sirYOgI schrieb:
Wer sein Nas einfach ans Internet hängt hat schon verloren ....
Sorry aber das ist einfach nur Unsinn.
Es ist immer die Frage: WIE mache ich etwas.
Meine QNAP hostet jede Menge Microservices für meine Homeautomation. Ins öffentliche Netz dürfen aber nur statistische Services, ala Grafana. Da kann man im schlimmsten Fall nachschauen, Wie viel Strom ich wann gebraucht habe. Und nen Wordpress, wo ich schematisch für mich dokumentiert habe, wie ich was eingerichtet habe. Ohne sensible Backgrounddaten versteht sich. usw. Puhuuu!
Ich gebe dir recht. Man ist selbst schuld, wenn man nen Homeserver, welcher Art auch immer blind per NAT volle Breitseite ins Netz stellt. Man sollte auch UPNP abdrehen, damit sowas nicht aus Versehen automatisch passiert. Aber bei mir sehe ich hier den Angriffsvektor als klein an.
Alle meine public Services kommen bei mir ganz ohne Portforwarding aus. MyQnapCloud brauch ich dazu auch nicht.
Es gibt einfach ein paar Cloudflare Argotunnels, die als Docker Container laufen.
Meine Domain selbst steht hinter Cloudflare mit Geofencing usw., Cloudflare greift dann via Argotunnel, welche im Docker (Web) Netz terminieren auf die WebServer (auch Docker) bzw. Loadbalancer/Edgerouter (traefik, auch Docker) zu. Wenn schon eine Webserver kompromittiert wird, muss der Angreifer es auch noch schaffen aus der Dockerinstanz auszubrechen. Sicher irgendwie möglich, nix ist absolut save. Aber mit welchem Aufwand?!
Zusätzlich brauchen alle admin-user auf meiner QNAP ne 2Faktor Auth. Das machts auch schon mal deutlich unattraktiver.
