Security - Das NAS offen im Internet

Aus aktuellem Anlass möchte ich hier ein häufig diskutiertes Thema aufgreifen. Hierbei geht es um das ″offen ins Internet stellen″ eines NAS. Unter ″offen ins Internet stellen″ verstehe ich das NAS nach Außen ins Internet zu öffnen, Zwecks Anbieten und Zugreifen von Daten oder Diensten über das eigene NAS aus dem Internet. Dabei spielt es hier keine Rolle, ob es sich um die Photos für den Verein, die eigene Homepage oder die Bereitstellung der Daten für den Kunden handelt.



1. Kurz und knapp


Ich entschuldige mich schon im Vornherein, denn einige von Euch werden nach dem Lesen dieses Textes beleidigt sein, sich betrogen fühlen – nicht von mir, aber von QNAP, sauer / wütend sein und wieder andere werden mir schlicht nicht glauben wollen. Denn nichts kann so hart und unangenehm sein wie die ungeschönte harte Wahrheit. Aber leider sehe ich hier keinen anderen Weg mehr als mal richtig Klartext zu schreiben. Alles andere habe ich in diesem Punkt aufgegeben und hat keinen Sinn mehr. Kein Schönreden, kein Wenn und kein Aber, kein Vielleicht, einfach nur die harten Fakten.

Übrigens: Nicht den Überbringer von schlechten Nachrichten für den Inhalt vierteilen. Ich bin kein Hersteller, kein PR-Manager und auch kein Programmierer, weder bei QNAP noch sonst wo. Ich mache keine Software. Ich sage nur wie es ist.


Im 1. Punkt werde ich Euch in aller Kürze die wichtigsten Fakten hin knallen, damit es für die eher sparsamen Leser kurz, für die ″Noch-nicht-ganz-Wissenden″ verständlich und für alle anderen spannend bleibt. ;)


Kann ich mein NAS ins Internet öffnen und Daten / Dienste freigeben?

Ja.

Das ist schon mal eine gute Nachricht, aber auch die einzige. Ab hier wird es Euch nicht mehr gefallen.


Kann kann ich dies alleine mit Bordmitteln?

Nein.


Wieso nicht? Der Hersteller bietet dies doch an.

Ist nicht sicher.


Gibt es keine andere Möglichkeiten?

Doch. Eine VPN-Verbindung auf Euren Router oder noch besser auf eine echte Firewall.


Mein Router kann dies nicht. Ich würde lieber die VPN-Verbindung auf das NAS machen. Ist dies möglich?

Nein.


Wieso nicht? Der Hersteller bietet dies doch an.

Ist nicht sicher.


VPN ist nicht das was ich benötige. Ich möchte die Daten per HTTP(S), FTP, Photo Station, etc. ins Internet stellen. Ist dies alleine mit Bordmitteln möglich?

Nein.


Wieso nicht? QNAP bietet dies doch an.

Ist nicht sicher.


Dann habe ich das falsche NAS gekauft. Das nächste Mal kaufe ich ein Synology NAS, die können das doch alleine mit Bordmitteln, oder?

Nein.


Wieso nicht? Synology bietet dies doch an.

Ist nicht sicher.


Wieso bieten die Hersteller dies dann an, wenn man es nicht verwenden kann?

Man kann es sicher verwenden, indem man VPN oder andere zusätzliche Schutzmaßnahmen verwendet.


Was sind dies für zusätzliche Schutzmaßnahmen?

Sicherheitsmaßnahmen von Drittherstellern, die auf zusätzlicher Hardware laufen.


Ist diese kostenlos?

Softwarelizenzen teilweise für den privaten Gebrauch. Kommerziell, nein.


Ist dies einfach zu bedienen und konfigurieren?

Nein.


Wieso versprechen dies die Hersteller alles bei den Heim- und SOHO-Modellen in den Hochglanzprospekten?

Werbeversprechen darf man nicht für bare Münze nehmen.


Und was mache ich jetzt mit meinem NAS? VPN kann / will / geht nicht, Zusatzmaßnahmen sind mir zu kompliziert / teuer / aufwändig und ich habe das NAS nur für den Zugriff von Außen gekauft.

Dich das nächste Mal besser informieren, und zwar nicht mit den Hochglanzprospekten.


Wieso verkaufen die Hersteller solche Modelle an Heim- und SOHO-Anwender?

Die Hersteller sind nicht verantwortlich für den Wissensstand des Käufers.


Ich habe das NAS offen im Internet, ohne VPN, ohne zusätzliche Schutzmaßnahmen. Funktioniert doch.

Ist nicht sicher.


Was mache ich denn nun?

Sofort aus dem Internet nehmen und die Luken dicht machen.


