Sicherheit - Security Tools für die QNAP

Titel.png„Welche Sicherheitstools gibt es für die QNAP und welche soll ich verwenden?“ Diese Frage wird in letzter Zeit immer öfter hier im Forum gestellt. Deshalb stelle ich kurz die gängigen vorhanden Tools vor. Vorne weg: Die Liste ist kurz.

• Malware Remover (kostenlos aus dem App Center)
• Antivirus – ClamAV (standardmäßig schon installiert)
• Antivirus – McAfee (x86, kostenpflichtig aus dem App Center)
• Proxy Server (kostenlos aus dem App Center)

1. Malware Remover

Die App Malware Remover scannt das System nach ganz bestimmten Schadprogrammen ab. Die App ist jedoch kein Virenscanner im klassischen Sinne. Sie scannt also nicht alle Daten nach Schadsoftware ab, wie es ein Virenprogramm machen würde, sondern nur nach ganz spezifischem Schadcode, der der QNAP schaden könnte. Das Programm wird von QNAP gepflegt. Der Malware Remover ersetzt nicht den Virenscanner, ergänzt ihn aber sehr gut. Deshalb würde ich auf jeden Fall empfehlen diese App zu installieren. Sie kann aus dem App Center kostenlos installiert.

Die aktuelle Version (Stand 01.06.2018) ist Version 3.0.0. Diese Version ist auch die erste, die mit einem graphischen Userinterface daher kommt.

Die Version 3.0.0 lässt sich ab QTS 4.3.x installieren. Für QTS 4.2.x und älter steht die Version 2.4.0 zur Verfügung. Diese verfügt leider noch nicht über ein graphisches Benutzerinterface. Um dennoch komfortabel einen manuellen Scan durchführen zu können gibt es diese Scripts:

Datei

Security Tool für QNAP-NAS – Windows (Script)

Dieses Script ermöglicht das Ausführen von Security Funktionen auf der QNAP direkt vom Client aus.

Mavalok2

18. April 2021

Datei

Security Tool für QNAP-NAS – Linux, MacOS (Script)

Dieses Script ermöglicht das Ausführen von Security Funktionen auf der QNAP direkt vom Client aus.

Mavalok2

11. April 2021

Die Scripts funktioniert aber auch mit Version 3.0.0.

Für Konsolen-Cowboys oder diejenigen die es genau wissen wollen:

Der Malware Remover wird im Verzeichnis

/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/

installiert. Wobei/share/CACHEDEV1_DATA/ je nach Modell variieren kann, z.B. /share/MD0_DATA bei Legacy Volumes. Ein manueller Scan kann in der Konsole mit folgendem Befehl gestartet werden:

/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover_cron.sh

Der Befehl

cat /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh

befördert betroffene und Konfigurations-Pfade zu Tage.

2. Virenscanner: ClamaAV vs. McAfee

Dieser Abschnitt des Artikels stammt größtenteils von einem meiner anderen Artikel:

Testbericht – TVS-473e-4G Teil 5: Apps – Container Station, Q'Center und mehr

Der ist noch nicht so alt und man muss das Rad ja nicht immer neu erfinden.

Gleich vorne weg: Hier werde ich nicht die Schutzwirkung beider Programme testen und vergleichen. Dies überlasse ich professionellen Instituten wie z.B. http://www.av-test.org/de. Hier werden diverse Virenscanner in regelmäßigen Abständen auf Herz und Nieren überprüft. Da ich keine Tests mit den QNAP-Scannern gefunden habe, gehe ich mal davon aus, dass die Schutzwirkung in etwa den Windows-Versionen entspricht.

Der mit QTS ausgelieferte Virenschutz ist von ClamAV. Dies ist eine Open Source AntiVirus-Engine die vor Viren, Trojanern und anderer Schadsoftware schützen soll.

McAfee ist eine kostenpflichtige Engine, die nur für x86-Modell verfügbar ist und eine zusätzliche Lizenz aus dem QNAP-Lizenzstore benötigt. Die von mir verwendete Testversion kann einen Monat lang gratis getestet werden. Danach kostet die Lizenz (Stand 02.03.2018) für 1 Jahr 9$ USD und für 3 Jahre 19 $USD, also nicht die Welt.

Getestet habe ich die ClamAV Version 0.99.2 die mit QTS 4.3.4.0435 mitgeliefert wird – aktuell wäre 0.100.0 (Stand 01.06.2018 gemäß clamav.net) – und McAfee Version 2.0.0 – aktuell 2.0.1 (Stand 01.06.2018), die aus dem App Center herunterladen und installiert werden kann und knapp 400 MB zusätzlichen Speicher auf der Festplatte belegt.

