NAS von außen zugänglich machen - was ist der richtige / beste Weg

  • Guten Morgen,


    ich habe meine TS-253A nun schon mehrere Monate am laufen und bin im Prinzip auch zufrieden. Ich musste lernen (ich hatte es natürlich gewusst, aber durch schmerzen wird aus gewusst - echtes Wissen... :-)) das ich ich mehr um meinen Netzwerkspeicher kümmern muss, als wenn das Zeug irgendwo in der Cloud liegt.


    Im Moment erreiche ich meine NAS von außen so, dass ich mein VPN für meine Fritzbox aktiviere und dann meine NAS nutzen kann, dass ist im Prinzip auch okay, hat aber den Nachteil, dass ich als iOS - User (iPad und iPhone) VPN nicht dauerhaft "halten" kann und sehr bewusst, erst anstellen muss um dann auf die NAS zuzugreifen. Das ist lästig bei Dingen wie den Abgleich von Aufgaben über WebDAV oder ähnliches.


    Die Alternative wäre ja über den eigenen QNAP - Dienst (myqnapcloud) meine NAS dauerhaft zugänglich zu machen. Das schöne wäre halt, dass meine NAS im Prinzip immer für mich da wäre ohne das ich mich um lästige andere Dinge kümmern müsste, auch könnte ich z.B. Links zu Dateien Dritten zur Verfügung stellen, damit diese Bilder, eine Datei oder ähnliches im Zugriff hätten.


    Logo möchte ich nicht, dass meine NAS gehackt wird - der Weg über VPN Fritzbox scheint mir recht sicher, aber wie sieht es mit dem Zugang über myqnapcloud aus? Wie seht ihr das und wer von Euch hat seine NAS wie zugänglich gemacht?


    Würde mich sehr über jeden Tipp und Einschätzung und Erfahrungsaustausch freuen.


    LuckyKvD

    Einmal editiert, zuletzt von LuckyKvD ()

  • Also ich persönlich würde ein NAS niemals direkt und auch nicht über den "Umweg" myqnap Cloud direkt ins Netz hängen. Man braucht ja auch nur mal die letzten Firmwarebugs mit der Onlineaktualisierung bei QNAP anzuschauen, dann hat man einen Eindruck von der Kompetenz bei Sicherheitsfragen von QNAP. Das ist sicher alles schön bequem, aber man hängt an einem Anbieter und muss diesem Vetrauen. Ich würde auch Synology in dem Punkt nicht weiter trauen.


    Das robusteste scheinen mir immer noch VPN Lösungen zu sein, sei es die FritzBox oder andere Router mit ähnlicher Funktionalität. Ich weiss auch nicht, ob ich unbedingt ein NAS mit wichtigen Daten parallel auch als VPN Gateway benutzen würde, falls deren Implementation löcherig ist. Zumindest hat man von groben VPN Lücken bisher wenig gehört ( zumindest ich), und da die Zugangsdaten nur bei einem selbst liegen ist auch das Klaurisiko beherrschbar.


    Fazit für mich: VPN ist nach meinem Wissen ausgereift, nicht die bequemste Lösung, aber deutlich sicherer als alle anderen Varianten aus meiner Sicht. Ich würde auch die FritzBox z.B. nicht per Webinterface ins Netz stellen, die Angriffe sind einfach zu vielfältig so dass eine kleine Fehlkonfiguration gleich zum massiven Sicherheitsloch wird.

  • Ich halte es ähnlich. Für mich gibt es keinen Grund, dass mein NAS von außen erreichbar sein muß, schon gar nicht für Dritte. Ausnahme ist auf Arbeit, wenn ich an Webseiten für Kunden bastle, dass ich denen temporär mal die Möglichkeit gebe, sich den Entwurf oder den Zwischenstand anzugucken. Ansonsten habe ich nur die Möglichkeit, von zu Hause aus per VPN zuzugreifen, wenn ich ungeplant was Dringendes von zu Hause aus erledigen muß. Da kann ich notfalls auch einige Maschinen auf Arbeit ansteuern.

  • Hallo,


    vielen Dank für Eure Antworten. Schade, dass Ihr zur selben Lösung wie ich gekommen seit. Warum Schade, ich hätte halt gerne meine NAS für mich anders geöffnet. Also wenn hier noch jemand ist, der seine NAS nach außen geöffnet hat, dann würde ich gerne etwas über die Erfahrungen hören.


    In diesem Sinne....