Was kann denn passieren?

So ziemlich alles was Du nicht willst, von ″Das NAS läuft nicht mehr″ bis ″die Daten sind weg″ ist alles dabei.



So kurz durchatmen und erst mal beruhigen. Ich habe Euch ja gewarnt, dass es Euch nicht gefallen wird.



2. Das Warum und Wieso


Nun die etwas ausführlichere Erklärung dazu.


Wieso es mit den Bordmitteln nicht funktionieren kann

Wieso sollte ein billig NAS etwas können was ein ausgewachsener Windows- und Linux-Server auch nicht von alleine kann? Der Vorteil von Windows- und Linux-Servern ist, dass diese um die notwendige Funktionalität nachgerüstet werden können. Für QNAP-NAS gibt es leider keine brauchbare Sicherheitssoftware, auch nicht zum Nachrüsten von Drittherstellern, weder eine ausgewachsenen Firewall, noch Virenscanner, noch andere Scanner die den Zugriff in Echtzeit prüfen oder andere Filterfunktionen bieten würden.


Die Sicherheitsfunktionen auf einem QNAP NAS

Der standardmäßig verbaute Virenscanner beim QNAP-NAS ist der kostenlose Scanner von ClamAV. Mal ganz abgesehen von der mäßigen Scan- und Erkennungsleistung ist dieser Scanner nur ein On-Demand-Scanner. D.h. der Scanner prüft nur auf Befehl oder nach Zeitplan, aber nicht permanent. Bis der wöchentliche Scan ausgeführt wird, ist es schon viel zu spät und der Scanner kann besten Falls noch den Befall feststellen. Das Selbe gilt für den kostenpflichtigen McAfee Scanner. Auch beim kostenlosen Malware Remover von QNAP ist es nicht anderes. Für einen sicheren Schutz muss der Scanner jedoch jede Datei, jeden Download, jeden Stream, jeden Port, jede Verbindung, jeden Zugriffen, jeden und alles prüfen – am Besten mehrfach - bevor irgend etwas auf dem NAS gemacht werden darf. Bei den kleinen NAS wäre dies schon von der Prozessor-Leistung und des verbauten Arbeitsspeicher gar nicht möglich. Bei den größeren zwar schon, wird aber trotzdem nicht angeboten.


VPN als Alternative

Mit einer VPN-Verbindung besteht eine weitestgehend sichere Möglichkeit von Außen auf das NAS zuzugreifen. Hier wird ein sicherer Tunnel für die Kommunikation zwischen zwei Geräten aufgebaut. Hierfür ist jedoch ein Router oder eine Firewall notwendig, die eine VPN-Verbindung aufbauen kann. Viele aber nicht alle Router können dies. Noch besser dafür geeignet ist eine spezielle Firewall. Die sind dafür ausgelegt, dass sie mit Angriffen von Außen zurecht kommen.


Vorteil:

Wenn man sich mit einem VPN-Tunnel von Außen mit seinem heimischen Netzwerk verbindet, ist es so, als ob sich das Gerät im heimischen Netzwerk befinden würde. Sämtliche Dienst und Freigaben, sogar der Netzwerkdrucker sind ansprechbar und nutzbar. Und dies alleine durch das richtige konfigurieren eines VPN-Tunnels. Hier muss nichts mehr zusätzlich eingerichtet werden.

Das NAS befindet sich hinter der Firewall – egal ob einer dezidierten oder die des Routers. Diese bekommen jetzt die „Kloppe“ aus dem Internet ab. Aber die können besser damit umgehen als ein NAS.

VPN-Client Software gibt es für alle Geräte und Betriebssystem. Oft ist ein VPN-Client schon im System integriert oder kann oft kostenlos nachgerüstet / nachinstalliert werden. Oft bieten auch die Router oder Firewall-Hersteller eine Client-Software an.


Nachteil:

Auf jedem Gerät welches mit VPN ins heimische Netzwerk von Außen eingebunden werden soll, muss die VPN-Client Software konfiguriert werden.

Für eine größere Nutzerschaft und Verbreitung ist dies eher nicht geeignet, z.B. die eigene Homepage für das öffentliche Internet.


Wieso VPN direkt auf das NAS nicht sicher ist

Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab. Ein NAS ist, wie oben schon geschrieben, dafür einfach nicht gerüstet und kann auch nicht dafür nachgerüstet werden.


Falsche Versprechen?

