Sicherheitstipps für Beginner

  • Beim "Zugang von unterwegs" würde ich eventuell noch anregen sich darüber Gedanken zu machen, worauf will ich denn zugreifen?!


    Wenn ich bereits im Vorfeld eine Ahnung habe worauf ich von unterwegs zugreifen können muss, dann kann man diese Daten ggf. auch verschlüsselt in einer Dropbox, OneDrive oder ähnlichen Dienst verfügbar machen und habe erneut einen Grund weniger den Zugriff von außen auf das gesamte NAS/Netz ermöglichen zu müssen.


    Für den ständigen Zugriff von außen auf meine Musik nutze ich wiederum bspw. Subsonic. Damit mache ich zwar einen Weg von außen über einen Port frei, jedoch auf einen - meiner Meinung nach - völlig unkritischen -Bereich.

    Passwort(e)


    Die Idee mit dem eingängigen Satz zur Generierung eines sicheren Passwortes ist zunächst einmal ein guter Ansatz, jedoch hilft der nicht mehr wenn ich dieses gute/sichere Passwort überall verwende.


    Sollte einmal ein Dienst gehackt werden und die Passworte wurden dort nicht verschlüsselt (mehrfach gesalzen) abgelegt, dann ist das auch übel.


    Ich habe mir angewöhnt für jeden Zugang ein zufälliges Passwort zu generieren und dies in einem Passwort-Safe abzulegen.

    Ich selbst verwende hierfür KeePass. Es gibt allerdings auch für das QNAP-Nas und auch für Docker ähnliche Programme (ich komme gerade nicht auf den Namen).


    KeePass und Apps gibt es sowohl für Win, MAC, iOS als auch Android.

  • KeePass ist super, durch die frei erstellbar Struktur und die Suche, sowie die Möglichkeit mit mehrere Personen auf einer DB zu arbeiten, ist da unschlagbar.


    Einfach alles an Kennwörtern rein und dann ist man nie wieder überfragt wenn es nach x Jahren mal heißt, ihr Kennwort bitte: ______


    Was die Freigaben angeht, ich erstelle Gruppen und berechtige diese, dann kann ich User über die Gruppen flexibel verwalten und muss nicht an den einzelnen Ordnern rum basteln.

    Mag auf den ersten Blick keinen Sinn ergeben, aber wenn ich z.B. den Usernamen ändern will, da dieser auch die Runde gemacht hat, dann muss ich nicht wieder alle Rechte anpacken, sondern bin in Sekunden fertig.

  • Stichwort UPnP fehlt mir noch ....also sowas wie ausschalten in der FB und in der NAS.....

    ansonsten, leider aus Zeitmangel heute, gefällt mir sehr gut, Daumen hoch :):cup:

  • Ich kenne den Dienst nicht, aber prinzipiell würde ich nicht empfehlen,

    Ok, gelöscht.

    Ich würde grundsätzlich davon abraten, Browserbasierte Dienste wie Photostation etc. direkt von außen zugänglich zu machen,

    Da sollte jeder für sich entscheiden und kommt beim Einsatz von VPN eigentlich nicht mehr zum tragen.

    Man kann auch in den Grundeinstellungen des NAS das Passwortconstraint entsprechend anpassen.

    Den Hinweis habe ich nun berücksichtigt.

    Beim "Zugang von unterwegs" würde ich eventuell noch anregen sich darüber Gedanken zu machen, worauf will ich denn zugreifen?!

    Das habe ich doch schon erwähnt.

    Ich persönlich erachte es als für nicht notwendig, auf meine privaten Daten von unterwegs zuzugreifen.

    Die Idee mit dem eingängigen Satz zur Generierung eines sicheren Passwortes ist zunächst einmal ein guter Ansatz, jedoch hilft der nicht mehr wenn ich dieses gute/sichere Passwort überall verwende.

    Hinzugefügt unter Regeln für Passwörter.


    Danke für eure Tipps!

  • Da sollte jeder für sich entscheiden und kommt beim Einsatz von VPN eigentlich nicht mehr zum tragen.

    Ja klar, beim VPN kann man alles auch von außen nutzen. Ich meinte das auch eher im Zusammenhang mit der direkten Freigabe, auch wenn 2-Faktor Authentifizierung zum Einsatz kommt. Zumindest sollte man, wenn man überhaupt direkt Zugriff auf bspw. die Photostation etc. gewährt mind. die 2-Faktor Authentifizierung zum Einsatz kommen. Aber eigentlich gilt eben auch da am besten nur per VPN, weil zumindest in den aktuellen Verfahren, die auch QNAP unterstützt, mir bisher eigentlich keine gravierenden Lücken zu Ohren gekommen sind und ich auch keine Bot-basierten Verfahren kenne, um VPNs zu knacken. Zumindest kommen sie wohl nicht bei den 08/15 Trojanern zum Einsatz...

