Wie bekomme ich als Anfänger mein NAS + Netzwerk bestmöglich sicher?

  • Hallo Leute,

    ich habe mir ein TS-453d geordert und bin nun dabei die Möglichkeiten für eine möglichst sichere Anwendung zu überlegen. Ich bin bis dato ein ziemlicher Laie bezüglich NAS- und Netzwerksicherheit und würde euch gerne um eure Empfehlungen bitten.

    Mein Arbeitscomputer läuft auf Windows 7 mit Avast Antivirus inkl Firewall und wurde bisher separat von Web und Netz oder WLAN betrieben. Web+Mail habe ich bisher über ein Uralt-Mac an einem Frizbox-Router 7490. Daten wurden über Stick oder Externplatten ausgetauscht.

    Für das NAS hatte ich nun folgende Überlegung: Das NAS soll den Uralt-Mac für Web+Mail ersetzen und als Datenspeicher und Backup dienen. Der NAS-Speicherpool wird in 2 Thickvolumes geteilt. Volume 1 für Linux Station oder Linux-VM auf der ich Mail- und Web mache. Auf Volume 2 alle Daten- und Backups auf die dann ausschließlich der Admin + Windows 7- Arbeitscomputer zugreifen soll/kann. Eine Verbindungsrichtung soll von Web-Mail-Volume 1 zu Volume 2 nicht möglich sein, sondern nur von Richtung Volume 2 auf Volume 1 mit NAS-Admin oder verbundenem Wi7-Arbeitscomputer. Ein Zugriff via Web von z.B.Smartphone/Tablet auf die NAS brauche ich nicht.

    Es ist mir klar das es keine 100%-Sicherheit gibt, aber ich war dann doch erschrocken, was für gewaltige Viren- und Sicherheitslücken ein NAS von sich aus hat, wenn man hinter die Werbesprüche der Hersteller schaut.

    Das ganze hat für mich also nur Sinn, wenn ich das NAS ziemlich gut für Viren- und Schadsoftware absichern kann, es nicht selbsständig ins Web kommt und natürlich Volume 2 und der am NAS hängende Wi7-Arbeitscomputer keinerlei Webverbindung hat. Von der Webseite oder dem NAS-System darf der Wi7-Wi7-Arbeitscomputer nur mit hohem Aufwand oder garnicht gekapert werden.

    Ich habe versucht (!?!?) mich über die Soft- und Hardware-Möglichkeiten etwas zu informieren: Router Kaskade, Qnap+pfsense software VM, separate Hardware+pfSense, VPN, bestimmte Konfiguration von QNAP, Portblockung, etc.....

    Ich kann aber schlichtweg nicht einschätzen, ob das machbar ist, ich als Laie schon paar Denkfehler eingebaut habe und es auch für mich als Anfänger gut zu handeln ist.

    Schon mal herzlichen Dank für eure Hilfe und Vorschläge
    Matthias

  • Hallo,


    falls nicht schon geschehen findet man hier eine recht gute Übersicht: Zugriffsschutz für QNAP Beginner


    Ansonsten passieren die größten Fehler eigentlich immer dann, wenn man das NAS unbedingt von außen erreichbar machen möchte. Nach meiner Erfahrung sind die größten Gefahren im internen Netz eigentlich die, dass ein Verschlüsselungstrojaner auch die Freigaben erwischt und dort Daten zerstört. Dagegen helfen regelmäßige Backups, vor allem auch solche, die Offline verwahrt werden. In gewissem Rahmen können auch die Snapshot Funktionen dagegen einen Schutz bieten, da man so auf ältere Versionen zurückgreifen kann. Das ein NAS intern durch einen Trojaner von einem Client infiziert wurde habe ich so noch nicht gehört, ist aber natürlich prinzipiell möglich.


