NAS-Daten vor Internetzugriff (weitestgehend) schützen

    Hallo zusammen,


    Nachdem mein erstes Problem, die Installation des exFAT-Treibers, auf wundersame Weise gelöst werden konnte, möchte ich noch eine zweite Frage zum Thema Datensicherheit hier anbringen:


    Mein NAS soll weitestgehend vor Internetzugriff geschützt werden. Das bedeutet: Ich möchte, dass man von extern nicht auf die Daten zugreifen kann, der NAS aber weiterhin Firmware-Updates ziehen kann. Besonders möchte ich die Daten vor Verschlüsselung schützen, was ja leider eine immer gängigere Erpresser-Masche geworden ist. Meine Daten sind dabei nicht finanziell wertvoll oder besonders. Es sind in erster Linie Familienandenken.


    Daher würde ich gerne einmal diskutieren, wie ich das am besten anstelle. Dazu ein paar Informationen, was schon an Sicherheitsvorkehrungen vorhanden ist:


    Router:

    • Netzwerkzugriff gibt es nur, wenn die MAC-Adresse des Gerätes in der Filtertabelle ist
    • Der Router ist mit einem starken Passwort geschützt
    • Der WLAN-Key ist ebenfalls ein starkes Passwort
    • Alle Dienste, welche ich nicht benötige, sind standardmäßig deaktiviert


    NAS

    • Netzwerkzugriffe wie FTP sind deaktiviert
    • Die Cloud-Dienste, welche ich für die Installation des exFAT Treibers kurzzeitig anschalten musste, sind alle wieder aus und myQNAP ist ausgeloggt
    • Es wird, sobald die Einrichtung des NAS fertig ist, User erstellt, mit denen die Rechner in unserem Haushalt nur auf bestimmte Ordner des NAS zugreifen können
    • Admin Passwort entsprechend stark gewählt


    Back-Up:

    • RAID5-Konfiguration
    • Regelmäßiges Back-Up auf zwei externe Festplatten welche nach dem Back Up stromlos vom NAS getrennt sind


    Ich habe nun schon einmal gelesen, dass man über Ports den Internetzugang des NAS beschränken kann. Da hört es bei mir allerdings auf mit der Kenntnis. Was muss ich denn an welcher Stelle eintragen, damit sich der NAS weiterhin Updates ziehen kann aber gleichzeitig der Zugriff von außerhalb meines LANs so schwer wie möglich wird?

    Würdet ihr grundsätzlich eine Verschlüsselung der Daten auf dem NAS empfehlen? Davor schrecke ich ein wenig zurück, weil mit den Daten auch (privat) gearbeitet wird (z. B. Müssen noch unzählige Fotobücher erstellt werden). Durch die Verschlüsselung wird der Zugriff auf die Bilder noch langsamer, als er bei großen Dateien per WLAN ohnehin schon ist.


    Weiterhin habe ich inzwischen gelernt, dass man Back-Ups nicht nur nach fixen Zeitintervallen sondern auch in Versionen anlegen soll, weil bestimmte Viren und dergleichen oft erst nach einer gewissen Zeit zuschlagen, in der Hoffnung, dass sie auch schon inaktiv im letzten Back-Up vorhanden sind. Hat QNAP dafür eine integrierte Lösung? Mein MacBook macht genau das per TimeMachine und sichert sich so auf dem NAS. Ist es im privaten Umfeld sinnvoll, dieses Back-Up ebenfalls zu verschlüsseln?


    Wäre auch hier für ein paar weise Worte dankbar.

    2 Mal editiert, zuletzt von Raikiri ()

    Zitat von Raikiri

    Hat QNAP dafür eine integrierte Lösung?

    Jo, nennen sich Snapshots ;)

    Das ist aber auch nur ein Stückchen Wahrheit. Die letzte Ransomware konnte die Snapshots löschen, außerdem besteht Gefahr, dass wenn Daten verschlüsselt, also geändert werden, der nächste Snapshot so massiv anwächst, dass nicht ausreichend Kapa vorhanden ist und die alten "guten" Snapshots gelöscht werden.


    DER ultimative Schutz ist es, das NAS/ die Daten gar nicht erst direkt erreichbar zu machen, sondern nur über VPN.