    3 Mal editiert, zuletzt von nasferatu ()

  • Als erweiterte Maßnahmen würde ich noch Syslog, Prozesseabfrage über top, htop etc., Monitoring wie LibreNMS, Observium empfehlen.

  • Vielleicht sollte man noch erwähnen die Wizards nicht einfach "Blind" durchzuwinken.

    Gerade bei MyQnapCloud ist das sehr wichtig.

  • Gerade Observium ist doch relativ schnell installiert.

    SNMP bei der QNAP aktivieren und fertig.

    icinga2 oder nagios wäre übertrieben. :-)

  • Finde ich erst einmal toll, dass hier nun Leben in das Thema kommt. christian hat ja schon schön ein paar Punkte zusammengefasst.


    Wie bekommt man die Aufmerksamkeit eines Forenneulings für etwas geweckt, was man ihm mitteilen will? - Zuviel Text im ersten Beitrag zum Thema Sicherheit halte ich da für kontraproduktiv. Ich bin eher für:


    Wobei ich da eben gerade nicht zu tief ins Detail gehen würde. Es sollten möglichst übersichtlich ein paar Do'S and Don'ts sein.

    Die Dos and Don'ts könnten mit Links hinterlegt sein und die jeweiligen Beiträge die darauf folgen entsprechend detailliert und ausführlich.


    Es gibt aber vielleicht noch eine Grundsatzfrage, die in diesem Zusammenhang zu klären wäre:


    Kann man mit gutem Gewissen das Nas-System überhaupt über Portfreigaben ins Internet stellen?


    Vor ein paar Jahren habe ich über eine SSH Verbindung noch Backupjobs übers Internet realisiert, heute vertraue ich nur noch auf VPN. Ich habe zwischenzeitlich gelernt, das "Anwendungssoftware" und "Sicherheitssoftware" möglichst auf getrennter Hardware zu laufen haben. Schlussfolgernd wäre Router-VPN sicherer als NAS-VPN. Und die Königsdisziplin wäre natürlich ein dedizierter VPN-Router.


    Was wäre eine angemessene VPN Empfehlung für den Forenneuling?


    Ich könnte mir vorstellen, dass man die Dos an Don'ts einem Smiley-Ampel System zuordnet: grünes lachendes Smiley, gelbes neutrales Smiley, rotes schmollendes Smiley. Grafisch angelehnt an den Piktogrammen, die QNAP bei den Snapshots nutzt.


    Bezogen auf die VPN-Empfehlung könnte das dann so aussehen:


    rotes Smiley: kein VPN

    gelbes Smiley: NAS-VPN

    grünes Smiley: Router-VPN, dedizierter VPN-Router


    Nehmen wir ein anderes Thema:


    Externer Zugriff auf das QTS-GUI


    roter Smiley: http-Zugriff

    gelber Smiles: https-Zugriff

    grüner Smiley: Zugriff über VPN-Verbindung


    QNAP als Webserver
    roter Smiley: Nas als Webserver im Internt

    (gelber Smiley: Nas als Webserver im Internt)

    grüner Smiles: Nas als Webserver im Intranet


    QNAP als Cloudserver (Dateifreigaben)
    ...


    Die zuvor aufgeschriebene Punkte halte ich noch nicht als geeignete Stichworte für die Dos and Don'ts. Das kann man sicherlich noch besser ausfeilen. Es ging mir erst einmal nur darum, meine Idee einer "Struktur" für die Sicherheitstipps darzustellen.

  • Ein separater Router für die VPN Einwahl macht keinen Sinn, wenn das nicht eine Gerät aus einer deutlich höheren Klasse ist.

    In dem Fall braucht man das Teil davor aber oft nur noch als Modem (egal ob DSL oder Cabel oder was auch immer).


    Was sich jedoch lohnen würde, ist die Differenzierung zwischen einer Connect Box, einer FritzBox, einer richtigen Firewall und einem vollständigem UTM.

    Erstes Totenkopf, da man die Geräte nicht unter eigener Kontrolle hat. Siehe das Problem mit den abstürzenden Speedport.

    Die Fernwartung durch den Anbieter ist sehr kritisch zu betrachten.

    Wenn dahinter noch was eigenes kommt ok, dann muss man ggf. aber mit dem doppelten NAT/PAT kämpfen.


