Basiseinstellung für Zugriffsschutz & Sicherheit für QNAP Beginner und nicht-ITler

    Hi zusammen


    Ich (wenn überhaupt dann habe ich Grundkenntnisse im PC Bereich, aber meist fleißig mich selbst zu informieren - soweit ich komme) habe mir März 2019 mein NAS gekauft und seitdem bin ich sehr zufrieden. Ehrlich gesagt habe ich am Anfang einiges gelesen und eingestellt, seitdem läuft das System und mehr als Firmeware Updates habe ich nicht gemacht. Damals waren mir viele Sachen wichtig, z. B. auch von außen auf den NAS zugreifen. Wirklich genutzt habe ich es nie.

    Nun, es kam wie es kommen musste. Vor kurzem hatte ein Freund einen Hackerangriff auf sein QNAP (QLocker). Ich habe mich natürlich sofort hingesetzt um mich zu informieren. Heute sind mir kaum noch Sachen wichtig die einfach nur bequem sind, ich will meine Daten sicher wissen - alles andere ist egal. Und natürlich gibt es so viel mehr einzustellen als ich damals gemacht habe.


    Ich habe die letzten 2 Tage hauptsächlich hier, hier, hier und hier gelesen. Außerdem hier, hier und hier.


    Mein Hardware Aufbau ist ziemlich einfach. An der Fritz!Box 7490 hängt der QNAP (TS-451Plus; Firmware 5.0.0.1891) und mein PC (Win 10). Über W-LAN sind Smartphones und MacBook verbunden.


    Folgende Einstellungen habe ich seit gestern vorgenommen:

    • QNAP Firmware aktualisiert
    • Malware Remover aktiv (+ autom. Scan und Aktualisierung)
    • Antivirus aktiv (+ autom. Scan und Aktualisierung)
    • Security Counseler installiert (hier muss ich noch ein paar mittlere und niedrige Risiken durcharbeiten)
    • UPnP an der Fritz!Box deaktiviert
    • UPnP Dienst im QNAP deaktiviert
    • Passwörter verbessert
    • 2 Faktor Authentifizierung aktiviert
    • den User "admin" deaktiviert
    • den Dienst "Photo Station" deaktiviert
    • Berechtigungen der Benutzer geprüft
    • Netzwerkzugangsschutz bis auf "https" auf Werkseinstellung gelassen
    • "myQNAPcloud Link" deaktiviert
    • App "Media Streaming" aus App Center gelöscht
    • Einstellung "Installation ohne gültige Signatur unzulässig" vorgenommen
    • Gastzugangsrechts sind alle deaktiviert
    • DDNS deaktiviert

    Ich lese mich wie ein Freak mit Paranoia :D


    Nun ein paar Fragen an die Profis hier:

    1. Habe ich etwas Wichtiges übersehen oder stimmt die Richtung?
    2. In diversen Threads hier im Forum lese ich davon, UPnP nicht zuzulassen. Ist damit die Einstellung im QNAP oder in der Fritz!Box gemeint? Oder beide?
    3. Brauche ich die noch aktiven Diensten DDNS, DLNA Medienserver, Systemportverwaltung und Webserver für eine reibungslose Funktion des QNAP? Was kann deaktiviert werden?
    4. Ist mit "myQNAPcloud Link" die Cloud gemeint oder ist der Link nur ein Teil davon? Wie deaktiviere ich alles, was mit der Cloud zu tun hat?
    5. Wenn ich eine VPN Verbindung vom iPhone zum Heimnetzwerk (also zur Fritz!Box) aufbaue und ich öffne z. B. die App Qfile, läuft diese App dann über VPN? Oder wie ist das mit dem "Zugriff von außen über VPN auf den NAS" genau zu verstehen?
    6. Wovon ich hier auch häufig lese ist "Internet Zugriffe auf NAS nicht zulassen" oder etwas über Ports und Portweiterleitung. Ich habe verstanden dass es ein großes Thema ist und ich will es hier auch nicht lostreten. Habt ihr dazu vielleicht gut erklärte Videos oder Threads damit ich mich auch zu diesem Thema zuerst einlesen kann, bevor ich den einfachen Weg gehe und einfach ein weiteren Thread aufmache?