Leider sind beide Virenscanner nur On-Demand-Scanner, d.h. sie scannen nur auf Befehl, manuell oder per Zeitplan. Beide scannen nicht On-Access, sprich permanent wenn sich Daten verändern, geöffnet oder auf die Festplatte des NAS geschrieben werden. Somit haben beide Scanner nur eine sehr eingeschränkte Schutzwirkung. Im Fall der Fälle wäre ein zeitgesteuerter Scan, z.B. am Wochenende viel zu spät dran. Da das Betriebssystem von QNAP auf Linux basiert, ist dies für die QNAP selbst nicht so schlimm, aber für die verbunden Clients – vor allem Windows – nicht wirklich hilfreich. Die Clients benötigen auf jeden Fall einen eigenen wirksamen Schutz gegen Schadsoftware.

Die Steuerung beider Virenscanner erfolgt in der WebGUI des NAS. Die Einstellungs- und Steuerungsmöglichkeiten sind hier bei beiden Engines gleich, nämlich ziemlich bescheiden. Neben aktivieren und aktualisieren kann hier auch ein oder mehrere manuelle und zeitgesteuerte Aufträge erstellen. Zum Erstellen der Aufträge ist ein Assistent vorhanden, bei dem aber auch nur rudimentäre Optionen vorhanden sind.

Auch wenn beide Engines gleichzeitig installiert sein können, kann nur immer eine gleichzeitig verwendet werden. Im erstellten Task wird immer nur mit der gerade aktivierten Engine gesucht. Genauso erhält auch nur die aktivierte Engine aktuelle Definitions-Updates. Sehr schade, dass nicht mit beiden Engines gleichzeitig, oder besser gesagt nach- oder nebeneinander gearbeitet werden kann. Man kann allerdings manuell umschalten und nacheinander oder z.B. jede 2. Woche immer mit der anderen Engine arbeiten.

Aber eigentlich kommt es bei einem Virenscanner auf das Scannen an. Also habe ich beide Scanner über das komplette System laufen lassen, mit den genau gleichen Einstellungen. Welch Überraschung, beide haben keine Viren gefunden. Huch, Schwein gehabt.

Von der Zeit her nehmen sich beide nicht so viel ab: ClamAV benötigte 1:51:19 für einen Durchlauf und McAfee 2:08:13. Interessanter ist hier schon der Bedarf an Arbeitsspeicher während des Scannens: ClamAV benötigte 550 MB Arbeitsspeicher, während McAfee mit 175 MB vorlieb nahm. Dies ist schon mal ein deutlicher Unterschied. Von der CPU-Last her waren beide mit knapp 25% in etwa wieder gleich.

Beide Scanner erzeugen nach den Scannen ein Log-File, das man sich ansehen und/oder herunterladen kann. So, und nun wird es richtig spannend. Mal angesehen davon, dass bei ClamAV nur eine Zusammenfassung steht und bei McAfee immerhin noch eine lange Liste von nicht gescannten Dateien und Fehlern, kommt es auf die Zahlen der Zusammenfassung an. Die sollte man sich mal wirklich genau ansehen und vergleichen.

Ähm, ja. Bei beiden Scanner habe ich vor dem Scannen ein Update der Definitionen auf den aktuellen Stand durchgeführt. Bei den bekannten Viren kann man ja noch sagen, McAfee fasst die vielleicht zu Gruppen zusammen – auch wenn dies bei mir einen schalen Geschmack zurück lässt, aber bei den Dateien und Ordnern müssten hier doch eigentlich die selben Zahlen stehen. Vielleicht scannt McAfee doch ein wenig gründlicher. Aber vergleicht selbst und postet das Resultat. Würde mich brennend interessieren wie es bei Euch aussieht. Unten meine Log-Dateien:

JobName = Testscan1 
LogLastScanTime = 2018/03/02 11:22:01 
AntivirusEngine = ClamAV 

-------------------------------------


----------- SCAN SUMMARY ----------- 
Known viruses: 6424121 
Engine version: 0.99.2 
Scanned directories: 177602 
Scanned files: 1490115 
Infected files: 0 
Data scanned: 26021.15 MB 
Data read: 92610.17 MB (ratio 0.28:1) 
Time: 6679.333 sec (111 m 19 s)

JobName = Testscan1 
LogLastScanTime = 2018/03/02 13:18:59 
AntivirusEngine = MCAFEE 
Start to Check Old License Server 
License Status 0 

------------------------------------------------------------------------------- 
Expire date: 2018-03-13 

