Erreichbarkeit von außen (Internet) - wer hat Tipps?

  • Erreichbarkeit von außen (Internet) - wer hat Tipps?

    Hallo liebes Forum,

    ich bin ein neuer NAS-User und komme mit verschiedenen Anleitungen grade nicht mehr weiter.

    Ich möchte auf mein NAS aus dem Internet zugreifen.
    DynDNS ist eingerichtet, es soll nur einen verschlüsselten Weg geben. Ich möchte einmal über den Browser auf die QTS-Oberfläche zugreifen und außerdem per Explorer (WebDAV) direkt auf die Festplatten kommen.
    Mir ist nicht ganz klar welcher Port für was zuständig ist. Man soll ja nur möglichst wenig Ports freigeben.
    Ich habe gelesen, dass nur Port 8081 freigegeben werden soll.. In den Anhängen sind meine Einstellungen.

    Hat jemand außerdem einen Tipp für ein kostenloses Zertifikat (Win 10 und WebDAV) mit 1&1 Homepage?
    Gibt es eine Möglichkeit jemandem einen Link zu geben und dieser kommte dann direkt und verschlüsselt in den Ordner wo er Dateien ziehen soll und kann sonst nichts weiter sehen und zugreifen?
    Und gibt es eine Möglichkeit direkt auf die verschlüsselte Verbindung weiterzuleiten? Wenn ich "subdomain.domain.de" eingebe, klappt es nicht. Ich muss "https://subdomain.domain.de" eingeben.


    Über Hilfe freue mich.
    Grüße
    Dateien
    • 1.jpg

      (74,08 kB, 9 mal heruntergeladen, zuletzt: )
    • 2.jpg

      (81,38 kB, 10 mal heruntergeladen, zuletzt: )
    • 3.jpg

      (131,76 kB, 10 mal heruntergeladen, zuletzt: )
  • Bitte realisiere die Verbindung auf Dein heimisches NAS nur über eine VPN-Verbindung auf deinen Router. Jeder geöffnete Port auf dem Router stellt ein Sicherheitsrisiko dar. Falls Dein Router eine Fritzbox ist, stellt Dir AVM auch eine geeignete Anleitung zur Verfügung.
  • Hallo und danke für die Antwort.
    Ist dieses Sicherheitsrisiko konkret und kann man beide Aufgaben (über den Browser auf die QTS-Oberfläche zugreifen und per Explorer direkt auf die Festplatten zugreifen) auch über VPN realisieren?

    Ich habe mich an Anleitungen von iDomiX orientiert.


    Viele Grüße
  • Das Sicherheitsrisiko solltest du selber abwägen.

    Die plumpe Einschränkung auf VPN hilft dir einen sicheren eigenen privaten Zugang zu deiner NAS aufzubauen. Du bist dann wie im eigenen Netzwerk, d.h. du kannst wie daheim auf deiner NAS arbeiten. Alles andere kannst du dann aber vergessen. So kannst du dann vergessen dich von fremden PCs auf deiner NAS anzumelden da ein VPN Client erforderlich ist, mit der Fritzbox sogar ein sehr spezieller. Ebenso kannst du auch keine Dateien teilen, da du niemanden fremdes einen VPN Zugang zu deinem privaten Netzwerk geben möchtest. Du kannst nicht mehr mit hundert prozentiger Sicherheit von fremden Netzwerken auf der NAS anmelden, da gerne der Port für VPN gesperrt wird. D.h. so lange du nur von deinen eigenen Geräten auf die NAS von deinem eigenen Netzwerk (bspw. mobile Daten) von der Ferne darauf zugreifen willst, ist es die sicherste Lösung. Du siehst: Die Sicherheit ist top, die Einschränkungen gigantisch.

    Es gibt zwei Alternativen, die der Reihe nach unsicherer sind, dafür dir mehr Möglichkeiten bieten.

    Die einfachste ist den myQNAPCloud in Zusammenspiel mit Cloudlink zu nutzen. Die NAS baut eine verschlüsselte Verbindung über das Internet mit einem QNAP Server auf, du hast einen myQNAPCloud Account und kannst über die QNAP Server darauf zugreifen. Du kannst Dateien für andere freigeben, etc.
    Der Vorteil ist, dass keine Portweiterleitung benötigst, deine NAS somit weiterhin hinter der Firewall der Fritzbox sitzt und nicht von außen zugänglich ist. Ebenso ist die Einrichtung einfach.
    Der Nachteil ist, dass alles über QNAP Server läuft, d.h. du eben deren Angebot nutzen kannst, willst du eigene weitere Services (bspw. WebDAV) auf deiner NAS vom Internet aus nutzen, geht es nicht mehr.