Manch einer wird sich jetzt fragen, wieso dies von den Herstellern dann überhaupt angeboten und beworben wird. Mit dem richtigen Wissen und technischen Mittel lässt sich dies auch umsetzen. Es ist nicht so, dass die Hersteller etwas anbietet, was so überhaupt nicht möglich ist. Es ist nur für den ″Noch-nicht-wissenden″ (noch) nicht möglich, zumindest nicht sicher. Mag sein dass die Hochglanzbewerbungen ein wenig optimistisch sind. Ich sage es Euch ja nur ungern, aber auch wenn Ihr einen Energydrink einer gewissen Marke getrunken habt, solltet Ihr Euch nicht von einer Brücke stürzen, denn selbiger Drink verleiht - entgegen der Werbung - keine Flügel.


Synology macht alles besser

Auch Synology kocht nur mit Wasser. Will heißen, auch hier herrschen die selben Probleme mit dem nicht ausreichenden Schutz des NAS. Mag sein, dass Synology hier im Moment weniger Probleme hat. Aber das ist die selbe Diskussion, wieso Windows so unsicher und Mac Computer so viel sicherer sind, oder iOS und Android – zumindest dem Anschein nach. Beim Mac ist es klar. Bei nur ein paar Prozent Verbreitung auf den gesamten Desktop-Markt ist der Grund schnell gefunden: Für Mac Computer ist es eher uninteressant Schadsoftware zu erstellen.

Von QNAP und Syno kenne ich jetzt keine Verkaufszahlen und Marktanteile, stelle mir aber vor, dass beide etwa ähnlich haben könnten. Über das Warum QNAP NAS im Moment stärker attackiert wird kann ich nur mutmaßen, denn Sicherheitslücken haben Synology NAS auch. Die Situation kann sich jedoch jederzeit wieder ändern. Ich für meinen Teil würde auch ein Synology NAS nicht ohne zusätzlichen Schutz offen ins Internet stellen.


Zusätzliche Schutzmaßnahmen

Ohne zusätzlichen Schutz stellt man vernünftigerweise keinen Server und kein NAS offen ins Internet, egal ob Windows-, Mac- ( :D der war gut, Mac-Server :D vielleicht im Museum :D ) und Linux-Server oder QNAP- und Synology-NAS.

Bei Linux- und Windows-Servern kann dieser zusätzliche Schutz auf dem Server durch entsprechende Software-Paket nachträglich installiert werden. Viele bekannte und namhafte Hersteller von Internet-Sicherheitslösungen stellen auch spezielle Versionen für Server her. Hier wird zum Teil auch nach Anwendung und Dienst noch zusätzlich unterschieden. Solche Lösungen sind jedoch meist kostenintensiv und nicht gerade einfach zu konfigurieren und zu bedienen. Leider gibt es für NAS keine solche Lösungen – zumindest nicht nativ.

Ein anderer Ansatz ist ein zusätzlicher Schutz in Form einer zusätzlichen Netzwerk-Komponente, ähnlich einem Router. Dies kann ein eigener Server, eine Appliance (Spezial-Hardware für diesen Zweck, von einer kleinen Box bis zu einem ausgewachsenen Spezial-Server), ein alter angepasster PC oder ein kleinst PC sein. Dies hängt von den Anforderungen, den Bedürfnissen und der jeweiligen Situation ab. Auf diesen Geräten sind dann Software-Paket mit diversen Filtersystemen installiert. Diese filtern dann den gesamten Netzwerkverkehr nach bestimmten definierten Dingen. Von der Viruswall (Viren- und Schadsoftware Filter), Firewall (Netzwerkschutz und Port-Filter, noch am ehesten bekannt und sollte eigentlich in keinem Netzwerk fehlen, zumindest in einer kleinen Ausführung, z.B. im Router), Spamfilter (Filter für Werbung und Banner), Contentfilter (Filter nach Inhalt, Schlagworten, Dateityp etc.), Applicationfilter (Dienste und Programme), IPS (Intrusion Prevention System – Angriffsabwehr), URL-Filter (Webseitenfilter) und und und bis hin zu ganzen System, die eine Vielzahl dieser Systeme beinhalten.

Diese Systeme sind allesamt nicht ganz einfach zu konfigurieren und bedienen und benötigen eine permanente Pflege. Einmal aufsetzen und gut ist gibt es nicht. Je nach System auch etwas kostenintensiv. Nichts was man nicht lernen kann, wenn man den Willen dazu hat, aber nicht an einem Wochenende.


Das kann mit einem NAS passieren, das ungeschützt offen im Internet steht

Viele werden sich jetzt denken: ″Was erzählt der da? Bei mir ist das NAS offen im Internet eingerichtet und keine Probleme damit. Was kann denn da schon groß passieren?″

Also wenn Dir Dein NAS und deine Daten nicht wichtig sind eigentlich gar nichts. Dann ist alles i.o.