    Zusammenfassend kann man auf die Schnelle sagen:

    • kein direkter Zugriff aus dem Internet und wenn, dann nur über VPN
    • regelmäßige Backups
    • Backups nur Schreibgeschützt wiederherstellen wenn möglich
  • Vielen Dank dank für deine Info. Ich habe die Linkempfehlung mal angesehen und ich denke das die dortigen Vorsichtsmassnahmen einen "relativ" guten Grundschutz bieten, aber wenn ich nur z.B. an das vorhandene Virenschutzsystem einer NAS denke, kann der manuelle bzw zeitlich automatisierte Scansystem von Prinzip aus keine hohe Sicherheit bieten.

    Ein Virus wartet ja nicht mal freundlicherweise bis zum täglichen oder wöchentlichen Scan bis er aktiv wird. Und eine permanente Echtzeitüberprüfung jedes NAS-Vorgangs schafft schlichtweg die verbaute Prozessorleistung nicht.

    Das ist für mich dann die Überlegung, ob es hilfreiche Erweiterungs

    möglichkeiten gibt, um

    1 - bestmöglich externe Webangriffe bzw Anfragen zusätzlich abzublocken, durchzufiltern, etc. und

    2 - die geplante Mail- und Webnutzung über die LinuxStation so absichern zu können, das die anderen NAS-Bereiche quasi entkoppelt werden.

    Ist klar, das die größte Fehlerquelle immer noch ich als zu bequemer Nutzer bin , aber ebenso ein löchriges oder falsches Sicherheitskonzept durch mein Unwissen.

  • Man könnte auch eine Firewall in Erwägung ziehen und/oder Segmentierung mit vLANs.

  • 1 - bestmöglich externe Webangriffe bzw Anfragen zusätzlich abzublocken, durchzufiltern, etc. und

    2 - die geplante Mail- und Webnutzung über die LinuxStation so absichern zu können, das die anderen NAS-Bereiche quasi entkoppelt werden.

    Also meiner Erfahrung nach holt man sich mit Virenscannern auf dem NAS nur eine zusätzliche Fehlerquelle. Mittlerweile ist der Windows Defender eigentlich so effizient, dass er die üblichen Bösewichter rel. zielsicher erkennt. Wenn ich mir aus dem Netz ein Tool lade, bei dem ich mir nicht ganz sicher bin, dann prüfe ich das zusätzlich mit der Virustotal Webseite. Damit hat man eigentlich schon ein recht hohes Schutzniveau. Das dass NAS komprommitiert wurde ist eigentlich immer nur durch das zugänglich machen im Netz und dann ausgenutzten Sicherheitslücken oder durch dubiose Apps, die man drauf installiert hat, vorgekommen. Wenn man Kandidaten in seinem Netz hat, bei denen man mit VIrensverseuchung rechnen muss ( Nachwuchs...) hilft eigentlich nur eine recht restriktive Rechtevergabe.


    Bei Mails würde ich sagen, wenn Du sicher gehen möchtest musst Du eine VM bemühen mit dem Mailclient bspw. Die LinuxStation läuft praktisch auf demselben Kernel wie das NAS und ist daher weniger abgeschottet. Ebenso alles was in der ContainerStation betrieben wird. Die beste Trennung geschieht über eine VM.


    Aber es stellt sich halt die Frage des Aufwands und Nutzens. Wenn man eben die grundlegenden Sicherheitsregeln beachtet und keine Kardinalfehler wie ein öffentlich erreichbares NAS bzw. einen Zugang ins eigene Netz geöffnet hat, dann ist man schon recht gut geschützt. Klar kann und wird es immer Sicherheitslücken geben die wirklich rabiat sind und sich vielleicht ohne Zutun über das Netzwerk verbreiten können. Das beste ist immer noch ein regelmäßiges Backup aller wichtigen Daten und vor allem diese Offline aufzubewahren. Und beim zurückspielen nach Möglichkeit diese nicht zu gefährden, weil auf das Backupmedium Schreibzugriffe möglich sind. Das ist mit Festplatten nicht so einfach zu lösen. Aber das sollte das Ziel sein, dann ist man im WorstCase auch einigermaßen geschützt.


