Konfiguration des 821+ für einen NAS mit 2 Netzwerkports?

thorstense · Beitrag von **thorstense** » 10 Okt 2007, 20:33

Hallo zusammen!

Ich habe mal eine etwas Ausgefallene Frage zur Konfiguration meines Lancom.

Verwendete Hardware:
Lancom 821+ FW.: 7.22
8 Port Gigabit Switch GS608
NAS System N5200 mit 2 Netzwerkports (LAN & WAN und getrennt nutzbar oder Failover)

Anforderrungen:
-Der NAS soll immer vom Internet (WAN) erreichbar sein
-Für die WAN Verbindung wird der NAS an den Lancom angeschlossen
-Der Gigabit Switch ist nicht immer eingeschaltet
-Für das Lokale Netz (LAN) nutzt der NAS den Gigabit Switch

Wie kann das Funktionieren ohne dass es Probleme im Netzwerk gibt

Ist es der richtige Lösungsansatz den Port für das Internet (WAN) in eine DMZ ohne Zugriff durch das LAN zu setzen?
Oder vieleicht über ein VLAN realisieren?

Viele Grüße, Thorsten

backslash · Beitrag von **backslash** » 11 Okt 2007, 14:16

Hi thorstense

Wie kann das Funktionieren ohne dass es Probleme im Netzwerk gibt

solange die beiden Netzwerkports des NAS verschiedene MAC-Adressen haben, braucht das Gerät nur verschiedene IP-Adressen je Port...

Ist es der richtige Lösungsansatz den Port für das Internet (WAN) in eine DMZ ohne Zugriff durch das LAN zu setzen?

das ist vermutlich die sinnvollste Lösung, weil du damit alle möglichen Netzwerk-Probleme direkt umgehst. Du hast nun nur noch das Problem, daß du so ein Gerät ohne Schutz in deinem Intranet hägen hast:

Du trennst zwar im LANCOM die DMZ vom Intranet, da das NAS aber mit seinem zweiten Port wieder im Intranet hängt gibt es hier ggf. ein Einfallstor für mögliche Angreifer...

Oder vieleicht über ein VLAN realisieren?

VLAN ist hier nicht nötig...

Gruß
Backslash

thorstense · Beitrag von **thorstense** » 11 Okt 2007, 16:03

@ backslash,

danke für die Antwort!

Ja das Gerät hat 2 MAC-Adressen und die Ports sind getrennt konfigurierbar.

Du trennst zwar im LANCOM die DMZ vom Intranet, da das NAS aber mit seinem zweiten Port wieder im Intranet hängt gibt es hier ggf. ein Einfallstor für mögliche Angreifer...

Ich nehme an du meinst es kopiert jemand einen Schadcode auf das NAS den sich dann ein Intranet User unbekannter Weise auf die Workstation kopiert?
Weil einen Code ausführen ist doch auf dem NAS nicht möglich, oder liege ich da falsch???

Viele Grüße, Thorsten

backslash · Beitrag von **backslash** » 12 Okt 2007, 14:07

Hi thorstense

Ich nehme an du meinst es kopiert jemand einen Schadcode auf das NAS den sich dann ein Intranet User unbekannter Weise auf die Workstation kopiert?

das ist ein Punkt, aber

Weil einen Code ausführen ist doch auf dem NAS nicht möglich, oder liege ich da falsch???

jenachdem wie das Betriebssystem des NAS arbeitet. Meist läuft da ein Linux mit Samba oder ein irgendwie abgespecktes Windows...

Wenn die Programmierer nicht aufgepaßt haben und es irgendwelche Möglichkeiten für Pufferüberläufe gibt, gibt es auch die Möglichkeit, Code auf dem Gerät auszuführen. Wenn es der Angreifer dann noch schafft, sich eine Shell auf dem Gerät zu öffnen, hat er freie Bahn ins Intranet...

End ehrlich gesagt: Wenn auf dem NAS ein Linux läuft, dann läuft es dort vor allem aus dem Grund, daß das Gerät möglichst billig sein sollte. Dann kannst du aber auch davon ausgehen, daß sich die Entwickler des Geräts nicht wirklich die Arbeit gemacht haben, die Shell zu eliminieren oder andere mögliche Schwachstellen abzuklopfen (das wäre halt zu teuer gewesen)...