    Dann folgt FritzBox und Co, die viele Funktionen mitbringen, NAT, SPI Firewall, Telefonanlage, WLAN usw.

    Gelb bis grün, denn je nach Einstellungen (UPNP), reiße ich mir hier Löcher auf die gnadenlos ausgenutzt werden.


    Und erst dann folgt eine echte Firewall Appliance, die heute oft mit IDS und IPS Funktion daher kommt.


    Als letztes folgt dann der Rundumschutz durch das UTM, hier werden alle Webaufrufe in Echtzeit überwacht und verdächtiges blockiert.

    Landet also eine Mail mit einem Link zum Schadecode im Postfach, der wird vom Anbieter erkannt, sind nach ca. 30 Minuten die Signaturen auf den neuen Schädling angepasst und auch wenn ich da drauf klicke, fängt der Webproxy das ab.

    Wird also hier Schadcode im https erkannt, kann auf dem Endgerät gleich der Virenscan gestartet werden, da das UTM mit der Endpoint Protection zusammenarbeitet.


    Bei letztem muss man dann schauen welche Hardware benötigt wird, viele Lösungen sind auch auf x86 Hardware lauffähig und je nach Internetleitung auf einem APU2 Board realisiert werden.

    Ab 50/100Mbit wird es dann aber problematisch, sollte man eine 1Gbit Leitung haben und will den Webproxy mit Echtzeitschutz nutzen, dann ist ein i3 oder ein i5 mit 8-16GB Ram gefragt.


    Der Einsatz eines UTM erfordert aber auch viel Basiswissen, hier ist teilweise ein CA mit drin, dann ist es sehr komfortabel, wenn nicht muss man sich die noch separat aufbauen.


    Sicherheit muss aber vor allem Verhältnismäßig sein, für den Standard User reicht ein Gerät wie die FritzBox völlig aus.

    Für den Hobby ITler ist dann ein pfSense ein nettes Projekt, was viel Spaß machen kann.


    Ein UTM ist leider meist mit hohen Support/Lizenzkosten verbunden.

    Aber auch hier gibt es für den Heimgebrauch den einen oder anderen Anbieter der es zum probieren für Privat kostenfrei anbietet.

  • Sicherheit muss aber vor allem Verhältnismäßig sein, für den Standard User reicht ein Gerät wie die FritzBox völlig aus.

    Für den Hobby ITler ist dann ein pfSense ein nettes Projekt, was viel Spaß machen kann.

    Da bin ich ganz deiner Meinung. Der Standard User hier im Club reicht allerdings vom Privatanwender bis zum (Klein)-Unternehmer.


    Zum Thema "VPN" wollte ich eine Bandbreite an Möglichkeiten darstellen. Ich kann sagen, dass mir in meinem Beitrag das Stichwort VPN-Router selbst nicht so gut gefallen hat. Als Hobbyqnapper fehlte mir ein entsprechender Fachbegriff wie UTM.


    Leider haben wir noch wenig niedergeschriebens Knowhow zum Thema Sicherheit. Ich denke aber, dass das besser wird.


    christian hat zwischenzeitlich seinen Erstentwurf zum Thema Sicherheit weiter überarbeitet und in seinem Blog veröffentlicht. Ich kann mich auch mit seiner Idee "Checkliste" gut anfreunden.


    Ergänzungsvorschlag zu den Passwörtern:


    Nicht vergessen bei der Benutzung von Datenbanken auch hier die Standardpasswörter auszutauschen.

  • Kann man mit gutem Gewissen das Nas-System überhaupt über Portfreigaben ins Internet stellen?

    Mit dem was der normale Heimbenutzer zu hause herumstehen hat von mir ein klares NEIN.

    Für kleine Unternehmen wäre dann eine UTM mit entsprechender Lizenz fällig, was dann aber wieder etwas kostet und - wie schon von Crazyhorse geschrieben - Fachwissen benötigt. Es gibt diverse Hersteller, die fertige kleine Boxen (Appliances) mit Hard- und Software anbieten, mit unterschiedlicher Leistung, Ausstattung und Preiskategorie.

  • Man sollte auch die Zielgruppe einer NAS wie die einer QNAP oder Synology bedenken. Leute, die ein wenig IT Affin sind und gerne ihre eigene Cloud hätten. Sonst hätten sie sich entweder eine WD NAS gekauft oder alles in der Google Cloud.

