Security - Das NAS offen im Internet

00 Titel.jpgAus aktuellem Anlass möchte ich hier ein häufig diskutiertes Thema aufgreifen. Hierbei geht es um das ″offen ins Internet stellen″ eines NAS. Unter ″offen ins Internet stellen″ verstehe ich das NAS nach Außen ins Internet zu öffnen, Zwecks Anbieten und Zugreifen von Daten oder Diensten über das eigene NAS aus dem Internet. Dabei spielt es hier keine Rolle, ob es sich um die Photos für den Verein, die eigene Homepage oder die Bereitstellung der Daten für den Kunden handelt.



1. Kurz und knapp


Ich entschuldige mich schon im Vornherein, denn einige von Euch werden nach dem Lesen dieses Textes beleidigt sein, sich betrogen fühlen – nicht von mir, aber von QNAP, sauer / wütend sein und wieder andere werden mir schlicht nicht glauben wollen. Denn nichts kann so hart und unangenehm sein wie die ungeschönte harte Wahrheit. Aber leider sehe ich hier keinen anderen Weg mehr als mal richtig Klartext zu schreiben. Alles andere habe ich in diesem Punkt aufgegeben und hat keinen Sinn mehr. Kein Schönreden, kein Wenn und kein Aber, kein Vielleicht, einfach nur die harten Fakten.

Übrigens: Nicht den Überbringer von schlechten Nachrichten für den Inhalt vierteilen. Ich bin kein Hersteller, kein PR-Manager und auch kein Programmierer, weder bei QNAP noch sonst wo. Ich mache keine Software. Ich sage nur wie es ist.


Im 1. Punkt werde ich Euch in aller Kürze die wichtigsten Fakten hin knallen, damit es für die eher sparsamen Leser kurz, für die ″Noch-nicht-ganz-Wissenden″ verständlich und für alle anderen spannend bleibt. ;)


Kann ich mein NAS ins Internet öffnen und Daten / Dienste freigeben?

Ja.

Das ist schon mal eine gute Nachricht, aber auch die einzige. Ab hier wird es Euch nicht mehr gefallen.


Kann kann ich dies alleine mit Bordmitteln?

Nein.


Wieso nicht? Der Hersteller bietet dies doch an.

Ist nicht sicher.


Gibt es keine andere Möglichkeiten?

Doch. Eine VPN-Verbindung auf Euren Router oder noch besser auf eine echte Firewall.


Mein Router kann dies nicht. Ich würde lieber die VPN-Verbindung auf das NAS machen. Ist dies möglich?

Nein.


Wieso nicht? Der Hersteller bietet dies doch an.

Ist nicht sicher.


VPN ist nicht das was ich benötige. Ich möchte die Daten per HTTP(S), FTP, Photo Station, etc. ins Internet stellen. Ist dies alleine mit Bordmitteln möglich?

Nein.


Wieso nicht? QNAP bietet dies doch an.

Ist nicht sicher.


Dann habe ich das falsche NAS gekauft. Das nächste Mal kaufe ich ein Synology NAS, die können das doch alleine mit Bordmitteln, oder?

Nein.


Wieso nicht? Synology bietet dies doch an.

Ist nicht sicher.


Wieso bieten die Hersteller dies dann an, wenn man es nicht verwenden kann?

Man kann es sicher verwenden, indem man VPN oder andere zusätzliche Schutzmaßnahmen verwendet.


Was sind dies für zusätzliche Schutzmaßnahmen?

Sicherheitsmaßnahmen von Drittherstellern, die auf zusätzlicher Hardware laufen.


Ist diese kostenlos?

Softwarelizenzen teilweise für den privaten Gebrauch. Kommerziell, nein.


Ist dies einfach zu bedienen und konfigurieren?

Nein.


Wieso versprechen dies die Hersteller alles bei den Heim- und SOHO-Modellen in den Hochglanzprospekten?

Werbeversprechen darf man nicht für bare Münze nehmen.


Und was mache ich jetzt mit meinem NAS? VPN kann / will / geht nicht, Zusatzmaßnahmen sind mir zu kompliziert / teuer / aufwändig und ich habe das NAS nur für den Zugriff von Außen gekauft.

Dich das nächste Mal besser informieren, und zwar nicht mit den Hochglanzprospekten.


Wieso verkaufen die Hersteller solche Modelle an Heim- und SOHO-Anwender?

Die Hersteller sind nicht verantwortlich für den Wissensstand des Käufers.


Ich habe das NAS offen im Internet, ohne VPN, ohne zusätzliche Schutzmaßnahmen. Funktioniert doch.

Ist nicht sicher.


Was mache ich denn nun?

Sofort aus dem Internet nehmen und die Luken dicht machen.


Was kann denn passieren?

So ziemlich alles was Du nicht willst, von ″Das NAS läuft nicht mehr″ bis ″die Daten sind weg″ ist alles dabei.



So kurz durchatmen und erst mal beruhigen. Ich habe Euch ja gewarnt, dass es Euch nicht gefallen wird.



2. Das Warum und Wieso


Nun die etwas ausführlichere Erklärung dazu.


Wieso es mit den Bordmitteln nicht funktionieren kann

Wieso sollte ein billig NAS etwas können was ein ausgewachsener Windows- und Linux-Server auch nicht von alleine kann? Der Vorteil von Windows- und Linux-Servern ist, dass diese um die notwendige Funktionalität nachgerüstet werden können. Für QNAP-NAS gibt es leider keine brauchbare Sicherheitssoftware, auch nicht zum Nachrüsten von Drittherstellern, weder eine ausgewachsenen Firewall, noch Virenscanner, noch andere Scanner die den Zugriff in Echtzeit prüfen oder andere Filterfunktionen bieten würden.


Die Sicherheitsfunktionen auf einem QNAP NAS

Der standardmäßig verbaute Virenscanner beim QNAP-NAS ist der kostenlose Scanner von ClamAV. Mal ganz abgesehen von der mäßigen Scan- und Erkennungsleistung ist dieser Scanner nur ein On-Demand-Scanner. D.h. der Scanner prüft nur auf Befehl oder nach Zeitplan, aber nicht permanent. Bis der wöchentliche Scan ausgeführt wird, ist es schon viel zu spät und der Scanner kann besten Falls noch den Befall feststellen. Das Selbe gilt für den kostenpflichtigen McAfee Scanner. Auch beim kostenlosen Malware Remover von QNAP ist es nicht anderes. Für einen sicheren Schutz muss der Scanner jedoch jede Datei, jeden Download, jeden Stream, jeden Port, jede Verbindung, jeden Zugriffen, jeden und alles prüfen – am Besten mehrfach - bevor irgend etwas auf dem NAS gemacht werden darf. Bei den kleinen NAS wäre dies schon von der Prozessor-Leistung und des verbauten Arbeitsspeicher gar nicht möglich. Bei den größeren zwar schon, wird aber trotzdem nicht angeboten.


VPN als Alternative

Mit einer VPN-Verbindung besteht eine weitestgehend sichere Möglichkeit von Außen auf das NAS zuzugreifen. Hier wird ein sicherer Tunnel für die Kommunikation zwischen zwei Geräten aufgebaut. Hierfür ist jedoch ein Router oder eine Firewall notwendig, die eine VPN-Verbindung aufbauen kann. Viele aber nicht alle Router können dies. Noch besser dafür geeignet ist eine spezielle Firewall. Die sind dafür ausgelegt, dass sie mit Angriffen von Außen zurecht kommen.


