Zugriffsschutz für QNAP Beginner

Deine Daten sind dir lieb und teuer und du möchtest diese trotz Zugriff aus jeder Lebenslage nicht in fremden Händen wissen? Dieser Artikel wird das Thema Zugriffsschutz im Kontext mit QNAP NAS behandeln, er stellt kein Allheilmittel dar, ist aber dennoch zu einem gewissen Teil auch auf andere Anwendungsgebiete anwendbar. Grundsätzlich gilt, jeder ist für sein Tun und Handeln selbst verantwortlich. Wenn der eigene Wissensstand nicht ausreicht gibt es dennoch mehrere Wege das gewünschte Ziel zu erreichen. Augen zu und durch ist oft der einfachste und bequemste, aber unter Garantie der absolut falsche Weg. Ganz besonders dann wenn nur Halbwissen vorhanden ist. Lest euch schlau, fragt Freunde oder hier im Forum. IT Unternehmen gibt es auch nicht ohne Grund! In der Regel sind das die echten Experten, schließlich durchläuft IT Personal eine mehrjährige Ausbildung.


Gleich zu Beginn möchte ich all denjenigen die Illusion nehmen, die meinen es gäbe eine hundertprozentige Sicherheit. Die gibt es einfach nicht. Jedoch kann man viel erreichen, indem man ein Mindestmaß an Regeln beachtet!




Check Liste

Passwort

Dienste

Berechtigungen

Netzwerkzugangsschutz

Software

Zugang von unterwegs


Passwort Jedem sollte inzwischen bekannt sein, dass ein sicheres Passwort immer noch der erste und wichtigste Schritt auf dem Weg zum sicheren Zugriffsschutz ist und bleibt.


Was sollte ich beim erstellen eines Passwortes beachten?

  • das Passwort muss mindestens 8 Zeichen lang sein
  • es sollte Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen beinhalten
  • "admin123" oder "123456789" sind ein absolutes NO GO!
  • aus Anfangsbuchstaben von Sätzen das Passwort generieren
  • ein Passwort ein Service, niemals gleiche Kennwörter für mehrere Anmeldungen nutzen

Der folgende Satz bildet eine Eselsbrücke für ein doch leicht zu merkendes und dabei sehr sicheres Kennwort.


Im Garten laufen 2 Eichhörnchen hin und her, dabei sehen sie lustig aus! IGl2Ehuh,dssla!


Wenn ihr jetzt noch alle Optionen in den Kennwortrichtlinie am NAS aktiviert, kann keiner der Nutzer am NAS aus reiner Unwissenheit oder Faulheit ein unsicheres Kennwort erstellen.


Sicheres Passwort erstellt


Dienste: Auf eurem neu erworbenen QNAP NAS laufen von Haus aus einige Standard Dienste. Manche davon benötigt ihr zwingend für die Nutzung, andere wiederum sind eher nett aber nicht essentiell für den Betrieb notwendig.


Kurzer Exkurs zur Geschichte des NAS: Ein NAS hatte in seiner ursprünglichen Form nur die Aufgabe Daten zentral über verschiedenste Protokolle zur Verfügung zu stellen. Im letzten Jahrzehnt sind die NAS Geräte zu echten Multifunktionalen Netzwerkspeichern mit einer unmenge an zusätzlichen Diensten mutiert. Das allein ist noch nicht weiter tragisch, aber wer mehr Dienste aktiviert erhöht damit das Risiko der Sicherheit.


Kommen wir zurück zu den Diensten. Grundsätzlich gilt, alles was nicht benötigt wird gehört deinstalliert oder zumindest deaktiviert. Welche Dienste auf eurem QNAP NAS laufen lässt sich in der System Status Übersicht erkennen. Am einfachsten gelangt ihr dorthin über die QTS Suche, also die Lupe in der oberen rechten Menüleiste. Dort gebt ihr das Schlagwort Systemservice ein und öffnet das vorgeschlagene Menü.


Für den eigentlichen Einsatz eures NAS sind nur wenige Dienste notwendig. Wie an dem Screenshot zu erkennen ist, läuft auf meinem NAS nur ein Bruchteil an Diensten und trotzdem stellt das NAS Daten zentral zur Verfügung.


In den Bereich Dienste fallen auch sämtliche über das App Center installierbaren Applikationen. Diese sogenannten QPKG werden zum Großteil von QNAP entwickelt und angeboten. Es gibt aber auch weitere Quellen wie die QNAPclub Repo, welche nicht zwingend eine nicht so vertrauenswürdige Quellen sein muss, doch die Apps sind nunmal nicht offiziell von QNAP und so gehört ein gewisses Maß an Skepsis dazu. Begeht nicht den Fehler und installiert wild alle möglichen Apps. Seid euch dessen bewusst, dass jeder weitere Dienst Gefahren und Sicherheitslücken mit sich bringen kann! Was für die System Services gilt, findet auch für das App Center Anwendung. Ein Blick ins App Center ist ein muss! Alles was nicht gebraucht wird, sollte deinstalliert oder aber gestoppt werden.


Dienste gesichtet


Berechtigungen nicht jeder muss Zugriff auf alles haben und vor allem muss nicht jeder Benutzer administrative Rechte besitzen. Allein dadurch minimiert man das Risiko in Hinsicht auf unerwünschte Fremdzugriffe! Es reicht vollkommen aus, wenn nur ein Administrator angelegt wird und allen anderen Benutzer nur die benötigten Dienste zur Verfügung gestellt werden. Diese sogenannten Anwendungsberechtigungen lassen sich individuell pro Benutzer einstellen. Sucht über die QTS Suche nach dem Schlagwort Benutzer und öffnet selbige.


