Optimale (sichere) Konfiguration?

  • Hallo zusammen


    Ich möchte meinen NAS neu aufsetzen und habe nun einige Fragen. Es geht eigentlich um den NAS, ich werde aber auch einige grundlegende Fragen zum Netzwerk stellen. Ich hoffe ich kann dies hier posten und ihr könnt mir helfen. :)



    Hier zuerst einige Daten zur Hardware und Netzwerk:


    • NAS-Modell: TS-453mini
    • NAS-Firmwareversion, Build-Date: 4.3
    • Festplattenanzahl x Festplattentyp: 4x 1,5TB
    • Festplattenkonfiguration: RAID 5 (glaube ich)
    • Volumeverschlüsselung aktiviert ja/nein: nein
    • Netzwerkschnittstellenkonfiguration: 2x Einzelschnittstelle
    • Netzwerkbasisanschluss der NAS: Switch/1000Mbit
    • WLAN/DLAN Verbindungen von/zur NAS ja/nein: nein
    • angeschlossene externe Geräte: keine
    • Router: FritzBox 7490 (Bridge)
    • Weitere Informationen: Ich habe ein Modem von meinem Provider. (Dieses muss ich verwenden.) Direkt ans Modem mit einem 1000MB/s LAN Kabel habe ich eine FritzBox 7490 angehängt. Da ich diverse Geräte habe, habe ich noch einen 10 Port Switch mit 1000MB/s Ports an die FritzBox angeschlossen.


    Einsatzgebiet des Netzwerkspeichers:

    • Webserver: OwnCloud, WordPress und weiteres
    • Backup Lösung für mein MacBook
    • Speicher für Filme und Serien


    Ausgangslage:
    Ich habe vor ca. 8 Jahren einen alten Occasion QNAP NAS gekauft. Da dieser schon einige Jahre auf dem Buckel hatte, habe ich mich vor ca. 2 Jahren für den Kauf eines QNAP TS-453mini entschieden. Als ich den ersten NAS in Betrieb genommen habe, war ich noch ein absoluter Laie. Als ich dann den neuen NAS gekauft habe, wusste ich schon einiges mehr aber ich habe die Konfiguration, etc. eigentlich vom alten NAS übernommen. Da die Cyberangriffe immer mehr zunehmen und ich mittlerweile auf dem NAS auch eine kleine Website und OwnCloud hoste, möchte ich den NAS komplett neu aufsetzen. Dabei möchte ich die gesamte Ordnerstruktur neu erstellen. In den Bereichen Sicherheit, Verschlüsselung und RAID/Backup kenne ich mich aber immer noch nicht sehr gut aus! Deshalb wende ich mich nun an euch, die Community.




    Meine Ziele/Anforderungen:

    • interner Zugriff auf die Daten von FileStation und OwnCloud
    • externer Zugriff auf Webserver für OwnCloud und WordPress (Zugriff via XXXXX.myqnapcloud.com funktioniert aktuell eigentlich gut)
    • sämtliche Daten verschlüsselt (oder macht dies keinen Sinn? Ich habe keine heiklen Daten oder so.. Es ist mehr eine Prinzip Frage, dass niemand sonst meine Daten zu analysieren hat..)
    • Backups im internen Netz
    • sicheres Heimnetzwerk, bzw. vom Angriff von aussen geschützt



    Nun habe ich einige offene Fragen.. Wenn ihr mir ein Feedback dazu, in welcher Form auch immer, geben könntet, wäre ich euch dankbar! :) Also:

    • Wie soll ich die 4 Platten am besten verwenden? Mit einem RAID5 über alle Platten habe ich ca. 4,5 TB Speicher. Wie ich gelesen habe ist ein Backup dann aber trotzdem noch Notwenig, wenn man sicher gehen möchte. Sprich ich bräuchte dann noch einen zweiten NAS oder eine grosse externe Festplatte. Oder kann ich auch den RAID 5 über 3 Platten konfigurieren, mir noch eine neue/grössere kaufen und diese dann als 4. einsetzen? So könnte ich dann das RAID-Volumen auf der 4. Platte zusätzlich sichern.
    • Aktuell habe ich die Webserver-, und Webinterface-Ports an der FritzBox zum NAS freigegeben. Ist dies ein Sicherheitsrisiko? Wie kann ich dies sicherer gestalten?
    • Allgemeiner Zugriff auf den NAS: Für mich optimal wäre, wenn abgesehen vom Webserver alles nur lokal erreichbar wäre. Sollte ich mal das Webinterface, bzw. DownloadStation, etc. zugreifen müssen, kann ich dies immer noch via VPN (Router) machen. Dies sollte sicher sein oder? Kann man dies überhaupt so einstellen?
    • Aktuell habe ich einen Benutzer und der ist admin. Würde es Sinn ergeben, dass ich mehrere Benutzer erstelle? Wenn ja, für jede "Anwendung" einen neuen? Oder genügt es einen zweiten mit etwas eingeschränkten Rechten den ich dann für alles verwenden kann?


