Sicherheitstipps für Beginner

  • Ich muss feststellen, das unser Forum echt groß geworden ist ;). Aus einer der kürzlich geführten Diskussionen entstand der Wunsch für neue Benutzer etwas aufklärende Worte bzw Anlaufstelle zum Thema Sicherheit anzubieten. Meine Idee:


    Oben in der Menüleiste einen neuen Menüpunkt Sicherheit zum aufklappen mit weiteren Links zu Themen und Artikeln. Ich fange mal an:


    Sicherheit


    usw. Welche Themen schlagt ihr noch vor ?


    Ich bitte um Links!


    Danke

    Christian

  • Hmm, Link habe ich jetzt keinen parat und verwende es auch selber nicht. Aber ich lese hier immer öfter heraus, dass viele User Probleme mit externem Zugriff haben, die sich mit einer VPN Verbindung lösen lassen würden.


    Das Thema VPN schreckt aber viele schon wieder ab, da würde ein kleines "HowTo - VPN einrichten" weiterhelfen ...


    PS.: Vielleicht deckt sich das Thema VPN mit dem Link von dr_mike , dann wäre es doppelt ... wobei ich da zwei Untergruppen sehe: Absichern heißt für mich "zu machen", VPN würde heißen "aufmachen"

  • Haha, würde ich ja, aber mein NAS sitzt hinter 2 FW und nichts nach außen offen.

    Ich glaube, dass ich mit VPN in der Standardkonfiguration gar nicht durch zwei FW (2 x NAT'en) durchkommen würde...


    Da bin ich selber wohl ein Beginner, wenn ich das jetzt angehe :handbuch:

  • Ich würde evtl. noch gesondert eine Unterkategorie für Firewalls nehmen.

    Sei es Sophos oder pfSense. Hier lässt sich QNAP den Support kräftig bezahlen.

    Zugriffe / Rechtevergabe für Shares?!

    Hier bietet doch das Handbuch schon Hilfestellung.


    11.PNG

  • rednag ich verstehe nicht so recht. Mir ging es darum, dass jeder Links von bereits bestehenden Artikel und Beiträgen teilt, damit ich diese gebündelt anzeigen kann.


    Vieles steht bereits geschrieben, aber eben noch nicht so, dass es mit wenigen Klicks erreichbar ist.


    lg

    Christian

  • Ach so. Ich dachte das wird rundum erneuert und jeder soll/kann da was dazu beitragen.

    So wie ich es jetzt verstanden habe wird es ja "nur" eine Linksammlung zu den Sicherheitsrelevanten Themen.

  • Ich könnte u. U. ein paar Punkte zu Sophos beitragen.

    Muß mich aber erst selbst noch intensiv damit beschäftigen.

    Recht viel mehr als die Installation hab ich noch nicht gemacht. :-)

  • Entwurf für einen Artikel:


    Zugriffsschutz für QNAP Beginner


    Deine Daten sind dir lieb und teuer und du möchtest diese trotz Zugriff aus jeder Lebenslage nicht in fremden Händen wissen? Dieser Artikel wird das Thema Zugriffsschutz im Kontext mit QNAP NAS behandeln, er stellt kein Allheilmittel dar, ist aber dennoch zu einem gewissen Teil auch auf andere Anwendungsgebiete anwendbar. Grundsätzlich gilt, jeder ist für sein Tun und Handeln selbst verantwortlich. Wenn der eigene Wissensstand nicht ausreicht gibt es dennoch mehrere Wege das gewünschte Ziel zu erreichen. Augen zu und durch ist oft der einfachste und bequemste, aber unter Garantie der absolut falsche Weg. Ganz besonders dann wenn nur Halbwissen vorhanden ist. Lest euch schlau, fragt Freunde oder hier im Forum. IT Unternehmen gibt es auch nicht ohne Grund! In der Regel sind das die echten Experten, schließlich durchläuft IT Personal eine mehrjährige Ausbildung.


    Gleich zu Beginn möchte ich all denjenigen die Illusion nehmen, die meinen es gäbe eine hundertprozentige Sicherheit. Die gibt es einfach nicht. Jedoch kann man viel erreichen, indem man ein Mindestmaß an Regeln beachtet!