Aber sind Dir Dein NAS und deine Daten wichtig, dann willst Du sicher keine dieser Probleme:

Vom Abgreifen der Daten (Passwörter, Tastatureingaben, Textdokumente, E-Mails bis hin zu Bildern), Entführen der Daten mit Erpressung (Verschlüsselung der Daten mit Lösegeldforderungen für die Entschlüsselung, die dann funktionieren kann oder auch nicht oder auch nur teilweise, Russisches Datenroulett also), teilweisem oder kompletten Löschen der Daten, Einbinden in ein Botnetz (klingt erst mal nicht so schlimm, aber Stichwort Haftung und Ressourcen des NAS), beschädigen des Betriebssystem bis hin zur Beschädigung der Hardware kann alles dabei sein. Und dazu werden die Hacker und Schadsoftwareprogrammierer immer kreativer. Solange sie von der Unwissenheit und dem Leichtsinn der Benutzer leichtes Geld verdienen können ist keine Ende absehbar.



3. Weitere Informationen


Wer es immer noch nicht wahr haben will, der kann und soll sich diese zusätzlichen Informationen zur Gemüte ziehen:


Die QNAP Security Advisory (Sicherheitsberichte):

https://www.qnap.com/en/security-advisory

Qsnatch:

https://www.zdnet.com/article/…with-the-qsnatch-malware/

Muhstik Ransomware:

https://www.enigmasoftware.de/muhstikransomware-entfernen/

Oder auch in unserem Clubforum:

.muhstik Maleware Befall

eCh0raix:

https://www.qnap.com/de-de/news/2019/erklärung-von-qnap-zu-ransomware-angriffen-durch-ech0raix

https://www.bleepingcomputer.c…ores-qnap-files-for-free/

Hier crooks für Synology, für die die glauben Synology sei sicher:

https://www.zdnet.com/article/…e-force-password-attacks/

Oder hier für QNAP und Synology:

https://www.heise.de/security/…sicherte-NAS-4477214.html


Die Liste könnte man beliebig verlängern, ändert an den Tatsachen aber nichts. Und es kommen immer mehr dazu.



4. Fazit


Dieser Artikel kratzt gerade mal etwas an der Oberfläche dieser Thematik. Aber man sieht schon, dass das NAS offen ins Internet stellen nicht eben mit 2 Klicks erledigt ist. Zumindest dann nicht, wenn das NAS und die darauf befindlichen Daten sicher sein sollen. Auch wenn mancher PR-Prospekt was anderes erzählen und der geneigte Benutzer sich was anderes vorstellen mag, die nackten Tatsachen in der Praxis sprechen eine andere Sprache, eine unangenehme und unerbittliche Sprache. Ich sage es ja nur ungern, aber da draußen im Internet herrscht Krieg. Und die Verlierer sind diejenigen, die sich nicht ausreichend schützen. Auch wenn die Verluste zumeist nur in digitaler Form sind, kann es für den einen oder anderen auch im privaten Umfeld recht reale Konsequenzen haben.

Für diejenigen von Euch, die das NAS so ungeschützt im geschäftlichen Umfeld einsetzen, kann ich nur eindringlich warnen. Ich sage nur: Haftung, Gewährleistung, Sicherheit und Datenschutz. Ich bin kein Rechtsexperte, aber dies kann sehr schnell sehr teuer werden. Ein kaputtes NAS dürften dann wohl Eure geringsten Sorgen sein. Also nehmt so etwas nicht auf die leichte Schulter.

Ich hoffe, dass ich dem einen oder anderen die Augen öffnen konnte. Und nochmals: Nicht den Boten der Nachricht vierteilen. ;)

Kommentare 21

  • Schöner Artikel, vielen Dank!

    Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab.

    Wie genau ist hier Deine Argumentation? An welche Schwachstelle denkst Du da?


    Hier würde ich nicht mitgehen. Der Unterschied zeigt sich doch erst, wenn das VPN gehackt wird: Im einen Fall ist der Angreifer auf Deinem Router, im anderen Fall auf Deinem NAS. Kann beides auf seine Art unschön werden. Ist aber m.E. nicht zwingend relevant:


    Die Frage ist doch, ob ein gutes und gut konfiguriertes VPN überhaupt relevante Sicherheitslücken hat. Wenn Du OpenVPN halbwegs brauchbar konfigurierst, kannst Du es aus dem Internet nicht scannen. Dann wählst Du noch einen ganz wilden Port. Wie soll da ein Angreifer überhaupt auf die Idee kommen, dich anzugreifen? Das müsste schon ein gezielter Angriff eines Wissenden sein. Deshalb denke ich schon, dass man das OpenVPN durchaus auch auf dem NAS betreiben könnte, ohne relevante Sicherheitseinbuße.