    Die offenste und risikoreichtes Möglichkeit ist die, die du bisher gewählt hast. Ob du das Risiko eingehen willst, solltest du selber entscheiden. Auf jeden Fall ist deine NAS dann von außen erreichbar und angreifbar. D.h. andere können versuchen sich auf deiner NAS anzumelden und auf deine Daten zuzugreifen. Du solltest also alle mögliche Sicherheitsvorkehrung die QNAP zu bieten hat aktivieren und ggf. weitere vornehmen (bspw DMZ) . Der Vorteil besteht darin, dass du deine NAS vom Internet aus am Umfangreichsten nutzen kannst. Die Frage wie Sicher/Unsicher das ist, wird dir keiner genau beantworten können.
  • Vielen Dank für Deine großartige Erklärung und Zusammenfassung.! :)

    Ich bin noch bei der Einrichtung. Daten sind noch nicht auf den Platten. WebDAV finde ich schon spannend..
    Den Server würde ich auch nur bei Bedarf hochfahren wollen.

    Evtl. kann jemand zumindest die Frage beantworten ob es sich um eine konkrete Bedrohung handelt (ohne Antivirus würde ich z.B. nicht arbeiten wollen) oder ob es sich um eine abstrakte Gefahr handelt (mein Sparkassenkonto ist z.B. auch über das Internet erreichbar).
    Eine verschlüsselte Verbindung via SSL sollte doch bis auf NSA oder Hackkerprofis erstmal relativ schwer zu knacken sein, oder?

    Gibt es die Möglichkeit einen sicheren "Netzwerkteil" einzurichten und einen, der auch über das Netz erreichbar ist?

    Danke liebe Leute!
  • sethko schrieb:

    Evtl. kann jemand zumindest die Frage beantworten ob es sich um eine konkrete Bedrohung handelt (ohne Antivirus würde ich z.B. nicht arbeiten wollen) oder ob es sich um eine abstrakte Gefahr handelt (mein Sparkassenkonto ist z.B. auch über das Internet erreichbar).
    Was dir da ein Antivirus bringen soll verstehe ich nicht. Es geht um aktive Angriffe von Dritten über das Internet auf deine NAS. Ist mir deine DNS Adresse bekannt (durch trial and error oder weil du sie halt mal wo veröffentlicht hattest), komme ich auf das Web-Interface der NAS, dein Webserver und weitere Services die du freigeschaltet hast. Bei allen kann ich mich nun versuchen anzumelden, durch Brute-Force-Attacken oder bekannten Sicherheitsschwachstellen. Das ist eben so sicher wie die Software sicher ist. Versäumst du einen Service auf dem aktuellsten Stand zu halten, würdest du einem Hacker eine Möglichkeit bieten. Habe ich Zugriff auf die NAS, hätte ich vielleicht auch Zugriff auf das Netzwerk und somit allen weiteren PCs die im Netzwerk sind. Das wäre der Super-Gau. Somit auch Zugriff auf deine persönliche Daten, Passwörter, etc.

    Das Sparkassenkonto sitzt hinter einer Firewall von ganz anderer Dimension. Die Firewall analysiert sicherlich alle ein- und ausgehende Pakete zusammenhängend und ermittelt ob es sich um bösartige Pakete handelt, d.h. sie blockt nicht einfach nur unaufgeforderte sondern analysiert den gesamten Verkehr. Ebenso sind die Bereiche bei der Sparkasse voneinander getrennt, d.h. hat jemand dein Konto, hat er nur deines und nichts anderes. Ist jemand aber auf deiner NAS, hat er alles.