Vorteil:

Wenn man sich mit einem VPN-Tunnel von Außen mit seinem heimischen Netzwerk verbindet, ist es so, als ob sich das Gerät im heimischen Netzwerk befinden würde. Sämtliche Dienst und Freigaben, sogar der Netzwerkdrucker sind ansprechbar und nutzbar. Und dies alleine durch das richtige konfigurieren eines VPN-Tunnels. Hier muss nichts mehr zusätzlich eingerichtet werden.

Das NAS befindet sich hinter der Firewall – egal ob einer dezidierten oder die des Routers. Diese bekommen jetzt die „Kloppe“ aus dem Internet ab. Aber die können besser damit umgehen als ein NAS.

VPN-Client Software gibt es für alle Geräte und Betriebssystem. Oft ist ein VPN-Client schon im System integriert oder kann oft kostenlos nachgerüstet / nachinstalliert werden. Oft bieten auch die Router oder Firewall-Hersteller eine Client-Software an.


Nachteil:

Auf jedem Gerät welches mit VPN ins heimische Netzwerk von Außen eingebunden werden soll, muss die VPN-Client Software konfiguriert werden.

Für eine größere Nutzerschaft und Verbreitung ist dies eher nicht geeignet, z.B. die eigene Homepage für das öffentliche Internet.


Wieso VPN direkt auf das NAS nicht sicher ist

Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab. Ein NAS ist, wie oben schon geschrieben, dafür einfach nicht gerüstet und kann auch nicht dafür nachgerüstet werden.


Falsche Versprechen?

Manch einer wird sich jetzt fragen, wieso dies von den Herstellern dann überhaupt angeboten und beworben wird. Mit dem richtigen Wissen und technischen Mittel lässt sich dies auch umsetzen. Es ist nicht so, dass die Hersteller etwas anbietet, was so überhaupt nicht möglich ist. Es ist nur für den ″Noch-nicht-wissenden″ (noch) nicht möglich, zumindest nicht sicher. Mag sein dass die Hochglanzbewerbungen ein wenig optimistisch sind. Ich sage es Euch ja nur ungern, aber auch wenn Ihr einen Energydrink einer gewissen Marke getrunken habt, solltet Ihr Euch nicht von einer Brücke stürzen, denn selbiger Drink verleiht - entgegen der Werbung - keine Flügel.


Synology macht alles besser

Auch Synology kocht nur mit Wasser. Will heißen, auch hier herrschen die selben Probleme mit dem nicht ausreichenden Schutz des NAS. Mag sein, dass Synology hier im Moment weniger Probleme hat. Aber das ist die selbe Diskussion, wieso Windows so unsicher und Mac Computer so viel sicherer sind, oder iOS und Android – zumindest dem Anschein nach. Beim Mac ist es klar. Bei nur ein paar Prozent Verbreitung auf den gesamten Desktop-Markt ist der Grund schnell gefunden: Für Mac Computer ist es eher uninteressant Schadsoftware zu erstellen.

Von QNAP und Syno kenne ich jetzt keine Verkaufszahlen und Marktanteile, stelle mir aber vor, dass beide etwa ähnlich haben könnten. Über das Warum QNAP NAS im Moment stärker attackiert wird kann ich nur mutmaßen, denn Sicherheitslücken haben Synology NAS auch. Die Situation kann sich jedoch jederzeit wieder ändern. Ich für meinen Teil würde auch ein Synology NAS nicht ohne zusätzlichen Schutz offen ins Internet stellen.


Zusätzliche Schutzmaßnahmen

Ohne zusätzlichen Schutz stellt man vernünftigerweise keinen Server und kein NAS offen ins Internet, egal ob Windows-, Mac- ( :D der war gut, Mac-Server :D vielleicht im Museum :D ) und Linux-Server oder QNAP- und Synology-NAS.

Bei Linux- und Windows-Servern kann dieser zusätzliche Schutz auf dem Server durch entsprechende Software-Paket nachträglich installiert werden. Viele bekannte und namhafte Hersteller von Internet-Sicherheitslösungen stellen auch spezielle Versionen für Server her. Hier wird zum Teil auch nach Anwendung und Dienst noch zusätzlich unterschieden. Solche Lösungen sind jedoch meist kostenintensiv und nicht gerade einfach zu konfigurieren und zu bedienen. Leider gibt es für NAS keine solche Lösungen – zumindest nicht nativ.

Ein anderer Ansatz ist ein zusätzlicher Schutz in Form einer zusätzlichen Netzwerk-Komponente, ähnlich einem Router. Dies kann ein eigener Server, eine Appliance (Spezial-Hardware für diesen Zweck, von einer kleinen Box bis zu einem ausgewachsenen Spezial-Server), ein alter angepasster PC oder ein kleinst PC sein. Dies hängt von den Anforderungen, den Bedürfnissen und der jeweiligen Situation ab. Auf diesen Geräten sind dann Software-Paket mit diversen Filtersystemen installiert. Diese filtern dann den gesamten Netzwerkverkehr nach bestimmten definierten Dingen. Von der Viruswall (Viren- und Schadsoftware Filter), Firewall (Netzwerkschutz und Port-Filter, noch am ehesten bekannt und sollte eigentlich in keinem Netzwerk fehlen, zumindest in einer kleinen Ausführung, z.B. im Router), Spamfilter (Filter für Werbung und Banner), Contentfilter (Filter nach Inhalt, Schlagworten, Dateityp etc.), Applicationfilter (Dienste und Programme), IPS (Intrusion Prevention System – Angriffsabwehr), URL-Filter (Webseitenfilter) und und und bis hin zu ganzen System, die eine Vielzahl dieser Systeme beinhalten.

Diese Systeme sind allesamt nicht ganz einfach zu konfigurieren und bedienen und benötigen eine permanente Pflege. Einmal aufsetzen und gut ist gibt es nicht. Je nach System auch etwas kostenintensiv. Nichts was man nicht lernen kann, wenn man den Willen dazu hat, aber nicht an einem Wochenende.


Das kann mit einem NAS passieren, das ungeschützt offen im Internet steht

Viele werden sich jetzt denken: ″Was erzählt der da? Bei mir ist das NAS offen im Internet eingerichtet und keine Probleme damit. Was kann denn da schon groß passieren?″

Also wenn Dir Dein NAS und deine Daten nicht wichtig sind eigentlich gar nichts. Dann ist alles i.o.

Aber sind Dir Dein NAS und deine Daten wichtig, dann willst Du sicher keine dieser Probleme:

Vom Abgreifen der Daten (Passwörter, Tastatureingaben, Textdokumente, E-Mails bis hin zu Bildern), Entführen der Daten mit Erpressung (Verschlüsselung der Daten mit Lösegeldforderungen für die Entschlüsselung, die dann funktionieren kann oder auch nicht oder auch nur teilweise, Russisches Datenroulett also), teilweisem oder kompletten Löschen der Daten, Einbinden in ein Botnetz (klingt erst mal nicht so schlimm, aber Stichwort Haftung und Ressourcen des NAS), beschädigen des Betriebssystem bis hin zur Beschädigung der Hardware kann alles dabei sein. Und dazu werden die Hacker und Schadsoftwareprogrammierer immer kreativer. Solange sie von der Unwissenheit und dem Leichtsinn der Benutzer leichtes Geld verdienen können ist keine Ende absehbar.



