Firewall „NAS Schutz“

    Hallo und frohes neues allerseits !


    Aus wieder mal aktuellem Anlass oder eher permanenten Zustand war ich am überlegen ob mein NAS aktuell so sicher ist wie es sein soll?
    (Mit Remote Funktionen aktiv)
    Da ich nichts passendes gefunden habe, frage ich Euch mal um Hilfe / Unterstützung.


    Ich betreibe ein QNAP hinter einer UDM Pro.
    Das ich mich frage ob das „sicher genug ist“ ist meine Frage was ich noch machen kann um mein NAS besser zu schützen?


    Klar kann ich es isolieren. Aber ich benutze Plex, QuMagie, Datei Abruf von unterwegs Und da ist es doch toll wenn ein NAS wie ein NAS funktioniert.


    Ich denke, dass ich bei diesem Thema bin und wollte Euch daher mal um Rat und Tipps bitten.


    Vielleicht hat auch jemand die Idee schlechthin 😉


    Vielen Dank schonmal !


    Liebe Grüße?

    Dazu musst du uns schon etwas mehr aufklären... Jede Firewall der Welt kann auch so löchern eingerichtet sein, dass sie gar nichts schützt.

    Wie funktioniert der Zugriff von unterwegs? Was sagen deine Firewall Regeln in der UDM und sind weitere Schutzmechanismen wie IPS eingerichtet? Da kann man sich natürlich bis in die Unendlichkeit reinsteigern, wenn die Firewall zum WAN aber schonmal nichts reinlässt hast Du schonmal eine solide Grundsicherheit, die viele leider nicht haben :)

    Definitiv keine direkten Verbindungen zum QNAP zulassen (z.B. zwecks Filesharing), ein 0day den die UTM nicht "kennt" und schon ist der Salat in den Brunnen gefallen.


    Plex kann man momentan lassen (besser noch, wenn Plex in nem Container lauft) aber man kann auch da nicht garantieren das der nächste 0Day, katastrophale Auswirkungen hat


    Externe Verbindungen nur via VPN (Server auf der Firewall oder dedizierter VPN Appliance) und man ist da schon besser dran.

    Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Wie funktioniert der Zugriff von unterwegs?

    Der Zugriff von unterwegs funktioniert mittels VPN über die UDM Pro. Jedoch benutze ich noch einen DynDNS um auf das UI von unterwegs zu kommen. wenn ich mich mittels VPN verbinde bekomme ich nach Zeitraum x die Meldung `´Der Server ist ausgelastet?

    Der Dyn DNS läuft auch über die UDM Pro .


    Benutze auch Teamviewer. Zumindestens für mein QTS Gerät. Bei dem QTS Hero gibts das leider noch nicht :/

    Portweiterleitungen sind für Plex und das UI vorhanden.


    Das IPS ist auf Anschlag gedreht (alles ausgewählt) und automatisch erkennen und blocken).


    Laut MAP ist auch ersichtlich, dass da wohl einiges aufs QNAp zugreifen will.


    Zugangsversuche inklusive ....


    Ich weiß nur nicht ob das alles reicht oder ob man da noch mehr machen muss , wenn dann was müsste das sein?


    Wie habt ihr das gelöst?

    Zitat von MiniMarcel

    Jedoch benutze ich noch einen DynDNS um auf das UI von unterwegs zu kommen.

    Hier liegt genau das fatale Problem, die QNAP UI ist löchrig wie ein Schweizer Käse .. die sollte auf keinen Fall einfach so dem Web ausgesetzt werden.

    Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von dolbyman

    Definitiv keine direkten Verbindungen zum QNAP zulassen (z.B. zwecks Filesharing), ein 0day den die UTM nicht "kennt" und schon ist der Salat in den Brunnen gefallen.

    Was genau meinst du alles unter dem Begriff direkte Verbindungen?


    Mit VPN Appliance meinst du zum Beispiel TeamViewer ?


    Wie bewerkstelligst du es ?


    LG

    Zitat von MiniMarcel

    Was genau meinst du alles unter dem Begriff direkte Verbindungen?

    Port Weiterleitungen direkt vom WAN ins LAN, alles was du ohne VPN oder Tunnel (z.B. Cloudlink erreichen kannst) ist direkt


    Zitat von MiniMarcel

    Mit VPN Appliance meinst du zum Beispiel TeamViewer ?

    z.B. Raspi (Ovpn oder Wireguard)


    Zitat von MiniMarcel

    Wie bewerkstelligst du es ?