    Die SSL Verschlüsselung dient ja nur zur Verschlüsselung des Datenverkehrs, deine NAS ist dennoch im Internet verfügbar und ein Angreifer kann versuchen die NAS direkt anzugreifen. Anders bei einem VPN, da sieht er die NAS nicht, da gibt es nur den Tunnel, den er angreifen muss.


    sethko schrieb:

    Gibt es die Möglichkeit einen sicheren "Netzwerkteil" einzurichten und einen, der auch über das Netz erreichbar ist?
    Demilitarisierte Zone
    Dann brauchst du aber eine NAS, die nur in der DMZ sitzt und eben nur die Daten darauf sind, die im Internet verfügbar sein sollen.
  • Neu

    Vielen Dank dafür, mir das Thema so ausführich näherzubringen. (Antivirus sollte nur ein Vergleich sein)
    Ich möchte kurz erklären, warum ich so renitent nachfrage. Als Neuling mit einem NAS hört man, was man damit alles machen kann. Wenn man dann an die Einrichtung geht, wird man erstmal mit Fachbegriffen und Neuland überflutet. iDomiX.de spricht immer davon, dass er es als sicher emfindet (auch seinen Kunden so weitergibt), sobald die Verbindung verschlüsselt ist. Hier lese ich dann das komplette Gegenteil.. (bin dankbar für eure Infos)

    Nachdem ich hier auch viel gelernt habe stellt es sich so dar: Falls ein Angreifer meine DNS-Adresse kennt und das NAS auch eingeschaltet ist (ca. 20% der Zeit) steht er vor der Maske mit Benutzernamen und Kennwort (die Eingabe kann nicht leicht abgefangen werden da SSL). Ein eigener Benutzername (admin gelöscht) und ein starkes Passwort (gott) und außerdem die Einstellung "nach 3 falschen Versuchen erstmal 15 Minuten Sperre für alle Services". Das alles sollte ein Zugreifen eines Unbefugten auf meine Daten extrem unwahrscheinlich machen - sehe ich das richtig so?

    Im Prinzip brauche ich dieses: Zugriff auf Dateien über das Internet von verschiedenen Geräten, erstellen von Ordnern, freigeben von Dateien und Ordnern mit bestimmten Nutzungsrechten und ganz wichtig: An- und ausschlaten des NAS über das Internet.
    Ich habe leider nur ne sehr kleine Wohnung und die Familie würde das NAS doch zu sehr nerven. Gelegentlich muss ich große Dateien für Kollegen bereitstellen (zu groß und teuer für Dropbox und Co.)


    Würde das auch über "myQNAPCloud" machbar sein? Dann beschäftige ich mich lieber damit.

    Viele Grüße
  • Neu

    Sicher ist die Diskusion eher theoretischer Natur, aber sollte die NAS-GUI eine Schwachstelle haben (und das hat jede Software), steht der Angreifer eben nicht nur vor der Eingabemaske, sondern ist bereits durch das Öffnen des Ports für die GUI in Deinem Netzwerk.
    Jetzt kannst Du einwenden: Ja so extrem wichtig bin ich ja nicht, das der Aufwand lohnen würde. Das Problem dabei: der Angreifer weiss nicht, daß Du es bist. Es wird wahllos versucht, in Systeme einzudringen und erst danach geschaut, was "verwertbar" ist.
    Mir persönlich ist das zu heiß. Dateien kann man auch über externe Dienste tauschen. Oder die Freunde kommen zum Bilderschauen mal wieder bei Dir vorbei.
    Deshalb VPN, alles andere ist für mich fahrlässig.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von biboca ()

  • Neu

    Ja, das alles geht über die myQNAPCloud, da du dort Zugriff auf die Filestation hast, wichtig ist eben, dass du es über Cloudlink laufen lässt, damit du keine Portfreigaben einstellen musst.
    WOL vom Internet aus ist eine Sache der Fritzbox und unabhängig von der NAS.

    Ich selbst habe meine NAS am Internet direkt hängen, da ich darauf einen Webserver zum Teilen von Bildern mit Freunden laufen lasse, Kalender und Kontakte-Dienste zum Synchronisieren mit Android und eben auch vom Internet auf alle Dateien darauf zugreifen können will. Bei mir läuft die NAS den ganzen Tag um die Geräte immer synchron halten zu können, in der Nacht schläft sie.