    Gerne dürft ihr mir auch etwas komplett anderes Vorschlagen.. bin da offen für jeden Input!


    Besten Dank und liebe Grüsse
    UrEcH

  • Wie soll ich die 4 Platten am besten verwenden? Mit einem RAID5 über alle Platten habe ich ca. 4,5 TB Speicher. Wie ich gelesen habe ist ein Backup dann aber trotzdem noch Notwenig, wenn man sicher gehen möchte. Sprich ich bräuchte dann noch einen zweiten NAS oder eine grosse externe Festplatte. Oder kann ich auch den RAID 5 über 3 Platten konfigurieren, mir noch eine neue/grössere kaufen und diese dann als 4. einsetzen? So könnte ich dann das RAID-Volumen auf der 4. Platte zusätzlich sichern.

    Ein RAID dient zur Ausfallsicherheit. Ein Backup ist aber immer noch notwendig. Ein Backup innerhalb des gleichen NAS macht keinen Sinn. Sollten durch irgend einen Grund das NAS und die Platten darin abrauchen sind die Daten dahin. Außerdem sollte das Backup auch räumlich getrennt aufbewahrt werden, optimaler weise nicht nur im Nebenraum sondern in einem anderen Gebäude, z.B. Wasserschaden, Wohnungsbrand etc.


    Was Web-Server und lokale Daten angeht:
    Ich wüsste im Moment nicht, wie dies auf einem Gerät wirklich sicher hinzubekommen ist. Ich persönlich würde so was komplett trennen. Lokale Geschichten ins interne Netzwerk und Web-Dienste in die DMZ. Dies bedeutet aber auch 2 QNAPs und eine Firewall oder ein Router, der über eine DMZ verfügt. So viel mir ist verfügt die FB7490 über so was. Ist natürlich auch mit einer QNAP zu machen, aber mit entsprechendem plus an Risiko. Schließlich ist eine Webseite nach Außen offen. Vermutlich wären hier verschiedene virtuelle Maschinen gepaart mit den 2 Netzwerkanschlüssen und dem virtuellen Switch und der DMZ der Fritzbox eine annehmbare Lösung.


    Aktuell habe ich einen Benutzer und der ist admin. Würde es Sinn ergeben, dass ich mehrere Benutzer erstelle? Wenn ja, für jede "Anwendung" einen neuen? Oder genügt es einen zweiten mit etwas eingeschränkten Rechten den ich dann für alles verwenden kann?

    Ich würde einen Benutzer mit Adminrechten zum Administrieren und einen Benutzer mit normalen Rechten zum Arbeiten anlegen und für jede weitere Person, die an der QNAP arbeiten einen weiteren normalen Benutzer. Gegeben Falls einen eingeschränkten Benutzer für Gäste. Das sollte im Normalfall ausreichen.

  • Hallo Mavalok2


    Danke für deine Antwort. Das mit dem RAID war mir nicht so ganz klar.. 4 TB zusätzlich noch in einem Backup abspeichern ist schwierig bzw. zu teuer:S Ich habe mir deshalb nach deinem Feedback etwas neues überlegt:


    Modem-->Firewall mit DMZ-->Fritzbox als WLAN Access Point
    (die Fritzbox kann keine leider keine DMZ erstellen, bzw. nur mit einem Workaround als exposed-Host)


    Dann hänge ich alle Geräte inkl. QNAP NAS ins lokale LAN. In einer DMZ hoste ich dann auf einem Raspberry Pi einen Webserver für OwnCloud. Dies sollte dann eigentlich sicher sein, oder? Der NAS wird dann nur noch als Backup-Speicher verwendet. Der externe Zugriff auf den NAS ist dann nur noch via VPN möglich. Den Tipp mit den Nutzern werde ich dann wie vorgeschlagen umsetzen :)


    Wie ich den Webserver in der DMZ auf dem NAS im lokalen LAN abspeichere muss ich dann noch schauen.. hoffe dies ist irgendwie möglich :)



    Jedenfalls danke nochmals für deine Antwort. Hat mir schon einiges geholfen.