    Check Liste

    Passwort

    Dienste

    Berechtigungen

    Netzwerkzugangsschutz

    Software

    Zugang von unterwegs


    Passwort Jedem sollte inzwischen bekannt sein, dass ein sicheres Passwort immer noch der erste und wichtigste Schritt auf dem Weg zum sicheren Zugriffsschutz ist und bleibt.


    Was sollte ich beim erstellen eines Passwortes beachten?

    • das Passwort muss mindestens 8 Zeichen lang sein
    • es sollte Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen beinhalten
    • "admin123" oder "123456789" sind ein absolutes NO GO!
    • aus Anfangsbuchstaben von Sätzen das Passwort generieren
    • ein Passwort ein Service, niemals gleiche Kennwörter für mehrere Anmeldungen nutzen

    Der folgende Satz bildet eine Eselsbrücke für ein doch leicht zu merkendes und dabei sehr sicheres Kennwort.


    Im Garten laufen 2 Eichhörnchen hin und her, dabei sehen sie lustig aus!  IGl2Ehuh,dssla!


    Wenn ihr jetzt noch alle Optionen in den Kennwortrichtlinie am NAS aktiviert, kann keiner der Nutzer am NAS aus reiner Unwissenheit oder Faulheit ein unsicheres Kennwort erstellen.


    Sicheres Passwort erstellt


    Dienste: Auf eurem neu erworbenen QNAP NAS laufen von Haus aus einige Standard Dienste. Manche davon benötigt ihr zwingend für die Nutzung, andere wiederum sind eher nett aber nicht Zugriffschutz 1.pngessentiell für den Betrieb notwendig.


    Kurzer Exkurs zur Geschichte des NAS: Ein NAS hatte in seiner ursprünglichen Form nur die Aufgabe Daten zentral über verschiedenste Protokolle zur Verfügung zu stellen. Im letzten Jahrzehnt sind die NAS Geräte zu echten Multifunktionalen Netzwerkspeichern mit einer unmenge an zusätzlichen Diensten mutiert. Das allein ist noch nicht weiter tragisch, aber wer mehr Dienste aktiviert erhöht damit das Risiko der Sicherheit.


    Kommen wir zurück zu den Diensten. Grundsätzlich gilt, alles was nicht benötigt wird gehört deinstalliert oder zumindest deaktiviert. Welche Dienste auf eurem QNAP NAS laufen lässt sich in der System Status Übersicht erkennen. Am einfachsten gelangt ihr dorthin über die QTS Suche, also die Lupe in der oberen rechten Menüleiste. Dort gebt ihr das Schlagwort Systemservice ein und öffnet das vorgeschlagene Menü.


    Für den eigentlichen Einsatz eures NAS sind nur wenige Dienste notwendig. Wie an dem Screenshot zu erkennen ist, läuft auf meinem NAS nur ein Bruchteil an Diensten und trotzdem stellt das NASZugriffschutz 2.png Daten zentral zur Verfügung.


    In den Bereich Dienste fallen auch sämtliche über das App Center installierbaren Applikationen. Diese sogenannten QPKG werden zum Großteil von QNAP entwickelt und angeboten. Es gibt aber auch weitere Quellen wie die QNAPclub Repo, welche nicht zwingend eine nicht so vertrauenswürdige Quellen sein muss, doch die Apps sind nunmal nicht offiziell von QNAP und so gehört ein gewisses Maß an Skepsis dazu. Begeht nicht den Fehler und installiert wild alle möglichen Apps. Seid euch dessen bewusst, dass jeder weitere Dienst Gefahren und Sicherheitslücken mit sich bringen kann! Was für die System Services gilt, findet auch für das App Center Anwendung. Ein Blick ins App Center ist ein muss! Alles was nicht gebraucht wird, sollte deinstalliert oder aber gestoppt werden.


    Dienste gesichtet


    Berechtigungen nicht jeder muss Zugriff auf alles haben und vor allem muss nicht jeder Benutzer administrative Rechte besitzen. Allein dadurch minimiert man das Risiko in Hinsicht auf unerwünschte Fremdzugriffe! Es reicht vollkommen aus, wenn nur ein Administrator angelegt wird und allen anderen Benutzer nur die benötigten Dienste zur Verfügung gestellt werden. Diese sogenannten Anwendungsberechtigungen lassen sich individuell pro Benutzer einstellen. Sucht über die QTS Suche nach dem Schlagwort Benutzer und öffnet selbige.


