Grundsätzliche Fragen zur Sicherheit

    Hallo Forum,


    ich habe mein erstes QNAP-NAS gekauft und würde gerne wissen, wie es mit der Sicherheit der QNAP-Applikationen generell aussieht, die es ermöglichen, von außen auf das NAS zuzugreifen.


    • Wie ist die Sicherheitspolitik von QNAP? Wie lange benötigt die Firma, um für ihr bekannte Sicherheitslücken Patches anzubierten?
    • Kommuniziert die Firma Sicherheitslücken, sobald ihr diese bekannt sind oder erst, wenn sie die Patches für die Lücken zur Verfügung stellt?
    • Nutzt ihr Apps, die offene Ports benötigen oder setzt ihr das NAS nur in eurem Netzwerk ein?
    • Sind die Applikationen vom Standpunkt der Sicherheit vergleichbar mit den üblichen Applikationen, die man unter Linux zu denselben Zwecken einsetzt?

    Ich danke euch, falls jemand von euch die Zeit findet, die eine oder andere Frage zu beantworten.

    Moin,

    Zitat von Holzohrwascherl

    Wie ist die Sicherheitspolitik von QNAP? Wie lange benötigt die Firma, um für ihr bekannte Sicherheitslücken Patches anzubierten?

    In der Regel geht das recht fix finde ich, jedenfalls in letzter Zeit. Ausnahmen mag es immer geben.

    Zitat von Holzohrwascherl

    Kommuniziert die Firma Sicherheitslücken, sobald ihr diese bekannt sind oder erst, wenn sie die Patches für die Lücken zur Verfügung stellt?

    Ja. Wie sehr zeitnah das ist vermag ich nicht zu beurteilen, da ich noch nie verglichen habe ob die Lücken bereits vorher anderweitig erkannt und benannt wurden. Oftmal wurden diese Lücken bereits gepatcht, jedenfalls für manche Geräte.

    https://www.qnap.com/de-de/security-advisories

    Zitat von Holzohrwascherl

    Nutzt ihr Apps, die offene Ports benötigen oder setzt ihr das NAS nur in eurem Netzwerk ein?

    Meine NAS sind ausschließlich intern oder via VPN erreichbar. Generell sollte ein NAS nur so erreichbar sein, auch wenn es Ausnahmen für manche Dienste gibt, wenn diese sicher genug sind.

    Zitat von Holzohrwascherl

    Sind die Applikationen vom Standpunkt der Sicherheit vergleichbar mit den üblichen Applikationen, die man unter Linux zu vergleichbaren Zwecken einsetzt?

    Das vermag ich ebenfalls nicht zu beurteilen, habe aber das Gefühl dass manche Dienste wie zB OpenVPN sehr lange nicht auf aktuellen Stand gebracht werden und daher Sicherheitsriskigen bergen. Wie im Fall von OpenVPN aktuell der Stand ist weiß ich aber nicht, ebensowenig wie es bei anderen, nicht eigens entwickelten Diensten aussieht.


    Unterm Strich erachte ich die QNAP Software als unsicher genug, um sie niemals dem Internet auszusetzen :)

    Eine generelle Aussage kann man so nicht treffen.

    Aber die Erfahrung zeigt, das QNAP da eher im Mittelfeld ist (subjektiver Eindruck von mir).

    Und für den Zugriff von außen gibt es nur eine vernünftige Lösung, die die größte Sicherheit bietet: VPN auf einem verünftigen Router (d.h. keine Fritzbox)!

    Alles andere ist mehr oder weniger risikobehaftet, offene Ports sind dabei das schlimmste Einfallstor für Schadsoftware!


    Gruss

    Dank dir für deine ausführliche Antwort, hilft sehr!

    Womit setzt du VPN um? Mit den von QNAP angebotenen Apps oder hast du da etwas Eigenes gebaut? (Kenne mich bei VPN nicht gut aus).

    Ich setze VPN mit einer pfSense um. Eine Fritzbox kann zwar prinzipiell auch VPN, allerdings ist diese Implementaion ziemlich veraltet und auch nicht so performant, jedenfalls bis zur 7490. Die 7590 ist da wohl besser geworden.


    Gruss

    Zitat von Holzohrwascherl

    Womit setzt du VPN um?

    Bei mir laufen OpenVPN und Wireguard auf OPNsense.