    Firewalls sind zunehmend auch von Interesse, gerade wegen der ganzen Smarthome und sonstigen Unterhaltungselektronik, die i.d.R. ein erbarmungswürdiges Schutzniveau aufweisen. Aber das ist leider ein ziemlich kompliziertes Thema und falsch konfiguriert hilft einem eine Firewall dann letztlich auch nicht.

  • Ich muß nasferatu vollkommen zustimmen. Ich bin auch kein Experte und lege Wert auf Sicherheit und komme mit den Backups (1x online + 1x offline rollierend auf 2 USB Disks) gut zurecht.

    Es werden mir wohl nicht alle zustimmen, aber die Fritzboxen sind bei kürzlichen Test auf Sicherheit ganz gut davon gekommen, aktuelle Firmware vorausgesetzt, für den Normalanwender dürfte das reichen und die Gefahr, sich zu vertun und eine Lücke aufzureißen ist bei den Dingern recht gering, wenn man sorgfältig vorgeht (UPNP abschalten usw.).

    Pass bei den Firmware-Updates von QNAP etwas auf, da gibt es Fallstricke, siehe hier im Forum.


    Edit: Muß der PC partout mit Windows 7 laufen?

  • Ich bin mal so frech und sage, dein kompletter Aufbau in sich ist sinnlos und trägt nichts zur Sicherheit bei.


    Du willst Sicherheit, arbeitest aber mit Uralt Systemen (Uralt-Mac, Windows 7), die alles andere als sicher sind und es auch nie mehr werden. Du willst Sicherheit, setzt aber Software ein, die alle deine Daten verkaufen (https://www.golem.de/news/date…zerdaten-2001-146316.html) Du willst Sicherheit, setzt aber Backup, Datenspeicher und Internet auf ein und derselben Maschine und versuchst, dieses in sich falsche Konstrukt, durch eine Verkomplizierung von allem, abzusichern.

    Ich verstehe nicht, warum du auf deinem Win 7 PC eine Firewall hast, obwohl du keinen Zugriff zum Internet darauf hast. Ebenso verstehe ich nicht, wie der Win 7 die aktuellen Sicherheitsupdates installieren kann oder die neuen Virendefinitionen, wenn er keinen Zugang zum Internet hat. Was hast du also davon, wenn du infizierte Daten auf dem Uralt Mac abrufst, per externen Datenträger dann auf den Uralt Win PC übeträgst und der Trojaner/Virus dann den PC platt macht. Gibt es ein Backup?


    Meine Empfehlung:

    Geh in dich und frag dich vor was du dich wie absichern willst. ("Von der Webseite oder dem NAS-System darf der Wi7-Wi7-Arbeitscomputer nur mit hohem Aufwand oder garnicht gekapert werden." Sowas ist bspw. Blödsinn, wie soll das denn angestellt werden?)


    Dann stellst du fest:

    - Deine Computer/NAS können vom Web aus nicht gekapert werden, das verhindert die Fritzbox zuverlässig (sofern du deren Konfiguration nicht aufgeweicht hast (Portfreigaben)), denn keiner kann deine Geräte vom Web aus erreichen.

    - Willst du dich vor Viren schützen, hilft nur ein zuverlässiges Backup, ein aktuelles Betriebssystem (Windows 10) und ein Virenscanner.

    - Willst du dich vor Trojanern schützen, hilft ein gesunder Menschenverstand. Setzt der aus und deine Daten werden dennoch verschlüsselt, hilft nur ein gutes Backup, welches so eingerichtet wurde, dass der Trojaner darauf keinen Zugriff hat und eine Wiederherstellung des gesamten Systems möglich macht.

    - Willst du dich vor Phising schützen hilft nur der gesunde Menschenverstand und eine Passwortdatenbank mit verschiedenen Passwörtern für jeden Account bei Onlinediensten.


