Zugriffsschutz für QNAP Beginner

cyber-security-1805632_1280.pngDeine Daten sind dir lieb und teuer und du möchtest diese trotz Zugriff aus jeder Lebenslage nicht in fremden Händen wissen? Dieser Artikel wird das Thema Zugriffsschutz im Kontext mit QNAP NAS behandeln, er stellt kein Allheilmittel dar, ist aber dennoch zu einem gewissen Teil auch auf andere Anwendungsgebiete anwendbar. Grundsätzlich gilt, jeder ist für sein Tun und Handeln selbst verantwortlich. Wenn der eigene Wissensstand nicht ausreicht gibt es dennoch mehrere Wege das gewünschte Ziel zu erreichen. Augen zu und durch ist oft der einfachste und bequemste, aber unter Garantie der absolut falsche Weg. Ganz besonders dann wenn nur Halbwissen vorhanden ist. Lest euch schlau, fragt Freunde oder hier im Forum. IT Unternehmen gibt es auch nicht ohne Grund! In der Regel sind das die echten Experten, schließlich durchläuft IT Personal eine mehrjährige Ausbildung.


Gleich zu Beginn möchte ich all denjenigen die Illusion nehmen, die meinen es gäbe eine hundertprozentige Sicherheit. Die gibt es einfach nicht. Jedoch kann man viel erreichen, indem man ein Mindestmaß an Regeln beachtet!




Check Liste

Passwort

Dienste

Berechtigungen

Netzwerkzugangsschutz

Software

Zugang von unterwegs


Passwort Jedem sollte inzwischen bekannt sein, dass ein sicheres Passwort immer noch der erste und wichtigste Schritt auf dem Weg zum sicheren Zugriffsschutz ist und bleibt.


Was sollte ich beim erstellen eines Passwortes beachten?

  • das Passwort muss mindestens 8 Zeichen lang sein
  • es sollte Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen beinhalten
  • "admin123" oder "123456789" sind ein absolutes NO GO!
  • aus Anfangsbuchstaben von Sätzen das Passwort generieren
  • ein Passwort ein Service, niemals gleiche Kennwörter für mehrere Anmeldungen nutzen

Der folgende Satz bildet eine Eselsbrücke für ein doch leicht zu merkendes und dabei sehr sicheres Kennwort.


Im Garten laufen 2 Eichhörnchen hin und her, dabei sehen sie lustig aus! IGl2Ehuh,dssla!


Wenn ihr jetzt noch alle Optionen in den Kennwortrichtlinie am NAS aktiviert, kann keiner der Nutzer am NAS aus reiner Unwissenheit oder Faulheit ein unsicheres Kennwort erstellen.


Sicheres Passwort erstellt


Dienste: Auf eurem neu erworbenen QNAP NAS laufen von Haus aus einige Standard Dienste. Manche davon benötigt ihr zwingend für die Nutzung, andere wiederum sind eher nett aber nicht essentiell für den Betrieb notwendig.


Kurzer Exkurs zur Geschichte des NAS: Ein NAS hatte in seiner ursprünglichen Form nur die Aufgabe Daten zentral über verschiedenste Protokolle zur Verfügung zu stellen. Im letzten Jahrzehnt Zugriffschutz 1.pngsind die NAS Geräte zu echten Multifunktionalen Netzwerkspeichern mit einer unmenge an zusätzlichen Diensten mutiert. Das allein ist noch nicht weiter tragisch, aber wer mehr Dienste aktiviert erhöht damit das Risiko der Sicherheit.


Kommen wir zurück zu den Diensten. Grundsätzlich gilt, alles was nicht benötigt wird gehört deinstalliert oder zumindest deaktiviert. Welche Dienste auf eurem QNAP NAS laufen lässt sich in der System Status Übersicht erkennen. Am einfachsten gelangt ihr dorthin über die QTS Suche, also die Lupe in der oberen rechten Menüleiste. Dort gebt ihr das Schlagwort Systemservice ein und öffnet das vorgeschlagene Menü.


Für den eigentlichen Einsatz eures NAS sind nur wenige Dienste notwendig. Wie an dem Screenshot zu erkennen ist, läuft auf meinem NAS nur ein Bruchteil an Diensten und trotzdem stellt das NAS Daten zentral zur Verfügung.