    LuckyKvD

  • Ich greife immer gerne mal von unterwegs drauf zu, habe dafür bisher (alles noch Testbetrieb) myqnapcloud benutzt.
    VPN hab ich bisher immer vor mich hin geschoben, ein Extraklick mehr täte mir aber nicht weh...


    Bisher 2 fremde IPs geloggt und gebannt, welche sich mit Standart Admin einschleichen wollten.
    Also Sicherheit ist relativ...k.A. wie gut die Jungs und Mädelz von Qnap arbeiten. :qclub:


    Und wer sich mal die NSA Leaks von Wikileaks angesehen hat, der macht sich keine Illusionen mehr.
    Insofern denke ich, VPN sollte für das Durchschnitts Scriptkiddie reichen, aber da gibts eben auch noch ganz andere Kaliber, da tuhste nix.


    Ansonsten kann ja vielleicht mal ein Insider der hier rumhängt, was zum Stande der Qnapcloud verlauten lassen...


  • Schade, dass Ihr zur selben Lösung wie ich gekommen seit.


    Ja, es ist schade dass man damit rechnen muss, dass einem das NAS gehackt wird. Nur denke ich ist es wichtig jedem klarzumachen, dass die vermeintlich "sicheren", eingebauten Möglichkeiten eben bei weitem nicht so sicher sind, wie sie scheinen. Man siehts ja an den gehackten Videorecordern, Webcams etc. die man mit Suchmaschinen ala Shodan findet, und die dann als Botnetz mal den Internetverkehr eines kleinen Landes lahmlegen können...


    Wenn man nicht ein seprates NAS in einer DMZ bereitstellt, dann könnte man zur Not vielleicht mit der Virtualisierungslösung zumindest die Hacks auf die VM im NAS beschränken, sofern der Hypervisor keine bekannten Löcher hat. Zumindest könnte man dann vielleicht ein virtuelles Netzsegment aufmachen, damit die Zugriffe im Falle der Kompromitierung zumindest begrenzt sind.


    Ist aber auch schon Aufwand. Und je nachdem, wie man die VM isoliert bzw. sie Hostzugriff auf Daten im NAS hat ist der Schutzlevel auch höchst unterschiedlich.


    Also, wie gesagt, das direkte Webinterface ist das größte Sicherheitsrisiko, deswegen hat man je nach Anwendung hier auch den größten Aufwand, das alles sicher zu halten. Die Webkomponenten im QTS sind auch nicht die neuesten, ich hab mir allerdings den Patchlevel nicht wirklich angeschaut, deswegen will ich mal nichts falsches behaupten was echte Sicherheitslöcher angeht. Aber wie gesagt, eine Webseite / PHP Anwendung ist auch schnell falsch konfiguriert und schon hat man den Salat...

  • Ich greife auch von außen darauf zu.
    Man kann ja die Anmeldeversuche protokollieren und sehr schön sehen, dass es sich um automatisierte Versuche handelt in das System zu gelangen.
    Hauptsächlich wird auf diese Weise Telnet oder SSH abgetastet. Wichtig sind also sichere Passwörter und von Vorteil sind auch Benutzernamen, die nicht Standard sind.
    Wenn ich SSH/Telnet nicht benötige, schalte ich es ab und es ist Ruhe. Ansonsten kann man die Last auch reduzieren, indem man auffällige IPs automatisch bannen lässt.


    Einen Einbruch auf anderem Weg habe ich noch nicht bemerkt. Außerdem kann man ja immer mal einen Blick auf das Verbindungsprotokoll werfen.


    Es nur offline nutzen möchte ich nicht. Dafür brauche ich kein NAS, sondern dann reicht eine externe Festplatte oder ein kleiner Rechner. Gerade die Möglichkeiten von außend arauf zuzugreifen, machen das Konzept ja so stark. Finde ich.

  • Einen Einbruch auf anderem Weg habe ich noch nicht bemerkt. Außerdem kann man ja immer mal einen Blick auf das Verbindungsprotokoll werfen.

    Hallo,


    wo kann ich die Anmeldeversuche und die Verbindungsprotokolle sehen? Und wie kann ich IP - Adressen bannen?


    LuckyKvD

  • Moin, die Protokolle findest Du in der Systemsteuerung unter Systemprotokolle.
    Das Bannen machst Du in der Systemsteuerung unter Sicherheit/ Netzwerkzugangsschutz.
    Ein Blick ins Handbuch ist da auch nicht die schlechteste Idee.