3. Weitere Informationen


Wer es immer noch nicht wahr haben will, der kann und soll sich diese zusätzlichen Informationen zur Gemüte ziehen:


Die QNAP Security Advisory (Sicherheitsberichte):

https://www.qnap.com/en/security-advisory

Qsnatch:

https://www.zdnet.com/article/…with-the-qsnatch-malware/

Muhstik Ransomware:

https://www.enigmasoftware.de/muhstikransomware-entfernen/

Oder auch in unserem Clubforum:

.muhstik Maleware Befall

eCh0raix:

https://www.qnap.com/de-de/news/2019/erklärung-von-qnap-zu-ransomware-angriffen-durch-ech0raix

https://www.bleepingcomputer.c…ores-qnap-files-for-free/

Hier crooks für Synology, für die die glauben Synology sei sicher:

https://www.zdnet.com/article/…e-force-password-attacks/

Oder hier für QNAP und Synology:

https://www.heise.de/security/…sicherte-NAS-4477214.html


Die Liste könnte man beliebig verlängern, ändert an den Tatsachen aber nichts. Und es kommen immer mehr dazu.



4. Fazit


Dieser Artikel kratzt gerade mal etwas an der Oberfläche dieser Thematik. Aber man sieht schon, dass das NAS offen ins Internet stellen nicht eben mit 2 Klicks erledigt ist. Zumindest dann nicht, wenn das NAS und die darauf befindlichen Daten sicher sein sollen. Auch wenn mancher PR-Prospekt was anderes erzählen und der geneigte Benutzer sich was anderes vorstellen mag, die nackten Tatsachen in der Praxis sprechen eine andere Sprache, eine unangenehme und unerbittliche Sprache. Ich sage es ja nur ungern, aber da draußen im Internet herrscht Krieg. Und die Verlierer sind diejenigen, die sich nicht ausreichend schützen. Auch wenn die Verluste zumeist nur in digitaler Form sind, kann es für den einen oder anderen auch im privaten Umfeld recht reale Konsequenzen haben.

Für diejenigen von Euch, die das NAS so ungeschützt im geschäftlichen Umfeld einsetzen, kann ich nur eindringlich warnen. Ich sage nur: Haftung, Gewährleistung, Sicherheit und Datenschutz. Ich bin kein Rechtsexperte, aber dies kann sehr schnell sehr teuer werden. Ein kaputtes NAS dürften dann wohl Eure geringsten Sorgen sein. Also nehmt so etwas nicht auf die leichte Schulter.

Ich hoffe, dass ich dem einen oder anderen die Augen öffnen konnte. Und nochmals: Nicht den Boten der Nachricht vierteilen. ;)

Kommentare 44

  • Hallo zusammen,


    ich habe dazu mal folgende Frage: Ich habe ein NAS welches von außen über eine DynDNS Adresse (nicht die QnapCloud Adresse) und nur über einen bestimmten Port zu erreichen ist. Ist diese Form genauso unsicher? Also keinen Direktzugriff sondern nur über die weitergeleitete Web-Adresse und einen nur mir bekannten Port.?


    Gruß

    Marcus

    • Kannst Du damit von außerhalb auf Dein NAS zugreifen? Wenn ja, könnten dies Hacker auch, unter Ausnutzung von Sicherheitslücken, Fehlkonfiguration, Schadsoftware etc.

      Auch eine kleine Türe bleibt eine Türe. Und wenn sie nach Außen offen steht... Es muss nicht immer das Scheunentor sein.

  • Einfach nur Danke

    Gefällt mir 1
  • Hallo Leute,

    ich habe zu diesem Thema Fragen betreffend der Sicherheit.
    Auf meiner QNAP läuft die Virtualization Station, in der sich eine VM-Nextcloud-Instanz befindet, die auf einem Ubuntu-Server installiert ist.
    An der QNAP verwende ich 2 physische Netzwerkports, die per Kabel an 2 verschiedenen physikalisch getrennten Switches angeschlossen sind.
    Switch 1 ist direkt mit dem Internet( IP 192.168.2.x) verbunden.

    Switch 2 hängt nur im internen LAN(ohne Internetverbindung IP: 10.0.0.x).
    Die Nextcloud ist am phys. Adapter 1(am Switch 1) über den virtuellen Switch im Internet und daher auch von außen erreichbar.

    Die anderen Daten(interner Fileshare) sind am phys. Adapter 2 (am Switch 2) und über den anderen virtuellen Switch angebunden.

    Besteht vom Internet aus die Gefahr(über die Virtualization Station) ins andere (interne) Netz (IP: 10.0.0.x) einzudringen?
    Wenn ja welche zusätzlichen Schutzmechanismen sollte ich ins Auge fassen?

    Danke für eure wertvollen Informationen im Voraus

    andi

    • Ohweh, das wurde hier im Club schon kontrovers diskutiert. Auch außerhalb des Club scheiden sich die Geister.


      Wenn QNAP seinen Job gut gemacht hat sollte grundsätzlich nicht viel passieren. Wenn. Aber Sicherheitslücken gibt es immer wieder. Dann kann auch mal was ausbrechen.


      Da die VM ein Ubuntu-Server ist wäre eine Firewall und ein Virenscanner ein Ansatz für zusätzlichen Schutz im Internet.

      Netzwerksicherheit durch entsprechende Netzwerkgeräte (Firewall, Viruswall, UTM etc.) ein anderer nicht immer ganz billiger Ansatz.

    • Hallo Mavalok2,

      vielen Dank für deine Informationen.

      Dann wird die interne Ubuntu-Firewall und das fail2ban-Modul wahrscheinlich nicht ausreichen oder?
      Besser eine Hardwarefirewall einsetzen?

      Danke

      SG

      andi

    • Kommt immer auf den Einsatzzweck an. Eine Firewall sollte immer vorhanden und konfiguriert sein, zumindest die im Router, besser natürlich eine ausgewiesene Firewall.

      Letzten Endes ist es immer ein Abwägen von Kosten, Nutzen und Aufwand. Ein ausgefeilte Sicherheitstechnik will auch gepflegt werden.

  • Das nenne ich mal einen echten, konstruktiven Kommentar </Ironie>


    1. Länger als der eigentliche Artikel!

    2. Nichts, absolut nichts Konkretes!

    3. Nur Sprechblasen, im wahrsten Sinn des Wortes...


    Wer so einen Verriss schreibt, sollte wenigstens den Anstand besitzen, die bemängelten Fakten/Daten zu liefern.

    Meckern kann jeder, aber hinsetzen und konstruktiv zu einem besseren Ergebnis beizutragen, ist dann zu aufwändig!?


    Wie wäre es mit einem eigenen Blog, in dem Du Deine Sicht des Ganzen vorstellst?

    • @FSC830 und @Jagi

      War absehbar, dass nicht allen meine Aussage passen wird. Wobei dies schon eher Schönreden der 3. Art ist. :)

      Trotzdem danke für die Rückendeckung.

      Gefällt mir 1
  • Du hast den falschen Nicknamen gewählt. Schlaubi wäre passender.

    Anstatt die Korrekturen direkt zu liefern damit @Mavalok2 diese direkt einpflegen kann kommt nur gesülze von deiner Seite.

    Gefällt mir 1
  • Schöner Artikel, aber zu undifferenziert und inzwischen veraltet, auch die Angaben auf den Webseiten von QNAP. Soweit ich verstanden habe, hat QNAP mit dem jüngsten QTS 4.4 Update (der vergangenen 10 Tage) auch eine Änderung der Absicherung von Updates und seinem AppStore umgesetzt. Habe dazu aber noch wenig Info gesehen, lediglich eine Anmerkung in den Release Notes. Es wäre interessant, wenn QNAP diese Änderung in weitere seiner Sicherheitsanleitungen integrieren würde und neue Konfigurationsmöglichkeiten vorstellen würde, andere Protokollvarianten als die neue zu deaktivieren.