    Meine Empfehlung:

    Kauf dir einen neuen PC mit einem aktuellen Betriebssystem und mache mit dem PC alles, also Web, Mail und Arbeiten. Nutze den hauseigenen Virenscanner oder kaufe dir einen brauchbaren (also gerade nicht Avast). Benutze das NAS als Backupziel. Nutze Veeam Backup Endpoint Free dazu, sodass du automatisch tägliche inkrementelle Backups deines kompletten Systems anlegst. Kopiere diese Backups hin und wieder auf eine externe USB Platte, die du sicher woanders aufbewahrst.

    Willst du mehr Sicherheit setze zwischen deinem Netzwerk und der Fritzbox ein Raspberry Pi mit pfSense und einer Blacklist für Tracking Seiten.

  • Vielen Dank für eure Infos - genau diese kritische Fragestellungen und Ansätze brauche ich als Laie, damit ich eben Denkfehler und falsche Konzepte nicht aufbaue.

    Noch einige Anmerkung: Der Wi7-PC kann natürlich akuelle Virusdefinitionen (nicht mehr von Windows) erhalten , wenn man sie im händisch kopiert - aber egal.

    Was die Sicherheit heutiger Betriebssysteme anbelangt , sind sie auf die eine Art sicher deutlich besser, aber gleichzeitig hat es sich fast verselbstständigt, das dich die Hersteller immer mehr durchleuchten. Keiner würde einem Postboten erlauben, das er deine Pakete und Briefe durchwühlt, wärend wir schulterzuckend den Softwareherstellern es erlauben "Müssen", damit wir es überhaupt nutzen können.

    Wenn ich als Beispiel die Standareinstellungen von Windows 10 nehme, ist es ein Abschotten auf der einen Seite und ein Hosenrunterlassen vor Microsofts Datengrabbern.

    Und dann stehe ich als Laie letztendlich vor einer Karikatur-Problematik wer mich nun offiziell so mal nebenher durchleuchten darf-kann-soll.

    In dem Punkt muss ich dann den wirklich Ur-Ur-Ur-Altsystemen ein Like geben, als man noch deutlich mehr "Real-Besitzer" war.


    Fazit: ich werde wohl den Alt-Mac entsorgen und durch einen kleinen separaten Web-PC mit Linux ersetzen und das NAS extern betreiben.

    Vielen Dank mal

  • Alles was händisch erledigt werden muss, wird nach ein paar Monaten vernachlässigt. Meine Meinung. Daher am besten automatisch Updates (oder zumindest Benachrichtigung) und automatisch backups.


    Schon mit Windows XP wurden Daten an MS gesendet. Aber es gibt zahlreiche Möglichkeiten dies zu unterbinden (Tools zum deaktivieren, Telemetrieserver auf die blacklist der Firewall setzen (Fritz Box oder pfSense))


    Wenn du sowieso firm mit Linux ist stellt sich die Frage ob du überhaupt einen Windows PC benötigst und nicht alles mit Linux machen kannst.

  • Was die Sicherheit heutiger Betriebssysteme anbelangt , sind sie auf die eine Art sicher deutlich besser, aber gleichzeitig hat es sich fast verselbstständigt, das dich die Hersteller immer mehr durchleuchten.

    Ohne konkrete Prüfung ist das leider nur Gerede. Ein paar Telemetrie-Daten sind sogar sinnvoll, über Umfang und Details kann und darf man debattieren. Mit Paketen durchwühlen hat das aber nichts zu tun, für diese Vergleiche ist der Betriebssystem-Anbieter der falsche Adressat - hier wärst du eher richtig beim Mailprogramm und kannst dich hier durch konsequente Verschlüsselung schützen. Nebenbei werden Pakete und Briefe durchaus durchleuchtet, aber nicht von Zusteller, sondern im Verteilzentrum o.ä., auch dadurch ist der Vergleich völlig hanebüchen.

    Alles in allem ist dieses kindische Bashing zwar sehr populär, aber ohne konkrete Angaben recht unprofessionell. Dedizierte Firewall aufbauen und fertig, aber das allgemeine Geschwurbel bringt nix und taugt erst recht nicht als Argument für den Betrieb alter Systeme online.

    Und nein, das sollten Laien und sogar der Großteil der sich maßlos überschätzenden selfmade- und Halbwissen-ITler nicht allein angehen, sondern sich professionelle Unterstützung suchen.