    In der Tabelle ganz rechts befindet sich je Benutzer die Schaltfläche "Anwendungsberechtigungen (2)" bearbeiten. Hier sollten alle Anwendungen die der Benutzer nicht nutzen darf deaktiviert werden.


    Zugriffschutz 3.png


    Berechtigungen gesetzt


    Netzwerkzugangsschutz Sofern man komplett auf VPN setzt wäre dieser Punkt obsolet und dennoch möchte ich hierzu ein bis zwei Sätze verlieren. Ihr könnt geringem Aufwand den Zugriff an verschiedene Anforderungen knüpfen. So kann bei aktivierten Netzwerkzugangsschutz eingestellt werden, nach wie vielen fehlgeschlagenen Anmeldeversuchen welches Zugangsprotokoll für wie lange gesperrt wird. Unterstützte Protokolle sind SSH, Telnet, HTTP(S), FTP, Samba und AFP. Die Reglementierung geht von 5 Minuten bis hin zur dauerhaften Sperrung.


    Netzwerkzugangsschutz konfiguriert


    Software QNAP bietet neben den ganzen Einstellmöglichkeiten für den Zugriffsschutz auch weitere nützliche Software an. Vieles davon ist kostenlos und sollte eigentlich vom ersten Tag der Zugriffschutz 4.pngInbetriebnahme installiert und aktiviert sein. Was nicht ist kann noch werden aber solange diese Software nicht vorinstalliert, muss ein jeder in Eigenverantwortung die folgenden Programme installieren.


    Der Malware Remover lässt sich mit wenigen Klicks über das App Center im QTS installieren und prüft von nun an Systemdateien auf Veränderungen, schlägt Alarm und bereinigt diese soweit möglich.


    Im Gegensatz zum Malware Remover hat QNAP ein Antivir Programm inzwischen fest in das QTS System integriert. Ihr müsst es nur noch aktivieren und nach euren Wünschen konfigurieren.


    Malware Remover & Antivir


    Zugang von unterwegs Wenn alle oben erklärten Punkte befolgt wurden, können wir uns mit dem Zugriff von unterwegs befassen. Für sehr viele Heimanwender ist genau das einer der Hauptgründe, warum sie sich ein NAS gekauft haben. Sie wollen von unterwegs auf ihre Musik, Bilder und Dokumente zugreifen. Ich persönlich erachte es als für nicht notwendig, auf meine privaten Daten von unterwegs zuzugreifen. Soll es aber dennoch möglich sein, so gibt es aus meiner Sicht mehr oder weniger sichere Wege.


    Sicher und unsicher. Als sicher gelten Zugriffe mit einer VPN Verbindung und weniger sicher sind Zugriffe einzustufen, die nur über ein Kennwort abgesichert sind. Es gibt auch Zwischenstufen, wie etwa der Zugriff über eine 2 Wege Authentifizierung. Auch das ist bei QNAP möglich.


    Guten Gewissens kann man eigentlich nur eine VPN Verbindung empfehlen und auch hier gibt es wieder unterschiedliche Meinungen. Zu bevorzugen ist eine VPN Verbindung von eurem mobilen Endgerät (Notebook, Smartphone und Tablet) direkt auf den Router. Es gibt am Markt diverse Routerhersteller. Einer der am deutschen Markt bekanntesten ist die Firma AVM. Solltest du eine FritzBox besitzen, so empfiehlt sich ein Blick in die Anleitungen von AVM.