    Zitat von Mavalok2

    Hierbei geht es um das ″offen ins Internet stellen″ eines NAS. Unter ″offen ins Internet stellen″ verstehe ich das NAS nach Außen ins Internet zu öffnen, Zwecks Anbieten und Zugreifen von Daten oder Diensten über das eigene NAS aus dem Internet.

    Diese Definition ist bereits problematisch, da sie unterschiedliche Konstellationen und Konfigurationen zusammen fasst.


    Offen im Internet heißt für mich direkt ans Internet angeschlossen, ohne jegliche Abschirmung, z.B. mittels einer Firewall. Keine Ahnung, mit welchem Aufwand so etwas in Deutschland überhaupt noch möglich ist. Besser fände ich, wenn die verschiedenen Möglichkeiten aufgelistet und anschließend vorgestellt würden, ein NAS ans Internet anzuschließen, samt Bewertung dieser Optionen aus Sicherheitsaspekten. Im Artikel wurden drei Varianten benannt, soweit ich verstanden habe. Ich erachte es unbefriedigend, wie eine der dreien Varianten disqualifiziert wird. Unzweifelhaft ist diese weniger sicher als die anderen. Aber nach meinem unzureichenden Kenntnisstand wird bei dieser Disqualifikation zu stark vereinfacht, so dass m.E. Wahrheit und Dichtung z.T. vermischt werden.

    Zitat von Mavalok2

    Diese Systeme sind allesamt nicht ganz einfach zu konfigurieren und bedienen und benötigen eine permanente Pflege. Einmal aufsetzen und gut ist gibt es nicht.

    Genau. Daher fehlt ein wichtiger Punkt in der Einleitung, wie er in diesem Zitat nur gestreift wird. Einmal aufsetzen und gut ist ein weit verbreiteter Irrtum, sowohl zum Datenschutz seit der DSGVO als auch zur Sicherheit schon immer. Sicherheit in der IT ist eine Sammlung von Risikoprozessen, nie ein Zustand. Absolute Sicherheit gibt es nicht. Was absoluter Sicherheit schon recht nahe kommt, steht nicht im Artikel, wurde aber vom Autor in einem Kommentar leicht euphemistisch nachgereicht: 100% Sicherheit gibt es nur, wenn Du das NAS in der Verpackung lässt und sicher verwahrst.

    Zitat von Mavalok2

    Mit einer VPN-Verbindung besteht eine weitestgehend sichere Möglichkeit von Außen auf das NAS zuzugreifen. Hier wird ein sicherer Tunnel für die Kommunikation zwischen zwei Geräten aufgebaut. Hierfür ist jedoch ein Router oder eine Firewall notwendig, die eine VPN-Verbindung aufbauen kann.

    Dies ist nur eine Variante von VPN. Ein VPN kann

    • zwischen zwei Geräten
    • zwischen einem Gerät und einem Netzwerk
    • zwischen zwei Netzwerken

    eingerichtet werden.

    Zitat von Mavalok2

    Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab.

    Für mich macht es einen Unterschied, ob ein NAS direkt im Internet hängt, oder nur über ein VPN aus dem Internet erreichbar ist. In wie weit solle der zweite Satz überhaupt stimmen. Das verstehe ich noch nicht. Und auch am letzten Nebensatz des ersten Satzes habe ich so meine Zweifel. Für mich ist die erste Front in dem Fall nicht das NAS sondern das VPN. Solange das VPN nicht gekapert ist, was solle da das NAS voll abbekommen? Nachvollziehen könne ich eine Behauptung, dass im Fall des VPN direkt auf dem NAS eine Hürde weniger bestehe, was für mich aber eine völlig andere Bedeutung hat, und eher graduelle Unterschiede im Sicherheitsniveau unterschiedlicher Ansätze beschreibe. Ähnlich habe ich auch den Kommentar von Sumpfdotter verstanden.

    Zitat von Mavalok2

    Leider gibt es für NAS keine solche Lösungen – zumindest nicht nativ.

    So undifferenziert erscheint mir dies doch eine gewagte Aussage. Ich habe keine Erfahrung mit großen Enterprise NAS, weder von QNAP noch HP, Lenovo oder Dell, oder wen es sonst noch als Anbieter gibt. QNAP hat z.B. bei seinen Dual-Boot-Systemen neben dem Betriebssystem QTS noch QES. Bietet QES nicht auch ein jail-Feature? Und bei den anderen Herstellern großer Systeme tut sich einiges sowohl nativ als auch bei Add-On-Lösungen.

    Zitat von Mavalok2

    Das kann mit einem NAS passieren, das ungeschützt offen im Internet steht

    Viele werden sich jetzt denken: ″Was erzählt der da? Bei mir ist das NAS offen im Internet eingerichtet und keine Probleme damit. Was kann denn da schon groß passieren?″

    Also wenn Dir Dein NAS und deine Daten nicht wichtig sind eigentlich gar nichts. Dann ist alles i.o.

    Aber sind Dir Dein NAS und deine Daten wichtig, dann willst Du sicher keine dieser Probleme:

    Vom Abgreifen der Daten (Passwörter, Tastatureingaben, Textdokumente, E-Mails bis hin zu Bildern), Entführen der Daten mit Erpressung (Verschlüsselung der Daten mit Lösegeldforderungen für die Entschlüsselung, die dann funktionieren kann oder auch nicht oder auch nur teilweise, Russisches Datenroulett also), teilweisem oder kompletten Löschen der Daten, Einbinden in ein Botnetz (klingt erst mal nicht so schlimm, aber Stichwort Haftung und Ressourcen des NAS), beschädigen des Betriebssystem bis hin zur Beschädigung der Hardware kann alles dabei sein.

    Den ersten Antwortsatz diesen Zitats halte ich für schlichtweg falsch. Der Grund liegt im letzten Satz, wie er mit Einbindung in ein Botnetz bezeichnet wird. Unter dem Haftungsaspekt gibt es sowohl eine zivilrechtliche als auch eine strafrechtliche. Sowohl erhebliche Schadenersatzforderungen, als auch Gerichtsverfahren und Gefängnis halte ich für deutlich erheblicher als eigentlich gar nichts.

    Zitat von Usefulvid

    Ich hatte lange qvpn zum Internet geöffnet.

    In wie weit stellt QVPN eine weitere Variante bereit? Welche Einschränkungen hat dieses Tool hinsichtlich Authentifizierung? Und welche weiteren sicherheitsrelevanten Einschränkungen oder auch Stärken hat es gegenüber anderen Alternativen?


    In wie weit stellt myQNAPcloud eine weitere Alternative dar? Mit welchen Stärken und Einschränkungen?

    Zitat von Tonictrinker1

    Ich weiß nicht, ob QNAP seine eigenen Softwareupdates über Hashes absichert.

    Das habe ich gemeint, dass sich dies jüngst geändert habe laut den Release Notes zum jüngsten Update von QTS 4.4. Es gäbe nun gesicherte Signaturen für das Update. Einzelheiten zu dieser Änderung und gegebenenfalls Konfigurationsmöglichkeiten habe ich bislang nicht gesehen.

    Zitat von Tonictrinker1

    Warum ist der VPN-Server des NAS denn per se unsicherer als der einer Fritzbox?