    Oder sagen wirs mal anders: Mit solchen Sprüchen outet man sich schnell und zuverlässig als Voll-Laie, selbst wenn man durch Verwendung von aufgeschnappten Fachbegriffen gern einen anderen Eindruck vrmitteln will ;)


    Unabhängig davon finde ich es im Gegensatz zu einigen anderen Leutchen völlig ok, wenn man abgekündigte und nicht mehr supportete Systeme abseits vom Internet weiter betreibt, also in separaten VLANs oder offline. Updates kann man, sofern es überhaupt noch welche gibt, auch als Paket besorgen und manuell per USB-Stick an den Rechner bringen und installieren. Mit Virensignaturen ist das je nach Anbieter auch möglich, aber der Aufwand steigt hier drastisch (durch Aktualiserungen mehrfach täglich ist das händisch nicht mehr sinnvoll abzubilden) und man darf sich fragen, wofür auf der nicht vernetzten Kiste überhaupt noch ein Virenscanner läuft und Ressourcen frisst.


    Abschließend kann ich meinem Namensvetter nur beipflichten (Beitrag #7) : Prüfe dein Konzept, was genau willst du eigentlich gegen welche Risiken absichern? Im Moment sieht es nach gewachsender Struktur aus, irgendwas angeflanscht, irgendwie miteinander verknotet, aber sichtlich planlos.

    Macht aber nix, einerseits hast das auch sonst niemand mit der Muttermilch aufgesogen und andererseits kann man es ja umbauen und ordentlich strukturieren. :)

  • Mit solchen Sprüchen outet man sich schnell und zuverlässig als Voll-Laie, selbst wenn man durch Verwendung von aufgeschnappten Fachbegriffen gern einen anderen Eindruck vrmitteln will

    Da er sich von vornherein ausdrücklich als Laie vorgestellt hat, geht dieser Vorwurf ins Leere.

  • Fazit: ich werde wohl den Alt-Mac entsorgen und durch einen kleinen separaten Web-PC mit Linux ersetzen und das NAS extern betreiben.

    Und was meinst Du mit NAS extern betreiben?

    Ich habe versucht (!?!?) mich über die Soft- und Hardware-Möglichkeiten etwas zu informieren: Router Kaskade, Qnap+pfsense software VM, separate Hardware+pfSense, VPN, bestimmte Konfiguration von QNAP, Portblockung, etc.....

    Ich kann aber schlichtweg nicht einschätzen, ob das machbar ist, ich als Laie schon paar Denkfehler eingebaut habe und es auch für mich als Anfänger gut zu handeln ist.

    Das klingt für mich bereits nach fortgeschrittenen Themen, bei denen nur noch in manch anderen Beiträgen erwähnte VLANs fehlen. Ist die Frage, ob Du Dich da einarbeiten willst und was Du damit absichern und abschotten willst. Wenn Du Dich da einarbeitest, bist aber kein Anfänger mehr.


    Gibt es Gründe, warum Du an Windows 7 festhalten willst statt auf aktuelles Linux oder aktuelles Windows zu wechseln?

  • - Deine Computer/NAS können vom Web aus nicht gekapert werden, das verhindert die Fritzbox zuverlässig (sofern du deren Konfiguration nicht aufgeweicht hast (Portfreigaben)), denn keiner kann deine Geräte vom Web aus erreichen.


    Bisher habe ich mich auch immer auf die Firewall der Fritzbox verlassen. Kürzlich habe ich beim herumprobieren festgestellt dass dies offensichtlich nicht so ist, oder ich habe etwas falsch verstanden:


    Ich habe keine Portfreigaben an der FB eingerichtet, auch keine selbständigen Protfreigaben sind erlaubt.

    Nun habe ich probeweise mal die QuCloud, also den externen Zugriff auf das NAS erlaubt. Ich war der Meinung dass dies nicht funktionieren sollte das die Fritzbox diesen Zugriff verhindert. Aber es hat entgegen der Erwartung funktioniert und in "Netzwerk und virtueller Switch" wird mir auch eine, offensichtlich gültige, "Aktuelle WAN-IP" angezeigt.