    Immer nur: VPN VPN VPN, bringt hier gar nichts, da man damit enorm eingeschränkt ist und eben kein Cloud mehr hat. Hier kann man nämlich nicht mehr von überall auf die NAS zugreifen, man braucht immer einen VPN Client mit installiertem Zertifikat. Man kann keine Dateien mit Freunde teilen. Man kann praktisch nichts von dem mehr machen, wozu es viele nutzen wollen: private Dropbox.


    Daher, anstelle alles "Nicht VPN" schlecht zu reden, lieber so gestalten, dass es auch ohne VPN weitmöglichst sicher wird.

    Die Alternative für viele wäre sonst: Gut, dann eben keine NAS, und alle Daten bei Google/DropBox/.... Ist das besser? Nein!


    Daher würde ich es begrüßen, wenn auch die Nachteile einer VPN Verbindung aufgezählt werden würden und die möglichen Alternativen, mit der eigenen NAS, ohne externe Dienstleister nutzen zu müssen.


    Meine Ergänzungen:

    Passwort:

    Das NAS soll nur im LAN für die Familie verfügbar sein:

    • Einfaches Passwort, welches man nicht vergisst, wählen.
    • Alternativ sicherer: Passwortsafe wie KeePass verwenden!

    Das NAS soll aus dem Internet erreichbar sein:

    • Langes Passwort. Desto länger, desto sicherer. Kein komplexes aus vielen Sonderzeichen, das erhöht die Sicherheit nicht! https://xkcd.com/936/
    • Einmaliges Passwort verwenden. Da man sich so eines nicht merken kann, KeePass als Passwortsafe verwenden.
    • Zwei-Faktor-Authentifizierung verwenden, damit bei einer Anmeldung an einem Fremd-PC, auf dem bspw. ein Keylogger installiert ist, dieser nicht funktioniert.

    Berechtigungen:

    Verschiedene Benutzer, für verschiedene Tätigkeiten und eingeschränkten Rechten anlegen

    • Benutzer für Backups, der nur in die Backupverzeichnisse schreiben darf und welcher vom Backupprogramm auf den Computern für Backup verwendet wird. Hilft um sich gegen Verschlüsselungstrojaner zu schützen.
    • Benutzer für die einzelnen Nutzer der NAS, eingeschränkt auf die benötigten Freigaben (kein Zugriff auf Backup!)
    • Admin, mit sicherem Passwort.

    Service Binding

    Nutze die eine LAN Schnittstelle für das LAN, die zweite für den Zugang zum Internet. Unter Service Binding können nur auf der LAN Schnittstelle zum Internet alle Dienst bis auf die ein zwei benötigten deaktiviert werden.

    Zugang von Unterwegs

    Sicherste Möglichkeit mit den meisten Einschränkungen: VPN

    Zielgruppe: Man selbst will von seinen eigenen Geräten von Unterwegs auf die NAS zugreifen können.

    Vorteil:

    - Es wird ein verschlüsselter Tunnel von PC zu NAS aufgebaut.

    - Die NAS ist nicht direkt vom Internet erreichbar, d.h. hat QTS Sicherheitslücken, ist man geschützt.

    - VPN ist sehr ausgereift und sehr sicher mit schnell geschlossenen Lücken!

    - Man kann alles machen, als ob man zu Hause im eigenen LAN ist. D.h. alle Netzwerkfreigaben, etc. funktionieren.


    Nachteile:

    - Nur die Personen, die sich im privaten LAN befinden dürfen, dürfen Zugang erhalten. D.h. mit keinen Gäste, keinen Bekannte können so Daten ausgetauscht werden.

    - An fremden Rechnern ist der Zugang nicht möglich.

    - An öffentlichen Hotspots oder in Firmen ist der VPN Port manchmal blockiert und somit eine Zugang nicht möglich.


    Vorgehen: VPN Server auf der NAS oder dem Router (Fritzbox) aktivieren und konfigurieren. VPN Client auf dem PC installieren und konfigurieren. Vom Client per VPN mit der NAS verbinden.

    Nicht so sicher, aber die größte Flexibilität: NAS direkt vom Internet aus erreichbar

    Zielgruppe: Man will von fremden Geräten auf die NAS vom Internet zugreifen, man will mit Gästen/Verwandte, Dateien austauschen.

    1. Möglichkeit: myQNAPCloud (NAS ist direkt vom Internet erreichbar)

    2. Möglichkeit: myQNAPCloud + CloudLink (NAS ist über QNAP Server erreichbar: Man vertraut QNAP, da aller Traffic über deren Server läuft.)