    Das kann ich nicht beurteilen und würde es auch nicht per se behaupten. Was davon unberührt einen graduellen Unterschied im Sicherheitsniveau macht, ist, dass unabhängig von der Qualität der jeweiligen VPN-Server, eine Hürde weniger von einem Angreifer zu überwinden ist, wenn das Schutzobjekt auf dem VPN-Server selbst liegt, als wenn erst noch ein anderes Gerät erreicht werden müsse.

    Zitat von Mavalok2

    Weil ein NAS einem Angriff nichts entgegen zu setzen hat. Eine Fritzbox ist gehärtet (auf ein Minimum reduziert, wenn man so will, zumindest ansatzweise) - also das Gegenteil von einem NAS, wo immer noch mehr Dienste, Apps und Treiber darauf gepackt werden. Eine Fritzbox hat eine Firewall, nichts großartiges, aber immer hin. Ein NAS hat eine Sperrliste.

    Eine solche Schwarz-Weiss-Malerei trifft es sicher nicht. Tendenziell ist es richtig. Eine Fritzbox mit aktuellem Betriebssystem ist deutlich besser gehärtet als dieselbe Fritzbox mit einem Stand des Betriebssystems von vor einigen Jahren. Das hat auch unangenehme Nebeneffekte auf Konfiguration und Wartbarkeit. Eine QNAP NAS ist weniger gehärtet. Und ich habe noch keine Anleitung zum Härten gefunden, abgesehen von wenigen Hinweisen in einem Artikel auf den Webseiten von QNAP zur Sicherheit.

    Zitat von Mavalok2

    Über den MS Defender kann ich nur schmunzeln, sorry. Für den heimischen PC vielleicht, aber dort wo es darauf ankommt... Hier kann man ja nichts steuern.

    Nachdem, was ich sowohl bei heise online als auch anderen, unabhängigen Quellen lese, ist MS Defender seit diesem Jahr auf der Höhe der Zeit hinsichtlich Virenschutz. Und für Windows Server gibt es auch noch Erweiterungen von Microsoft. Von daher kann dieser inzwischen einen vollwertigen Platz in einem Sicherheitskonzept einnehmen. Für ein solches Konzept braucht es heute aber deutlich mehr als nur einen aktuellen Virenscanner. Ist daher die Einschätzung zum Schmunzeln veraltet oder ironisch gemeint?

    Zitat von Mavalok2

    Was die möglichen Sicherheitsmechanismen von einem QNAP-NAS anbelangt, da gibt es ein paar HowTo von QNAP und die QNAP App Security Counselour

    Genau das samt den Links hätte m.E. bereits in den Artikel gehört. Dort sind wertvolle Hinweise aufgeführt, von denen ich bislang nur einen Teil kannte.

    Zitat von Mavalok2

    Die anderen Sicherheitsmechanismen wie VPN- und zusätzliche Sicherheitssoftware auf zusätzlicher Hardware hängt natürlich vom jeweiligen Produkt ab und hat mit dem QNAP-NAS als solches eigentlich gar nichts mehr zu tun und gehört genau genommen nicht hierher.

    Die Wertung im letzten Nebensatz sehe ich anders. Gerade für Anfänger gehören bestimmte Allgemeinwahrheiten grundlegender Sicherheitskonzepte wiederholt und daher auch benannt und vorgestellt in solch einem Artikel. Dann wäre eben nicht mehr die Rede von einer Firewall sondern von mehreren. Wenn ich eine NAS vom Internet zugänglich machen will, sollte ich es in eine eigene Sicherheitszone (DMZ) packen. Eine Firewall regelt den Übergang ins Internet und die andere Firewall den Übergang ins lokale Netz (LAN und WLAN). Und warum welche Eigenschaften eines Backupkonzeptes auch für ein NAS wichtig sind, um welchen Schutz zu erreichen (Ransomware, Datenverlust).

    Zitat von Nasferatu

    Wenn der VPN Server aber in einer virtuellen Maschine auf dem NAS läuft, dann sollten die geforwardeten Pakete ja auschschließlich von der VM verarbeitet werden. Und die typische Malware dürfte wohl nicht so komplex aufgebaut sein, dass sie auch noch versucht, aus der VM auszubrechen.

    Gegen Virtualisierung von Sicherheitsbausteinen ist i.d.R. nichts einzuwenden. Bei hohen IO-Anforderungen kann aber dezidierte Hardware vorteilhafter sein. Und warum fragst Du nach typisch? Es ist jedenfalls nicht mehr exotisch. Das Sicherheitkonzept von Hypervisoren wurde lange nicht beachtet. Inzwischen versuchen sich einige Hypervisoranbieter damit zu differenzieren, wie ich diesen Oktober auf der Messe it-sa sehen durfte.

    Zitat von Mavalok2

    Was das Virtualisieren von Sicherheitslösungen anbelangt da streiten sich noch die Geister.

    Das sehe ich anders. M.W. hat sowohl die Virtualisierung von Sicherheitslösungen ihre Berechtigung als auch Implikationen für den Umgang mit VMs, und relativ neu die Betrachtung der Sicherheitsaspekte der Hypervisoren selbst. Man sollte auch in diesem Zusammenhang wissen, was man tut, wo man es platziert, und wie integriert.

    Zitat von Medikit

    Wieso versprechen dies die Hersteller alles bei den Heim- und SOHO-Modellen in den Hochglanzprospekten?

    Werbeversprechen darf man nicht für bare Münze nehmen.


    könnte man noch drastischer formulieren: Werbung darf fast alles versprechen, nur nicht offensichtlich lügen.

    Mit allen Konsequenzen, einschließlich rechtlicher. Gerichte nehmen solche Versprechen ernst. Auf Antrag prüfen sie, in wie fern solche Versprechen zugesicherte Eigenschaften darstellen, wie wesentlich diese Eigenschaften sind, und urteilen dann auch entsprechend zur Durchsetzung wesentlicher Versprechen als bereits bezahlten Nachbesserungsanspruch bei Missachtung!

    Zitat von Mavalok2

    wenn man sich an die Apps von QNAP selbst hält dürfte man relativ sicher sein.

    Dieser Aussage muss ich eindeutig widersprechen. Einige dieser Apps benötigen andere Werkzeuge, z.B. Java (JRE). Oracle als Hersteller von JRE warnt eindeutig vor dem Einsatz derartig veralteter Versionen der JRE, wie sie von QNAP bereit gestellt werden, weil nicht mehr sicher! Das dürfte auch für einige weitere Werkzeuge gelten, die QNAP bislang nur veraltet bereit stellt.

    • Zitat von chef1

      hat QNAP mit dem jüngsten QTS 4.4 Update (der vergangenen 10 Tage) auch eine Änderung der Absicherung von Updates und seinem AppStore umgesetzt.

      Das würde das Sicherheitsproblem von QNAP aber in keinster Weise lösen. Ohne Echtzeitschutz keine Sicherheit.

      Zitat von chef1

      Diese Definition ist bereits problematisch, da sie unterschiedliche Konstellationen und Konfigurationen zusammen fasst.

      Richtig, ist auch so beabsichtigt, da alle Zugriffe von Außen betroffen sind, unabhängig von Art und Funktion.

      Zitat von chef1

      Dies ist nur eine Variante von VPN. Ein VPN kann

      • zwischen zwei Geräten
      • zwischen einem Gerät und einem Netzwerk
      • zwischen zwei Netzwerken

      eingerichtet werden.

