QNAP-NAS geeignet für sicheren, gemeinsamen Web-Zugriff?

    Hallo,


    ich brauche mal ein Fazit der ganzen Sicherheitsdiskussionen hier.


    Was ich eigentlich mit meinem geplanten NAS auch anstellen wollte war, dass ich und Freunde auf einen gemeinsamen Datenbestand zugreifen können, ähnlich wie auf ein Netzlaufwerk.


    Die Daten sind aber durchaus sehr vertraulich, niemand außer explizit zugelassenen Personen dürfen diese zu Gesicht bekommen.


    Das scheint mir aber nach einigen Lesen hier im Forum mit einem NAS schwer realisierbar, gerade für eine NAS und Netzwerk - Newbie :?


    Wie sicher sind die im QNAP TS-109 Pro II 'eingebauten' Sicherheitsmechanismen?


    Was ich mich frage ist, wie machen das Firmen, dort ist es doch in globalen Konzernen möglich, dass der englische Kollege diselben Dokumente sieht und bearbeiten kann wir der deutsche Mitarbeiter der Firma. Auch kann jeder Mitarbeiter auf Gerschäftsreisen von jedem Hotel auf diese Daten zugreifen.
    Soweit mir bekannt wird das mit VPN realisiert. Ist VPN demnach so sicher, als dass damit die Konkurrenz oder irgenwelche 'Bösewichte' die vertraulichen Dokumente lesen können?!


    Inwieweit unterscheiden sich die Firmenlösungen von Lösungen, die man im privaten Bereich mit einem QNAP-NAS umsetzen kann?


    Irgenwie finde ich es paradox:
    Da hat man ein tolles NAS, das Internet stellt die Infrastruktur zur Verfügung aber dennoch scheitern heute so einfache Sachen wie gemeinsam ein (vertrauliches) Dokument zu lesen an Sicherheitsaspekten.


    Oder gibt es einen einfach umzusetzenden Lösungsansatz?


    Danke für jede Aufschlauung!


    Gruß
    Sergeant

    hi


    "sicherheit" und "einfachheit" widersprechen sich leider sehr oft, das scheint irgendwie sowas wie ein naturgesetz zu sein. nicht spezifisch in bezug auf qnap.


    je höher die eigenen sicherheitsansprüche, desto mehr aufwand muss man auch betreiben.


    die TS bieten IMHO - wie bei jedem system vorausgesetzt man administriert das ganze sauber - auch mit bordmitteln bereits eine gute sicherheit.


    für mich persönlich ist es "sicher genug" wenn ich
    1. im router nur port 443 an den ts weiterleite
    2. sehr starke passwörter vergebe (und die vielleicht regelmässig ändere)
    3. die zugriffsrechte sauber vergebe
    4. den netzwerkzugangsschutz des ts aktiviere (NAP, automatisches blocken gegen brute force angriffe)
    5. nur die dienste auf dem TS aktiviere, welche ich benötige
    6. und dann den web file manager per https verwende für den datenzugriff per internet (dyndns)


    eine sehr einfache lösung - auch von einen anfänger mit etwas grundwissen in max. 10 minuten machbar - mit einer sicherheit die "gut" ist und kaum nachteile hat. manche mögen mir vielleicht widersprechen, aber das risiko dass hierbei jemand mitliest resp. den TS hacken kann ist bereits SEHR gering... ich halte meine variante für eine praktikable zuverlässige lösung für deine aufgabenstellung, speziell im privatbereich.


    wenn einem das nicht ausreicht, wird's natürlich deutlich komplexer... aber die möglichkeiten sind da.


    in mittleren/grossen firmen nutzt man meist (ipsec) vpn lösungen. da hat man dann oft nen teuren gateway (ts preis mindestens mal 10 ^^) von irgendeinem mehr oder weniger bekannten hersteller und entsprechend eine client software. der administrator installiert und konfiguriert dann schön alles auf dem notebook für den aussendienstler... dieser macht nur noch nen doppelklick und ist happy, meistens ;) gibt natürlich noch viele weitere tolle lösungen, auch mit hardware keys etc., aber kaum etwas ist wirklich einfach (zumindest nicht für den admin) und günstig.


