Sicherheit - Security Tools für die QNAP

„Welche Sicherheitstools gibt es für die QNAP und welche soll ich verwenden?“ Diese Frage wird in letzter Zeit immer öfter hier im Forum gestellt. Deshalb stelle ich kurz die gängigen vorhanden Tools vor. Vorne weg: Die Liste ist kurz.


  • Malware Remover (kostenlos aus dem App Center)
  • Antivirus – ClamAV (standardmäßig schon installiert)
  • Antivirus – McAfee (x86, kostenpflichtig aus dem App Center)
  • Proxy Server (kostenlos aus dem App Center)



1. Malware Remover


Die App Malware Remover scannt das System nach ganz bestimmten Schadprogrammen ab. Die App ist jedoch kein Virenscanner im klassischen Sinne. Sie scannt also nicht alle Daten nach Schadsoftware ab, wie es ein Virenprogramm machen würde, sondern nur nach ganz spezifischem Schadcode, der der QNAP schaden könnte. Das Programm wird von QNAP gepflegt. Der Malware Remover ersetzt nicht den Virenscanner, ergänzt ihn aber sehr gut. Deshalb würde ich auf jeden Fall empfehlen diese App zu installieren. Sie kann aus dem App Center kostenlos installiert.

Die aktuelle Version (Stand 01.06.2018) ist Version 3.0.0. Diese Version ist auch die erste, die mit einem graphischen Userinterface daher kommt.



Die Version 3.0.0 lässt sich ab QTS 4.3.x installieren. Für QTS 4.2.x und älter steht die Version 2.4.0 zur Verfügung. Diese verfügt leider noch nicht über ein graphisches Benutzerinterface. Um dennoch komfortabel einen manuellen Scan durchführen zu können gibt es diese Scripts:

Die Scripts funktioniert aber auch mit Version 3.0.0.


:!:Für Konsolen-Cowboys oder diejenigen die es genau wissen wollen:


Der Malware Remover wird im Verzeichnis


/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/


installiert. Wobei/share/CACHEDEV1_DATA/ je nach Modell variieren kann, z.B. /share/MD0_DATA bei Legacy Volumes. Ein manueller Scan kann in der Konsole mit folgendem Befehl gestartet werden:


/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover_cron.sh


Der Befehl


cat /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh



befördert betroffene und Konfigurations-Pfade zu Tage.



2. Virenscanner: ClamaAV vs. McAfee


Dieser Abschnitt des Artikels stammt größtenteils von einem meiner anderen Artikel:

Testbericht – TVS-473e-4G Teil 5: Apps – Container Station, Q'Center und mehr

Der ist noch nicht so alt und man muss das Rad ja nicht immer neu erfinden.


Gleich vorne weg: Hier werde ich nicht die Schutzwirkung beider Programme testen und vergleichen. Dies überlasse ich professionellen Instituten wie z.B. http://www.av-test.org/de. Hier werden diverse Virenscanner in regelmäßigen Abständen auf Herz und Nieren überprüft. Da ich keine Tests mit den QNAP-Scannern gefunden habe, gehe ich mal davon aus, dass die Schutzwirkung in etwa den Windows-Versionen entspricht.


Der mit QTS ausgelieferte Virenschutz ist von ClamAV. Dies ist eine Open Source AntiVirus-Engine die vor Viren, Trojanern und anderer Schadsoftware schützen soll.

McAfee ist eine kostenpflichtige Engine, die nur für x86-Modell verfügbar ist und eine zusätzliche Lizenz aus dem QNAP-Lizenzstore benötigt. Die von mir verwendete Testversion kann einen Monat lang gratis getestet werden. Danach kostet die Lizenz (Stand 02.03.2018) für 1 Jahr 9$ USD und für 3 Jahre 19 $USD, also nicht die Welt.

Getestet habe ich die ClamAV Version 0.99.2 die mit QTS 4.3.4.0435 mitgeliefert wird – aktuell wäre 0.100.0 (Stand 01.06.2018 gemäß clamav.net) – und McAfee Version 2.0.0 – aktuell 2.0.1 (Stand 01.06.2018), die aus dem App Center herunterladen und installiert werden kann und knapp 400 MB zusätzlichen Speicher auf der Festplatte belegt.

Leider sind beide Virenscanner nur On-Demand-Scanner, d.h. sie scannen nur auf Befehl, manuell oder per Zeitplan. Beide scannen nicht On-Access, sprich permanent wenn sich Daten verändern, geöffnet oder auf die Festplatte des NAS geschrieben werden. Somit haben beide Scanner nur eine sehr eingeschränkte Schutzwirkung. Im Fall der Fälle wäre ein zeitgesteuerter Scan, z.B. am Wochenende viel zu spät dran. Da das Betriebssystem von QNAP auf Linux basiert, ist dies für die QNAP selbst nicht so schlimm, aber für die verbunden Clients – vor allem Windows – nicht wirklich hilfreich. Die Clients benötigen auf jeden Fall einen eigenen wirksamen Schutz gegen Schadsoftware.