    Zu meinem Verständnis: Ist damit gemeint, dass ich irgendwie innerhalb meines eigenen Netzwerkes zu Hause noch ein VPN zwischenschalte? Denn wie gesagt: Ein Zugriff von außerhalb meines Heimnetzwerkes soll ja explizit nicht möglich sein.


    Ich will auch nicht den Teufel an die Wand malen: Ich bin bei dem Thema weitestgehend Laie. Ein Berufshacker würde mit Sicherheit problemlos mein Netzwerk infiltrieren können. Dafür sind aber die Fotos und Videos vom letzten runden Geburtstag meiner verstorbenen Oma schlicht nicht wichtig genug, als dass ich hier in irgend einen Fokus geraten könnte. Es geht viel mehr darum, die voll automatisierten Angriffe, welche inzwischen leider auch immer mehr unbedarfte Privatpersonen treffen, sicher abzuwehren.

    Zitat von Raikiri

    Zu meinem Verständnis: Ist damit gemeint, dass ich irgendwie innerhalb meines eigenen Netzwerkes zu Hause noch ein VPN zwischenschalte?

    Ja, sofern Du überhaupt (sicheren) Zugriff von außen haben willst:

    Sicherer Fernzugriff auf das NAS und LAN mittels VPN - Ein kleiner Überblick

    Zitat von Raikiri

    Ein Berufshacker würde mit Sicherheit problemlos mein Netzwerk infiltrieren können.

    Ich denke dass so jemand bei jedem von uns reinkommt, egal was wir für verrückte Sachen zur Sicherheit anstellen ;)

    Zitat von Raikiri

    Es geht viel mehr darum, die voll automatisierten Angriffe, welche inzwischen leider auch immer mehr unbedarfte Privatpersonen treffen, sicher abzuwehren.

    Dazu reicht es, das NAS nicht mittels Portfreigaben erreichbar zu machen, da mag es aber auch Ausnahmen geben.


    Du hättest übrigens durchaus einen neuen Thread erstellen können/ sollen, das sind/ waren ja nun völlig unterschiedliche Themen, die nun in der falschen Kategorie stecken und auch nicht mehr so leicht gefunden werden... Hier ist niemand böse drum, wenn mehrere Threads erstellt werden :)

    Hmmm, stimmt, hab ich nicht ganz zu Ende gedacht.:/


    Die Portfreigabe habe ich bereits abgeschaltet, damit sollte ein guter Grundschutz bereits vorhanden sein.


    Dann muss ich als nächstes nur noch herausfinden, warum die USB-Geschwindigkeit selbst bei exFAT formatierten Festplatten so unterirdisch ist. Gerade läuft das Kopieren der Daten auf den NAS und die Schreibrate springt zwischen 15 und maximal 40 MB/s. Das ist für eine USB 3.0 Festplatte doch irgendwie arg wenig. Die Platte selbst kann lauf Hersteller 5 GB/s. Selbst wenn ich nur die Hälfte erwarte sind 40 MB/s extrem wenig.

    Jetzt springst Du wieder zum alten Thema zurück :rolleyes:;)


    Das ist aber leider ein typisches Problem... Keine Ahnung ob es da eine richtige Lösung gibt...

    Das habe ich inzwischen leider auch herausgefunden. Es wundert mich schon sehr, dass QNAP noch immer mit "super schnellem" USB wirbt, obwohl dies in der Praxis scheinbar nicht erreicht wird. Da das Internet scheinbar voll ist Berichten über die unterirdische USB-Performance stellt sich mir da eine Frage: Hat schon mal jemand den eSATA-Port ausprobiert?


    Mein Ziel ist es ja eigentlich, erst einmal über den USB-Port alles auf den NAS zu bringen, was im Moment da ist und danach, ebenfalls über den USB-Port, das regelmäßige Back-Up laufen zu lassen. Allerdings ist es keine praktikable Lösung, etwa 5 TB an Daten mit 40 MB/s über den USB-Port zu sichern. Da dauert das Back-Up ja länger, als der Turnus zwischen zwei Sicherungen. Spontan fallen mir da zwei Lösungen ein:


    Meine aktuelle Festplatte aus ihrem Gehäuse befreien und in ein eSATA Gehäuse packen oder einen zweiten, möglichst günstigen Single-Bay-NAS anschaffen und per Netzwerk auf diesen sichern. Alleine auf die Sicherheit des RAID5 will ich mich jedenfalls nicht verlassen. ?(


    Nach weiterer Recherche: Die Sache mit dem eSATA vergesse ich mal besser gleich wieder. Das soll ja auch eine Katastrophe bei QNAP sein.