    Vielen Dank an alle, die sich die Mühe gemacht habe und die - oben verlinkten - Beiträge und Anleitungen verfasst haben :thumbup:

    Einmal editiert, zuletzt von Anatoli ()

    Zitat von Anatoli

    1. Habe ich etwas Wichtiges übersehen oder stimmt die Richtung?
    2. In diversen Threads hier im Forum lese ich davon, UPnP nicht zuzulassen. Ist damit die Einstellung im QNAP oder in der Fritz!Box gemeint? Oder beide?
    3. Brauche ich die noch aktiven Diensten DDNS, DLNA Medienserver, Systemportverwaltung und Webserver für eine reibungslose Funktion des QNAP? Was kann deaktiviert werden?
    4. Ist mit "myQNAPcloud Link" die Cloud gemeint oder ist der Link nur ein Teil davon? Wie deaktiviere ich alles, was mit der Cloud zu tun hat?
    5. Wenn ich eine VPN Verbindung vom iPhone zum Heimnetzwerk (also zur Fritz!Box) aufbaue und ich öffne z. B. die App Qfile, läuft diese App dann über VPN? Oder wie ist das mit dem "Zugriff von außen über VPN auf den NAS" genau zu verstehen?
    6. Wovon ich hier auch häufig lese ist "Internet Zugriffe auf NAS nicht zulassen" oder etwas über Ports und Portweiterleitung. Ich habe verstanden dass es ein großes Thema ist und ich will es hier auch nicht lostreten. Habt ihr dazu vielleicht gut erklärte Videos oder Threads damit ich mich auch zu diesem Thema zuerst einlesen kann, bevor ich den einfachen Weg gehe und einfach ein weiteren Thread aufmache?

    Hat jemand zu einer der Fragen eine Antwort oder einen passenden Thread?

    Danke :)

    Einmal editiert, zuletzt von Anatoli ()

    Das Einzige, was mir auffällt:

    Zitat von Anatoli

    2 Faktor Authentifizierung aktiviert

    Aber dazu braucht man doch eine entsprechende APP auf dem Mobilgerät!?

    Vielleicht habe ich die Paranoia, aber bevor ich mir extra für ein NAS, das nicht vom Internet aus erreichbar ist, in einem gut geschützten Netz mit einer gescheiten Firewall (so hoffe ich zumindest) steht, würde ich mir nicht extra eine App installieren wollen!

    Ein starkes vernünftiges PW, den echten Admin meinetwegen auch deaktiviert, sollte reichen.

    Qfile sollte bei bestehener VPN Verbindung auch laufen, allerdings ist das VPN der Fritte (welche) nicht das schnellste.

    Ab der 7590 soll das anders sein, aber ältere Boxen sind bei VPN echte Spassbremsen.

    Wobei mich das nie behindert oder gestört hat als bei mir noch eine 7490 den Dienst versehen hat. ;)


    Der Webserver unter Systemsteuerung - Anwendungen hat nichts mit dem Webserver für die NAS Administration zu tun.

    Per default ist der auch disabled. Den braucht man nur, wenn man auf dem NAS selbst einen Webserver laufen lassen will.


    Gruss

    FSC830


    Ja, die 2 Faktor Authentifizierung wurde mir im Security Counselor angezeigt als "potenzielle Gefahr" (also wenn man das nicht hat).

    Ich habe die App Microsoft Authenticator installiert und generiere damit alle 30 Sekunden einen neuen Code.

    Mir war allerdings nicht bewusst dass diese App von außen auf mein NAS zugreift (wenn ich dich richtig verstanden habe). Über den QR Code habe ich die App eingerichtet. Ich dachte beide Systeme greifen auf ein weiteres, drittes System zu wo die beiden Codes abgeglichen werden. Wenn das nicht der Fall ist kommt die 2 Faktor wieder raus. Ich greife sowieso nur aus meine Netzwerk auf die Benutzeroberfläche zu, das sollte sicher genug sein.


    Danke für die Info zum Webserver, habe ihn deaktivert und werde beobachten, ob sich was ändert oder nicht mehr funktioniert.

    Nein, das hast Du missverstanden.

    Die App selbst greift nicht auf das NAS zu, aber Du musst eine weitere App, die per se als "vertrauenswürdig" eingestuft ist, auf dem Mobil Device installieren.

    Nun könnte man zu recht sagen Android und Google sind sowieso schon Datenkraken, da kommt es auf eine weitere App nicht mehr an, aber M$ ist auch nicht gerade für 100% Schutz bekannt.

    Ich würde sofort eine 2FA einrichten, wenn mir der Passcode dann per SMS gesendet werden würde, also ohne extra eine App dafür zu haben.

    So läuft das mit dem M$ Konto und unserem Dienstrechner.

    Aber für den Zugriff zu Hause möchte ich keine weitere App auf dem Mobilgerät! Da traue ich mehr meiner Firewall.


    Gruss

    2 Mal editiert, zuletzt von FSC830 ()

    Gefällt mir 2

    Hat jemand zu einer der Fragen aus Beitrag #2 eine Antwort oder einen passenden Thread?


    Danke :)