Sicherheit von angeschlossenen Datenträgern am Router

[HPC]

Hallo Community,

Bei so ziemlich jedem Router gibt es ja mittlerweile die Möglichkeit Datenträger anzuschließen.
In meinem Fall ein Speedport W724V Router.
Ich habe schon ein wenig im Netz gesucht, aber keine Seite gefunden, die mal die Sicherheit von außen beleuchtet.
Ich habe bei mir mal probehalber einen Datenträger angeschlossen.
Auf diesem lege ich im Routermenü einen Benutzer mit Passwort an. Auf diesen Ordner kann ich dann per Netzwerk zugreifen.

Kann mir jemand sagen, wie sicher diese Ordner für einen Fremdzugriff von außen sind?
Der Datenträger soll nicht so eingerichtet werden, dass ein Zugriff von außen per Passwort möglich ist.
Sprich, nur eine Verwendung innerhalb des Netzwerks.

Viele Grüße
HPC

 

[chrigu]

Sofern dein Router keine Sicherheitslücken aufweist und der Fernzugriff deaktiviert ist, bleiben deine Daten in deinem Netzwerk

 

[Raijin]

Da jeder vernünftige Router ALLE eingehenden Verbindungsanfragen von außen standardmäßig durch die Firewall blockiert, kann auch kein Zugriff erfolgen. Würde man die GUI des Routers auf dem WAN-Port aktivieren, was gar nicht bei allen Routern überhaupt möglich ist, käme man auch von außen drauf und könnte im worst case den Login hacken. Aber wie gesagt, ab Werk blockt jeder handelsübliche Internetrouter jedes Datenpaket ab, das ohne vorherige Anfrage von innen am WAN-Port eingeht.

Heißt: Gesendete Daten von computerbase.de lässt der Router nur zu, wenn zuvor von einem Gerät im Netzwerk die Internetseite angefragt wurde, eingehende Antworten sind also erlaubt. Ohne Seitenaufruf, werden alle potentiell eingehenden Daten von computerbase.de geblockt, weil es gar keine Anfrage gab und somit auch keine Antworten geben kann.

 

[Groug]

Das ist ungefähr ähnlich sicher wie seine Brieftasche im Briefkasten aufzubewahren.
Router hängen halt mit einem Bein im Internet. Sicherheitslücken, Wartungszugänge des Providers usw., kann da Probleme bereiten.

 

[gaym0r]

Das ist ungefähr ähnlich sicher wie seine Brieftasche im Briefkasten aufzubewahren.

Da würde ich einfach mal widersprechen.

 

[Phönix2005]

Wenn du dem Router nicht traust, weil vielleicht die Firewall für IPv6 nicht richtig umgesetzt ist oder der Router keine Updates mehr bekommt, dann kannst du die Daten auf der angeschlossenen Festplatte verschlüsseln.

Angenommen die Platte wäre von außen erreichbar, dann hängt es davon ab, ob die Daten „sicher“ verschlüsselt sind und das Passwort lang genug ist.

 

[Raijin]

Sofern sauber implementiert, läuft der SMB-Service für das Netzlaufwerk der Festplatte am USB ausschließlich auf dem LAN-Interface. Wenn dem so ist, muss die Firewall noch nicht mal explizit den Zugriff blocken, weil schlicht und ergreifend kein SMB-Dienst am WAN-Port erreichbar ist.

Sollte der Hersteller auf die Idee kommen, den SMB-Dienst auch am WAN-Port laufen zu lassen, schlägt dann jedoch die Firewall zu, die wie oben beschrieben alle ungefragten eingehenden Daten, also auch Verbindungsversuche auf ein etwaiges Netzlaufwerk von außen, blockiert.

Sicherheitslücken kann es natürlich immer geben. Bietet der Router die Option, die GUI und evtl. auch das Netzlaufwerk am WAN-Port freizuschalten, dann ist es aber der Benutzer, der diese Sicherheitslücke überhaupt nutzbar macht, wenn er das anschaltet.
Der Speedport bietet soweit ich weiß nicht mal die Möglichkeit die GUI oder gar die Platte auf den WAN-Port zu legen, bei Fritzboxxen geht das meines Wissens nach schon (zumindest bei der GUI? Korrigiert mich, wenn ich falsch liege). Es gibt ja auch durchaus Szenarien, in denen das unkritisch und gewollt ist, beispielsweise beim zweiten Router in einer Router-Kaskade.

Davon ausgehend kann man sagen, dass die USB-Platte am Router so sicher ist wie der Router an sich eben sicher ist. Traut man dem Router die USB-Platte aufgrund von Sicherheitsbedenken nicht an, sollte man den Router auch nicht für andere Zwecke nutzen, also auch nicht als Internetrouter an sich....

 

[Groug]

Wenn du dem Router nicht traust

Das ist weniger die Frage aber an dieser Stelle wird ein Sicherheitskonzept umgesetzt. Samba würde ich an der Stelle nicht so gerne sehen. Firewall und Fileserver gehören einfach nicht auf die gleiche Maschine.

 

[hildefeuer]

Das ist sowas von aktuell. Ging ja gerade durch die Presse, das bei einem Ortopäden in Celle alle Patientendaten im Netz standen, weil die Router Firmware einen Fehler hatte, der dem Magenta Riesen bekannt war. Wenn man den Port für SMB freigab, wurden andere Ports zusätzlich freigegeben.
Das hängt also nicht nur von SMB-Freigaben ab, sondern auch ob die Router-Firmware aktiv gewartet wird vom Hersteller/Verkäufer.
Da ist es halt so, das die Router der Provider eher schlechter sind, als die des Marktführers.
Für Provider sind Router Beigaben, für den Marktführer sein Geschäft.