    • 1)

      Ich denke da an keine spezielle Schwachstelle. Aber eine VPN-Verbindung bildet einen Tunnel zwischen 2 Geräten. Wenn Du die VPN-Verbindung auf das NAS selbst machst, besteht dieser Tunnel durch die Firewall / Router hindurch. Sprich das NAS steht eigentlich theoretisch wieder offen im Internet, muss es ja.


      2)

      Nun wenn Deine Firewall oder Dein Router gehackt wird, liegen da aber noch nicht Deine Daten, auf dem NAS schon.

      Mal abgesehen davon, was ist wohl schneller gehackt: Firewall oder QNAP-NAS. ;) Eine Firewall, selbst ein halbwegs brauchbarer Router, ist gehärtet und dafür ausgelegt. Ein NAS - gerade bei einem Heimanwender, ist das genaue Gegenteil. Mit den vielen Diensten und Apps ist das NAS verweichlicht.


      3)

      Sicher, besser ein VPN auf dem NAS als gar kein VPN. Aber ich halte nicht viel davon Sicherheitssysteme und Datensysteme auf der gleichen Hardware zu betreiben. Bricht hier was aus sind die "Wege" recht kurz zu den Daten.

      Zu OpenVPN auf dem NAS kann ich jetzt nichts sagen, denn für mich war und wird dies nie ein Thema sein. Wie betreibst Du denn OpenVPN auf Deinem NAS, als Container?

      Schwachstellen gab und gibt es immer wieder. Auch ein hoher Port kann gescannt werden. Wenn Du keine Firewall hast, die ein solches Scannen unterbindet, wie willst Du dann ein Scannen bis zu den hohen Ports verhindern? Oder beinhaltet OpenVPN auch eine Firewall? Allerdings wäre dann die Firewall meiner Meinung nach immer noch an der falschen Stelle. Die hört an den "Anfang" des Netzwerks, vom Internet aus gesehen.

      Betreibst Du dies auf einer getrennten zusätzlichen Hardware sieht das Ganze schon besser aus. Das Ganze ist natürlich immer eine Frage des eigenen Bedarfs an Schutz. Für den privaten Haushalt, wenn es denn nicht anders geht. Aber die paar Geld für eine getrennte Firewall mit VPN-Funktion wäre es mir nicht wert das Risiko einzugehen.

      Für eine Firma, selbst nur für einen 1-Mann-Betrieb, ist eine geeignete Firewall Pflichtprogramm. Geht ohne schlechtweg nicht. Ich denke da nur schon an Datenschutz, Haftung etc. Wenn hier irgendetwas passiert mit den Kundendaten. Ich weiß ja nicht, bin kein Anwalt, aber das kann unter Umständen dann ziemlich teuer werden. Wie schon geschrieben, dafür die paar Geld für eine Firewall ist es das Risiko schlicht nicht wert. Muss ja keine highend Enterprise Lösung mit allen Optionen sein.

  • Danke für den Artikel! Ich hatte lange qvpn zum Internet geöffnet. Vorteil war ja, dass man nur einen Port öffnen muss. Mittlerweile läuft der VPN auf dem Raspi wegen besserer Authentifizierungsmethoden. Den Punkt, dass man damit sein NAS natürlich trotzdem damit zum Internet hin öffnet hatte ich gar nicht bedacht.

    Ist bekannt über welchen Kanal die Ransomware (die du erwähnst) auf die Kisten gekommen ist? War auch mal VPN als Einfallstor dabei?

    • Als Einfallstor wurden verschiedene Dinge bei den unterschiedlichen Schadsoftwaren genannt. Unter anderem war mal die Music Station mit dabei. Aber am besten wenn Du da mal die QNAP Security Advisory (Sicherheitsberichte) durchliest:

      https://www.qnap.com/en/security-advisory

      Nur weil es für eine Lücke keine Schadsoftware gekannt ist heißt dies noch lange nicht, dass dies nicht schon ausgenutzt wird oder irgendwann noch wird. Deshalb hilft eigentlich nur geeignete Schutzmaßnahmen. Am Besten mehrstufig. Angefangen von einer Härtung des NAS durch entsprechende Konfiguration bis hin zu zusätzlichen Filterfunktionen. Denn auf eine Maßnahme alleine sollte man sich nicht verlassen. Kann immer etwas unerwartetes passieren. Selbst wenn Updates regelmäßig und zuverlässig herauskommen und diese auch sehr zeitnahe eingespielt würden, wird oder kann oft erst reagiert werden, wenn schon eine Schadsoftware ihre Unwesen treibt. Pech für die die es zuerst trifft. Und auf das Glückspiel "mich wird es schon nicht als ersten Treffen" stehe ich nicht so sehr.

