Airport Extreme und seine Firewall

[Flipper]

Hallo zusammen!
Ich habe vor kurzem meine Routerkonfiguration ausgetauscht und Apple Airport Extreme und einen Express installiert.
Das funktionierte reibungslos.
Das Netzwerk (Mac + Win-Clients, iPhones, iPads, 1 NAS-Server von QNAP) )habe ich dabei von festvergebenen IP auf DHCP umgestellt.
Ein Proxy ist nirgendwo installiert.
Um die Sicherheit dann zu erhöhen, habe ich auf dem NAS die Zugriffe auf das LAN beschränkt, ein Zugriff über das Internet interessiert mich zZ nicht.
Seit dem alarmiert mich das NAS aber täglich mehrfach über Zugriffsversuche aus dem Internet!
Irgendwelche IP-Adressen aus China und West-Bengalen klopfen auf meiner öffentlichen IP an und Airport leitet die Anfragen an das NAS weiter!
Alles auf Port 80 bzw. 8080.
Mit einem Freund konnte ich das Verhalten auch verifizieren, es gelang ihm problemlos, ebenfalls bis zur Abweisung durch das NAS zu kommen.
Ich habe in Airport keine zusätzlichen Anschlusseinstellungen vorgenommen.
Mein Verständnis war, dass die Firewall des Airport eigentlich alle Anfragen direkt blocken müsste.
Eine Nachfrage beim Apple Support brachte die zunächst in Aufregung, nach einem Tag schoben sie es dann aber auf das NAS von QNAP, was ich aber nicht verstehe.
Dort läuft kein Webserverdienst o.ä.

Hat jemand eine Idee, warum die Firewall von Airport nicht direkt blockt?

Vielen Dank für Euer Engagement im voraus,

Flipper

 

[TAdS]

Für dieses Verhalten kann es m.E. nur zwei Gründe geben (unterstellt, die AEX hängt per PPoE an einem Modem und ist der einzige Router bzw. einziges Internet-Gateway):

1. Das NAS wurde in der AEX als Standard-Host konfiguriert. Dann ist die Firewall der AEX abgeschaltet und alle Anfragen werden an das NAS weitergeleitet.

2. Das NAS öffnet per NAT-PMP die genannten Ports auf der AEX. Du könntest NAT-PMP mal probeweise in der AEX abstellen.

Gruesse

 

[Flipper]

Hallo TAdS,

vielen Dank für Deine schnelle Antwort!
zu 1) Es ist kein Standard-Host definiert
zu 2) Ich schalte das NAT-Port-Mapping-Protokoll jetzt einmal aus. Mal schauen, welche Auswirkungen das hat, die überblicke ich nämlich nicht...

Gruß Flipper

 

[Flipper]

So:
Nachdem ich das "NAT-Port-Mapping-Protokoll" im Airport ausgeschaltet habe, ist Ruhe im Karton.
Seit 14:46 Uhr habe ich keine Zugriffsversuche mehr protokolliert.
Auch ein eben explizit von einem Freund gestarteter Versuch wurde jetzt sofort geblockt und lief nicht auf ein timeout.

Offensichtlich ist Airport so "intelligent", zu erkennen, dass im LAN ein Webserver werkelt und routet entsprechende Anfragen auf Port 80 und 8080 aus dem Internet ungefragt dorthin durch!
Mit anderen Worten: Jeder, der die Zugriffssicherungen des NAS nachlässig betreibt, steht ziemlich im Hemd, sobald er Apple Airport (zumindest in der Standardkonfig.) einsetzt.

Vielen Dank für Deine Unterstützung, für mich ist das Problem hier erst einmal gelöst.
Jetzt werde ich Apple mal die Frage stellen "Feature oder Bug..."

Gruß aus Hamburg

Flipper

 

[TAdS]

Na dann ..