    Einmal editiert, zuletzt von Raikiri ()

    Zitat von Raikiri

    Gerade läuft das Kopieren der Daten auf den NAS und die Schreibrate springt zwischen 15 und maximal 40 MB/s. Das ist für eine USB 3.0 Festplatte doch irgendwie arg wenig.

    Naja, laut QNAP kann dein NAS 89 MB/s im Upload für eine 5GB Datei. Das ist natürlich best case mit internen Platten. Da überraschen mich die gemessenen Werte jetzt nicht so sehr.

    Wo hast du diese Werte denn gefunden? Ich hatte mir einen Wolf gesucht und keine Angaben von QNAP dazu gefunden.


    Aber selbst 60 MB/s wären ja schon ein Träumchen. Aktuell liegen die Werte deutlich häufiger im Bereich 15 als 40 MB/s.


    Ich habe die Festplatten zum Vergleich mal unter Windows getestet. Bei einer vergleichbaren Kopieraufgabe werden dort im Schnitt 160 MB/s erreicht. Das dürfte so das Limit der Platte sein, die auch schon ein paar Jährchen alt ist.

    Na aber da ist doch Windows (SMB) Upload, wie Du binam ja auch schreibst... aber die externe HDD ist doch direkt am QNAP, da dürfte diese Angabe doch gar nicht zum Tragen kommen?!

    Zitat von Raikiri

    Gerade läuft das Kopieren der Daten auf den NAS und die Schreibrate springt zwischen 15 und maximal 40 MB/s. Das ist für eine USB 3.0 Festplatte doch irgendwie arg wenig.

    Das liegt sicherlich am QuDedup, die Jobs laufen mega langsam weil hier 4 Dateien gleichzeitig verarbeitet werden und das bedeutet für HDs, Random IOs only.

    HDs sind aber nur sequenziell schnell.



    Zitat von Raikiri

    Router:

    Netzwerkzugriff gibt es nur, wenn die MAC-Adresse des Gerätes in der Filtertabelle ist

    Bringt nix, ne MAC hast in Sekunden gefälscht und in ein paar Monaten tauscht du ein Gerät wegen Defekt aus und suchst dir nen Wolf.



    Zitat von Raikiri

    NAS

    Netzwerkzugriffe wie FTP sind deaktiviert

    Kann man intern oder über ein gut gesichertes VPN einsetzen, da ist nix böses bei. Ich setze das gerade ein wenn ich viele Daten über VPN übertragen will, da ist die Latenz schlecht und ein Datenstream eiert bei 1MB/s rum, also werfe ich einfach 8-10 gleichzeitig an und laste dann den Upload wieder voll aus und spare Stunden Zeit.


    Zitat von Raikiri

    Mein NAS soll weitestgehend vor Internetzugriff geschützt werden. Das bedeutet: Ich möchte, dass man von extern nicht auf die Daten zugreifen kann, der NAS aber weiterhin Firmware-Updates ziehen kann

    Das macht jeder gescheite Home Router, wenn die Firewall aktiv ist.

    Diese erlaubt deinen Clients Zugriffe ins Internet, blockt aber alles was vom Internet kommt.

    Arbeitet diese Statefull, dann wird für jede Client anfrage ein State erstellt und das für jede Richtung der Kommunikation.


    Wenn du Server 1 etwas fragst, dann antwortet er dir auf die Anfrage mit der gleichen Session ID und das darf dann durch. Kommt aber jetzt eine andere App auf dem gleichen Server auf die Idee, ah da war gerade eine Verbindung von Client x, da versuche ich doch mal ob ich da nicht den neusten Virus unterschieben kann. Diese Anfrage ist aber dann mit einer andere Session ID unterwegs oder der Status der Verbindung passt nicht mehr, weil diese z.B. schon mit einem Fin beendet wurde, wird diese Anfrage wiederum von der Firewall blocked.