      Ja und nein. Natürlich gibt es z.B. mit Site-2-Site-VPN die Möglichkeit eine Verbindung zwischen 2 Netzwerken aufzubauen, aber letzten Endes bauen auch hier nur 2 Geräte z.B. 2 Firewalls eine VPN-Verbindung zwischen einander auf.

      Zitat von chef1
      Für mich macht es einen Unterschied, ob ein NAS direkt im Internet hängt, oder nur über ein VPN aus dem Internet erreichbar ist. In wie weit solle der zweite Satz überhaupt stimmen. Das verstehe ich noch nicht. Und auch am letzten Nebensatz des ersten Satzes habe ich so meine Zweifel. Für mich ist die erste Front in dem Fall nicht das NAS sondern das VPN.

      Wenn das NAS die VPN-Verbindung zur Verfügung stellt und aufbaut, muss das NAS zwangsläufig direkt von Außen ansprechbar sein. Und somit ist das NAS natürlich auch direkt von Außen angreifbar. Wird die Verbindung über eine Firewall gemacht, ist das NAS als Geräte im Internet gar nicht bekannt, weil es so auch nicht im Internet stehen muss. Das übernimmt in diesem Fall die Firewall.

      Zitat von chef1

      So undifferenziert erscheint mir dies doch eine gewagte Aussage.

      Was ist hier undifferenziert. Von und für QNAP gibt es nichts nativ für QTS - und davon reden wir hier schließlich, sind ja im QNAP-Forum - auch nicht von Drittherstellern. Mag sein, dass sich dies vielleicht irgendwann ändern mag. Aber im Moment ist der Stand einfach so, dass es keine brauchbaren Sicherheitslösungen für ein QNAP NAS für QTS gibt, die ein sicheres ins Internetstellen des NAS ermöglichen würde. Von Virtualisierung reden wir hier nicht, denn die viele Heim-NAS können dies gar nicht. Letzten Endes ist dieser Beitrag für Heim-Benutzer gedacht und nicht für Enterprise-Admins. Denen muss man nicht erklären wie Sicherheit funktioniert. ;)

      Zitat von chef1

      Den ersten Antwortsatz diesen Zitats halte ich für schlichtweg falsch.

      Ich weiß, an meinem Sarkasmus muss ich noch etwas arbeiten. ;)

      Zitat von chef1

      Eine solche Schwarz-Weiss-Malerei trifft es sicher nicht.

      Wenn Du dies so bezeichnen willst. Ich nenne dies Fakten.

      Gefällt mir 1
  • Schöner Artikel, vielen Dank!

    Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab.

    Wie genau ist hier Deine Argumentation? An welche Schwachstelle denkst Du da?


    Hier würde ich nicht mitgehen. Der Unterschied zeigt sich doch erst, wenn das VPN gehackt wird: Im einen Fall ist der Angreifer auf Deinem Router, im anderen Fall auf Deinem NAS. Kann beides auf seine Art unschön werden. Ist aber m.E. nicht zwingend relevant:


    Die Frage ist doch, ob ein gutes und gut konfiguriertes VPN überhaupt relevante Sicherheitslücken hat. Wenn Du OpenVPN halbwegs brauchbar konfigurierst, kannst Du es aus dem Internet nicht scannen. Dann wählst Du noch einen ganz wilden Port. Wie soll da ein Angreifer überhaupt auf die Idee kommen, dich anzugreifen? Das müsste schon ein gezielter Angriff eines Wissenden sein. Deshalb denke ich schon, dass man das OpenVPN durchaus auch auf dem NAS betreiben könnte, ohne relevante Sicherheitseinbuße.

    • 1)

      Ich denke da an keine spezielle Schwachstelle. Aber eine VPN-Verbindung bildet einen Tunnel zwischen 2 Geräten. Wenn Du die VPN-Verbindung auf das NAS selbst machst, besteht dieser Tunnel durch die Firewall / Router hindurch. Sprich das NAS steht eigentlich theoretisch wieder offen im Internet, muss es ja.


      2)

      Nun wenn Deine Firewall oder Dein Router gehackt wird, liegen da aber noch nicht Deine Daten, auf dem NAS schon.

      Mal abgesehen davon, was ist wohl schneller gehackt: Firewall oder QNAP-NAS. ;) Eine Firewall, selbst ein halbwegs brauchbarer Router, ist gehärtet und dafür ausgelegt. Ein NAS - gerade bei einem Heimanwender, ist das genaue Gegenteil. Mit den vielen Diensten und Apps ist das NAS verweichlicht.


      3)

      Sicher, besser ein VPN auf dem NAS als gar kein VPN. Aber ich halte nicht viel davon Sicherheitssysteme und Datensysteme auf der gleichen Hardware zu betreiben. Bricht hier was aus sind die "Wege" recht kurz zu den Daten.

      Zu OpenVPN auf dem NAS kann ich jetzt nichts sagen, denn für mich war und wird dies nie ein Thema sein. Wie betreibst Du denn OpenVPN auf Deinem NAS, als Container?

      Schwachstellen gab und gibt es immer wieder. Auch ein hoher Port kann gescannt werden. Wenn Du keine Firewall hast, die ein solches Scannen unterbindet, wie willst Du dann ein Scannen bis zu den hohen Ports verhindern? Oder beinhaltet OpenVPN auch eine Firewall? Allerdings wäre dann die Firewall meiner Meinung nach immer noch an der falschen Stelle. Die hört an den "Anfang" des Netzwerks, vom Internet aus gesehen.

      Betreibst Du dies auf einer getrennten zusätzlichen Hardware sieht das Ganze schon besser aus. Das Ganze ist natürlich immer eine Frage des eigenen Bedarfs an Schutz. Für den privaten Haushalt, wenn es denn nicht anders geht. Aber die paar Geld für eine getrennte Firewall mit VPN-Funktion wäre es mir nicht wert das Risiko einzugehen.

      Für eine Firma, selbst nur für einen 1-Mann-Betrieb, ist eine geeignete Firewall Pflichtprogramm. Geht ohne schlechtweg nicht. Ich denke da nur schon an Datenschutz, Haftung etc. Wenn hier irgendetwas passiert mit den Kundendaten. Ich weiß ja nicht, bin kein Anwalt, aber das kann unter Umständen dann ziemlich teuer werden. Wie schon geschrieben, dafür die paar Geld für eine Firewall ist es das Risiko schlicht nicht wert. Muss ja keine highend Enterprise Lösung mit allen Optionen sein.

  • Danke für den Artikel! Ich hatte lange qvpn zum Internet geöffnet. Vorteil war ja, dass man nur einen Port öffnen muss. Mittlerweile läuft der VPN auf dem Raspi wegen besserer Authentifizierungsmethoden. Den Punkt, dass man damit sein NAS natürlich trotzdem damit zum Internet hin öffnet hatte ich gar nicht bedacht.

    Ist bekannt über welchen Kanal die Ransomware (die du erwähnst) auf die Kisten gekommen ist? War auch mal VPN als Einfallstor dabei?