In den Bereich Dienste fallen auch sämtliche über das App Center installierbaren Applikationen. Diese sogenannten QPKG werden zum Großteil von QNAP entwickelt und angeboten. Es gibt aber auch weitere Quellen wie die QNAPclub Repo, welche nicht zwingend eine nicht so vertrauenswürdige Quellen sein muss, doch die Apps sind nunmal nicht offiziell von QNAP und so gehört ein gewisses Maß an Skepsis dazu. Begeht nicht den Fehler und installiert wild alle möglichen Apps. Seid euch dessen bewusst, dass jeder weitere Dienst Gefahren und Sicherheitslücken mit sich bringen kann! Was für die System Services gilt, Zugriffschutz 2.png findet auch für das App Center Anwendung. Ein Blick ins App Center ist ein muss! Alles was nicht gebraucht wird, sollte deinstalliert oder aber gestoppt werden.


Dienste gesichtet


Berechtigungen nicht jeder muss Zugriff auf alles haben und vor allem muss nicht jeder Benutzer administrative Rechte besitzen. Allein dadurch minimiert man das Risiko in Hinsicht auf unerwünschte Fremdzugriffe! Es reicht vollkommen aus, wenn nur ein Administrator angelegt wird und allen anderen Benutzer nur die benötigten Dienste zur Verfügung gestellt werden. Diese sogenannten Anwendungsberechtigungen lassen sich individuell pro Benutzer einstellen. Sucht über die QTS Suche nach dem Schlagwort Benutzer und öffnet selbige.


In der Tabelle ganz rechts befindet sich je Benutzer die Schaltfläche "Anwendungsberechtigungen (2)" bearbeiten. Hier sollten alle Anwendungen die der Benutzer nicht nutzen darf deaktiviert werden.


Zugriffschutz 3.png


Berechtigungen gesetzt


Netzwerkzugangsschutz Sofern man komplett auf VPN setzt wäre dieser Punkt obsolet und dennoch möchte ich hierzu ein bis zwei Sätze verlieren. Ihr könnt geringem Aufwand den Zugriff an verschiedene Anforderungen knüpfen. So kann bei aktivierten Netzwerkzugangsschutz eingestellt werden, nach wie vielen fehlgeschlagenen Anmeldeversuchen welches Zugangsprotokoll für wie lange gesperrt wird. Unterstützte Protokolle sind SSH, Telnet, HTTP(S), FTP, Samba und AFP. Die Reglementierung geht von 5 Minuten bis hin zur dauerhaften Sperrung.


Netzwerkzugangsschutz konfiguriert


Software QNAP bietet neben den ganzen Einstellmöglichkeiten für den Zugriffsschutz auch weitere nützliche Software an. Vieles davon ist kostenlos und sollte eigentlich vom ersten Tag der Inbetriebnahme installiert und aktiviert sein. Was nicht ist kann noch werden aber solange diese Software nicht vorinstalliert, muss ein jeder in Eigenverantwortung die folgenden Programme installieren.


Der Malware Remover lässt sich mit wenigen Klicks über das App Center im QTS installieren und prüft von nun Zugriffschutz 4.pngan Systemdateien auf Veränderungen, schlägt Alarm und bereinigt diese soweit möglich.


Im Gegensatz zum Malware Remover hat QNAP ein Antivir Programm inzwischen fest in das QTS System integriert. Ihr müsst es nur noch aktivieren und nach euren Wünschen konfigurieren.


Malware Remover & Antivir


Zugang von unterwegs Wenn alle oben erklärten Punkte befolgt wurden, können wir uns mit dem Zugriff von unterwegs befassen. Für sehr viele Heimanwender ist genau das einer der Hauptgründe, warum sie sich ein NAS gekauft haben. Sie wollen von unterwegs auf ihre Musik, Bilder und Dokumente zugreifen. Ich persönlich erachte es als für nicht notwendig, auf meine privaten Daten von unterwegs zuzugreifen. Soll es aber dennoch möglich sein, so gibt es aus meiner Sicht mehr oder weniger sichere Wege.


Sicher und unsicher. Als sicher gelten Zugriffe mit einer VPN Verbindung und weniger sicher sind Zugriffe einzustufen, die nur über ein Kennwort abgesichert sind. Es gibt auch Zwischenstufen, wie etwa der Zugriff über eine 2 Wege Authentifizierung. Auch das ist bei QNAP möglich.


Guten Gewissens kann man eigentlich nur eine VPN Verbindung empfehlen und auch hier gibt es wieder unterschiedliche Meinungen. Zu bevorzugen ist eine VPN Verbindung von eurem mobilen Endgerät (Notebook, Smartphone und Tablet) direkt auf den Router. Es gibt am Markt diverse Routerhersteller. Einer der am deutschen Markt bekanntesten ist die Firma AVM. Solltest du eine FritzBox besitzen, so empfiehlt sich ein Blick in die Anleitungen von AVM.


