NAS von außen sicher machen

  • Hallo!


    Ich habe jetzt bereits seit ca. 4 Jahren ein QNAP NAS TS-431 und alles läuft super. Ich möchte aber auch gleich dazu sagen dass ich mit mit der Materie leider nicht sehr gut auskenne. Ich weiß mittlerweile schon, dass die Kombination ein NAS zu besitzen und sich mit den Einstellungen nicht auszukennen keine Gute ist. Jetzt ist es aber so dass ich dieses NAS eben bei mir zu Hause am laufen habe und ich es nicht missen möchte.


    Seit einigen Tagen bekomme ich aber leider immer die Warnung dass sich eine fremde IP Adresse in mein NAS einloggen möchte. Am Anfang noch 5 Versuche in der Minute. Also habe ich die Einstellung dass die IP Adresse für einen Tag gesperrt wird, wenn innerhalb von 30 Minuten 5 Fehlanmeldungen durchgeführt werden. Einfach mal um für mich mehr Zeit zu gewinnen.

    Danach habe ich die Einstellung gefunden um die IP Adresse im allgemeinen zu blockieren. Ja das ging für einige Zeit gut, danach wurde mit einer anderen IP Adresse versucht in mein NAS einzudringen. Deswegen hab ich jetzt sicherheitshalber mal das NAS von meinem Netzwerk genommen und bin jetzt auf der Suche nach Lösungen.


    In einem anderen Forum habe ich bereits nachgefragt was ich nun tun könnte. Dort wurde mir gesagt dass eben die Kombination ein NAS zu besitzen, sich damit aber nicht auszukennen, sehr gefährlich sein kann. Also hat man mir den Tipp gegeben das NAS für Fernzugriffe zu deaktivieren. Leider konnte mir dort aber niemand genau sagen wie ich das speziell bei meinem QNAP NAS mache und mir nur den Tipp gegeben danach zu googeln. Hab ich danach auch gemacht, aber leider (für mich) keine passenden Tipps oder Infos gefunden.


    Jetzt hoffe ich dass ihr mir hier weiterhelfen könnt.


    Um gleich auf die wohl wichtigste Frage zu antworten: Ja ein Fernzugriff wäre für mich von Vorteil, wenn es aber zu viele Gefahren mit sich bringt kann ich diese auch deaktivieren.

    Also ist mein Ziel dass ich mein NAS in erster Linie so gut wie möglich von außen geschützt bekomme, aber in meinem eigenen Netzwerk von allen Geräten (Laptops, Tabletts, Fernseher,...) auf die Daten, Fotos und Videos zugreifen kann.


    Wie oben schon erwähnt Bitte ich euch mir das ganze mit so wenig Fachbegriffen wie möglich zu erklären und mir am besten einen Tipp geben welche Dienste ich deaktivieren muss oder welche Einstellungen einfach zu treffen sind so dass mein NAS nicht im öffentlichen Netz zu finden ist. Ich wäre euch sehr dankbar.

  • Deswegen hab ich jetzt sicherheitshalber mal das NAS von meinem Netzwerk genommen und bin jetzt auf der Suche nach Lösungen.

    Das war schonmal ein guter Schritt, wenn auch ein wenig zu weit.

    Du hast das NAS von Außen per Portfreigabe erreichbar gemacht, dies kann auch automatisch durch UPNP passiert sein.

    Wichtig ist, dass Du die Portweiterleitungen entfernst und UPNP sowohl am NAS als auch Router deaktivierst, dann kannst Du das NAS erstmal wieder in Betrieb nehmen und vom LAN darauf zugreifen.

    In einem anderen Forum habe ich bereits nachgefragt was ich nun tun könnte. Dort wurde mir gesagt dass eben die Kombination ein NAS zu besitzen, sich damit aber nicht auszukennen, sehr gefährlich sein kann. Also hat man mir den Tipp gegeben das NAS für Fernzugriffe zu deaktivieren. Leider konnte mir dort aber niemand genau sagen wie ich das speziell bei meinem QNAP NAS mache und mir nur den Tipp gegeben danach zu googeln. Hab ich danach auch gemacht, aber leider (für mich) keine passenden Tipps oder Infos gefunden.

    Auf den Punkt korrekt... oben habe ich bereits geschrieben, was Du erstmal tun kannst um "das NAS für Fernzugriffe zu deaktivieren".

    Falls Du dabei Hilfe benötigst wirst Du die hier sicherlich bekommen können.

    Also ist mein Ziel dass ich mein NAS in erster Linie so gut wie möglich von außen geschützt bekomme, aber in meinem eigenen Netzwerk von allen Geräten (Laptops, Tabletts, Fernseher,...) auf die Daten, Fotos und Videos zugreifen kann.