    meines erachtens hat qnap bereits sehr viel getan um ein solch multifunktionales system mit unterschiedlichsten anwendungsszenarien/userbedürfnissen "sicher" zu machen, auch für den laien, resp. die werkzeuge dafür zu liefern (ohne die für viele user sehr wichtige einfachheit zu opfern). aber ohne etwas nachdenken und aufwand ist kein system sicher.


    100% sicher ist ja eh nie was, aber ich denke mal das ist klar.

    Zitat von "IamQ"

    eine sehr einfache lösung - auch von einen anfänger mit etwas grundwissen in max. 10 minuten machbar - mit einer sicherheit die "gut" ist und kaum nachteile hat. manche mögen mir vielleicht widersprechen, aber das risiko dass hierbei jemand mitliest resp. den TS hacken kann ist bereits SEHR gering... ich halte meine variante für eine praktikable zuverlässige lösung für deine aufgabenstellung, speziell im privatbereich.


    Da will ich Dir mal zustimmen! :thumb:


    Zitat von "IamQ"

    in mittleren/grossen firmen nutzt man meist (ipsec) vpn lösungen. da hat man dann oft nen teuren gateway (ts preis mindestens mal 10 ^^) von irgendeinem mehr oder weniger bekannten hersteller und entsprechend eine client software. der administrator installiert und konfiguriert dann schön alles auf dem notebook für den aussendienstler... dieser macht nur noch nen doppelklick und ist happy, meistens ;) gibt natürlich noch viele weitere tolle lösungen, auch mit hardware keys etc., aber kaum etwas ist wirklich einfach (zumindest nicht für den admin) und günstig.


    Für den Fall, dass das Notebook mal wegkommt, sollte noch die Festplattenverschlüsselung erwähnt werden ... :mrgreen:


    Zitat von "Sergeant"

    Das scheint mir aber nach einigen Lesen hier im Forum mit einem NAS schwer realisierbar, gerade für eine NAS und Netzwerk - Newbie :?


    Das ist kein NAS-Thema sondern betrifft ALLE über das Internet bereit gestellten Informationen! Die Punkte, die Q in seinem Post aufgelistet hat, sollten für den Privatbereich aber völlig ausreichend sein. Denn schließlich muss auch erst einmal einer ein Interesse daran haben Dich zu hacken. Dazu kommt, dass der "potentielle Interessent" dann auch noch gewisse Kenntnisse benötigt. Dies sollte im privaten Umfeld doch eher selten vorkommen ...


    Zur Information: Bei Zugriff über Port 80 werden sämtliche Daten unverschlüsselt übertragen. Das kommt quasi einer Einladung zum Mitlesen gleich.

    Zitat von "CAR"

    Dies sollte im privaten Umfeld doch eher selten vorkommen ...


    Hallöle,
    leider kann ich "IamQ" nur in soweit Recht geben, als das sich mögliche Lösungen auch mit nur begrenztem Wissen schnell "zusammenklicken" lassen.
    Je nach dem wie hoch Dein Sicherheitsanspruch ist, mag es auch gefühlt sicher sein.
    Nun aber möchte ich der obigen Aussage von CAR wiedersprechen!
    Einem Hacker, der es Ernsthaft drauf anlegt, sind Deine persönlichen Daten meistens relativ egal, ABER er wird Dein NAS zu einer
    "Spamschleuder", einem "WAREZ-Lager" oder schlimmeren ausbauen.
    Sofern Du Dich Deiner Technik und den Möglichkeiten daraus leichtfertig hingibst, riskierst Du mehr als Du Dir vielleicht vorstellen kannst.