VPN ist im Zusammenhang mit Sicherheit und Zugriffsschutz für viele sehr abstrakt und wenig verständlich. Wenn ich Freunden und Bekannten VPN näher bringe und es ihnen schmackhaft machen will, dann versuche ich es so einfach wie möglich zu erläutern. Man stelle sich vor man sitzt in New York im Café und möchte zu Hause auf Rechnungen, welche auf eurem QNAP NAS liegen, oder ähnliches zugreifen. Das geht natürlich über myQNAPcloud oder jeden anderen DDNS Dienst mittels Zugriff der Filestation. Es geht aber auch eine ganze Ecke sicherer. Ein VPN also ein Virtuelles Privates Netzwerk muss man sich wie einen Tunnel vorstellen, in dem der gesamte Datenaustausch zwischen NAS und eurem Endgerät stattfindet. Anfang und Ende sind abgeschlossen und nur ihr besitzt den zuvor eingerichtet Schlüssel. Ein Zugriff von außen auf den Tunnel und damit auf die Daten ist zumindest nach heutigen Kenntnisstand nicht möglich.


Unterstützt euer Router keine VPN Verbindungen, so lässt sich auch der von QNAP angebotene Dienst auf dem NAS nutzen. Wie das funktioniert lässt sich im Handbuch nachlesen.


VPN eingerichtet


Weitere nützliche Links

Heise Netzwerkcheck https://www.heise.de/security/…=scan&submit=Scan+starten

QNAPclub Artikel Wie sichere ich mein NAS zum Internet ab?

QNApclub Artikel Sicherheit – Malware und Sicherheitslücken auf dem NAS

QNApclub Artikel Sicherheit - Security Tools für die QNAP

Kommentare 7

  • Hallo Christian,


    danke für den Artikel! Ich hatte zunächst myQNAPcloud aktiviert. Nach lesen dieses Artikels, war mir klar: VPN über die Fritzbox ist sinnvoller für mich. Gesagt getan, hab gedacht, kann ja nicht viel schief gehen. Pusteblume. Nach Umstellung des IP-Adressraums kam ich nicht mehr auf meine QNAP. Ich war 5 Stunden ziemlich verzweifelt und konnte keinen Fehler finden. Google und das Forum half auch nicht weiter. Dachte erst, jetzt ist alles futsch. Zum Glück konnte ich das Problem durch anschließen eines Monitors, Tastatur und Maus an den NAS beheben.


    Lange Rede, kurzer Sinn: Mein TS251D bzw. die QuFirewall hat alles genauso gemacht, wie er/sie sollte. Ich hatte die Zugriffe per Regel auf den IP-Bereich 192.168.178.0 beschränkt und genau so war es ja auch. Ich konnte nicht mehr von meinem Laptop aus zugreifen. Nicht über das neu eingerichtete VPN, aber lokal ging noch alles. Lehre: Vor der Einrichtung und Netzwerkumstellungen vorher die Firewallregeln anpassen, sonst sperrt man sich selber aus!

  • Hallo Christian,


    eine gute Artikelzusammenstellung für Beginner.


    Kann es sein, dass dieser Artikel eine Aktualisierung verträgt, und zwar im Abschnitt Software?


    Soweit ich QNAP verstanden habe, hat der Hersteller seine Sicherheitsempfehlungen aktualisiert mit einem neuen Dienst ab der Freigabe der Version 4.4 des Betriebssystems QTS. Dieser neue Dienst nennt sich Security Counselor.

    • Ja. Gehört m.E. entweder inzwischen in diesen Artikel integriert oder verlinkt. Habe diesen erst mit der Freigabe der QTS Version 4.4 kennengelernt und wurde auf die dringende Empehlung von QNAP aufmerksam gemacht. Weiß nicht mehr, ob dies in den Release Notes war, als QTS 4.4 (und der Security Counselor) den Beta-Status verloren haben.

  • Das ist eine klasse Checkliste, Übersicht und Anleitung!

  • Hallo Gute Tipps, aber !!!!!


    Ich habe die Dienste bis auf Microsoft- Netzwerk deaktiviert.

    Seit dem komme ich aber nicht mehr auf die Web-Oberfläche!?!

    Bitte Hilfe, wie kann ich die Einstellung wieder zurück setzen?

    Kenn mich etwas, aus aber hier ... ?!?


    Gruß Klaus

    • Hallo Klaus,


      dann hast du dich ausgesperrt, was durch einen kleinen Reset von ca. 3 Sekunden behoben werden kann. Dazu bitte unbedingt vorher im Handbuch lesen, was alles resettet wird!


      Gruß

      Christian