    Ich habe es so gemacht wie du, zwei Faktor Authentifizierung, sicheres Passwort, nicht benötigte Dienste deaktiviert, automatische Sperre bei Falschanmeldungen. Ich vertraue QNAP, dass sie eine sichere Software herstellen. Genauso wie ich einem Firewall-Hersteller vertrauen muss, dass seine Software sicher ist. Ich halte die NAS auf dem neusten Stand. Eine DMZ habe ich nicht, da ich auf der NAS alle Daten habe, die ich auch auf meinen PCs im Netzwerk habe. Sonst brauche ich keine NAS vom Netz erreichbar machen. Sollte die NAS und ggf. PCs gehackt und kompromittiert werden, so gibt es aktuelle offline Backups.
    Dass dies der Fall ist, denke ich nicht, da mit einer Brute-Force-Attacke oder Bots man das Passwort nicht in endlicher Zeit erraten wird und die NAS Software hoffentlich sicher genug ist. Ein Hacker wird auch wenig Motivation haben meine NAS gezielt zu hacken, da der Aufwand zum Nutzen sicherlich deutlich zu gering sein wird. Kann er meine NAS hacken, kann er ganz andere hacken, die deutlich vielversprechender im Ertrag sein dürften, also warum Zeit verschwenden. Die Adresse poste ich nicht öffentlich im Internet, sondern nur an enge Freunde. So läuft sie nun seit ca. 3 Monaten, bisher noch kein fremder Zugriffsversuch.


    Edit:
    Sicherlich wäre es das beste eine zweite NAS sich anzuschaffen und die absolut privaten Daten im privaten Netzwerk, die im Internet zugänglichen in der DMZ auf der zweiten NAS. Aber dann muss man abwägen, welche Daten man nicht unbedingt braucht, und man muss deutlich mehr Geld und Zeit investieren.
  • Neu

    Und wie zur Bestätigung kommt der Irrglaube.

    UpSpin schrieb:

    Ein Hacker wird auch wenig Motivation haben meine NAS gezielt zu hacken, da der Aufwand zum Nutzen sicherlich deutlich zu gering sein wird. Kann er meine NAS hacken, kann er ganz andere hacken, die deutlich vielversprechender im Ertrag sein dürften, also warum Zeit verschwenden.
    Der Angreifer weiss nicht, daß bei Dir nix zu holen ist. Und was Du für unwichtig hälst, kann für andere ein Geschäftsmodel sein. ;)
  • Neu

    biboca schrieb:

    Sicher ist die Diskusion eher theoretischer Natur, aber sollte die NAS-GUI eine Schwachstelle haben (und das hat jede Software), steht der Angreifer eben nicht nur vor der Eingabemaske, sondern ist bereits durch das Öffnen des Ports für die GUI in Deinem Netzwerk.

    Ich werde mich bestimmt nicht zum Verteidiger der QTS-Firmware aufschwingen, nur sollte man ganz deutlich klarstellen, dass auch jede Fritzbox-VPN-Software Schwachstellen haben wird. Wer an das sichere VPN glaubt, irrt meiner Meinung nach auch. :D Wobei ich grundsätzlich der Fritzbox-Firmware auch mehr traue als der QNAP-Firmware.
  • Neu

    UpSpin schrieb:

    Ein Hacker wird auch wenig Motivation haben meine NAS gezielt zu hacken, da der Aufwand zum Nutzen sicherlich deutlich zu gering sein wird.
    Das, was heute als "hacken" beschrieben wird sind größtenteils Datenbanken mit bekannten Sicherheitslücken, die automatisch entsprechende Angriffsprogramme sprich Trojaner oder Viren erstellen und als Dienstleistung angeboten werden. Zudem gibt Suchdienste wie bspw. "Shodan", mit denen man ganz gezielt nach verwundbaren Geräten suchen kann. Ist z.B. im Zusammenhang mit Webcams ein bisweilen höchst amüsanter Zeitvertreib...es ist erstaunlich, wieviele Kameras man völlig ungeschützt und ohne Passwort im Netz findet...

    Ist die Sicherheitslücke bekannt ist eine Infektion im einfachsten Fall nur eine Formsache. Wenn Dein NAS dann verschlüsselt ist, ist es zu spät. QNAP ist sicher einer der besseren Hersteller, allerdings ist das Patchen aus meiner Sicht ziemlich suboptimal gelöst, denn man muss immer ein KOMPLETTES Firmwareupdate fahren und kann nicht gezielt einfach permanent Sicherheitspatches einspielen, wie bspw. bei Windows oder Linux. Und das muss man auch selbst tun. Weboberflächen sind mit die verwundbarsten Punkte, und da hat es auch z.B. AVM erwischt, die eigentlich einen recht hohen Standard haben.