  • Schöner Artikel.

    Was ich jetzt bei den aufgeführten Bedrohungen nicht so recht verstand, war wie diese auf das System gelangen.

    Bei einigen wird stumpfer Bruteforce vermutet, was auf unzulängliche Passwörter hindeutet.

    Bei Qsnatch ist auch nicht ganz klar, wieso nicht alle betroffen waren. Von alten Versionen ist die Rede.


    Gibt es denn jetzt eine Methode, welche die NAS' direkt von außen (also nicht über eingeschleppte Malware), ohne Bruteforce infizieren kann? Damit meine ich Schwächen in den Diensten, welche an den Ports lauschen. Etwas anderes könnte es sein, wenn App oder Firmware-Downloads gefaked werden. Ich weiß nicht, ob QNAP seine eigenen Softwareupdates über Hashes absichert.


    Was verwendet QNAP um seine Photostation etc. ins Netz zu stellen? Sind das proprietäre Dienste oder wird da Vorhandenes genutzt (apache etc.)?


    Die ersten Jahre hatte ich die File- und Photostation sowie das Admin-Interface auch direkt am Netz und sogar eine Nextcloud. SSH und solche Dinge öffne ich nur, wenn ich sie brauche.

    Passwörter sind Passwortsätze oder kommen aus dem Generator. Zugriff nur via SSL.Updates werden nach ein zwei Wochen eingespielt oder sogar früher.

    Mittlerweile erfolgt der Zugriff nur noch übers VPN des NAS. Offen ist nur noch ein https-Port wegen der Updates und Zertifikate, ein RTRR Port und einer fürs VPN.

    Einen Befall hatte ich bis jetzt zum Glück noch nie.


    Warum ist der VPN-Server des NAS denn per se unsicherer als der einer Fritzbox?


    Eins ist natürlich klar. Wenn genügend Aufwand betrieben wird, wird man auch hinter eine der gepriesenen Hardwarefirewalls gelangen. Entweder wegen Sicherheitslücken der Firmware, wie es in letzter Zeit bei Cisco auffiel oder weil die Konfiguration mangelhaft ist.

    • Zitat von Tonictrinker1

      Gibt es denn jetzt eine Methode, welche die NAS' direkt von außen (also nicht über eingeschleppte Malware), ohne Bruteforce infizieren kann?

      Ob es aktuelle eine Bedrohung gibt, die dies bei QNAP-NAS ausnutzt oder nicht kann ich Dir auch nicht sagen. So tief bin ich in der Materie auch nicht drin. Und selbst wenn aktuelle nichts bekannt ist, heißt es noch lange nicht, dass es sie nicht gibt oder bald geben wird. Durch Sicherheitslücken im System, den Diensten und Apps ist dies durchaus möglich, oder wie Du selbst schon geschrieben hast, auch durch fehlerhafte Konfiguration.

      Zitat von Tonictrinker1

      Was verwendet QNAP um seine Photostation etc. ins Netz zu stellen? Sind das proprietäre Dienste oder wird da Vorhandenes genutzt (apache etc.)?

      Da kann ist jetzt nichts dazu sagen.

      Zitat von Tonictrinker1

      Warum ist der VPN-Server des NAS denn per se unsicherer als der einer Fritzbox?

      Weil ein NAS einem Angriff nichts entgegen zu setzen hat. Eine Fritzbox ist gehärtet (auf ein Minimum reduziert, wenn man so will, zumindest ansatzweise) - also das Gegenteil von einem NAS, wo immer noch mehr Dienste, Apps und Treiber darauf gepackt werden. Eine Fritzbox hat eine Firewall, nichts großartiges, aber immer hin. Ein NAS hat eine Sperrliste. Da damit wehrt man natürlich alle Bedrohungen ab (Sarkasmus, um nicht Unklarheiten aufkommen zu lassen). Besser ist hier natürlich immer eine echte Firewall.

      Zitat von Tonictrinker1

      Wenn genügend Aufwand betrieben wird, wird man auch hinter eine der gepriesenen Hardwarefirewalls gelangen.

      Bei Security geht es immer darum, den Aufwand für das Eindringen (wie auch immer diese erfolgen mag) so hoch zu halten, das es für den Verursacher / Eindringling nicht mehr attraktiv ist. 100% Sicherheit gibt es nur, wenn Du das NAS in der Verpackung lässt und sicher verwahrst.