    VPN ist im Zusammenhang mit Sicherheit und Zugriffsschutz für viele sehr abstrakt und wenig verständlich. Wenn ich Freunden und Bekannten VPN näher bringe und es ihnen schmackhaft machen will, dann versuche ich es so einfach wie möglich zu erläutern. Man stelle sich vor man sitzt in New York im Café und möchte zu Hause auf Rechnungen, welche auf eurem QNAP NAS liegen, oder ähnliches zugreifen. Das geht natürlich über myQNAPcloud oder jeden anderen DDNS Dienst mittels Zugriff der Filestation. Es geht aber auch eine ganze Ecke sicherer. Ein VPN also ein Virtuelles Privates Netzwerk muss man sich wie einen Tunnel vorstellen, in dem der gesamte Datenaustausch zwischen NAS und eurem Endgerät stattfindet. Anfang und Ende sind abgeschlossen und nur ihr besitzt den zuvor eingerichtet Schlüssel. Ein Zugriff von außen auf den Tunnel und damit auf die Daten ist zumindest nach heutigen Kenntnisstand nicht möglich.


    Unterstützt euer Router keine VPN Verbindungen, so lässt sich auch der von QNAP angebotene Dienst auf dem NAS nutzen. Wie das funktioniert lässt sich im Handbuch nachlesen.


    VPN eingerichtet


    Weitere nützliche Links

    Heise Netzwerkcheck https://www.heise.de/security/…=scan&submit=Scan+starten

    QNAPclub Artikel Wie sichere ich mein NAS zum Internet ab?

    QNApclub Artikel Sicherheit – Malware und Sicherheitslücken auf dem NAS

    QNApclub Artikel Sicherheit - Security Tools für die QNAP

  • phoneo   Mavalok2   nasferatu   Laurenzis   Akinos   Crazyhorse   meMyself   dr_mike

    Vor dem Hintergrund, dass der Beitrag weiter oben für Beginner gedacht ist, würde ich jetzt um eure Meinung bitten. Danach würde der Inhalt in einem Artikel eingebettet und im Hauptmenü integriert. Natürlich bekommen dann alle Neuanmeldungen einen freundlichen Hinweis auf den Artikel.


    PS: Ja ich weiß Doppelpost, ich bestrafe mich später selbst :P

  • Hallo Christian,


    also ich finde das ganze schon sehr gelungen und übersichtlich. Da hast Du Dir ja wirklich eine Menge arbeit gemacht. Ich hätte nur 2 kleine Anmerkungen:


    1.) Passwort Check Sicherheit:

    Ich kenne den Dienst nicht, aber prinzipiell würde ich nicht empfehlen, einem fremden Dienst im Web mein Passwort zum prüfen zur Verfügung zu stellen. Das kann man etwas paranoid finden, aber grundsätzlich sind die Regeln, die Du genannt hast völlig ausreichend. Vielleicht noch hinzufügen, dass Nonsenssätze, die man nicht in irgendeinem Buch oder absichtliche Rechtschreibfehler, die nur für einen selbst Bedeutung haben, ebenfalls die Sicherheit erhöhen.


    2.) Zugriff von außen

    Ich würde grundsätzlich davon abraten, Browserbasierte Dienste wie Photostation etc. direkt von außen zugänglich zu machen, da bereits ein Fehler in der Implementation die Passwortauthentifizierung obsolet machen kann. Und da aufgrund der Verbreitung der NAS Systeme dacon auszugehen ist, dass solche Lücken in sehr kurzer Zeit automatisiert ausgenutzt werden können. Das Minimum aus meiner Sicht ist eine 2 Faktor Authentifizierung bei so einem Zugriff, wobei ich persönlich nicht weiß, wie gut das umgesetzt wurde und ob es wirklich die Sicherheit entscheidend erhöht. VPN ist immer noch Mittel der Wahl wenn es um die höchstmögliche Sicherheit geht.


    Aber ansonsten absolut Sinnvoll und ich würde ihn spfort im Hilfemenu und unter Sicherheit anpinnen. Well done :thumbup:!

  • Ja sehr gut, das können wir dann ja im Detail noch weiter ausbauen.


    Eine Anmerkung von meiner Seite, wenn ich z.B. nur das 192.168.0.0/16 für den Zugriff berechtige, komme ich auf mein NAS per Name nicht mehr drauf. Denn anscheinend werden dann auch Anfragen über mDNS ignoriert und auf das bin ich dank meiner FritzBox leider angewiesen, da mangelnder DNS Server.

    Wenn man das also einschränken will, musst man die Multicast Bereich für mDNS auch zulassen.


    224.0.0.0/24

    Siehe RFC6763

    Das ist nicht routebar und damit auch kein Sicherheitsproblem.