    Also ich kann allen nur beipflichten, sich lieber die unbeqemere VPN Lösung einzurichten. In der Regel funktioniert das inzwischen auch mit Mobilgeräten ganz gut, man muss es aber individuell einrichten. Damit taucht man nicht als potentielles Ziel auf, und da inzwischen diese Exploitkits ganz regulär als Service für ein paar hundert Euro im Netz angeboten werden kann ich nur raten, das nicht auf die leichte Schulter zu nehmen. Der letzte Angriff durch "NotPetya" sollte einem zu denken geben, bei dem einige große Firmen mit entsprechendem Budget ziemlich ohne Hosen dagestanden haben. Oder wirklich eine DMZ Lösung, wenn Bequemlichkeit entscheidend ist.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von nasferatu ()

  • Neu

    phoneo schrieb:

    Wer an das sichere VPN glaubt, irrt meiner Meinung nach auch. Wobei ich grundsätzlich der Fritzbox-Firmware auch mehr traue als der QNAP-Firmware.
    Natürlich ist auch ein VPN nicht unverwundbar. Aber idealerweise kann man es nicht so einfach scannen um festzustellen, welche verwundbare Version zum Einsatz kommt, was auch ziemlich schnell die Runde machen würde und meines Wissens z.B. bei AVM bisher noch gar nicht vorkam. Windows CHAP ist gebrochen, aber das ist bekannt und uralt. Zudem ist der Zoo an VPN Lösungen im Gegensatz zu Weboberflächen viel kleiner, was das prüfen auf Sicherheitslücken enorm vereinfacht. Und das ist bei den heutigen Angriffsmechanismen ein ganz klarer Vorteil. Im Gegensatz zu direkt ereichbaren Weboberflächen, wo man ggf. auch noch die Versionsnummer gratis mitgeliefert bekommt...
  • Neu

    biboca schrieb:

    Der Angreifer weiss nicht, daß bei Dir nix zu holen ist. Und was Du für unwichtig hälst, kann für andere ein Geschäftsmodel sein. ;)
    Da hast du natürlich recht. Was ich zum Ausdruck bringen wollte war aber, dass bei der NAS sich jemand diese bewusst als Ziel herausnehmen muss. Ist diese auf dem aktuellsten Stand und deren Dienste ebenfalls, so wird er es genauso schwer haben, wie bei jeder anderen Lösung die im Internet verfügbar ist. Die Wahrscheinlichkeit, dass jemand diesen Aufwand nur bei meiner NAS betreibt, schätze ich als sehr abwegig, da er dann auch jede QNAP NAS die vom Internet aus zugänglich ist hacken könnte und somit QNAP ein ernstes Problem hätte.
    Viel wahrscheinlicher ist, dass man mit Skripten oder Tools das Internet nach bekannten und offenen Schwachstellen abgrast, wie es eben bei den IP Cams der Fall ist. Die sind frei zugänglich, da sie im bekannten Auslieferungszustand laufen oder bekannte Sicherheitslücken haben, die nie gepatcht werden. Auf diese Weise findet man deutlich mehr unsichere Hardware, dass der Kosten/Nutzen Faktor für einen gezielten Angriff sicherlich viel zu gering sein dürfte. (meine Vermutung :P , bzw. Hoffnung :D ) )

    Ebenso wahrscheinlicher ist, dass man einen Trojaner auf dem PC hat oder einer Phishing Mail folgt wodurch Passwörter etc. ausgelesen werden oder das System infiziert wird.
    Auch bei NotPetya hätte die beste Firewall wenig gebracht, da der Schadcode über ein Softwareupdate eingeschleust wurde, ins private Netzwerk, was bringt einem da eine DMZ, wenn das private Netz infiziert ist.

    Genauso ist jeder Cloudanbieter unsicher, da auch dieser 'gehackt' werden kann. Dies schätze ich als deutlich wahrscheinlicher ein, als dass meine NAS gehackt wird, da Zugangsdaten von Dritten herausgegeben werden können, auf die man keinen Einfluss hat. Auch hier muss man dem Anbieter und seinen Angestellten vertrauen, dass diese sicher mit den Daten umgehen, was, wie viele Beispiele zeigen, nicht immer der Fall ist. Denn meist ist der Hack durch ein menschliches Versagen erst möglich geworden, da ein Admin seine Passwörter sich stehlen hat lassen. Große Firmen sind nicht unbedingt sicher: identityforce.com/blog/2016-data-breaches

    Selbst wenn man sich einen sicheren Webserver mietet, der hinter einer gigantischen Firewall etc. bei einem Filehoster sitzt, so ist auch dieser genauso angreifbar wie der Webserver der NAS zuhause, da man darauf vielleicht OwnCloud oder ähnliches installiert. Hat diese Software eine Sicherheitslücke und man versäumt es zu aktualisieren, so sind auch dort alle Daten offen. Nicht ohne Grund werden zahlreiche CMS Systeme gehackt - Updates versäumt, einfache erratbare Zugangsdaten.