Die Steuerung beider Virenscanner erfolgt in der WebGUI des NAS. Die Einstellungs- und Steuerungsmöglichkeiten sind hier bei beiden Engines gleich, nämlich ziemlich bescheiden. Neben aktivieren und aktualisieren kann hier auch ein oder mehrere manuelle und zeitgesteuerte Aufträge erstellen. Zum Erstellen der Aufträge ist ein Assistent vorhanden, bei dem aber auch nur rudimentäre Optionen vorhanden sind.



Auch wenn beide Engines gleichzeitig installiert sein können, kann nur immer eine gleichzeitig verwendet werden. Im erstellten Task wird immer nur mit der gerade aktivierten Engine gesucht. Genauso erhält auch nur die aktivierte Engine aktuelle Definitions-Updates. Sehr schade, dass nicht mit beiden Engines gleichzeitig, oder besser gesagt nach- oder nebeneinander gearbeitet werden kann. Man kann allerdings manuell umschalten und nacheinander oder z.B. jede 2. Woche immer mit der anderen Engine arbeiten.


Aber eigentlich kommt es bei einem Virenscanner auf das Scannen an. Also habe ich beide Scanner über das komplette System laufen lassen, mit den genau gleichen Einstellungen. Welch Überraschung, beide haben keine Viren gefunden. Huch, Schwein gehabt. ^^

Von der Zeit her nehmen sich beide nicht so viel ab: ClamAV benötigte 1:51:19 für einen Durchlauf und McAfee 2:08:13. Interessanter ist hier schon der Bedarf an Arbeitsspeicher während des Scannens: ClamAV benötigte 550 MB Arbeitsspeicher, während McAfee mit 175 MB vorlieb nahm. Dies ist schon mal ein deutlicher Unterschied. Von der CPU-Last her waren beide mit knapp 25% in etwa wieder gleich.



ClamAV

McAfee

Zeit

1:51:19

2:08:13

Arbeitsspeicher

550 MB

175 MB

CPU-Last

20 - 25%

15 - 25%


Beide Scanner erzeugen nach den Scannen ein Log-File, das man sich ansehen und/oder herunterladen kann. So, und nun wird es richtig spannend. Mal angesehen davon, dass bei ClamAV nur eine Zusammenfassung steht und bei McAfee immerhin noch eine lange Liste von nicht gescannten Dateien und Fehlern, kommt es auf die Zahlen der Zusammenfassung an. Die sollte man sich mal wirklich genau ansehen und vergleichen.



ClamAV

McAfee

Bekannte Viren

6'424'121

668'682

Gescannte Ordner

177'602

195'590

Gescannte Dateien

1'490'115

1'568'908


Ähm, ja. Bei beiden Scanner habe ich vor dem Scannen ein Update der Definitionen auf den aktuellen Stand durchgeführt. Bei den bekannten Viren kann man ja noch sagen, McAfee fasst die vielleicht zu Gruppen zusammen – auch wenn dies bei mir einen schalen Geschmack zurück lässt, aber bei den Dateien und Ordnern müssten hier doch eigentlich die selben Zahlen stehen. Vielleicht scannt McAfee doch ein wenig gründlicher. Aber vergleicht selbst und postet das Resultat. Würde mich brennend interessieren wie es bei Euch aussieht. Unten meine Log-Dateien:



Während des Scannens blieb die TVS-473e trotz permanenter Festplattenzugriffe bei beiden Scannern angenehm leise.


ClamAV: Besser als nichts, aber immerhin kostenlos


McAfee: Auch wenn sie nicht alle Welt kostet kann man nur hoffen dass zumindest die Engine das hält was sie verspricht.


:!:Wieder für Konsolen-Cowboys oder diejenigen die es genau wissen wollen:


Hilfe zu ClamAV-Scanner:

/usr/local/bin/clamscan –help


Hilfe zu ClamAV-Update:

/usr/local/bin/freshclam –help


Ein Update manuell durchführen:

/etc/init.d/antivirus.sh update_db


Ein Scan manuell durchführen:

/etc/init.d/antivirus.sh scan #

wobei
# für die Scanjobnummer steht z.B. 1


Status Infos:

/usr/local/bin/clamscan -V


Wem dies wieder zu kompliziert ist kann auch wieder die Scripts verwenden:


Leider konnte ich für die McAfee Engine keine solche Befehle ausfindig machen, was nicht heißen soll, dass es sie nicht vielleicht doch gibt. Das Hauptprogramm für McAfee ist zu finden unter:


/share/CACHEDEV1_DATA/.qpkg/MCAFEE_QNAP/bin/


Wobei /share/CACHEDEV1_DATA/ je nach Modell wieder variieren kann, z.B. /share/MD0_DATA bei Legacy Volumes.


