Wie sichere ich mein NAS zum Internet ab?


"Vertrauen ist die Mutter der Sorglosigkeit."

Baltasar Gracian Y Morales (1601 -1658)


Gefahrenquelle Internet


Trojaner, Würmer, Viren stellen immer noch das größte Gefahrenpotential im Internet dar. Trojaner dienen nicht nur zum Ausspähen und sinnlosen Vernichten von Datenbeständen, sondern gekaperte Rechner werden als Ausgangsbasis für weitere Attacken oder als "Cloud"-Speicher für Warez-Angebote genutzt. Mit Krypto-Trojanern hat eine neue Ära begonnen. Die Datenbestände der befallenen System werden vom Anwender unbemerkt verschlüsselt und das notwendige Passwort zum Entschlüsseln gegen Zahlung einer Geldsumme erpresst. Waren früher Angriffe auf einzelne Rechner begrenzt, so treten sie heute zunehmend mit größerem Wirkungskreis auf. Grundsätzlich lassen sich die Gefahrenquellen in zwei Kategorien aufteilen: Entweder gelangt schädlicher Code über Browser, Emails oder Wechselmedien direkt auf den oder die Rechner des Opfers oder es laufen Programme oder Systemdienste, die von außen zu erreichen sind und potentiellen Angreifern die Möglichkeit eines Einbruchsversuchs bieten. Das gilt natürlich auch für NAS-Systeme, die über das Internet zu erreichen sind. Nachfolgende Maßnahmen sollen dazu beitragen die Sicherheit zu verbessern. Einen 100% Schutz gibt es leider nicht, das darf man sich nicht von Werbestexten suggerieren lassen. Was zählt sind Haftungsbedingungen und beispielsweise für den Internetdienst myQNAPcloud schließt QNAP die Haftung komplett aus. Nun zum Maßnahmenkatalog der ergänzt werden kann, aber keinen Anspruch auf Vollständigkeit hat.



Passwörter


1. Aktiviere die Regeln für die Passwortstärke unter Systemeinstellungen --> Allgemeine Einstellungen --> Passwortstärke und erhöhe damit die Kennwortsicherheit.


Nas_Sicherheit03.jpg


2. Wechsle regelmäßig die Passwörter gegen neue aus.


3. Aktiviere die 2-stufige Verifikation (Hier findest du eine Anleitung.)



Weniger ist mehr (Sicherheit)


1. Deaktiviere oder lösche ungenutzte Benutzer unter Systemsteuerung --> Privilegieneinstellungen --> Benutzer


2. Schränke die Anwendungsberechtigungen der Benutzer aufs Notwendigste ein unter Systemsteuerung --> Privilegieneinstellungen --> Benutzer --> Aktion


Nas_Sicherheit04.jpg


3. Nutze den Benutzer mit den administrativen Rechten (admin) nur für administrative Aufgaben.


4. Deaktiviere oder lösche ungenutze Apps ( --> AppCenter)


5. Aktiviere nicht das Gastzugangsrecht. (Systemsteuerung --> Privilegieneinstellungen --> Freigabeordner, Spalte Aktion --> mittleres Symbol)


Nas_Sicherheit01.jpg



Adminkonto deaktivieren


Um gezielte Angriffe gegen den Standardbenutzer admin zu verhindern, kann dieses Konto deaktivert und ein anderer Benutzer zum Systemadmistrator ernannt werden.
(Hier findest du eine Anleitung.)
Hinweis: Das "admin"-Konto kann nicht deaktiviert werden, wenn man auf das Nas über SSH oder Telnet zugreifen möchten.



Systemprotokolle


Systemereignisse unterteilen sich in Warn- Fehler- und Informationsmeldungen und die Systemverbindungsprotokolle werden nach den Verbindungstypen HTTP, FTP, Telnet, SSH, AFP, NFS, SAMBA und iSCSI aufgezeichnet. Um verdächtige Aktivitäten feststellen zu können, solltest du regelmäßig die Protokolle kontrollieren. (unter Systemsteuerung --> Systemeinstellungen --> Systemprotokolle)


Nas_Sicherheit02.jpg



Firewall


Betreibe deine Nas hinter einer Firewall. Die Firewall schützt dein Heimnetz vor ungewollten Zugriffen aus dem Internet. Üblicherweise ist die Firewall in deinem Router integriert. Möchtest du vom Internet aus auf deine Nas zugreifen müssen Portfreigaben eingerichtet werden. Portfreigaben schwächen deinen Zugangsschutz.


1. Öffne und leite nur die Ports weiter die unbedingt benötigt werden. (Hier findest du eine Anleitung.)


2. Lösche oder deaktiviere Portfreigaben die nicht mehr benötigt werden.


3. Verwende für Standarddienste nicht die Standardports sondern weiche auf untypische freie Ports aus.


4. Behalte immer die Kontrolle über deine Portfreigaben und deaktiviere die UPnP-Dienste.



Sicherheitsaktualisierungen immer durchführen

QNAP pflegt eine Seite zu bekannten Sicherheitslücken mit Hinweisen und Lösungen zur Korrektur von Sicherheitsproblemen. Registriere dich dort um zukünftig die neusten Nachrichten und Empfehlungen per Email zu erhalten um sofort reagieren zu können.

https://www.qnap.com/de-de/support/con_show.php?cid=41



Sichere Datenverbindungen


Für den externen Zugriff sollten nur sichere Datenverbindungen per SSL/TLS, SSH oder VPN verwendet werden. Zur Einrichtung einer VPN-Verbindung findest du hier und hier Anleitungen.