    Will sagen, eine Firewall etc. bringt reichlich wenig, wenn die Software darauf Schwachstellen hat. Hält man sie aktuell und aktiviert die von QNAP bereitgestellten Sicherheitsvorkehrungen ist man schon mal sehr sicher aufgestellt. Natürlich kann man nun sein Netzwerk weiter absichern, durch eine bessere Firewall, DMZ, etc., dass der Schaden im Falle eines Hacks deutlich geringer ausfällt, gehackt wurde man aber trotzdem schon.
  • Neu

    UpSpin schrieb:

    Will sagen, eine Firewall etc. bringt reichlich wenig, wenn die Software darauf Schwachstellen hat. Hält man sie aktuell und aktiviert die von QNAP bereitgestellten Sicherheitsvorkehrungen ist man schon mal sehr sicher aufgestellt. Natürlich kann man nun sein Netzwerk weiter absichern, durch eine bessere Firewall, DMZ, etc., dass der Schaden im Falle eines Hacks deutlich geringer ausfällt, gehackt wurde man aber trotzdem schon.
    Ich will Dir nicht grundsätzlich widersprechen und klar, jeder Anbieter kann gehackt werden ( und die meisten wurden auch schon). Allerdings muss man einfach sagen, wenn man irgendeinen Webdienst per Portweiterleitung ins Netz stellt, dann wird man direkt angegriffen. Das kann jeder, der einen Webserver betreibt täglich in seinen Logs sehen. Und Frameworks wie Metasploit oder die Exploit Kits automatisieren inzwischen einen Großteil der Angriffe. Ein Kompromiss wäre immer noch, den Dienst in einer VM laufen zu lassen, dann wäre zumindest erstmal nur diese kompromitiert. Aber es wird dann halt schnell sehr komplex, genauso, wie alle Webanwendungen permanent auf einem aktuellen Patchlevel zu halten.

    Deswegen halte ich die VPN Variante nach wie vor für die beste Lösung. Das Einfallstor ist viel kleiner und es gibt erheblich weniger Abhängigkeiten. Der Standardmäßig eingebaute Webserver im QNAP ist nämlich nicht übermäßig aktuell, die PHP Version auch nicht etc. Und man kann es nicht selbst patchen. Und es ist für einen Hobbyisten auch ein fürchterlicher Aufwand, alle Komponenten aktuell zu halten. Das Problem ist halt einfach folgenges: je mehr anfällige Dienste auf einer Maschine laufen, desto höher das Schadenspotential. Dann vielleicht lieber noch einen extra Raspi nehmen, und davon synchronisieren bpsw. Der Gefahr muss man sich schlicht bewusst sein und QNAP hat hier kein speizielles Sicherheitskonzept. Es wird rel. regelmäßig eine neue FW herausgebracht, aber wie gesagt, da muss man alles oder nichts nehmen. Also ich würde zumindest potentiell anfällige Dienste in eine VM packen wenn ich partout kein VPN will. Das gibt zumindest etwas mehr Schutz gegenüber automatisierten Angriffen und die VM kann man notfalls dann leicht löschen.
  • Neu

    biboca schrieb:

    Hab ich doch getan.
    Aber ja. Ich wollte es nur noch einmal deutlicher darstellen.

    Bezüglich der Fahrlässigkeit von Freigaben über myQNAPCloud oder andere QNAP-Dienste würde ich es differenzierter sehen. Man muss sich natürlich darüber im klaren sein, dass bei Ausnutzung einer möglichen Sicherheitslücke sämtliche Daten des NAS gestohlen, gelöscht, mit Trojaner/Viren verseucht oder verschlüsselt werden können. Gegebenenfalls wird das Nas auch noch die Basisstation um weitere Geräte im Intranet zu infiltrieren. Möchte ich aber jetzt beispielsweise Teile meiner Mediensammlung unbedingt über die angesprochenen Dienste der Familie/Freunden zu Verfügung stellen, würde ich es über eine kleine Nas realisieren, die aber sonst keine anderen Aufgaben hat. So wie es auch schon vorgeschlagen wurde. Das Risiko lässt sich gut eingrenzen.