    Zitat von Holzohrwascherl

    Mit den von QNAP angebotenen Apps

    Nein, das ist meines Erachtens nur eine Notlösung weil

    Zitat von tiermutter

    dass manche Dienste wie zB OpenVPN sehr lange nicht auf aktuellen Stand gebracht werden und daher Sicherheitsriskigen bergen.

    Man müsste mal schauen, welche Version aktuell implementiert ist. Die aktuelle Verison 2.5.4 hat wichtige Sicherheitsfixes bekommen, die ich mit OPNsense innerhalb weniger Tage hatte, ich könnte fast wetten, dass die Version bei QNAP weit hinterher hinkt.

    Darf ich da noch nachhaken?

    Wie steil schätzt ihr die Lernkurve und wie hoch den Lernaufwand bezüglich OPNSense ein, wenn ein völlig unbedarfter Computeranwender das Programm nicht irgendwie (also unsicher), sondern sinnvoll einsetzen will? Hat man als technikaffiner Anwender, der in der IT, aber nicht im Systemadministrator-Umfald arbeitet, eine reelle Chance?


    Bin kein Entwickler, sondern administriere mein Linux-Netzwerk auf recht niedrigem Niveau, weiß aber im Grunde, was ich tue. Vor dem Schritt, einen meinen Rechner von außen zugänglich zu machen, habe ich mich aber bisher gescheut, weil ich das für prinzipiell anspruchvoller halte als alles, was ich bisher gemacht habe.

    Ja. Ich bin auch nur affin und habe beruflich nichts mit IT am Hut. Es ist halt deutlich komplexer als eine Fritzbox und Co, sodass man sicherlich einige Zeit in das Grundwissen der Netzwerktechnik und anschließend in die Software selbst investieren muss.

    Ich bin sehr IT-affin, hatte aber mit Netzwerk Security und Firewall bisher nichts am Hut.

    Man kann es schaffen aber man muss ich schon ein bißchen einlesen und/oder z.B durch das Netgate Forum bemühen.

    Etwas komplizierter wird es, wenn man VOIP Telefonie hat, dann muüssen die entsprechenden Firewall Regeln eingerichtet werden, sonst bleibt das Telefon stumm ^^.

    Etwas einfacher (aber auch etwas teurer) ist es, wenn man statt openSende eine Netgate Appliance mit pfSense nimmt.

    Für den Heimanwender bieten sich da z.B. die SG-1100 oder SG-2100 an, wobei ich letztere vorziehen würde.

    Man(n/Frau) kann aber auch auf einem kleinen Linux Rechner sich das selbst installieren.



    Gruss

    Zitat von Holzohrwascherl

    Wie ist die Sicherheitspolitik von QNAP? Wie lange benötigt die Firma, um für ihr bekannte Sicherheitslücken Patches anzubierten?

    Nach Gefühl gibt es relativ oft Updates wegen Sicherheitslücken. Die Reaktionszeit scheint in Ordnung zu sein.


    Allerdings hatte Qnap auch schon ziemliche Bockschüsse drin, z. B. fest kodierte Anmeldedaten eines Softwaretesters, die in die ausgelieferte Version geraten sind. Es hat schon einige erfolgreiche Angriffe von Schadsoftware gegen Qnap NAS gegeben.

    Zitat von Holzohrwascherl

    Nutzt ihr Apps, die offene Ports benötigen oder setzt ihr das NAS nur in eurem Netzwerk ein?

    Der einzige offene Port ist bei mir für ssh. Das nutze ich, da zwei NAS an verschiedenen Standorten darüber ihre Backups austauschen. Und zur Not kann ich dann mit sftp eine Datei von unterwegs holen.

    Allerdings habe ich den ssh-Zugang auf ausschließlich ssh-Keys eingeschränkt. Das sollte sicher sein.


    Das VPN der Fritzbox ist meiner Meinung nach für Privathaushalte völlig ausreichend. Da würde ich nicht in zusätzliche Hardware investieren - insbesondere nicht, wenn man sie womöglich nicht bedienen kann.