~/share/Container/container-station-data/image/lxc/ubuntu-xenial/image/rootfs/dev/ram14: not scanned (err:10) 
~/share/Container/container-station-data/image/lxc/ubuntu-xenial/image/rootfs/dev/ram8: not scanned (err:10) 
.
.
.
~/share/Container/container-station-data/lib/lxc/ubuntu-xenial-1/rootfs/dev/urandom: not scanned (err:10) 
~/share/Container/container-station-data/lib/lxc/ubuntu-xenial-1/rootfs/dev/zero: not scanned (err:10) 

----------- SCAN SUMMARY ----------- 
Known viruses: 668682 
DAT version: 8819.0 (2018/03/01 22:52) 
Engine version: 5900.7806 (64bit) 
Scanned directories: 195590 
Scanned files: 1568908 
Normal files: 1564091 
Infected files: 0 (0 still infected, 0 repaired, 0 removed) 
Total errors: 4625 
Time: 7693.000 sec (128 m 13 s)

Während des Scannens blieb die TVS-473e trotz permanenter Festplattenzugriffe bei beiden Scannern angenehm leise.

ClamAV: Besser als nichts, aber immerhin kostenlos

McAfee: Auch wenn sie nicht alle Welt kostet kann man nur hoffen dass zumindest die Engine das hält was sie verspricht.

Wieder für Konsolen-Cowboys oder diejenigen die es genau wissen wollen:

Hilfe zu ClamAV-Scanner:

/usr/local/bin/clamscan –help

Hilfe zu ClamAV-Update:

/usr/local/bin/freshclam –help

Ein Update manuell durchführen:

/etc/init.d/antivirus.sh update_db

Ein Scan manuell durchführen:

/etc/init.d/antivirus.sh scan #

wobei
# für die Scanjobnummer steht z.B. 1

Status Infos:

/usr/local/bin/clamscan -V

Wem dies wieder zu kompliziert ist kann auch wieder die Scripts verwenden:

Datei

Security Tool für QNAP-NAS – Windows (Script)

Dieses Script ermöglicht das Ausführen von Security Funktionen auf der QNAP direkt vom Client aus.

Mavalok2

18. April 2021

Datei

Security Tool für QNAP-NAS – Linux, MacOS (Script)

Dieses Script ermöglicht das Ausführen von Security Funktionen auf der QNAP direkt vom Client aus.

Mavalok2

11. April 2021

Leider konnte ich für die McAfee Engine keine solche Befehle ausfindig machen, was nicht heißen soll, dass es sie nicht vielleicht doch gibt. Das Hauptprogramm für McAfee ist zu finden unter:

/share/CACHEDEV1_DATA/.qpkg/MCAFEE_QNAP/bin/

Wobei /share/CACHEDEV1_DATA/ je nach Modell wieder variieren kann, z.B. /share/MD0_DATA bei Legacy Volumes.

Für diejenigen die es interessiert wo alles abgelegt und gespeichert wird: Öffnet mit dem Editor folgende Datei:

/etc/init.d/antivirus.sh

Am Anfang des Scripts werden hier alle Pfade für beide Engines aufgelistet.

3. Proxy Server

Proxy Server dient eigentlich nicht direkt dem Schutz der QNAP. Wie der Name schon sagt dient diese App als Proxy Server, als eine Art Filter für den Netzwerkverkehr zwischen Internet und Clients - oder eben auch der QNAP - dazwischen gehängt. Der Proxy Server verfügt nehmen Cache- und Authentifizierungsfunktionen

auch über Zugriffs- und Virenschutzfunktionen, die ebenfalls eine gewisse Sicherheit bieten können.

Der Virenschutz ist SquidClamav, also eigentlich auch wieder ClamAV.

Groß getestet habe ich den ProxyServer nicht, da dazu die QNAP permanent laufen müsste, dass die Clients geschützt ins Internet können. Dennoch wollte ich Euch dieses Tool nicht vorenthalten.

Detailierte Anleitung siehe hier:

QNAP Homepage: So richtet man einen Proxyserver am QNAP NAS ein

4. Fazit

Wie Ihr seht, sind die Sicherheitstools auf der QNAP etwas rar und minimalistisch. Aber richtig konfiguriert und eingesetzt bieten sie dennoch einen gewissen Schutz.

Dennoch ist für mich aus diesem Grund eigentlich klar, dass eine QNAP ohne zusätzliche Schutzmechanismen (Pro-Firewall, Viruswall, Netzwerkfilter etc.) direkt im Internet eigentlich nichts verloren hat.