Für diejenigen die es interessiert wo alles abgelegt und gespeichert wird: Öffnet mit dem Editor folgende Datei:


/etc/init.d/antivirus.sh


Am Anfang des Scripts werden hier alle Pfade für beide Engines aufgelistet.



3. Proxy Server


Proxy Server dient eigentlich nicht direkt dem Schutz der QNAP. Wie der Name schon sagt dient diese App als Proxy Server, als eine Art Filter für den Netzwerkverkehr zwischen Internet und Clients - oder eben auch der QNAP - dazwischen gehängt. Der Proxy Server verfügt nehmen Cache- und Authentifizierungsfunktionen



auch über Zugriffs- und Virenschutzfunktionen, die ebenfalls eine gewisse Sicherheit bieten können.



Der Virenschutz ist SquidClamav, also eigentlich auch wieder ClamAV.

Groß getestet habe ich den ProxyServer nicht, da dazu die QNAP permanent laufen müsste, dass die Clients geschützt ins Internet können. Dennoch wollte ich Euch dieses Tool nicht vorenthalten.


Detailierte Anleitung siehe hier:

QNAP Homepage: So richtet man einen Proxyserver am QNAP NAS ein



4. Fazit


Wie Ihr seht, sind die Sicherheitstools auf der QNAP etwas rar und minimalistisch. Aber richtig konfiguriert und eingesetzt bieten sie dennoch einen gewissen Schutz.

Dennoch ist für mich aus diesem Grund eigentlich klar, dass eine QNAP ohne zusätzliche Schutzmechanismen (Pro-Firewall, Viruswall, Netzwerkfilter etc.) direkt im Internet eigentlich nichts verloren hat.

Kommentare 6

  • Danke für den Artikel und die Mühe die Ihr euch gemacht habt. :-)


    Habe ich das richtig verstanden, dass mit dem installieren des Proxy-Servers die Festplatten nicht mehr schlafen gehen ?



    Gruß Rainer

    • Das weiß ich leider nicht. Ich habe nur erwähnt, dass wenn die QNAP ausgeschaltet ist, oder auch im Schlafmodus ist, der Proxy Server natürlich nicht funktioniert und somit auch der Internetzugriff über diesen.

    • Zitat

      Habe ich das richtig verstanden, dass mit dem installieren des Proxy-Servers die Festplatten nicht mehr schlafen gehen ?

      Was ist bei dem Fall, wenn zu den (normalen, drehenden) Harddisks noch eine SSD eingebaut ist und der Proxy-Server dort auf eben dieser SSD installiert ist?

      Fahren die HDDs dann auch nicht runter?


      Und warum soll ein NAS über Firewall, Netzwerkfilter o.ä. im Netzwerk eingebunden sein?

      Wenn ich etwas aus dem Internet hole, so scanne ich dieses direkt auf dem PC und kommt im Bedarfsfall erst dann auf das NAS.

      Von Zeit zu Zeit scannt man dann mit dem dann jetzt aktuellen Virenscanner die letztens auf das NAS weggeschriebenen Daten.

      Ich bin seit 1984 extern verbunden (Forschungsnetzwerk - CERN u. KFA | damals hieß das noch nicht Internet) und hatte seither erst 2 mal Virenbefall, davon keiner ein veritabler.


      Grüße


      TVR

    • Zitat

      Was ist bei dem Fall, wenn zu den (normalen, drehenden) Harddisks noch eine SSD eingebaut ist und der Proxy-Server dort auf eben dieser SSD installiert ist?

      Fahren die HDDs dann auch nicht runter?

      Habe ich nicht und kann ich nicht ausprobieren - habe hier keine SSD im Einsatz. Aber vermutlich müsstest Du das NAS komplett neu auf der SSD installieren, denn ich wüsste nicht, wie Du ein einzelnes Programm auf einer anderen Festplatte installieren könntest. Würde aber auch Sinn machen, wenn Du schon eine SSD hast.

      Zitat

      Und warum soll ein NAS über Firewall, Netzwerkfilter o.ä. im Netzwerk eingebunden sein?

      Viele greifen von Außen über das Internet auf ihr NAS zu. Somit muss das NAS - auf die eine oder andere Art - von Außen zugänglich sein, sprich steht im Internet. Andere laden direkte mit dem NAS Daten aus dem Internet herunter.

  • Oh das ist gemein, ich hatte vor einer Woche mit dem selben Thema begonnen :( Aber hey du warst schneller!

    • Oje, tut mir leid. In diesem Fall ist auch Dir aufgefallen, dass dieses Thema gefragt zu sein scheint. Leider ein kurzes Thema. Mir fehlt vor allem eine Firewall.


      Edit:

      Aber immerhin kann ich sagen, dass ich schon etwas länger an dem Thema dran bin. Habe mich vor ca. 1 Monat mit den Scripten in das Thema eingearbeitet.