    Allgemein:

    Wenn du vor hast, Dienste von außen zugänglich zu machen, dann sorge für ein Backup, das sicher ist gegen Verschlüsselungstrojaner, zum Beispiel zwei, drei wechselnd genutzte USB-Festplatten, die nie gleichzeitig angeschlossen sind. Wenn du dann doch mal alle Dateien verschlüsselt vorfinden solltest, weil ein Angreifer eine bisher unbekannte Lücke genutzt hat, dann brauchst du "nur" das NAS neu aufzusetzen und das letzte unverschlüsselte Backup wieder einzuspielen.


    Die professionelle Lösung ist, von außen zugängliche Geräte in einer DMZ (demilitarisierte Zone) zu betreiben. Das benötigt dann aber zusätzliche Hardware, weil das zugängliche Gerät eben nicht dein NAS mit all deinen Daten ist, sondern ein dediziertes Gerät, und auch weil z. B. die beliebten Fritzboxen keine DMZ können. Das ist dann aber eher für Firmen, wo auch Datenabflüsse und Ausfallzeiten fatal sind, und wo das nötige Wissen vorliegt. Eine DMZ einzurichten ohne sich damit auszukennen, dürfte keinen Sicherheitsgewinn bringen.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Anthracite

    Wenn du vor hast, Dienste von außen zugänglich zu machen, dann sorge für ein Backup, das sicher ist gegen Verschlüsselungstrojaner,

    Vor denen habe ich Spund.
    Ich werde den Inhalt des NAS einfach auf einen zusätzlichen Rechner synchronisieren. Bisher habe ich (Dateiserver und Backupserver mit Linux) mit Borg Backup gesichert. Geniale Software, aber für meine Dateien (fast nur Video und Audio) wenig geeignet, da naturgemäß sehr langsam.


    Ich mache niemals automatisierte Backups, sondern schaue immer zuerst (allerdings nur stichprobenartig) die Originaldateien an (in Zukunft die Daten auf dem NAS), dann starte ich den Backupserver, der mountet die Samba-Shares und holt sich die neueren Dateien.

    Dann fährt er wieder runter, und ich nehme ihn vom Netz. — Reicht das aus?


    Nein, mit DMZs hatte ich bisher genau so wenig zu tun wie mit VPNs. Ich traue mir mit fremder Hilfe durchaus zu, das zum Laufen zu bringen, aber so arbeite ich nicht, wenn es um Sicherheit geht.


    Sicherheit ist ja kein einmaliger Konfigurationsaufwand, den ein Auskenner netterweise für einen übernimmt (eventuell gegen Bezahlung), sondern ein Prozess, der auf Änderungen angemessen, d. h. mit Verständnis des Konzeptes, reagiert. Und das ist einfach nicht vorhanden. Daher schrecke ich vor einer Hardware-VPN-Lösung wie der Netgate-Appliance zurück.


    Der Hinweis auf die Fritzbox ist viel wert für mich. Mir scheint die Konfiguration sehr einfach zu sein (https://www.youtube.com/watch?v=alfTiXkncVU). Ob solch ein Szenario ausreichend vor Hackerangriffen ist?

    Zitat von Holzohrwascherl

    (...) sondern schaue immer zuerst (allerdings nur stichprobenartig) die Originaldateien an(...) Dann fährt er wieder runter, und ich nehme ihn vom Netz. — Reicht das aus?

    Megagut! ...wenn Du das ewig durchhälst :) Aber wirklich.

    Zitat von Holzohrwascherl

    sondern ein Prozess, der auf Änderungen angemessen, d. h. mit Verständnis des Konzeptes, reagiert.

    wow! Selten, dass man so viel Kluges und Einschlagendes in einem Satz hört... endlich mal wieder jemand bei dem "fertigstellen" nicht bedeutet, dass es ein für allemal fertig ist :)

    Man muss am Ball bleiben, keine Frage. In der IT immer, und schöner wird es in zukunft nicht.

    Andererseits.... bleibst Du bei einer *sense nicht am Ball, gerätst Du innerhalb von Jahren auf den Stand einer Fritzbox... also was solls?! 8o:*

    Zitat von Holzohrwascherl

    Ob solch ein Szenario ausreichend vor Hackerangriffen ist?

    Das VPN von der Fritzbox ist schon 1000x sicherer als irgendein Dienst von Qnap. Ich halte schon generell wenig von Qnap und noch weniger von deren Sicherheitsanstrengungen bzw. von deren Kompetenz, sichere Dienste anzubieten.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Selten, dass man so viel Kluges und Einschlagendes in einem Satz hört...