In der Tabelle ganz rechts befindet sich je Benutzer die Schaltfläche "Anwendungsberechtigungen (2)" bearbeiten. Hier sollten alle Anwendungen die der Benutzer nicht nutzen darf deaktiviert werden.




Berechtigungen gesetzt


Netzwerkzugangsschutz Sofern man komplett auf VPN setzt wäre dieser Punkt obsolet und dennoch möchte ich hierzu ein bis zwei Sätze verlieren. Ihr könnt geringem Aufwand den Zugriff an verschiedene Anforderungen knüpfen. So kann bei aktivierten Netzwerkzugangsschutz eingestellt werden, nach wie vielen fehlgeschlagenen Anmeldeversuchen welches Zugangsprotokoll für wie lange gesperrt wird. Unterstützte Protokolle sind SSH, Telnet, HTTP(S), FTP, Samba und AFP. Die Reglementierung geht von 5 Minuten bis hin zur dauerhaften Sperrung.


Netzwerkzugangsschutz konfiguriert


Software QNAP bietet neben den ganzen Einstellmöglichkeiten für den Zugriffsschutz auch weitere nützliche Software an. Vieles davon ist kostenlos und sollte eigentlich vom ersten Tag der Inbetriebnahme installiert und aktiviert sein. Was nicht ist kann noch werden aber solange diese Software nicht vorinstalliert, muss ein jeder in Eigenverantwortung die folgenden Programme installieren.


Der Malware Remover lässt sich mit wenigen Klicks über das App Center im QTS installieren und prüft von nun an Systemdateien auf Veränderungen, schlägt Alarm und bereinigt diese soweit möglich.


Im Gegensatz zum Malware Remover hat QNAP ein Antivir Programm inzwischen fest in das QTS System integriert. Ihr müsst es nur noch aktivieren und nach euren Wünschen konfigurieren.


Malware Remover & Antivir


Zugang von unterwegs Wenn alle oben erklärten Punkte befolgt wurden, können wir uns mit dem Zugriff von unterwegs befassen. Für sehr viele Heimanwender ist genau das einer der Hauptgründe, warum sie sich ein NAS gekauft haben. Sie wollen von unterwegs auf ihre Musik, Bilder und Dokumente zugreifen. Ich persönlich erachte es als für nicht notwendig, auf meine privaten Daten von unterwegs zuzugreifen. Soll es aber dennoch möglich sein, so gibt es aus meiner Sicht mehr oder weniger sichere Wege.


Sicher und unsicher. Als sicher gelten Zugriffe mit einer VPN Verbindung und weniger sicher sind Zugriffe einzustufen, die nur über ein Kennwort abgesichert sind. Es gibt auch Zwischenstufen, wie etwa der Zugriff über eine 2 Wege Authentifizierung. Auch das ist bei QNAP möglich.


Guten Gewissens kann man eigentlich nur eine VPN Verbindung empfehlen und auch hier gibt es wieder unterschiedliche Meinungen. Zu bevorzugen ist eine VPN Verbindung von eurem mobilen Endgerät (Notebook, Smartphone und Tablet) direkt auf den Router. Es gibt am Markt diverse Routerhersteller. Einer der am deutschen Markt bekanntesten ist die Firma AVM. Solltest du eine FritzBox besitzen, so empfiehlt sich ein Blick in die Anleitungen von AVM.


VPN ist im Zusammenhang mit Sicherheit und Zugriffsschutz für viele sehr abstrakt und wenig verständlich. Wenn ich Freunden und Bekannten VPN näher bringe und es ihnen schmackhaft machen will, dann versuche ich es so einfach wie möglich zu erläutern. Man stelle sich vor man sitzt in New York im Café und möchte zu Hause auf Rechnungen, welche auf eurem QNAP NAS liegen, oder ähnliches zugreifen. Das geht natürlich über myQNAPcloud oder jeden anderen DDNS Dienst mittels Zugriff der Filestation. Es geht aber auch eine ganze Ecke sicherer. Ein VPN also ein Virtuelles Privates Netzwerk muss man sich wie einen Tunnel vorstellen, in dem der gesamte Datenaustausch zwischen NAS und eurem Endgerät stattfindet. Anfang und Ende sind abgeschlossen und nur ihr besitzt den zuvor eingerichtet Schlüssel. Ein Zugriff von außen auf den Tunnel und damit auf die Daten ist zumindest nach heutigen Kenntnisstand nicht möglich.


Unterstützt euer Router keine VPN Verbindungen, so lässt sich auch der von QNAP angebotene Dienst auf dem NAS nutzen. Wie das funktioniert lässt sich im Handbuch nachlesen.


VPN eingerichtet


Weitere nützliche Links

Heise Netzwerkcheck https://www.heise.de/security/…=scan&submit=Scan+starten

QNAPclub Artikel Wie sichere ich mein NAS zum Internet ab?

QNApclub Artikel Sicherheit – Malware und Sicherheitslücken auf dem NAS

QNApclub Artikel Sicherheit - Security Tools für die QNAP

Kommentare 3

  • Das ist eine klasse Checkliste, Übersicht und Anleitung!

  • Hallo Gute Tipps, aber !!!!!


    Ich habe die Dienste bis auf Microsoft- Netzwerk deaktiviert.

    Seit dem komme ich aber nicht mehr auf die Web-Oberfläche!?!

    Bitte Hilfe, wie kann ich die Einstellung wieder zurück setzen?

    Kenn mich etwas, aus aber hier ... ?!?


    Gruß Klaus

    • Hallo Klaus,


      dann hast du dich ausgesperrt, was durch einen kleinen Reset von ca. 3 Sekunden behoben werden kann. Dazu bitte unbedingt vorher im Handbuch lesen, was alles resettet wird!


      Gruß

      Christian