  • Schöner Artikel.
    Allerdings finde ich, dass dein Erklärungsversuch unter "Warum und Wieso" nicht in die richtige Richtung deutet. Offensichtlich ist keine der letzten Angriffe über Dateien ins System eingeschleppt worden. Deshalb sind die Virenscanner vorerst unverdächtig. Vielmehr waren es Sicherheitslücken in der Firmware, die von Angreifern ausgenutzt wurden. Verbesser mich wenn ich falsch liege, dieser Befall kann weder von den Virenscannern erkannt noch verhindert werden. Wenn ich mich richtig erinnere, werden nicht einmal Systemfiles gescannt. Im Systembereich "agiert" nur der Malware-Remover.


    Neben den Sicherheitslücken in der Firmware, ist der Hobby-Admin eines NAS-Systems eine vergleichbar große Schwachstelle. Zu einfache Passworte, das Beibehalten der Default-Passworte, gedankenloses Freischalten/Weiterleiten der Ports, ohne zu Wissen, was sie da überhaupt anrichten. Ich finde, das ist erwähnenswert. Kein Angst vor dem Vierteilen, ich gebe deine Adresse nicht weiter ...


    Früher war ich übrigens auch der Meinung, dass wer auf seine Daten verzichten kann, z.B. um lediglich ein paar Fotos auf FB zu sharen, sein NAS in Netz stellen kann. Heute würde ich dem widersprechen. Es geht ja nicht nur um den eigenen Schaden, den der NAS-Betreiber selbst zu vertreten hat. Sein gekarpertes NAS kann auch Bestandteil einer Botfarm an Systemen werden, die im Internet Schaden bei anderen Systembetreibern anrichten kann. Beispielsweise, dass die Botfarm DDoS-Attacken fährt und/oder SPAM-Mails versendet. Der Schaden bei Dritten kann damit viel größer werden, als beim NAS-Betreiber selbst. Und deshalb appeliere ich für eine Sorgfaltspflicht bei der NAS-Nutzung. Schließlich darfst du dein Auto (ja, die beliebten Autovergleiche ziehen immer noch) auch nicht mit steckendem Schlüssel am Straßenrand stehen lassen. (§14 StVO Sicherung des Fahrzeugs gegen unbefugte Nutzung.)

    • 1)

      Du hast recht, die Virenscanner die es für QNAP-NAS gibt können dies nicht erkennen, was ich, denke ich, auch so deutlich geschrieben habe. Allerdings bestehen Netzwerkfiltersysteme (UTM) nur zu einem kleinen Teil aus einem Virenfilter. Wie ich auch geschrieben habe gibt es verschiedene Filtersystem die jeweils einen Teilbereich abdecken, was das Ganze ja so kompliziert macht. Auch auf den Servern und auch auf normalen PCs im Geschäftsbereich sind die Filtersysteme um ein vielfaches Komplexer als auf dem heimischen PC. Über den MS Defender kann ich nur schmunzeln, sorry. Für den heimischen PC vielleicht, aber dort wo es darauf ankommt... Hier kann man ja nichts steuern.


      2)

      Tja, da hast Du leider recht. Aber dies hat mit dem "offen ins Internet stellen" nur begrenzt zu tun, denn sobald man ein NAS nur schon ans Internet hängt - nicht geöffnet, gilt es schon grundlegende Sicherheitsmassnahmen zu berücksichtigen. Wie ich schon unten bei einem anderen Kommentar geschrieben habe gibt es da von QNAP und anderen schon etlich Erklärungen. Ich kann ja nicht immer bei Adam und Eva beginnen. :)


      3)

      Da hast Du mich falsch verstanden. Das war sarkastisch gemeint. Ich gehe mal davon aus, dass niemand ein NAS kauft um dieses absichtlich und willentlich schrotten zu lassen. Das selbe gilt für die Daten - sicherheitshalber kopieren und anschliessend löschen. ;) Aber Du hast recht, es mag wohl den einen oder anderen geben der so denken mag.

  • Also ich finde das Thema gut, jedoch ist der Artikel für mich nicht das, was ich mir davon versprechen würde. Anstatt zu sagen, dass alles nicht geht und nur das eine das richtige ist, würde ich mir mehr wünschen, dass du doch mal eher die Mechanismen betrachtest, die das NAS sicherer machen...wenn auch nicht sicher... womit man aber die Sicherheit verbessert. Dabei wären die Mechanismen gut und einfach erklärt echt hilfreich. Vielleicht kann das ja bei einer zukünftigen Version mehr Einfluss nehmen, denn der Artikel an sich ist gut. Im Übrigen wäre auch gut, wenn man mal beleuchtet, welche externen Maßnahmen möglich sind, um das NAS sicherer zu machen.

    Also das ging mir jetzt bei dem Artikel halt durch den Kopf...