Ich halte es übrigens für sehr unwahrscheinlich, daß die AEX automatisch und von sich aus irgendwelche Ports öffnet. Das NAT- PMP dient (wie UPnP) dazu, daß andere Netzwerkgeräte oder -software Ports automatisch öffnen können, was in der Regel auch ein generelles Sicherheitsproblem ist.

Wenn bei Dir - entgegen dem ersten Posting- auf dem NAS ein Webserver läuft, hat dieser die Ports geöffnet, nicht aber die AEX.

Gruesse

 

[Flipper]

Hallo TAdS,

also das mit dem Webserver ist nur eine Vermutung, in der Systemübersicht des NAS steht definitiv der Webserver auf "deaktiviert".
Allerdings gibt es eine "Systemport-Verwaltung" auf Port 8080, die läuft.
Nach meinem Verständnis darf das Laufen eines Dienstes auf einem NAS (oder Client) aber doch nicht dazu führen, dass Airport von sich aus entscheidet, die Firewall so zu öffnen, dass auch unforcierte Anfragen aus dem Internet durchgeroutet werden.

Gruss Flipper

 

[TAdS]

Das wird die AEX mit Sicherheit auch nicht getan haben. Wenn dem so wäre, könnte sie das von sich aus auch unabhängig davon, ob das NAT-PMP aktiviert ist oder nicht.

Also: Der Apple-Support hatte - wie meistens - insoweit recht, als er den Schuldigen in deinem QNAP-NAS vermutet hat. Du solltest vor erneuter Aktivierung des Protokolls auf der AEX die Einstellungen deines NAS und deren Auswirkungen überprüfen!

Gruesse

 

[Flipper]

Hallo TAdS,

im QNAP-Forum hat man mir den Tipp gegeben, die UPnP-Einstellung zu kontrollieren.
(Du hattest das ja auch schon geschrieben)
UPnP war aktiviert...ich habe es jetzt ausgeschaltet.
Mir war nicht klar, dass damit auch die Firewall eines Routers unwirksam gemacht werden kann.
Aber genau das steht bei wikipedia auch im upnp-Artikel

Ich denke, damit wurde der Schuldige gefunden!
Das werde ich jetzt mal verifizieren, indem ich das NAT-Port-Mapping-Protokoll wieder aktiviere und das Zugriffsprotokoll im NAS beobachte.

Gruss Flipper

 

[TAdS]

Solange du oder ein bekannter Dritter nicht von ausserhalb deines eigenen LANs auf das NAS oder andere Geräte zugreifen will, solltest du die Protokolle sowohl am NAS als auch in der AEX aus Sicherheitsgründen deaktiviert lassen ...

Willst nur du allein den Zugriff haben, löst du das mit dem wohl im NAS vorhandenen VPN-Server (also ohne explizites Öffnen von Firewallports).

Gruesse

 

[Marcel Bresink]

Um das zusätzlich klarzustellen:

Airport-Basisstationen besitzen überhaupt keine Firewall im eigentlichen Sinne.

Einen firewall-ähnlichen Schutz erreicht der Router nur aufgrund seiner NAT-Funktion. NAT heißt ja, dass die Geräte "hinter" dem Router keine im Internet sichtbaren Adressen besitzen und somit vom Internet aus unsichtbar bleiben. Nur der Router selbst wird mit seiner öffentlichen Adresse sichtbar. Lediglich durch Port-Weiterleitung können Geräte hinter dem Router erreichbar werden, indem der Router die auf ihm eingehenden Anfragen dann an ein bestimmtes Gerät umlenkt.

UPnP war aktiviert...ich habe es jetzt ausgeschaltet.
Mir war nicht klar, dass damit auch die Firewall eines Routers unwirksam gemacht werden kann.

Nun ja, aber das ist eigentlich der alleinige Zweck der Protokolle UPnP und NAT-PMP: Über diese Protokolle erlaubst Du, dass ein Gerät hinter dem Router automatisch Port-Weiterleitungen auf dem Router einrichtet, ohne dass Du manuell etwas machen musst.