    Das machst Du über ein VPN welches auf dem Router aufgesetzt wird, dazu gibt es hier einige Beiträge...


    Außerdem wichtig zu lesen: Security - Das NAS offen im Internet

  • Mein Router sagt in den IP-Filterregeln

    NAS-IPs >> Internet | Alle Protokolle VERBOTEN

    Internet >> NAS-IPs | Alle Protokolle VERBOTEN

    Sämtliche MAC des NAS sind im Router für Internet ebenfalls gesperrt, IPV6 ist grundsätzlich aus.


    Brutal, aber wirksam.

  • Wenn dem so wäre, dann würdest Du ja nicht selbst von außen auf das NAS zugreifen können... Wie machst du das denn?

    Und was für einen Router hast du?

  • Ich will nicht von extern auf das NAS zugreifen und auch nicht zugreifen lassen.

    Es ist ein WZR-1166DHP, der hier schon im LAN mit an einer durchaus potenten Leitung hängt, die am Übergabepunkt WAN-LAN nochmals durch einen Router muss. Mich haben die "netten Einschläge" alleine aus dem ersten LAN einfach nur genervt. Die Aufgabe meistert die kleine Schepperbüchse ganz gut.

    Würde ich Daten teilen wollen, so hinge ein kleiner Server direkt hinter dem ersten Router und hinter dem Router hinge der nächste, der mein internes Netz macht.


    Es ging mir auch nur darum, einen effektiven und schnellen Weg für die Abschottung des NAS von Elkö anzubieten bis er sich durch durch VPN/NAS-Einstellungen usw gearbeitet und das durchgetestet hat.

  • Oh, dann habe ich das mit dem Zugriff deinerseits falsch verstanden, ich dachte du willst ausm WAN zugreifen.


    Also ist die "fremde" IP eine aus deinem anderen LAN/ DMZ und nicht aus dem WAN?

  • Ich habe keinen Einfluß auf die "Gäste" des ersten LAN, die auch gerne unfreundliche Spielchen darin versuchen, somit betrachte ich das strikt als feindliche Zone. Dafür ist die kleine Schepperbox gut geeignet und hält mir den Kram vom Hals. WAN seitig ist das Netz ganz okay, Problem sind Gäste und deren Rechnergedöns.

  • Könntest du nochmal beschreiben wie, was, wofür und mit was für clients das da aufgebaut ist?

    Letztlich macht es prinzipiell aber keinen Unterschied ob das andere Netz WAN oder Gästenetz ist: Das NAS scheint von diesem Netz aus erreichbar zu sein und das unterbindet man in dem Router / Firewall der zwischen dem NAS und dem anderen Netz sitzt.


    Wenn dort wie Du oben geschrieben hast alles was mit dem NAS zu tun hat geblockt wird dürfte es von dort aus auch keine Loginversuche geben. Oder hast du da von dem Router zum WAN gesprochen?

  • Jetzt verwechselst Du mich wohl mit Alkö. Mein NAS ist nicht von aussen erreichbar und wird es auch nie sein. Ich hatte nur eine effektive und recht einfache Möglichkeit aufgeschrieben, wie der TO sein NAS im Router WANseitig blockt und LANseitig weiter darauf zugreifen kann ohne sich möglicherweise die ganze Konfig mit unbekanntem Hexenwerk zu schiessen.

    Meine DMZ-Geschichten sind anfänglich mehr als 20 Jahre her ;-)

    Trotzdem Klasse von Dir und Dank für das Bemühen. Das muss einfach mal gesagt werden.

  • :D

    Nicht nur jetzt... Ich habe die ganze Zeit gerätselt was genau hier los ist... Ich geh mal lieber nen Bier trinken :beer:

  • Das war schonmal ein guter Schritt, wenn auch ein wenig zu weit.

    Du hast das NAS von Außen per Portfreigabe erreichbar gemacht, dies kann auch automatisch durch UPNP passiert sein.

    Wichtig ist, dass Du die Portweiterleitungen entfernst und UPNP sowohl am NAS als auch Router deaktivierst, dann kannst Du das NAS erstmal wieder in Betrieb nehmen und vom LAN darauf zugreifen.

    Vielen Dank für deine Antwort!


    Wie schon erwähnt bin ich auf diesem Gebiet leider ein Laie. Leider weiß ich nicht einmal wie ich die Portweiterleitung entferne.

    UPNP habe ich durch Eingabe in der Suche gefunden. Dabei bin ich zur "Diensterkennung" weitergeleitet worden und unter dem Reiter UPnp Erkennungsdienst war ein Haken aktiviert. Diesen habe ich jetzt mal deaktiviert. Auch bei meinem Router habe ich UPnP jetzt deaktiviert.


