Hallo Rene,
da Du offen zugibst, von der Materie Sicherheit nicht viel Ahnung zu haben, empfehle ich Dir, die FAQ zur Sicherheit (siehe Link in meiner Signatur) zu lesen.
Ferner solltest Du Dich wenigstens rudimentär mit TCP/IP und mit Portforwarding im besonderen auseinandersetzen!
Nun zu Deiner Frage:
Um per VPN auf Dein NAS zugreifen zu können, sind einige Dinge vorab einzurichten.
In Kurzform brauchst Du einen Dienst wie DynDNS, damit Du Dein NAS im bösen Internet wiederfindest.
Du brauchst einen VPN-Router, der Dir erlaubt eine entsprechende Verbindung aufzubauen und
Du musst ein statisches Routing zu Deinem NAS eingerichtet haben.
Ohne die gültigen Schlüsselparameter wird ein Angreifer nur sehr geringen Chancen haben, Dein NAS zu erreichen!
Wahrscheinlicher ist, dass er Deinen Router angreifen wird um dort den Hebel anzusetzen. Hat er den Router erobert,
kann er die notwendige Weiterleitung selbst einrichten....
Sofern Du also auf Deinen Router ein starkes Passwort verwendest, die aktuellesten Sicherheitspatche eingespielt hast und regelmäßig die Logdateien des Routers auf Abnomalien prüfst, bist Du eigentlich recht sicher!
100%ige Sicherheit kann Dir jedoch keiner garantieren.
Ich hoffe auch, dass ich Deine Frage richtig verstanden habe.
Grüße
Jody
freut mich!
Bei Fragen immer her damit 
Grüße
Jody
Hallo Leute!
Ich hab den Sicherheits-FAQ gelesen und möchte mich an dieser Stelle bei Euch für das Engagement herzlich bedanken!
Auch ich bin seit dieser Woche ein stolzer Besitzer von QNAP-NAS (TS-459 Pro) und habe eine Frage bezüglich der Sicherheit.
Da mein Router keine DDNS Funktion hat, bin ich gezwungen eine Portforwarding zu machen und die DDNS-Funktion vom NAS in Anspruch zu nehmen. Ich ging dabei folgendermasse vor. Da ich vor habe eine Webseite aufzuschalten habe ich die Port für HTTP (in der Einstellung im Router voreingestellt) zum NAS weitergeleitet. Da ich auf die Admin-Seite gerne auch über das Internet zugreifen möchte, habe ich zusätzlich noch den Port 8080 zum NAS weitergeleitet. Im NAS sind alle unnötige Optionen wie SSH und Telnet ausgeschaltet. Der FTP-Dienst ist eingeschaltet. Weiter habe ich die Sicherheitsoption Netzwerkzugangsschutz aktiviert (bei 5 misslungene Loginversuche innert 30min wird die IP für einen Tag gesperrt).
Mein Passwort habe ich zur Sicherheit noch checken lassen ob er genügend ist oder nicht (ist stark). In der Simulation eines Hybrid-Passwortcrackers hat folgendes ergeben:
Anzahl benötigte Versuche: 2'789'852'009'681'387'520 
Hier noch ein Link von der Kantonspolizei Zürich für den Passwort-Check.
https://passwortcheck.datenschutz.ch/check.php?lang=de :thumb:
Es wurden in schon am ersten Tag 2 IPs gesperrt ([Security] Access Violation from 202.116.65.55 with TCP (port=21) und [Security] Access Violation from 208.111.39.251 with TCP (port=22)).
Was denkt Ihr hierzu? Ist mein Server sicher genug? Oder habe ich hier einen völligen Quatsch eingerichetet? Da ich in diesem Gebiet ein purer Anfänger bin, bin ich um jeden Rat von Euch angewiesen.
Ich möchte mich an dieser Stelle nochmals für euren Support herzlich bedanken.
MFG
Shuri
(PS: Da es mein erster Forum-Eintrag ist, möchte ich euch um Nachsicht bitten, falls ich nicht ganz Forum-Konform geschrieben habe...)
Hallöle Shurikn!
Soweit ich das von hier aus beurteilen kann, hast Du die Einstellungen am Router offenbar gut hinbekommen.
Die Sicherheitseinstellungen schein soweit auch in Ordnung zu sein.
Nun aber zu meinen Bedenken:
Port 80 (http) weiterzuleiten ist eigentlich nicht problematisch, könnte jedoch bei bekannten Exploits für den Apache auch eine hervorragende Einbruchstelle bilden
(da sind dann die Einstellungen für misslunge Logins auch kein Thema mehr...)
Port 8080 für die Adminoberfläche weiterzuleiten grenzt dann schon an Suizid! Frage Dich, wozu brauchst Du eine offene Adminoberfläche im Internet! Normalerweise richtet man sein NAS einmal ein um es zu nutzen (allenfalls nachträgliche Korrekturen sind erlaubt). Ständiges Um- Nachkonfigurieren sollte eigentlich nicht erforderlich sein. Ferner fordert eine Administrationsoberfläche gerade diejenigen heraus, die Du versuchst auszusperren.
Telnet / SSH abzuschalten ist ok! Wenn Du keinen Zugang zum NAS auf Kommandozeilenebene benötigst, kannst Du die Dienste abschalten. Ich empfehle jedoch, den SSH-Zugang aktiviert zu lassen (wenigstens zum internen Netz), da Du darüber notfalls auf das Gerät zugreifen kannst, wenn die Adminoberfläche längst nicht mehr reagiert.