    Um es noch mit einem anderen Anspekt zu "relativieren": Ich schätze, dass ein Großteil der Nas-Nutzer sehr wenige sicherheitsrelvante Daten auf all ihren Mediengeräten haben. Durch die Nutzung ihrer Android-, Windows-, Mac-Betriebssysteme, durch die Nutzung der dazugehörigen sammelfreudigen Benutzerkonten, Nutzung von Apps/Programmen/Suchmaschinen, die schamlos auf viele Daten zugreifen, durch Bonus-Karten wie Payback, Nutzung vermeintlich kostenloser Kreditkarten, usw., usw. werden vermutlich täglich mehr Daten (legal) ausgespäht, als sie bei einem Hack ihrer Nas jemals erbeutet werden könnten.

    Um aber noch einen konstruktiven Vorschlag zu machen: Neben den bekannten Cloud-Hostern wie Dropbox, gibt es ja auch die typische File-Hoster, über die man für kleines Geld Dateien teilen kann.
  • Neu

    phoneo schrieb:

    Um es noch mit einem anderen Anspekt zu "relativieren": Ich schätze, dass ein Großteil der Nas-Nutzer sehr wenige sicherheitsrelvante Daten auf all ihren Mediengeräten haben. Durch die Nutzung ihrer Android-, Windows-, Mac-Betriebssysteme, durch die Nutzung der dazugehörigen sammelfreudigen Benutzerkonten, Nutzung von Apps/Programmen/Suchmaschinen, die schamlos auf viele Daten zugreifen, durch Bonus-Karten wie Payback, Nutzung vermeintlich kostenloser Kreditkarten, usw., usw. werden vermutlich täglich mehr Daten (legal) ausgespäht, als sie bei einem Hack ihrer Nas jemals erbeutet werden könnten.
    Naja, das aktuelle Geschäftmodell ist ja weniger erbeuten als vielmehr "entführen". Unabhängig davon ob die meisten Leute eher unwichtige Sachen auf ihrem NAS haben, die leicht wieder zu beschaffen sind. Wenn es dann doch mal die Fotosammlung der Familie erwischt hat und eben keine regelmäßigen Backups da sind ist der Ärger dann groß. Und das ganze nur, weil man das NAS direkt ins Netz gehängt hat. Da scheint mir auch der Ansatz am besten, im Zweifel ein Zweitgerät zu benutzen, dass man ggf. besser isolieren kann.
  • Neu

    Sehr schön liebe Leute!
    Bei der Diskussion lernt man einiges. Mir war (als Noob) nicht bewusst, dass man durch Schwachstellen auch an dieser Benutzer-Passworteingabe vorbeikommt. Und ja, ich lasse die Firmwareversion ganz vorne anzeigen.. :)

    Gut, also bevor ich wirklich Daten auf das Ding schiebe, beschäftige ich mich dann doch lieber mit VPN und "myQNAPCloud". Sicherung vom Nas mache ich dann natürlich regelmäßig! ;)

    Hätte jemand noch einen Linktipp für die Einrichtung?
    (Zugriff auf Dateien über das Internet von verschiedenen Geräten, erstellen von Ordnern, freigeben von Dateien und Ordnern mit bestimmten Nutzungsrechten und ganz wichtig: An- und ausschalten des NAS über das Internet.)

    Viele Grüße
  • Neu

    Also sofern Du eine Fritz!Box als Router verwendest würde ich einfach die integrierte VPN Lösung nehmen. Bei AVM gibts da gute Anleitungen. Man kann auch einfach WOL über die Fritzbox auslösen. Wenn du kein Problem mit den etwas kryptischen MyFritz DNS Namen hast kann man auch gleich deren DynDNS Dienst verwenden.

    Von den Freigaben her würde alles wie gehabt über das NAS und die eingerichteten Benutzer/Gruppen geregelt. Wichtig: wenn Du Dich per VPN mit Deinem Router von außen verbindest ist das aus Sicht des entfernten Gerätes so, als ob Du Dich im lokalen Netz bewegst. D.h., jeder der über das VPN auf Dein Netz zugreifen kann, sieht alle Rechner und ggf. die Freigaben. Den Zugriffsschutz musst Du auf Rechnerebene erledigen. Man kann natürlich auch verschiedene Netzsegmente aufspannen, aber dazu braucht man professionelle Router/Firewalls und das ist ersten kompliziert und zweitens meist auch teuer, wenn man fertige Hardware nimmt.