    Meine NAS Systeme dürfen alle ins Inet, von außen darf aber aktuell nix rein, außer VPN.


    Wichtig ist bei IoT Kisten gescheit hin zu schauen, bevor man die kauft. Ansonsten gehören diese in ein eigenes Netz und dürfen keinen Kontakt zu den normalen Clients haben.

    Einiges kann man auch neu flashen und z.B. mit Tasmota Cloud frei arbeiten.

    Thema Sicherheit, Internetzugriff:

    Ich habe das Gefühl, dass hier teilweise aneinander vorbei geredet wird.


    Beim Internetzugriff sind zwei Punkte zu unterscheiden:

    a. Ausgehende Verbindungen (vom NAS ins Internet, z. B. für Firmwareupdates)

    b. Eingehende Verbindungen vom Internet auf das NAS


    Ausgehende Verbindungen (a.) vom NAS sind prinzipiell harmlos (du nutzt das NAS nicht zum surfen, wo du auf bösartige Seiten geraten könntest).

    Eingehende Verbindungen (b.) sind potentiell gefährlich. Bei schlechter Konfiguration oder bei Softwarefehlern können Angreifer eindringen.


    So wie ich das sehe, werden ausschließlich ausgehende Verbindungen benötigt. Das macht die Sache deutlich einfacher.


    - VPN und Einschränkungen auf MAC-Adressen sind unnötig. Ob du auf dem NAS unnötige Netzwerkdienste aktiv hast, ist egal, ebenso ist nebensächlich, wie gut der Zugriff im LAN auf das NAS geschützt ist (es sei denn, du misstraust einigen Mitgliedern im LAN).


    - Im Router (egal welcher) werden sämtliche eingehenden Verbindungen blockiert, d. h. keine Portfreigaben, auch keine automatischen Portfreigaben über upnp (ist wichtig). Qnap-Cloud deaktivieren (kann als eingehende Verbindung missbraucht werden, ohne im Router eine solche zu sein). Ausgehende Verbindungen brauchen im Router nicht eingeschränkt zu werden.


    - Backups auf mindestens zwei Datenträger, von denen immer mindestens einer nicht direkt an das NAS angeschlossen ist. Die Versionierung (kann in HBS eingeschaltet werden) sollte genutzt werden - nicht nur wegen Ransomware, sondern weil man eigene Dummheiten auch nicht immer sofort bemerkt.


    Zitat von Raikiri

    Würdet ihr grundsätzlich eine Verschlüsselung der Daten auf dem NAS empfehlen? [...] Durch die Verschlüsselung wird der Zugriff auf die Bilder noch langsamer, als er bei großen Dateien per WLAN ohnehin schon ist.

    Das TS-431 hat eine Hardware-Unterstützung der Verschlüsselung. Damit dürfte der Zeitverlust durch die Verschlüsselung zwar messbar, aber nicht spürbar sein, d. h. in der Praxis wird es nicht langsamer.


    Einen Schutz bietet die Verschlüsselung nur für den Fall, dass Diebe bei dir einsteigen und das NAS inklusive Festplatten klauen. Dann können die Daten nicht missbraucht werden. Einen Schutz gegen Hacker bietet sie nicht.


    Das Problem an der Verschlüsselung ist eher, dass es bei einem technischen Defekt schwieriger ist, an die Daten wieder heranzukommen. Daher rate ich dazu, Backups nicht zu verschlüsseln, es sei denn, du kennst dich gut aus (z. B. mit der Linux-Shell) und hast Geschäftsdaten, die keinesfalls in falsche Hände gelangen dürfen.

    Zitat von Anthracite

    Einen Schutz bietet die Verschlüsselung nur für den Fall, dass Diebe bei dir einsteigen und das NAS inklusive Festplatten klauen.

    Es gibt noch einen Use Case: das sichere Löschen der Daten, wenn man die Platten oder das ganze NAS entsorgen, verkaufen oder in einem anderen Sicherheitskontext wiederverwenden will. Statt die kompletten Daten sicher zu löschen reicht es dann, alle Kopien des Schlüssels zu vernichten.