  • Das ist mal ein guter Artikel, ich als NAS Anfänger wollte meines auch gleich offen ins Netz stellen, bis mir hier mit guter Beratung davon abgeraten wurde. Jetzt hab ich es erstmal als reines Datensicherungsdingens genutzt und werde garantiert erst hier Infos und Rat einholen bevor ich irgendwas dummes plane/umsetze.


    Nochmals vielen Dank für den Artikel.

    • Freund mich.


      Ja, als Beginner hat man es nicht immer leicht an alle notwendigen Informationen zu kommen. Oft sind die auch zu verstreut. Deshalb habe ich zumindest ein paar theoretische Fragmente zusammengetragen, damit auch neue QNAP-User wissen worauf sie sich da einlassen.

  • Wobei ich den Punkt "VPN nicht auf dem NAS" nur bedingt teilen würde. Vielleicht nicht mit einer direkten VPN Lösung / App, die direkt im OS läuft. Wenn der VPN Server aber in einer virtuellen Maschine auf dem NAS läuft, dann sollten die geforwardeten Pakete ja auschschließlich von der VM verarbeitet werden. Und die typische Malware dürfte wohl nicht so komplex aufgebaut sein, dass sie auch noch versucht, aus der VM auszubrechen. Aber klar, einfach ist hier nix und jede Komplexitätsstufe erhöht natürlich die fehleranfälligkeit. Man muss schon sehr genau wissen, was man tut.

    • Was das Virtualisieren von Sicherheitslösungen anbelangt da streiten sich noch die Geister. Wenn die Virtualisierungssoftware nicht sauber programmiert ist besteht durchaus die Chance, dass eine Schadsoftware ausbrechen kann. Ist die Virtualisierung und somit die Sicherheitssoftware auf einer eigenen Hardware kann man dies noch durchgehen lassen. Ist diese aber wie im Fall von einem QNAP-NAS direkt auf dem Daten-NAS installiert und es gibt dazu auch nur eine einzige mögliche Virtualisierungssoftware, und leiten wird dazu ab, dass diese dem Qualitätslevel des zu Grunde liegenden QTS entspricht, kann das Ganze doch ein wenig gefährlicher sein. Aber das ist natürlich immer eine Ermessensfrage. Im geschäftlichem Umfeld würde ich dies auf keinen Fall so einsetzen. Zuhause, mit entsprechendem Backup-Konzept...

      Dies ist auch mit der Grund, wieso ich die App Proxy Server inzwischen nicht mehr als sinnvoll erachte. Da leitet man sämtlichen Traffic über eine nicht mehr als wirklich sicher anzusehendes NAS.

    • Ich bin bei solch Sachen immer etwas zwiegespalten.

      Das Ding klassifiziert bestimmt auf Signaturen anstelle Heuristik.

      Ergo ist es auch nur so aktuell wie QNAP es schafft neue statische Signaturen

      zu hinterlegen. Bei der kleinsten Änderung an dem Quellcode der Malware wird vermutlich

      schon nichts mehr gefunden. Und wie Mavalok2 in seinem Blog irgendwo erwähnt hat (find ich grad nicht), scannt das Ding auch nur nach Aufforderung oder per Zeitplan.

      Da meine QNAP nicht vom WAN erreichbar ist, ich meinem übrigen LAN und den Clients traue habe ich auch den MalwareRemover nicht installiert. Die beiden angebotenen Virenscanner werden vermutlich nach dem gleichen Prinzip arbeiten. Vielleicht kommt ja doch mal was Richtung Echtzeitscanner oder zumindest "One-Demand". Idealerweise sollte sowas aber schon abgefangen werden, bevor die Daten auf die NAS kommen.

    • Sehr schön. Den Punkt


      Wieso versprechen dies die Hersteller alles bei den Heim- und SOHO-Modellen in den Hochglanzprospekten?

      Werbeversprechen darf man nicht für bare Münze nehmen.


      könnte man noch drastischer formulieren: Werbung darf fast alles versprechen, nur nicht offensichtlich lügen.

    • Nur wo beginnt eine "offensichtliche" Lüge. Ein Problem der gesamten Werbebranche. Ich denke, das sieht wohl jeder etwas anders.

    • Hallo!

      Was ich bei den ganzen Artikeln dazu nicht so ganz verstehe, was "offen" eigentlich genau bedeutet? Ich habe mein Nas hinter einer Fritzbox und habe alle Netzwerkdienste bis auf smb und NFS deaktiviert. Kein qnapcloud oder ähnliches, alle ports geändert usw. halt das, was Qnap bei den Security Advisory angibt.


      Dennoch hängt es ja irgendwie im Internet, da es ja Aktualisierungen für z. B. den Viren Scanner oder Apps herunterlädt oder eine Sicherung auf Onedrive macht (ja verschlüsselt).

      Ist es nun offen oder geschlossen im Internet?