    @Portweiterleitung: Wo finde ich die Einstellung?

  • Was für einen Router hast du denn?

    Wenn du nicht weißt wo das ist, dann wirst du da sicherlich nichts eingestellt haben? Aber besser nachschauen...

    Nennt sich übrigens auch portfreigabe...

  • In Deinem Router.

    Welche externen (WAN) Ports werden auf welche internen (LAN) Ports umgeleitet.


    Gruss

  • Der Tipp von tiermutter war schon ganz gut, und ist auch nicht auf ein NAS beschränkt: UPnP überall abschalten ist generell ein guter Ratschlag; dieses Protokoll soll den unbedarften Benutzern das Leben leichter machen, aber das geht immer damit einher, dass Anwendungen ungefragt (und vom Benutzer umbemerkt) diverse Ports aufmachen ...


    Bei meinem NAS habe ich folgendes eingestellt ud habe seit Jahren Ruhe vor Eindringlingen:

    bei Einstellungen -> Sicherheit -> Erlauben/Verweigern Liste

    ist die Option "Nur aufgelistete Verbindungen zulassen" aktiv. In der Box darunter per "Hinzufügen" (nur) das eigene Netz mitseiner Netztmaske eintragen, also z.B. '192.168.123.0/225.225.225.0'

    Ohne die Anführungszeichen, und natürlich mit dem richtigen Subnetz (hier "123").

    Das NAS kann problemlos nach draussen funken, also z.B. Firmware-Upgrades abfragen/herunerladen, oder sich mit dem Zeitserver "de.pool.ntp.org" verbinden, aber nichts kommt ungefragt rein.

    Innerhalb diesesLANs gibt es keinerlei Beschränkungen.

  • @qpukk

    Ist ja gut gemeint, aber mehr auch nicht.


    Der Zugriffsschutz von WAN Seite fängt im Router/Firewall an und hier muss dann das Deny erfolgen und nicht erst auf dem Endgeräte.


    Wenn er bis dahin gekommen ist und das nicht gewünscht war, kann das ganz schnell böse enden.

    Und dann ist ein Crypto Miner noch das harmloseste was einem passieren kann.


    Wenn ich sehe, dass bei mir ständig IPs alle möglichen Ports durchgehen die auf einer schwarzen Liste gehen da die sonst nicht im Log auftauchen würden, will mir gar nicht vorstellen wie das auf einer Fritz aussieht. Bei der alles ans NAS weiter geleitet wird, weil UPnP aktiv ist und hier keine Blocklisten konfigurierbar sind die die größten Mistkerle ausspert.


    Also hier den Sicherheits Einstiegs Guide lesen und umsetzen, Zugriffe von außen wenn auf QTS dann über VPN.

    Auch das ist ja schon mit einer Fritz möglich.

  • Was für einen Router hast du denn?

    Wenn du nicht weißt wo das ist, dann wirst du da sicherlich nichts eingestellt haben? Aber besser nachschauen...

    Nennt sich übrigens auch portfreigabe...

    Ich komme aus Österreich und bin dort Kunde von Magenta. Ich besitze von dort die Connect Box.


    Aber vielleicht hab ich auch etwas falsch verstanden. Die Portfreigabe oder Portweiterleitung ist am Router oder im NAS zu entfernen?

  • Wie FSC830 geschrieben hat im Router.

    Was ich auf die schnelle finden konnte ist dass es dort unter erweiterten Einstellungen / Sicherheit zu finden ist.

  • Wie FSC830 geschrieben hat im Router.

    Was ich auf die schnelle finden konnte ist dass es dort unter erweiterten Einstellungen / Sicherheit zu finden ist.

    Ja die hab ich gefunden.


    Dort ist jetzt mit der IP Adresse meines Nas (also endend mit .39) mehrmals mit diversen "Port Range" aufgelistet. Daneben ein Haken mit "aktiviert". Also bei allen das aktiviert Kästchen entfernen, bei beiden Geräten das UPnP deaktivieren und danach sollte ich das NAS wieder in Betrieb nehmen können?

  • Korrekt...

    Mit den entfernten Haken werden dann alle bestehenden portfreigaben deaktiviert durch die das NAS erreichbar wird.

    Mit den abschalten von upnp verhinderst du, dass diese wieder automatisch eingeschaltet werden. Upnp solltest du für alle Geräte deaktivieren, also grundlegend am Router und besser auch an jedem Gerät, wobei es genügt wenn der Router upnp nicht erlaubt.