    Grüsse UrEcH

  • Die NAS hat 2 Netzwerkanschlüsse. Du kannst in der NAS einstellen, dass über ersteren Netzwerkanschluss man Zugriff auf die Weboberfläche, FTP, SMB, ... hat, über den zweiten nur den Webserver ereicht. Wenn du in deiner Fritzbox dann nur auf den zweiten Netzwerkanschluss die Ports weiterleitest, sollte man keinen Zugriff auf die Weboberfläche und sonstige Dienste die im LAN genutzt werden sollen vom Internet aus haben.


    Wie sicher das ist, kann dir keiner so genau sagen. Du könntest auch es etwas komplizierter gestalten, indem du, wie von Mavalok vorgeschlagen, die OwnCloud noch in einer speraten virtuellen Maschine laufen lässt anstelle direkt auf der NAS.


    Eine Firewall mit DMZ musst du ja auch erst einmal kaufen.


    Warum du dir jetzt das Backup sparen kannst ist mir ein bisschen ein Rätsel. Wichtig ist auf jeden Fall, die Daten die auf der NAS sind, noch irgendwo anders zu haben. 4TB ist heutzutage nicht mehr viel, d.h. eine USB Festplatte mit 4TB kostet nur noch 100 Euro.

  • Dann hänge ich alle Geräte inkl. QNAP NAS ins lokale LAN. In einer DMZ hoste ich dann auf einem Raspberry Pi einen Webserver für OwnCloud. Dies sollte dann eigentlich sicher sein, oder?

    So sicher diese im Rahmen möglich ist. Ein Gerät das ins Internet gestellt wird - vor allem wenn es permanent nach Aussen offen ist - ist eigentlich nie wirklich sicher. Bei einem professionellen Webserver würden hier wohl noch diverse Security-Software zum Einsatz kommen, was den privaten Rahmen aber bei weitem sprengen würde. Diese Tools sind ziemlich kostenintensiv.


    Wie ich den Webserver in der DMZ auf dem NAS im lokalen LAN abspeichere muss ich dann noch schauen.. hoffe dies ist irgendwie möglich

    Du kannst die Firewall so Einrichten, dass Du vom lokalen Netzwerk auf den Webserver in der DMZ zugreifen kannst, aber der Webserver und alle anderen nicht auf das lokale Netzwerk - ohne Umweg über das Internet.


    Eine Firewall mit DMZ musst du ja auch erst einmal kaufen.

    Firewalls sind nicht mehr so teuer wie auch schon, aber ein paar Euros - so um die 100 - 200 - werden schon fällig. Die Forumsregeln verbieten hier Werbung zu machen - ausser für :qnap::D - aber bei diversen Anbietern sind diverse Modelle zu erhalten. Möglicherweise ist ein Router mit DMZ-Funktion billiger.


    Die NAS hat 2 Netzwerkanschlüsse. Du kannst in der NAS einstellen, dass über ersteren Netzwerkanschluss man Zugriff auf die Weboberfläche, FTP, SMB, ... hat, über den zweiten nur den Webserver ereicht.

    Nur wie trennst Du hier den Zugriff auf der QNAP zwischen den zwei Bereichen? Zugriff von 2 Netzwerken aber auf das gleiche Gerät. Mit VMs ja, aber ansonsten?

    Einmal editiert, zuletzt von Mavalok2 ()

  • Nur wie trennst Du hier den Zugriff auf der QNAP zwischen den zwei Bereichen? Zugriff von 2 Netzwerken aber auf das gleiche Gerät. Mit VMs ja, aber ansonsten?