  • man kann ja auch qvpn installieren und dann die Qnap als VPN Server laufen lassen.
    PPTP, OVPN, L2TP,IPSec möglich.
    Weiß aber nicht, ob es dann einen Unterschied zur Fritzbox macht.

  • Hallo LuckyKvD,


    Im Moment erreiche ich meine NAS von außen so, dass ich mein VPN für meine Fritzbox aktiviere und dann meine NAS nutzen kann, dass ist im Prinzip auch okay, hat aber den Nachteil, dass ich als iOS - User (iPad und iPhone) VPN nicht dauerhaft "halten" kann und sehr bewusst, erst anstellen muss um dann auf die NAS zuzugreifen. Das ist lästig bei Dingen wie den Abgleich von Aufgaben über WebDAV oder ähnliches.

    Grundsätzlich halte ich es genauso ist einfach immer noch das sicherste. Das mit den iOS Geräten ist halt so und ich denke das wird sich auch nicht so schnell ändern, ehrlich gesagt finde ich es auch besser und sicherer.

    Die Alternative wäre ja über den eigenen QNAP - Dienst (myqnapcloud) meine NAS dauerhaft zugänglich zu machen. Das schöne wäre halt, dass meine NAS im Prinzip immer für mich da wäre ohne das ich mich um lästige andere Dinge kümmern müsste, auch könnte ich z.B. Links zu Dateien Dritten zur Verfügung stellen, damit diese Bilder, eine Datei oder ähnliches im Zugriff hätten.

    über den QNAP Dienst würde ich es schon mal gar nicht machen, aber das ist eigl. jeden selbst überlassen. Ich hab mir eine Domain über Strato zugelegt, ich denke das kann man sich leisten wenn man sich diese Option überlegt und lasse eine DynDNS weiterleitung auf die Fritzbox laufen und habe den dazugehörigen Port für die NAS Freigegeben (noch "sicherer" wird es wenn du die Standardports umstellst), dazu habe ich natürlich die weiterleitung auf https mit SSL Zertifikat von let's encrypt laufen, wobei ich mit der http zu https weiterleitung auch noch so meine kleinen Problemchen habe...


    Was ich dann, wenn du alles so laufen hast, auf jeden Fall noch aktivieren würde sind die Push Mitteilungen der FirzBox und der NAS selber so wirst du über jede einzelheit deines Routers und der NAS informiert, das kann lästig sein aber ist immer auch noch das sicherste weil du so immer über alles informeirt wirst.


    Edit 25.04.2017: Es gibt nun auch schon eine 2 wege Authentifizierung für die qnaps auch erst vor kurzem gemerkt :whistling: und nutze sie auch. Hier auch noch ein Artikel dazu Wie sichere ich mein NAS zum Internet ab?

  • Liebe Foristen,


    da dies mein erster Beitrag ist, erstmal Hallo an alle!


    Mein QNAP TS-251 steht in meinem Netzwerk hinter einer FritzBox. Da ich hauptsächlich meine wichtigen Dokumente (Verträge, Versicherungen, Gehaltsnachweise, etc.) auf meiner NAS digitalisieren und auch von extern aus zugreifen können möchte, hatte ich mir überlegt die NAS nicht ans Internet direkt anzubinden, sondern per VPN über die FritzBox draufzugehen.
    Da die "intelligente Einrichtung" aber sehr viele Funktionen und Apps zur Verfügung stellt, ist auch eine "normale" Einrichtung über die mynapcloud interessant. Deshalb habe ich bei der Einrichtung mal alles über die myqnapcloud angebunden. Nachdem ich eure Meinungen gelesen habe, muss ich sagen, ich würde es gerne rückgängig machen und genau da liegt meine Frage:


    Muss ich einen reset machen oder wie kann ich meine NAS von myqnapcloud disconnecten?


    Vielen Dank für eure Hilfe!

  • Muss ich einen reset machen oder wie kann ich meine NAS von myqnapcloud disconnecten?

    Hallo @Betzi


    Ich glaube das ist relativ einfach, bei mir auf meinem "NAS Desktop" ist "myQnapCloud"
    zu sehen. Entweder müsstest du ALLES auf AUS machen, oder unter CloudLink auf AUS schalten
    aber das scheint mir die Zentrale zu sein,


    Da ich den Punkt nicht eingerichtet habe, kann ich es leider nicht testen


    aber das sollte bei dir gehen
    wenn du etwas ausschaltest sollte es ja kurz danach nicht mehr in der Cloud sein oder eben nicht mehr zugänglich sein