    Ich kann also über das Internet auf mein NAS zugreifen! Ich habe das natürlich sofort wieder gesperrt da mir das absolut unsicher erscheint, wie auch hier schon oft betont wurde.

    Ich möchte erst mal auch keine Zugriff von extern, aber der Vorfall hat mich jetzt total verunsichert bezüglich der Zuverlässigkeit der Fritzbox Firewall.


    Ist das das normale Verhalten der Fritzbox oder mache ich doch noch was falsch? Hat von Euch das auch schon mal ausprobiert?

  • Das liegt nicht an der Fritz!Box, bzw. der eingebauten "Firewall" derselben.

    QNAPcloud kommt ohne Portweiterleitungen aus.

    Ist eben für Leute welche schnell und unkompliziert auf das NAS zugreifen wollen.

  • Das befremdet mich etwas, dann ist wohl in diesem Fall die Fritzbox unnütz wenn ich diesen Zugriff nicht sperren kann. Könnte ja sein dass ein anderes Programm ohne mein Wissen ebenfalls diesen Weg nutzt ohne dass ich was merke, oder?

  • Theoretisch ist alles möglich.

    Du musst aber das Ding nicht nutzen.

    Wenn es deaktivert ist, kann man es auch nicht ausnutzen.

  • Könnte ja sein dass ein anderes Programm ohne mein Wissen ebenfalls diesen Weg nutzt ohne dass ich was merke, oder?

    Ja, natürlich. Und das passiert vermutlich bei dir bereits täglich. Beispielsweise wenn du Rechner mit Windows Betriebssystemen nutzt, sendet das Betriebssystem in aller Regelmäßigkeit Telemetriedaten nach Microsoft. Oder nehmen wir den Aufruf einer Internetseite über deinen Browser. Da passieren im Hintergrund noch viele andere Vorgänge, die dazuführen, dass dein Surfverhalten im Internet mitgetrackt wird. Oder irgendwelche Apps die du auf deinen Mobiles installiert hast, sammeln ebenfalls Daten und senden diese fleißig weiter.


    Dem NAS ist der Zugang zum Internet in der Fritzbox einfach zu verbieten. Was die anderen geschilderten Datenleaks angeht, muss man schon etwas mehr Aufwand betreiben.

  • Das befremdet mich etwas, dann ist wohl in diesem Fall die Fritzbox unnütz wenn ich diesen Zugriff nicht sperren kann.

    Firewall ist was anderes als Portweiterleitung.

    Einfach die QNAP für Internet sperren.

  • @AlbiQ

    In dem Fall baut dein NAS die Verbindung zu einem Server auf, meldet sich hier an und hält diese Verbindung aktiv und offen.


    Die Firewall in der Fritz sieht den Verbindungsaufbau vom NAS aus zum Server, das ist erlaubt also wird dieser Weg freigeschaltet. Da diese Statefull arbeitet ist auch der Rückweg erlaubt.

    So funktioniert auch ein Push Dienst.

    Client meldet sich am Server und das Regelmäßig, so das diese Verbindung für den Server auf dem Rückweg offen steht.


    Jetzt Verbindest du dich mit diesem Server und fragt nach deinem NAS, der Server sendet dann die Anfrage weiter.


    Er ist also eine Art Relai.


    Ist ja bei VoIP genauso, deine Basisstation meldet sich am Server, hier ist auch keine Portweiterleitung nötig.

    Der Server kann aber bei einem Anruf den Rückweg nutzen und dein Telefon erreich, wenn ein externer Anrufer zu dir will.


    Ist also der Dienst in deinem NAS deaktiviert, dann kann auch der Server nicht auf dein NAS zugreifen, da er 1. nicht weiß welche IP es jetzt hat und 2. der Port in der Firewall deiner Fritz geschlossen ist und spätestens hier das Paket verworfen wird.