    Was das Thema Sicherheit im Internet betrifft, mag ich ja eine Spassbremse sein, aber ich finde man kann nicht oft genug darauf hinweisen!


    Grüße
    Jody


    PS.: "Verharmlosung" würde ich bei diesem Thema mit "schwerer Körperverletzung" gleichsetzen....

    Nun gut, dann gehe ich etwas detailierter auf Q's Post ein:


    1. Im Router nur Port 443 an die TS weiterleiten
    Port 443 bedeutet SSL = Secure Sockets Layer = ein Netzwerkprotokoll zur sicheren Übertragung von Daten


    2. Sehr starke Passwörter vergeben (und die regelmässig änderen)
    Ein starkes Passwort besteht aus mindestens 9 Zeichen bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. 9 Zeichen = absolutes Minimum


    3. Die Zugriffsrechte sauber vergeben
    Bedeutet immer nur die minimal benötigten Rechte erteilen
    3a. Admin-Konto in z.B. Flitzpiepe umbenennen und "admin" zum Normalbenutzer machen und nur Zugriff auf ein leeres Verzeichnis (Honeypot "für Arme") gewähren. Siehe http://de.wikipedia.org/wiki/Honeypot


    4. Den Netzwerkzugangsschutz der TS aktivieren (NAP, automatisches blocken gegen brute force angriffe)
    Funktioniert ja nun mit der FW3


    5. Nur die Dienste auf der TS aktivieren, welche ich benötige
    Je weinger Dienste offen sind, desto weniger Angriffsmöglichkeiten ergeben sich


    6. Den Webfile-Manager per https verwenden für den Datenzugriff per Internet (dyndns)
    Stichwort DynDNS: Bedeutet der "Anbieter" hat keine feste IP, diese ändert sich also spätestens alle 24 Stunden und der potentielle Angreifer "darf" wieder von vorn anfangen


    Die Beachtung dieser 6 Regeln waren Grundlage für meinen Post. Wir sprachen auch von Hackern (besserer Ausdruck Cracker) und nicht von Script-Kiddies, die bei diesen Maßnahmen am Ende ihres Lateins sind (da sie selber zu wenig Ahnung von der Materie haben). Cracker haben kein Interesse an "Normalos". Die verdienen ihr Geld in/mit der Industrie und haben kein gesteigertes Geltungsbedürfnis nach dem Motto "Guck mal was ich kann!" ...


    Zitat von "IamQ"

    100% sicher ist ja eh nie was, aber ich denke mal das ist klar.

    Zitat

    1. Im Router nur Port 443 an die TS weiterleiten


    An welchen Port kann ich denn den 443 weiterleiten?


    Ich habe eine Fritzbox davor, die nutzt für den Fernzugriff ebenfalls Port 443- geht das dann überhaupt noch?


    Danke
    Grüße, Maxo

    Hallo Maxo,


    bei der aktuellen Firmware-Version der FirtzBox 7170 kann man den Port für die Fernwartung ändern,
    evtl. geht das auch bei dir.
    Ansonsten mußt du auf NAS und die Portweiterleitung auf der FritzBox einen anderen Port als 443 wählen.


    So wie DoCHT schon schrieb, VPN ist allem vorzuziehen, da die Konfiguration des FritzBox-VPN Narrensicher ist.


    Stefan

    Hallo alle zusammen,
    kann man den „Admin“ des NAS so unbedenklich umändern? Wenn ja wie? „Admin“ finde ich nämlich auch nicht so attraktiv als Vollzugriffsname, soll Leute geben die ohne viel nachzudenken darauf kommen :shock: ;) .


    Gruß Stachel

    "kann man den „Admin“ des NAS so unbedenklich umändern? Wenn ja wie?"


    Hallo,


    hat das jemand rausgekriegt? Ich schaff es nicht einmal dem guten Admin die Administratorenrechte zu entziehen... :(
    Vielleicht kann jemand helfen. Danke!


    Rainer