    3. Möglichkeit: QTS vom Internet aus erreichbar

    4. Möglichkeit: Nextcloud oder anderes in Docker/VM vom Internet aus erreichbar.


    Allen gemein (bis auf 2.) ist, dass die NAS vom Internet aus direkt angreifbar ist, da die NAS über den Port 443 erreichbar ist (Portweiterleitung im Router muss eingerichtet werden). Daher muss die NAS und deren Dienste auf dem aktuellsten Stand gehalten werden. Port 80 hat im Internet nichts verloren (http), wird aber kurzfristig für die Ausstellung de Let's Encrypt Zertifikats benötigt (unbedingt danach deaktivieren).

    Für weitere Hilfe diesbezüglich das Forum nutzen und sich weiter informieren.

  • Hey UpSpin , mach doch am besten auch einen Blogartikel aus Deinem Post, da steckt ja reichlich Arbeit drin. Den könnte man sicher auch im Sicherheitsforum anpinnen bzw. einen Verweis im "Sicherheit für Beginner" Artikel unterbringen. Wäre schade, wenn der irgendwann einfach im Thread versackt.


    Sicher, VPN ist mit Komforteinbußen verbunden, wobei ich sagen würde, unter Android merkt man davon wenig. Und es hat ja auch Vorteile, permanent im eigenen VPN zu sein, nämlich wenn man mal am Hotspot surft etc. Wenn das DSL zu Hause nicht zu eingeschränkt ist würde ich sagen, bei den meisten Sachen wie Messenger, Web etc. wird man nicht unbedingt merken, dass man nicht die volle Bandbreite hat.

    Die Ideallösung gibt es nicht, nur behaupte ich mal hat die Mehrzahl auch der IT Affinen Leute nicht unbedingt eine Vorstellung von der Komplexität und den Stolperfallen, die eine komfortable Lösung eben bedeutet. Nur weil man souverän Dienste benutzen kann heißt das ja noch lange nicht, dass man soetwas wirklich kompetent selbst hosten kann. Auch nicht, wenn der Anbieter behauptet, er hätte an alles gedacht und es ist bombensicher. Sonst würde nämlich nicht jede Woche über irgendeinen größeren Leak berichtet...

  • Es gibt kein richtig oder falsch, vielmehr ein bequem oder umständlicher. In meinen Artikel habe ich das Hauptaugenmerk auf Sicherheit first / Komfort second gelegt. Wenn du UpSpin einen ähnlichen Artikel mit Komfort first / Sicherheit second verfasst können Sie User das für sich Beste heraus suchen.



  • Daher, anstelle alles "Nicht VPN" schlecht zu reden, lieber so gestalten, dass es auch ohne VPN weitmöglichst sicher wird.

    Ohne VPN gibt es für den Heimbenutzer eigentlich kein "Sicher" auch nicht weitestgehend. Tut mir leid, aber das kann man und sollte man nicht schön reden. Mir ist durchaus bewusst, das einige User genau deswegen ein NAS gekauft haben, um komfortabel und ohne Aufwand von überall auf die Daten zugreifen können. Eigentlich ein schönes Feature. Aber ist Dir vielleicht aufgefallen, dass keiner der Pros seine Daten ohne VPN oder zusätzlichen Schutz so ins Internet stellt? Es hat schon seine Gründe. Solange ein QNAP NAS keine Abwehrmöglichkeiten hat gehört dieses meiner Meinung nach nicht direkt in Internet.

    Es ist natürlich etwas ganz anderes, wenn Du ein NAS speziell in eine DMZ stellst und die Daten zusätzlich gesichert sind, sprich das NAS abgeschossen werden kann.

    Nutze die eine LAN Schnittstelle für das LAN, die zweite für den Zugang zum Internet. Unter Service Binding können nur auf der LAN Schnittstelle zum Internet alle Dienst bis auf die ein zwei benötigten deaktiviert werden.

    Schöne Idee, aber ich fürchte die Schadsoftware wird sich wohl nicht an diese Regeln halten. Ist Schadsoftware mal auf einem Gerät und aktiv hat das NAS kaum etwas an Gegenwehr anzubieten. Sicher besser als nichts, aber auf viel Wirkung würde ich hier nicht hoffen.

  • Habe heute großes Kino fabriziert. Neues Handy aufgesetzt, altes komplett zurückgesetzt und dann gerade schmerzhaft erfahren dürfen, dass ich nicht mehr auf meine TS221 komme, da ich zwei Faktor Authentifizierung aktiviert hatte und nun (natürlich) nix mehr am "neuen" Handy ankommt. Komme jetzt gar nicht mehr auf die QNAP. Hat jemand irgendwelche Ideen für mich. Sorry.....sooooo dämlich.....!


    Merci!