    • Als Einfallstor wurden verschiedene Dinge bei den unterschiedlichen Schadsoftwaren genannt. Unter anderem war mal die Music Station mit dabei. Aber am besten wenn Du da mal die QNAP Security Advisory (Sicherheitsberichte) durchliest:

      https://www.qnap.com/en/security-advisory

      Nur weil es für eine Lücke keine Schadsoftware gekannt ist heißt dies noch lange nicht, dass dies nicht schon ausgenutzt wird oder irgendwann noch wird. Deshalb hilft eigentlich nur geeignete Schutzmaßnahmen. Am Besten mehrstufig. Angefangen von einer Härtung des NAS durch entsprechende Konfiguration bis hin zu zusätzlichen Filterfunktionen. Denn auf eine Maßnahme alleine sollte man sich nicht verlassen. Kann immer etwas unerwartetes passieren. Selbst wenn Updates regelmäßig und zuverlässig herauskommen und diese auch sehr zeitnahe eingespielt würden, wird oder kann oft erst reagiert werden, wenn schon eine Schadsoftware ihre Unwesen treibt. Pech für die die es zuerst trifft. Und auf das Glückspiel "mich wird es schon nicht als ersten Treffen" stehe ich nicht so sehr.

      Gefällt mir 1
  • Schöner Artikel.

    Was ich jetzt bei den aufgeführten Bedrohungen nicht so recht verstand, war wie diese auf das System gelangen.

    Bei einigen wird stumpfer Bruteforce vermutet, was auf unzulängliche Passwörter hindeutet.

    Bei Qsnatch ist auch nicht ganz klar, wieso nicht alle betroffen waren. Von alten Versionen ist die Rede.


    Gibt es denn jetzt eine Methode, welche die NAS' direkt von außen (also nicht über eingeschleppte Malware), ohne Bruteforce infizieren kann? Damit meine ich Schwächen in den Diensten, welche an den Ports lauschen. Etwas anderes könnte es sein, wenn App oder Firmware-Downloads gefaked werden. Ich weiß nicht, ob QNAP seine eigenen Softwareupdates über Hashes absichert.


    Was verwendet QNAP um seine Photostation etc. ins Netz zu stellen? Sind das proprietäre Dienste oder wird da Vorhandenes genutzt (apache etc.)?


    Die ersten Jahre hatte ich die File- und Photostation sowie das Admin-Interface auch direkt am Netz und sogar eine Nextcloud. SSH und solche Dinge öffne ich nur, wenn ich sie brauche.

    Passwörter sind Passwortsätze oder kommen aus dem Generator. Zugriff nur via SSL.Updates werden nach ein zwei Wochen eingespielt oder sogar früher.

    Mittlerweile erfolgt der Zugriff nur noch übers VPN des NAS. Offen ist nur noch ein https-Port wegen der Updates und Zertifikate, ein RTRR Port und einer fürs VPN.

    Einen Befall hatte ich bis jetzt zum Glück noch nie.


    Warum ist der VPN-Server des NAS denn per se unsicherer als der einer Fritzbox?


    Eins ist natürlich klar. Wenn genügend Aufwand betrieben wird, wird man auch hinter eine der gepriesenen Hardwarefirewalls gelangen. Entweder wegen Sicherheitslücken der Firmware, wie es in letzter Zeit bei Cisco auffiel oder weil die Konfiguration mangelhaft ist.

    Gefällt mir 1
    • Zitat von Tonictrinker1

      Gibt es denn jetzt eine Methode, welche die NAS' direkt von außen (also nicht über eingeschleppte Malware), ohne Bruteforce infizieren kann?

      Ob es aktuelle eine Bedrohung gibt, die dies bei QNAP-NAS ausnutzt oder nicht kann ich Dir auch nicht sagen. So tief bin ich in der Materie auch nicht drin. Und selbst wenn aktuelle nichts bekannt ist, heißt es noch lange nicht, dass es sie nicht gibt oder bald geben wird. Durch Sicherheitslücken im System, den Diensten und Apps ist dies durchaus möglich, oder wie Du selbst schon geschrieben hast, auch durch fehlerhafte Konfiguration.

      Zitat von Tonictrinker1

      Was verwendet QNAP um seine Photostation etc. ins Netz zu stellen? Sind das proprietäre Dienste oder wird da Vorhandenes genutzt (apache etc.)?

      Da kann ist jetzt nichts dazu sagen.

      Zitat von Tonictrinker1

      Warum ist der VPN-Server des NAS denn per se unsicherer als der einer Fritzbox?

      Weil ein NAS einem Angriff nichts entgegen zu setzen hat. Eine Fritzbox ist gehärtet (auf ein Minimum reduziert, wenn man so will, zumindest ansatzweise) - also das Gegenteil von einem NAS, wo immer noch mehr Dienste, Apps und Treiber darauf gepackt werden. Eine Fritzbox hat eine Firewall, nichts großartiges, aber immer hin. Ein NAS hat eine Sperrliste. Da damit wehrt man natürlich alle Bedrohungen ab (Sarkasmus, um nicht Unklarheiten aufkommen zu lassen). Besser ist hier natürlich immer eine echte Firewall.

      Zitat von Tonictrinker1

      Wenn genügend Aufwand betrieben wird, wird man auch hinter eine der gepriesenen Hardwarefirewalls gelangen.

      Bei Security geht es immer darum, den Aufwand für das Eindringen (wie auch immer diese erfolgen mag) so hoch zu halten, das es für den Verursacher / Eindringling nicht mehr attraktiv ist. 100% Sicherheit gibt es nur, wenn Du das NAS in der Verpackung lässt und sicher verwahrst.

      Gefällt mir 1
  • Schöner Artikel.
    Allerdings finde ich, dass dein Erklärungsversuch unter "Warum und Wieso" nicht in die richtige Richtung deutet. Offensichtlich ist keine der letzten Angriffe über Dateien ins System eingeschleppt worden. Deshalb sind die Virenscanner vorerst unverdächtig. Vielmehr waren es Sicherheitslücken in der Firmware, die von Angreifern ausgenutzt wurden. Verbesser mich wenn ich falsch liege, dieser Befall kann weder von den Virenscannern erkannt noch verhindert werden. Wenn ich mich richtig erinnere, werden nicht einmal Systemfiles gescannt. Im Systembereich "agiert" nur der Malware-Remover.


    Neben den Sicherheitslücken in der Firmware, ist der Hobby-Admin eines NAS-Systems eine vergleichbar große Schwachstelle. Zu einfache Passworte, das Beibehalten der Default-Passworte, gedankenloses Freischalten/Weiterleiten der Ports, ohne zu Wissen, was sie da überhaupt anrichten. Ich finde, das ist erwähnenswert. Kein Angst vor dem Vierteilen, ich gebe deine Adresse nicht weiter ...


    Früher war ich übrigens auch der Meinung, dass wer auf seine Daten verzichten kann, z.B. um lediglich ein paar Fotos auf FB zu sharen, sein NAS in Netz stellen kann. Heute würde ich dem widersprechen. Es geht ja nicht nur um den eigenen Schaden, den der NAS-Betreiber selbst zu vertreten hat. Sein gekarpertes NAS kann auch Bestandteil einer Botfarm an Systemen werden, die im Internet Schaden bei anderen Systembetreibern anrichten kann. Beispielsweise, dass die Botfarm DDoS-Attacken fährt und/oder SPAM-Mails versendet. Der Schaden bei Dritten kann damit viel größer werden, als beim NAS-Betreiber selbst. Und deshalb appeliere ich für eine Sorgfaltspflicht bei der NAS-Nutzung. Schließlich darfst du dein Auto (ja, die beliebten Autovergleiche ziehen immer noch) auch nicht mit steckendem Schlüssel am Straßenrand stehen lassen. (§14 StVO Sicherung des Fahrzeugs gegen unbefugte Nutzung.)

