieser Port erscheint ins Internet als geschlossen, wenn er nicht von der richtigen IP gescannt/angesprochen wird. Und zwar deshalb, weil die Firewall des NAS nur lokale IP Adressen aus meinem LAN und die kurze IP Range von 4 Adressen zulässt, die ich ihr eingetragen habe. Alles andere wird gefiltert.

Klar könnte man jetzt mit IP Spoofing kommen, aber ich glaube so ein interessantes Ziel ist meine NAS nun auch nicht. Entsprechend starke Passwörter verwende ich natürlich schon sein vielen Jahren

Egal, Hauptsache Du hast ein gut gesichertes NAS.
Die Software des NAS kann nur bestimme IPS zulassen, ist nur gut, wenn die IP statisch ist. Wird wohl so sein....

Der BND oder die NSA ist bestimmt nicht so scharf drauf.

Ausser da sind Schweizer Bankgeheimnisse druff...