Hinweis: Per SSH sind aktuelle keine externe Verbindungen zwischen QNAP-Nas aufzubauen.



Netzwerksicherheit


1. Netzwerkzugangsschutz aktivieren
Systemsteuerung” > „Systemeinstellungen” > „Sicherheit” > „Netzwerkzugangsschutz”
Lege Regeln fest unter denen IP Adressen nach fehlerhaften Anmeldeversuchen auf der Blockliste landen.

Hinweis: In der Regel werden sehr kurzfristig erste IP-Adressen auf der Blockliste landen. Meistens sind dabei die Angriffe nicht auf deine Domäne (firtzchens-homepage.de) zielgerichtet, sondern stammen von Angreifern, die mit mehr oder weniger automatisieren Scripten/Programmen, über große IP Adressräume hinweg mit Standardbenutzern und Standardpasswörtern Zugangsversuche starten.


Nas_Sicherheit05.jpg



2. Sicherheitsstufe/Blockliste
Systemsteuerung” > „Systemeinstellungen” > „Sicherheit” > „Sicherheitsstufe”
Hier kann der Zugriff auf bestimmte IP-Adressräume (Provider/Länder) oder EinzelAdressen begrenzt werden. Außerdem sind hier die durch den Zugangsschutz gesperrten IP-Adressen einsehbar.


Nas_Sicherheit06.jpg


3. Zertifikat verwenden
Mit Hilfe eines Zertifikats kann die Verbindung über Internet sicherer gestaltet werden. (Hier bzw. hier findest du eine Anleitung.)


Nas_Sicherheit07.jpg



Antivirus und mehr


Halte dein Heimnetz sauber. Auf all deinen Geräten sollten regelmäßig Scans durchgeführt werden. Unter Systemsteuerung --> Anwendungen --> Antivirus ist ein Clamav-Virenscanner integriert und im AppCenter findet sich ein Malware Remover und eine McAfee App.




NAS internetisoliert betreiben (für besonders Vorsichtige)


Die Neugier der Hersteller von Betriebssystemen über das Benutzerverhalten macht bestimmt auch nicht vor QNAP halt. Zu groß wird die Versuchung sein durch geschickte oder durch bewußt ungeschickte Programmierung, die eine oder andere Information an die QNAP-Server zu übertragen. Wer dies ausschließen möchte, isoliert seine NAS vollständig vom Internet. Die Möglichkeit Teilnehmer im Netzwerk zu sperren, sollte heute jeder Router (Stichwort Kindersicherung) anbieten. Alternativ kann der NAS eine feste IP-Adresse (also nicht per DHCP) zugeordnet und als Gateway dann eine falsche IP z.B. 127.0.0.1. hinterlegt werden. Auch auf diesem Weg hat die NAS keinen Zugang mehr zum Internet.


Hinweis: Firmware- und App-Aktualisierungen können nur noch manuell installiert werden. Einige Funktionen der Nas können eingeschränkt sein.



Anhang Weblinks


Die 10 größten Gefahren im Internet


Ein Artikel des Forums zum Thema Netzwerksicherheit


IP-Adressräume


So gestalten Sie Ihr Turbo Nas sicherer

Kommentare 8

  • Ich konnte mein Admin Konto nicht deaktivieren. Ich habe es gemäss Anleitung versucht. Einen Benutzer erstellt und diese als Admin eingestellt. Wenn ich danach den Admin deaktivieren will, ist das Feld ausgegraut. Gibt es da noch etwas zu beachten?
    /Edit: Hat sich erledigt. Ich hatte überlesen, dass ich mich mit dem neuen User anmelden muss. Eigentlich logisch... ;)

  • Danke für diese hilfreichen Tips!


    Aber wo genau finde ich das Gastzugangsrecht? Irgendwie kann ich das abgebildete Fenster nicht finden.

    • Systemsteuerung --> Privilegieneinstellungen --> Freigabeordner


      Und dann in der Spalte "Aktion" das mittlere Symbol mit dem Ordner klicken.


      Gruß Dirk

    • Danke, da ist es also. Ich dachte, ich hatte schon überall hingeklickt. Aber scheinbar dort noch nicht. War aber alles schon verweigert. Sehr gut. :)

    • Kein Thema. Habe es im Artikel noch ergänzt! :)

  • Der neue Star im Forum! *hehe*
    Mach weiter so, dann kann @christian gleich noch ein Wiki aufsetzen ;)

  • Hallo Phoneo,


    dein Link bei Zertifikat verwenden funktioniert nicht.


    Sonst Top!


    LG
    AngelLuck

    • Hallo angelluck,
      danke für den Hinweis. Ich habe den Link korrigiert.


      LG Dirk