Geöffnete TCP-Ports (80, 443, 4125) SICHERHEITSRISIKO???

[Danijel]

Hallo beisammen,

um meinen WHS für den Internetzugriff einzurichten, habe ich die o.g Ports direkt im Router (Arcoe Easy BOX 300 Wlan) aktiviert (geöffnet), und auf diese die IP zum WHS verwiesen. Sämtliche damit verbundene Zugriffe von Extern, übers internet funktionieren. Soweit sogut.

Nur: IST DAS SO IN ORDNUNG? Nach nem Port-Scan vom Internet aus, tauchen diese Ports immer ROT-Hinterlegt auf. IST DAS nun eine LÜCKE, eine offene Tür zur WHS? Wegen der Sicherheit usw.

Grüße Danijel

[steve0564]

Hier hat mal jemand die Wahrscheinlichkeit eines geglückten Angriffes auf einen WHS gepostet.
Müsstest mal danach suchen!!

[larry]

Am sichersten ist es natürlich, wenn diese Ports nicht offen sind.
Wenn du aber vom Internet darauf zugreifen willst, müssen diese offen sein.
Der WHS ist schon recht gut abgesichert, da ein Benutzer bei falscher Passworteingabe für einen gewissen Zeitraum gesperrt wird. Somit ist die Wahrscheinlichkeit, dass jemand deinen Usernamen + Passwort errät sehr gering.

Das ganze kannst du mit dem Risiko vergleichen einen Verkehrsunfall zu haben. Das sicherste ist, wenn du nur den ganzen Tag zu Hause bleibst. Doch wer will das schon...

Gruß
larry

[sTunTe]

Hier hat mal jemand die Wahrscheinlichkeit eines geglückten Angriffes auf einen WHS gepostet.

Hier:
viewtopic.php?f=55&t=8576

Das sicherste ist, wenn du nur den ganzen Tag zu Hause bleibst.

Und dabei passieren doch die meisten Unfälle im eingenen Haushalt...

Gruß
sTunTe

[Roland M.]

Hallo Michael!

Das sicherste ist, wenn du nur den ganzen Tag zu Hause bleibst.

Und dabei passieren doch die meisten Unfälle im eingenen Haushalt...

...und die meisten Leute sterben im Bett!

SCNR!

Roland

[sTunTe]

...und die meisten Leute sterben im Bett!

Dann klappt mein Vorhaben als 108 jähriger beim Beischlaf das Zeitliche zu segnen ja vielleicht doch...

Gruß
sTunTe

[bussibaer]

...und die meisten Leute sterben im Bett!

Dann klappt mein Vorhaben als 108 jähriger beim Beischlaf das Zeitliche zu segnen ja vielleicht doch...

Gruß
sTunTe

sTunTe Hesters?

[sTunTe]

sTunTe Hesters?

[Klugscheißmodus an]
Der wird aber mit 2 "e"s geschrieben; also Heesters.
[Klugscheißmodus aus]

Btw: Dafür das der Bursche mittlerweile 107 Lenze auf dem Buckel hat, sieht der noch verdammt frisch aus.
Respekt.

Gruß
sTunTe

[DungeonKeeper]

hmmm, der Home-Server ist vielleicht gut genug abgesichert, aber könnte man durch die offenen Ports Zugriff auf einen Client bekommen?
Mein Vista, und unsere beiden XPs sind zwar immer up to date, aber deren Türen müssten doch dann wegen der offenen Ports des Routers doch auch mehr oder weniger offen stehen.
Oder unterliege ich hier einem Denkfehler?

Danke schon einmal im Voraus,

Beste Grüße

Stefan

[larry]

Ja, da der Router die drei Ports nur auf den Server weiterleitet.
Auf die Clients kommt man von außen nicht. Außer du hast eine Portweiterleitung für die Clients eingerichtet.

Gruß
Larry

[DungeonKeeper]

Achso, Danke für die Aufklärung.
Bei meinem PC ist eine Port-Weiterleitung aktiviert, aber nur damit Steam funktioniert. (Das war übrigens ein Drama, darauf zu kommen )

Okay, dann sag ich mal herzlichst Danke für die Info

Gruß
Stefan

[Nordmensch]

Ich grabe das Thema nochmal aus: ein Angreifer könnte einem theoretisch den Umgang mit dem WHS ziemlich erschweren wenn er durch andauernde Fehlversuche den WHS immer wieder veranlasst Nutzerkonten für eine zeitlang dichtzumachen. Der reguläre Benutzer käme mit korrektem Passwort für die Zeit der Kontensperrung auch nicht an sein Benutzerkonto und zugehörige Daten. Wenn dieses durch ständige Fehlversuche von aussen dicht ist wird es u.U. fast unbenutzbar.

Ich denke mal etwas weiter:
1.) Das oben beschriebene Szenario könnte nur passieren wenn der Angreifer den Namen des Benutzerkontos kennt und falsche Passwörter rät, also sehr unwahrscheinlich wenn es keiner "aus dem Bekanntenkreis" ist. Probiert der Angreifer mit falschem Namen für das Benutzerkonto aber zufällig richtigem Passwort passiert nichts. Richtig?