    Ja, die Frage ist aber, wie wichtig ist das wirklich zu trennen?
    Bisher ist meine NAS vom Internet aus direkt ereichbar, unter den zwei relevanten Ports für http und https, da ich nur so den Komfort habe, den ich von einer NAS haben will, nämlich auf alle Daten und bestimmte Services von überall zuzugreifen, ohne Drittanbieter. Genauso muss ich mich ja auch auf Fritz verlassen können, dass der Router einem Angriff stand hält. Und so hoffe ich, dass QNAP auch abgesichert ist. Klar, ist die NAS gehackt kommt man von da aus aufs LAN, was unschön wäre.


    Dagegen würde helfen, die NAS in eine DMZ zu setzen. Wird die NAS angegriffen, so sind zwar deren Daten offen, aber noch nicht die PCs im LAN. Da die Daten der PCs aber synchron sind mit denen der NAS, hätte ich jetzt auch nicht viel durch die DMZ gewonnen. Ein offline Backup hab ich auch, sodass ich einen kompromitierten PC auch wiederherstellen könnte.
    Ebenso will der Threadstarter per Internet über OwnCloud auf seine Daten zugreifen können, d.h. auch in der NAS in der DMZ müssten doch alle Daten gespeichert sein, da von der DMZ kein Zugriff aufs LAN gestattet ist. D.h. eine DMZ nutzt ihm doch eigentlich für seine Daten rein gar nichts, da seine Daten sowohl auf einer NAS oder den PCs im LAN, als auch auf einer NAS in der DMZ sind.


    Auf was ich hinaus will: Wie sicher ist wirklich nötig. Ich weiß es selbst nicht, ich bin immer offen für neues, daher interessiert mich dieser Thread auch. Aber es ist leider auch so, dass desto sicherer es ist, desto unkomfortabler wird es. Und manchmal gewinnt man dabei gar nichts.


    Das sicherste ist sicherlich die NAS gar nicht von außen zugänglich zu machen, sondern nur per VPN. Funktioniert aber nur so lange, wie man auf die NAS nur von eigenene Geräten aus zugreifen können will, da ein VPN Client von nöten ist und man nicht ständig mit der NAS verbunden sein will.


    @Threadstarter: Benutzer:
    Ich habe drei Benutzeraccounts. Einen admin mit einem sehr komplizierten Passwort und zwei Faktor-Authentifizierung. Einen Benutzeraccount, über den die PCs im Netzwerk auf die Netzwerkfreigaben der NAS zugreifen. Und einen Backup-Account auf den nur die Backupsoftware darauf Zugriff hat. Mein Hintergedanke: Habe ich einen Trojaner auf einem PC, so kann er nur auf die Daten zugreifen, nicht aber auf das Backup (das natürlich auch noch offline regelmäßig gesichert wird), und auch nicht als admin mit Vollzugriff auf die NAS. Falls ich falsch denke, möge man mich berichtigen.

  • da von der DMZ kein Zugriff aufs LAN gestattet ist

    Das stimmt so nicht. Das hängt davon ab wie die DMZ eingerichtet ist. Man kann Zugriffe zwischen den Zonen wie bei einer Firewall üblich einrichten. Man könnte den Zugriff so einrichten, dass vom LAN auf die QNAP zugeriffen werden kann aber nicht umgekehrt.


    desto sicherer es ist, desto unkomfortabler wird es.

    Das stimmt leider. Die hohe Kunst ist es eben den besten Mittelweg zu finden. Meist kommt auch noch der finanzielle Aspekt dazu - je besser desto teurer.


    Genauso muss ich mich ja auch auf Fritz verlassen können, dass der Router einem Angriff stand hält. Und so hoffe ich, dass QNAP auch abgesichert ist

    Da bei der Fritzbox immer nachgebessert werden muss und auch bei der QNAP...
    Weder AVM noch QNAP sind für ihre hohen Sicherheitsstandard bekannt. Aber für den privaten Bereich...
    Es ist immer ein Abwägen, wie wichtig sind die Daten und für wie viel Geld will man wie viel Sicherheit kaufen. Aber grundsätzlich gilt: 100% Sicherheit gibt es nicht.


    Ebenso will der Threadstarter per Internet über OwnCloud auf seine Daten zugreifen können

    Wenn ich das richtig verstanden habe, soll in der DMZ nur ein WebServer sein, die Daten im LAN. Eine Trennung ist hier problemlos möglich. Die Datensicherung bzw. Datenupload des WebServers kann über entsprechende Regeln vom LAN aus auf die DMZ gemacht werden.