    Haha, ist nicht wirklich von mir, ich habe Bruce Schneier gelesen, als ich mich mit GnuPG beschäftigt habe … trotzdem danke!


    Mod: Unnötiges Volltext-/Direktzitat ohne Quellenangabe gekürzt/korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von PuraVida

    Das VPN von der Fritzbox ist schon 1000x sicherer als irgendein Dienst von Qnap.

    Klare Worte, danke, bin im Bilde.

    Dann bin ich eigentlich am Ziel. Ich danke allen herzlich für die interessanten und kompetenten Antworten, tolles Forum!

    Wenn du ein passendes NAS hast, kannst du dir ne pfSense auch als VM Aufsetzen und mal mit spielen.

    Würde in deinem Fall zur pfSense raten da hier mehr Guides und mehr Community Support möglich ist, vor allem wenn du auch im US Forum lesen und die eine oder andere Frage in englisch formulieren kannst.

    Zudem ist die Struktur bei Opnsense ein wenig wir, da ist vieles total verstreut. So z.B. das Logging, das musst dir dann an x Stellen zusammen suchen. Bei der pfSense ist alles unter einem Punkt vereint und du wählst nur das gewünscht Log aus.

    Und Reversproxy ist bei der opn mega umständlich, soll es etwas komplexeres werden.


    Denn für solche Dienste ist dann ein Revers Proxy das Mittel der Wahl um diese sicher von extern zu erreichen.

    So kannst du dann die public IP deiner Arbeit freischalten und hast es dann eine sehr gut gehärteten Dienst nur dieser IP exponiert.


    Ja ne Fritz ist mit wenigen Klicks eingerichtet, dafür bist du blind wenn es mal klemmt. 0 Logs, 0 Debug und selbst der Hersteller sagt dir offen das die lieber noch nen geiles Feature einbauen, sich aber ums VPN auch in Zukunft nicht wirklich kümmern wollen.


    So wie du hier rüber kommst traue ich dir das zu, dich da rein zu arbeiten.

    Man muss nicht gleich Netzwerk Admin sein um so ein Teil am laufen zu haben.

    Man fängt halt mal mit einer Basic Installation an und arbeitet sich dann weiter rein.

    Später kannst du dann, wenn alles fertig ist was IPv4 angeht auch mit IPv6 anfangen, dann hast wieder neue Baustellen…

    Zitat von Holzohrwascherl

    dann starte ich den Backupserver, der mountet die Samba-Shares und holt sich die neueren Dateien.

    Wenn es der Backup-Server ist, der sich die Freigaben mountet, dann bist du auf der sicheren Seite, weil das NAS selbst an seine Backups gar nicht ran kommt. Eine Schadsoftware auf dem NAS ist somit nicht in der Lage, die Backups zu löschen. Wenn das Backup mit Versionierung erfolgt (empfiehlt sich sowieso), kannst den Backup-Server auch ständig laufen lassen oder automatisiert starten, und die Prüfung der Dateien braucht nicht so regelmäßig zu sein. Sollte wirklich ein Schädling auf dem NAS sein Unwesen treiben und alles verschlüsselt haben, merkst du es daran, dass der Backup-Job ewig lange braucht und womöglich mangels Plattenplatz auf Fehler läuft, aber dann enthält nur das aktuelle Backup verschlüsselte Dateien, die älteren Versionen hingegen den guten Stand.


    Ein Restrisiko besteht darin, dass ein Schadprogramm auch im LAN sucht, ob es weitere infizierbare Geräte gibt. Wenn der Backup-Server und das NAS von verschiedenen Herstellern sind, halte ich das Risiko für praktisch Null, weil dann nicht dieselbe Sicherheitslücke ausgenutzt werden kann.

    Zitat von Holzohrwascherl

    Der Hinweis auf die Fritzbox ist viel wert für mich. [...] Ob solch ein Szenario ausreichend vor Hackerangriffen ist?

    Von erfolgreichen Angriffen auf das Fritz VPN habe ich noch nicht gehört.


    Die Nachteile des Fritz VPN sind eher die sehr eingeschränkten Konfigurationsmöglichkeiten und der Durchsatz (=Geschwindigkeit). Aber was die Fritzbox kann, ist eigentlich immer solide.


    Also: Reicht die Leistung des Fritzbox VPN, spricht nichts dagegen, es zu nehmen.