Wenn Du FTP zwingend nutzen willst, bitte..
Nach meiner Einschätzung gehört FTP jedoch zusammen mit Telnet zu den unsichersten Dienst die man anbieten kann (offene Übertragung von Passwörtern) 
Im internen Netz ist das kein Problem, aber im Internet.....
Meine Empfehlung bleibt:
Suche Dir einen Webhoster und überlass dem das Risiko und schütze Deine Daten so gut Du kannst vor Zugriffen aus dem Internet!
Grüße
Jody
PS: Egal wie hoch die Anzahl der benötigten Versuche zum Erraten eine Passwortes ist, auch der erste Versuch könnte der Treffer sein
Hi Jody
Besten Dank für deine ausführlichen Antworten!
Der Port 8080 habe ich deshalb eingeschaltet, weil ich sonst nicht weiss, wie ich zum Web-File-Manager gelange. Falls es andere Möglichkeit gibt, wie wie ich zum Web-File-Manager ohne den Port 8080 gelange, würde ich natürlich diese Option bevorziehen. Aber da Du ausdrücklich das Wort Suizid in dieser Zusammenhang erwähnt hast, werde ich es mir wohl gut überlegen müssen den Port 8080 weiterzuleiten.
Denkst Du, wenn man den Apache stets aktuell hält, dass man das Problem mit dem Exploits vernachlässigen kann?
Bei mir habe ich noch bei der Option FTP den Auswahl FTP mit SSL/TLS (explizit). Wenn ich den anstelle den normalen FTP aktiviere, wäre dann die FTP sicher?
Deine Empfehlung einem Webhoster die Arbeit zu überlassen ist sicherlich nicht verkehrt, aber da ich in erster Linie auf meine Daten, sprich die Daten auf dem NAS, von überall her zugreifen möchte, kann es schnell mal teuer werden, wenn ich all meine Daten auf einem externen Server lagere.
Wie hast Da das gemacht, damit du auf deinen NAS zugreifen kannst oder ist Dein NAS nicht online?
Ich möchte mich nochmals für Deine wertvolle Unterstützung bei Dir danken.
Freundliche Grüsse
Shurikn
Hallo Shurikn,
die Funktionalität von überall auf die eigenen Daten zugreifen zu können mag sehr verlockend sein, birgt aber immer auch das Risiko, dass andere dies dann womöglich auch können
Was die Aktualisierungen der Softwarepakete auf dem NAS betrifft, erfordert dies zumindest gute Programmier- und Linuxkenntnisse. Da die Firmware einschließlich der genutzten Serverdienste regelmäßig durch Qnap aktualisiert wird, könnte man diesen Punkt vernachlässigen (was ich jedoch törricht finden würde wenn man sein NAS im Internet freigibt).
Was die Sicherheit der Dienste (http/ftp/sftp etc.) betrifft, sind diese alle mehr oder weniger sicher. 100%ige Sicherheit kann und wird es vorerst nicht geben. Es gibt leider immer einen (wo auch immer) der sich auf genau den einen Dienst stürzt um sämtliche Schwachstellen zu finden und auszunutzen.
Wie hoch die Wahrscheinlichkeit ist, dass ausgerechnet Dein NAS gehackt wird, kann Dir keiner sagen und ich will Dir auch nicht den Spaß an der Freude verderben! Wenn Du ruhigen Gewissens sagen kannst, dass niemand mit Deinen Daten Missbrauch treiben kann oder Du vollständig auf diese Daten verzichten kannst, brauchst Du Dir keine Sorgen machen
Zitat von "shurikn"Wie hast Da das gemacht, damit du auf deinen NAS zugreifen kannst oder ist Dein NAS nicht online?
In diesem Sinne ist mein NAS nicht online! (wenngleich es 24/7 in Betrieb ist)
Die Daten, die ich meine überall auf der Welt nutzen zu wollen, trage ich bei Bedarf auf einem USB-Stick, einer externen Festplatte oder auf gebrannten CDs oder DVDs mit mir herum.
Tools in Form von Software findet man in sekundenschnelle im Web, also wozu mitschleppen....
Das einzige was ich gelegentlich nutze, ist die Möglichkeit, meinen Videorecorder über das Internet zu programmieren, das mache ich jedoch über VPN.
Daten meines NAS im Internet freigeben? Niemals!
Grüße Jody
Zitat von "jody"empfehle ich Dir, die FAQ zur Sicherheit (siehe Link in meiner Signatur) zu lesen.
...
Grüße
Jody
Hi Jody,
Wo is denn der Link?
Ich such bissle was zu meinem Netzwerk zusammen. (Möchte auch das WLan sicher haben)
Grüße
Ich muss sagen das ich gottes froh bin das ich den 8080 Port forward hatte.
Ich Held hatte den IP Block auf forever gesetzt und tja wie es so kam 5 mal das PW falsch eingegeben.
War am verzweifeln, weil ich nicht mehr auf den NAS kam, zum Glück bin ich durch den Schrieb hier auf die Idee gekommen es von außen zu versuchen. Hatte Glück im Unglück.
Was hätte ich machen müssen wenn meine beiden Admin-Acc gesperrt sind, um wieder an den NAS zu kommen?
Gruß
@ dibbele
Einfach Reset durchführen 
http://docs.qnap.com/nas/ger/i…inistrator_password_a.htm
Grüße
Christian