Daher sollte man tunlichst vermeiden, Geräte sowohl in die DMZ als auch ins Intranet zu hängen (vor allem wenn es keine zusätzliche Firewall mehr zwischen Gerät und Intranet gibt)

Gruß
Backslash

thorstense · Beitrag von **thorstense** » 12 Okt 2007, 15:52

Hallo!

Auf dem NAS läuft ein Linux mit Samba das ist richtig.

Im Internet soll es ja auch nur für mich erreichbar sein.
Später vieleicht einmal für einige Freunde per FTP .

Ich würde halt gern unterwegs auch Zugriff auf meine Daten haben.
Da reicht mit auch schon Zugriff per FTP .

Wie groß ist denn die Warscheinlichkeit das jemand den NAS hinter dem Lancom entdeckt?
Oder ist so etwas einfach für einen Hacker zu finden?

Viele Grüße, Thorsten

backslash · Beitrag von **backslash** » 12 Okt 2007, 16:02

Hi thorstense

Wie groß ist denn die Warscheinlichkeit das jemand den NAS hinter dem Lancom entdeckt?
Oder ist so etwas einfach für einen Hacker zu finden?

nun ja, damit du das NAS vom Internet aus nutzen kannst, mußt du ja schonmal den Port 21 für FTP weiterleiten. Damit sieht ein Angreifer schonmal einen offenen Port.

Letztendlich ist das alles natürlich eine Frage der eigenen Paranoia...

Trotzdem wäre es m.E sinnvoller das NAS nur in der DMZ zu haben und auch vom Intranet durch das LANCOM darauf zuzugreifen - denn dann hast du die Firewall dazwischen, über die du Verbindungsaufbauten von der DMZ ins Intranet abblocken kannst...

Gruß
Backslash

thorstense · Beitrag von **thorstense** » 12 Okt 2007, 16:24

@ backslash,

das wäre ja auch schön wenn ich das NAS nur über den Lancom laufen lassen könnte.
Er hat aber leider nur einen 100er Switch integriert

Das mit den offenen Ports (eMule) durch die Portweiterleitung macht mich schon wieder nachdenklich........

Viele Grüße Thorsten

thorstense · Beitrag von **thorstense** » 15 Okt 2007, 12:19

Hallo!

Wie funktioniert den das genau mit der DMZ des Lancoms?

-Ist die DMZ durch die Firewall des Routers geschützt?
-Sind in der DMZ alle Ports offen oder nur die im Portforwarding freigegeben sind?

Ich habe heute von meinem Kollegen erfahren das der Port 21 regelmäßig vom Internet aus
gescannt wird und es öfters vorkommt das jemand versucht sich als Admin einzuloggen!

Der FTP Port 21 läßt ja auch auf einen anderen Port legen.
Ist er dann noch vom Internet aus per FTP Programm zu erreichen?

Viele Grüße Thorsten:-)

dk5ras · Beitrag von **dk5ras** » 15 Okt 2007, 13:05

thorstense hat geschrieben:Hallo!

Ich habe heute von meinem Kollegen erfahren das der Port 21 regelmäßig vom Internet aus
gescannt wird und es öfters vorkommt das jemand versucht sich als Admin einzuloggen!

Viele Grüße Thorsten:-)

Ja, ich betreibe seit Jahren einen ftp-server, der 24/7/365 am Netz ist, aber alle Attacken waren bisher absolut popelig, unterstes Niveau - stupides Durchprobieren verschiedener username-PW-Kombinationen. Ich bin echt enttäuscht, etwas mehr Einfallsreichtum hatte ich schon erwartet :-) Am http-server auf dem gleichen Rechner ist es ein wenig abwechslungsreicher...

Ralph.

backslash · Beitrag von **backslash** » 15 Okt 2007, 15:33

thorstense

-Ist die DMZ durch die Firewall des Routers geschützt?

alles was "durch den Router geht" ist von der Firewall geschützt.

-Sind in der DMZ alle Ports offen oder nur die im Portforwarding freigegeben sind?

nur die explizit freigegeben (ACHTUNG: wenn du in der Firewall eine Deny-All Strategie fährtst mußt du dort natürlich auch Allow-Regeln für weitergeleitete Ports einrichten)

Der FTP Port 21 läßt ja auch auf einen anderen Port legen.
Ist er dann noch vom Internet aus per FTP Programm zu erreichen?

ja, denn bei jedem FTP-Programm kannst du angeben, auf welchem Port es den Server kontaktieren soll (und sei es in der Form Hostname:Port)...

Gruß
Backslash