Hallo alle miteinander,

habe vor kurzem bei einem Angebot zugeschlagen (ZyXEL NAS310 für 40e) - und da ich von Netzwerk und NAS noch nie viel verstanden habe aber schon immer davon träumte wollte ich natürlich meine Mediathek und Filme auf den NAS ziehen, damit ich diese nicht nur daheim sondern auch überall sonst auf der Welt habe.
Ich kam mit meiner recherche soweit, dass ich die öffentliche Adresse meines NAS rausfinden sollte und dann per FT Protokoll und durch Portfreigabe beim Router alles funktionieren sollte.

Als ich dann aber die besagten Ports freigeben wollte traf mich bei den Portfreigaben meiner fritzbox der Schlag.
Es hat hier noch niemals überhaupt irgendjemand von Hand Ports freigegeben, aber folgende sind alle aktiviert:

UDP 54781 Laptop 54781
UDP 58598 Laptop 58598
UDP 50027 Laptop 50027
UDP 65140 Laptop 65140
UDP 55652 Laptop 55652
UDP 16038 iPhone 16038
TCP 16038 iPhone 16038
TCP 9090 nsa310 9090
UDP 9089 nsa310 9089
TCP 21 nsa310 21
UDP 51076 Laptop 51076
UDP 7569 PC 7569
TCP 7569 PC 7569
TCP 57185 PC 57185
UDP 57185 PC 57185
TCP 56611 Laptop 56611
UDP 56611 Laptop 56611
UDP 23920 iPad 23920
TCP 23920 iPad 23920

(ja, ich lebe in einer Apple Familie, aber ein Mac kommt mir nicht ins Haus!)
Ich kann mir vorstellen, dass evtl ein Port von Apps freigeschalten wurden bzw. von Apple's Bonjour Dienst? oder die VLC Streamer App?
Kennst sich ansonsten jemand mit Ports und deren bedeutung aus und kann mir sagen was das zu bedeuten hat und was ich damit jetzt anfange?

Gewundert hat mich blos, dass ich durch die öffentliche IP schon auf mein NAS zugreifen konnte. Natürlich musste ich mein Username und Passwort eingeben, nun aber zu meiner zweiten Frage: Ich schätze mal, dass diese Benutzer und Passwort Kombination keine große Sicherheit bietet. Gibt es hier irgendwelche Möglichkeiten?

Vielen Dank!
Gruß
kRuzeFiX


PS: Ich sehe gerade, dass all diese Ports unter der Liste "Über UPnP geöffnete Ports" stehen. Bin mit all diesen Netzwerk Kürzeln leider nicht so bewandert...

=> AVM - Portfreigaben automatisch über UPnP aktivieren und deaktivieren

Die Ports selber darfst du googlen bzw. bei "well known ports" nachschlagen.
Ich persönlich würde Ports nicht per UPnP freigeben lassen, ist aber "Geschmackssache".

Zitat:

Zitat von Shadow

Die Ports selber darfst du googlen bzw. bei "well known ports" nachschlagen.

habe ich schon getan, die einzigen die bei den well known ports der IANA stehen ist
21 FTP
und 9090 Webwasher, Secure Web, McAfee Web Gateway - Default Proxy Port (McAfee habe ich noch nie benutzt, sonst habe ich keinen Schimmer was ich damit anfangen kann)

Zitat:

Ich persönlich würde Ports nicht per UPnP freigeben lassen, ist aber "Geschmackssache".

Weswegen? Sicherheitsrisiko? Angenommen ich würde sie sperren lassen, würden auch alle Dienste die zB mit Bonjour zusammenarbeiten nichtmehr funktionieren oder?

Gruß

Zitat:

Zitat von kRuzeFiX

Weswegen? Sicherheitsrisiko?

Jein, ich bestimme wer rein darf, nicht irgendeine Software - noch dazu mehr oder weniger ungefragt.

Zitat:

Zitat von kRuzeFiX

Angenommen ich würde sie sperren lassen, würden auch alle Dienste die zB mit Bonjour zusammenarbeiten nichtmehr funktionieren oder?

Erstens: Wenn du dies UPnP jetzt (!) deaktivierst, dann sollte alles was jetzt ist so - aber auch nur genau so - noch weiter funktionieren.
Wenn du DHCP netzintern nutzt, dann wird es ein Problem geben. Und im LAN funktioniert alles auch ohne Portweiterleitung oder -freigabe. In wie weit diese ganzen Ports für Spielzeugs (wie iPhone, iPad & Co) gebraucht werden, kann ich dir nicht sagen, du müsstest erst einmal herausfinden, wer die Ports benötigt und auch ob sie wirklich nötig sind.
Du magst auch einfach diese Ports schließen (deaktivieren, Einstellung nicht löschen) und schauen, was dann nicht mehr funktioniert.

Zitat:

Zitat von Shadow

Du magst auch einfach diese Ports schließen (deaktivieren, Einstellung nicht löschen) und schauen, was dann nicht mehr funktioniert.

Da bin ich gerade dran. Bin mal gespannt was dabei rauskommt.

Dann schonmal danke bis hierhin und noch zur letzten Frage: Wie stehts mit der Sicherheit wenn ich den FTP Port offen habe und das NAS mit den Firmeware tools (simpel: Benutzername und Kennwort) gesichert habe?

Bei hinreichend komplexer Nutzernamen-und-Passwort-Kombination UND keinem Fehler im NAS sollte dies theoretisch hinreichend sicher sein.
Sollte das Log-in des NAS-Systems beliebig viele Fehleingaben direkt hintereinander akzeptieren, dann wäre es für mit einem Brute-Force-Angriff aber theoretisch recht leicht zu knacken, wobei jeweils möglichst lange Nutzernamen und Passwörter (~phrasen) dies auch wieder u.U. in die Theorie verschieben, zumindest solange beide sicher geheim sind.

nagut, das mit den komplexen benutzer-passwörter kombinationen lässt sich ja ohne Probleme einrichten. Dann werde ich den FTP Port eben nur öffnen wenn ich ihn wirklich brauche.

Danke

Gruß