2.) Solange der Angreifer einen falschen Benutzerkontenname bei seinen Versuchen angibt wird die Anzahl seiner Versuche nicht durch einen nur nach aussen wirkenden Timeout o.ä. begrenzt. Richtig?

3.) Sollte es dennoch so sein das der Angreifer den Namen des Benutzerkontos kennt und dieses wie beschrieben lahmlegt hilft die Einrichtung eines neuen Benutzerkontos und die entsprechenden damit verbundenen Zusatzarbeiten (Rechtevergabe, umkopieren der Inhalte persönlicher Ordner etc). Richtig?

4.) Den gleichen Effekt wie in Punkt 3 beschrieben (neues Benutzerkonto) erzielt eine schlichte Umbenennung des betroffenen Benutzerkontos, die Zugriffsrechte und persönlichen Ordner bleiben dabei erhalten. Richtig?

Gedanklich spielt man ja manches durch, habe ich in den drei o.g. Punkten einen wesentlichen Denkfehler?

[Roland M.]

Hallo und willkommen im Forum!

ein Angreifer könnte einem theoretisch den Umgang mit dem WHS ziemlich erschweren wenn er durch andauernde Fehlversuche den WHS immer wieder veranlasst Nutzerkonten für eine zeitlang dichtzumachen. Der reguläre Benutzer käme mit korrektem Passwort für die Zeit der Kontensperrung auch nicht an sein Benutzerkonto und zugehörige Daten. Wenn dieses von aussen durch ständige Fehlversuche dicht ist wird es u.U. fast unbenutzbar.

Du hast soeben den DOA = Denial of access erfunden, gratuliere!

1.) Das oben beschriebene Szenario könnte nur passieren wenn der Angreifer den Namen des Benutzerkontos kennt und falsche Passwörter rät, also sehr unwahrscheinlich wenn es keiner "aus dem Bekanntenkreis" ist. Richtig?

Falsch.
Hint 1: Es gibt Wörterbücher.
Hint 2: "admin" und "administrator" (wahlweise auch mit Großschreibung) sind zuverlässige Treffer!

2.) Sollte es dennoch so sein das der Angreifer den Namen des Benutzerkontos kennt und dieses wie beschrieben lahmlegt hilft die Einrichtung eines neuen Benutzerkontos

Wie, wenn du als Admin nicht mehr an die Maschine kommst?
Da hilft tatsächlich nur, den Server für eine gewisse Zeit vom Netz zu nehmen!


Roland

[Nordmensch]

Stimmt, das Administrator-Konto hatte ich jetzt nicht so auf der Rechnung obwohl es ja am wahrscheinlichsten sein dürfte dass Serverattacken diesem Bnutzerkonto gelten da es für einen Angreifer "das interessanteste" darstellt.
Ich mag es jetzt nicht ausprobieren um mich u.U. nicht selbst auszusperren (bin noch nicht sooo fit mit dem WHS), aber wäre es möglich u.U. das Administrator-Konto umzubenennen ohne das es systembedingte Probleme heraufbeschwört? Benötigt das System die Ursprungsbezeichnung des Administratorkontos für irgendwelche Funktionen die dann von der Umbenennung "nichts wissen" (z.B. für Recoveries o.ä.)? Vielleicht mache ich mir im voraus auch zu viele Gedanken über Eventualmöglichkeiten, ist wohl deutsche Vollkaskomentalität .
Ich muss wohl mal in die Buchhandlung und etwas in MHS-Literatur investieren, solche Bücher stillen auch die Neugierde auf das Geschehen "unter der Haube".

Ciao!

[JeHo]

Ich habe gerade mal folgendes gemacht...

Über https://..../homeserver.com versucht mich via "administrator" anzumelden. Der Versuch schlägt folgerichtig fehl weil nicht vorgesehen ist das man sich über das I-Net in das "administrator" Konto einloggt.
Es wurden fünf Versuche durchgeführt mit Benutzer "administrator" und falschem Passwort.
Im Ereignisprotokoll wurde nichts über fehlgeschlagene Anmeldeversuche protokolliert.
Dann habe ich mich via RDP auf dem Server angemeldet, gpedit.msc gestartet und die Schwelle zur sperrung des Kontos von (voreingestellt) 50 Versuchen auf 3 Versuche herabgesezt.
Wieder über "https://...." auf den Server gegangen, Versuch Anmeldung als "administrator" und falsches Kennwort, fünf mal versucht.

Fazit:
keine Protokollierung der fehlgeschlagen Versuche, keine Sperrung des Kontos "administrator"

Über das Konto "administrator" kommt man über WAN eh nicht rein, auch das dich jemand "aussperrt" (das Administratorkonto betreffend) kann so nicht passieren.
Benutzerkonten kann man sicher lahmlegen, aber wie wahrscheinlich ist so ein Szenario

LG JeHo