    Gefällt mir 2
    • 1)

      Du hast recht, die Virenscanner die es für QNAP-NAS gibt können dies nicht erkennen, was ich, denke ich, auch so deutlich geschrieben habe. Allerdings bestehen Netzwerkfiltersysteme (UTM) nur zu einem kleinen Teil aus einem Virenfilter. Wie ich auch geschrieben habe gibt es verschiedene Filtersystem die jeweils einen Teilbereich abdecken, was das Ganze ja so kompliziert macht. Auch auf den Servern und auch auf normalen PCs im Geschäftsbereich sind die Filtersysteme um ein vielfaches Komplexer als auf dem heimischen PC. Über den MS Defender kann ich nur schmunzeln, sorry. Für den heimischen PC vielleicht, aber dort wo es darauf ankommt... Hier kann man ja nichts steuern.


      2)

      Tja, da hast Du leider recht. Aber dies hat mit dem "offen ins Internet stellen" nur begrenzt zu tun, denn sobald man ein NAS nur schon ans Internet hängt - nicht geöffnet, gilt es schon grundlegende Sicherheitsmassnahmen zu berücksichtigen. Wie ich schon unten bei einem anderen Kommentar geschrieben habe gibt es da von QNAP und anderen schon etlich Erklärungen. Ich kann ja nicht immer bei Adam und Eva beginnen. :)


      3)

      Da hast Du mich falsch verstanden. Das war sarkastisch gemeint. Ich gehe mal davon aus, dass niemand ein NAS kauft um dieses absichtlich und willentlich schrotten zu lassen. Das selbe gilt für die Daten - sicherheitshalber kopieren und anschliessend löschen. ;) Aber Du hast recht, es mag wohl den einen oder anderen geben der so denken mag.

      Gefällt mir 1
  • Also ich finde das Thema gut, jedoch ist der Artikel für mich nicht das, was ich mir davon versprechen würde. Anstatt zu sagen, dass alles nicht geht und nur das eine das richtige ist, würde ich mir mehr wünschen, dass du doch mal eher die Mechanismen betrachtest, die das NAS sicherer machen...wenn auch nicht sicher... womit man aber die Sicherheit verbessert. Dabei wären die Mechanismen gut und einfach erklärt echt hilfreich. Vielleicht kann das ja bei einer zukünftigen Version mehr Einfluss nehmen, denn der Artikel an sich ist gut. Im Übrigen wäre auch gut, wenn man mal beleuchtet, welche externen Maßnahmen möglich sind, um das NAS sicherer zu machen.

    Also das ging mir jetzt bei dem Artikel halt durch den Kopf...

    Gefällt mir 1
  • Das ist mal ein guter Artikel, ich als NAS Anfänger wollte meines auch gleich offen ins Netz stellen, bis mir hier mit guter Beratung davon abgeraten wurde. Jetzt hab ich es erstmal als reines Datensicherungsdingens genutzt und werde garantiert erst hier Infos und Rat einholen bevor ich irgendwas dummes plane/umsetze.


    Nochmals vielen Dank für den Artikel.

    Gefällt mir 1
    • Freund mich.


      Ja, als Beginner hat man es nicht immer leicht an alle notwendigen Informationen zu kommen. Oft sind die auch zu verstreut. Deshalb habe ich zumindest ein paar theoretische Fragmente zusammengetragen, damit auch neue QNAP-User wissen worauf sie sich da einlassen.

      Gefällt mir 1
  • Wobei ich den Punkt "VPN nicht auf dem NAS" nur bedingt teilen würde. Vielleicht nicht mit einer direkten VPN Lösung / App, die direkt im OS läuft. Wenn der VPN Server aber in einer virtuellen Maschine auf dem NAS läuft, dann sollten die geforwardeten Pakete ja auschschließlich von der VM verarbeitet werden. Und die typische Malware dürfte wohl nicht so komplex aufgebaut sein, dass sie auch noch versucht, aus der VM auszubrechen. Aber klar, einfach ist hier nix und jede Komplexitätsstufe erhöht natürlich die fehleranfälligkeit. Man muss schon sehr genau wissen, was man tut.

    Gefällt mir 1
    • Was das Virtualisieren von Sicherheitslösungen anbelangt da streiten sich noch die Geister. Wenn die Virtualisierungssoftware nicht sauber programmiert ist besteht durchaus die Chance, dass eine Schadsoftware ausbrechen kann. Ist die Virtualisierung und somit die Sicherheitssoftware auf einer eigenen Hardware kann man dies noch durchgehen lassen. Ist diese aber wie im Fall von einem QNAP-NAS direkt auf dem Daten-NAS installiert und es gibt dazu auch nur eine einzige mögliche Virtualisierungssoftware, und leiten wird dazu ab, dass diese dem Qualitätslevel des zu Grunde liegenden QTS entspricht, kann das Ganze doch ein wenig gefährlicher sein. Aber das ist natürlich immer eine Ermessensfrage. Im geschäftlichem Umfeld würde ich dies auf keinen Fall so einsetzen. Zuhause, mit entsprechendem Backup-Konzept...

      Dies ist auch mit der Grund, wieso ich die App Proxy Server inzwischen nicht mehr als sinnvoll erachte. Da leitet man sämtlichen Traffic über eine nicht mehr als wirklich sicher anzusehendes NAS.

    • Ich bin bei solch Sachen immer etwas zwiegespalten.

      Das Ding klassifiziert bestimmt auf Signaturen anstelle Heuristik.

      Ergo ist es auch nur so aktuell wie QNAP es schafft neue statische Signaturen

      zu hinterlegen. Bei der kleinsten Änderung an dem Quellcode der Malware wird vermutlich

      schon nichts mehr gefunden. Und wie Mavalok2 in seinem Blog irgendwo erwähnt hat (find ich grad nicht), scannt das Ding auch nur nach Aufforderung oder per Zeitplan.

      Da meine QNAP nicht vom WAN erreichbar ist, ich meinem übrigen LAN und den Clients traue habe ich auch den MalwareRemover nicht installiert. Die beiden angebotenen Virenscanner werden vermutlich nach dem gleichen Prinzip arbeiten. Vielleicht kommt ja doch mal was Richtung Echtzeitscanner oder zumindest "One-Demand". Idealerweise sollte sowas aber schon abgefangen werden, bevor die Daten auf die NAS kommen.

    • Sehr schön. Den Punkt


      Wieso versprechen dies die Hersteller alles bei den Heim- und SOHO-Modellen in den Hochglanzprospekten?

      Werbeversprechen darf man nicht für bare Münze nehmen.


      könnte man noch drastischer formulieren: Werbung darf fast alles versprechen, nur nicht offensichtlich lügen.

      Gefällt mir 1
    • Nur wo beginnt eine "offensichtliche" Lüge. Ein Problem der gesamten Werbebranche. Ich denke, das sieht wohl jeder etwas anders.

    • Hallo!

      Was ich bei den ganzen Artikeln dazu nicht so ganz verstehe, was "offen" eigentlich genau bedeutet? Ich habe mein Nas hinter einer Fritzbox und habe alle Netzwerkdienste bis auf smb und NFS deaktiviert. Kein qnapcloud oder ähnliches, alle ports geändert usw. halt das, was Qnap bei den Security Advisory angibt.


      Dennoch hängt es ja irgendwie im Internet, da es ja Aktualisierungen für z. B. den Viren Scanner oder Apps herunterlädt oder eine Sicherung auf Onedrive macht (ja verschlüsselt).

      Ist es nun offen oder geschlossen im Internet?