    Für mich privat läuft ein ASUS AX-86U (Merlin FW) der macht eingehendes VPN und selektives Routing für ausgehendene VPN Tunnel ( für bezahlten Annonymizer Dienst)


    Für Geschäftskundigen ohne Geld (1-10 Personen) kanns auch mal ein Asus sein, wenn Geld vorhanden ist, nehm ich gerne Sophos UTM

    Dann solltest du noch mal deine VPN Konfig prüfen/überarbeiten. Wenn ich mit meiner pfSense den Tunnel auf baue, dann läuft der bis mein Internetanschluss auf einer Seite kollabiert oder ich ihn abschalte. Und in dieser Zeit komme ich auf alle Geräte drauf, auch auf die Kiste die hinter einem S2S Tunnel bei meinen Eltern stehen.


    Mit IDS/IPS musst man halt aufpassen, ggf. ist das sogar dafür verantwortlich, dass dir der VPN Tunnel kollabiert.

    Ich nutze hier nur IP/DNS Blocking, das ist mit den passenden Listen aber super effektiv.


    Also versuche doch mal die Portweiterleitung ab zu schalten, das IDS zu deaktivieren und rein über VPN zu arbeiten, wenn es dann läuft, hast du dir selber ein Bein gestellt, was mit den Dinger echt schnell geht.

    Mit Unifi hast du doch schon eine Firewall, zwar mit begrenzten Einstellmöglichkeiten aber immerhin.

    Auch eine Sophos ist da mit gewissen Vor/Nachteilen unterwegs, habe mir die auch mal angeschaut bin dann aber bei der pfSense gelandet, die ist einfach flexibler.

    Bei der UTM war auch noch das 50 Devices Limit, was man doch heute schnell mal Sprengt, wenn man schon 10 Steckdosen im WLAN hat...

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Ja das stimmt.
    ich finde Unifi gut. Klar ist es nicht perfekt, aber das ist keine Lösung.


    Das Device Limit wäre für mich auch ein No-Go.


    Ich erachte es manchmal als schwer die ganzen Threat Management Meldungen zu deuten bzw. einzuschätzen.


    Würdest du / Ihr sagen, dass ich die QuFirewall aktiv lassen soll oder ist diese nicht sinnvoll?

    (Da ja im Unifi Netzwerk)?

    Im Internen Netzwerk ist die recht Nutzlos.

    Du hast eh bestimmte Dienste die erreichbar sind über LAN, sprich https Management, SMB usw.

    Das musst auch mit Firewall durch lassen, sonst funktioniert dein NAS nicht.

    Ist einer dieser Dienste angreifbar, bist sowieso gekniffen, mit oder ohne Firewall.


    Und da diese noch im Beta Stadium ist, besteht sogar die Möglichkeit, dass hier weitere Angriffsmöglichkeiten auf gemacht werden.


    Wenn da so was drin ist wie die Log2j Kiste, dann reichen bestimmte Abfragen aus und das Teil läd sich dann freiwillig den passenden Virus runter.


    Und gerade bei einer Firewall, da vertraue ich doch lieber einer Firma die weiß was sie tut und das schon eine Weile macht.

    Ah ok ;)


    Ich habe mal auf meinem QNAP eine PF Sense im Container installiert.


    Aber das macht denke ich nicht viel Sinn, da ja eine Hardware Firewalldavor sitzt mit aktiven IPS.


    Wie sieht es denn aus wenn ich ein anderes NAS an einem anderen Standort ohne irgendeinen Schutz habe ? Hinter einer Fritzbox?


    PF Sense im Container auf dem Qnap ? Oder welche Lösung ist dort am "sichersten mit Zugriff auf Q Sirch, QuMagie etc?

    Einmal editiert, zuletzt von MiniMarcel ()

    Wenn du keine Ports von außen durch die Firewall zum NAS über die Fritzbox weiter leitest, ist das NAS auch über die Fritzbox vor dem bösen Internet geschützt.


    Zugriff dann von außen über VPN und alles ist gut.

    Lässt sich QSync irgendwie sicher nutzen OHNE VPN ? Denn Qysnc ist ja eigentlich der große Vorteil Dateien "schnell" austauschen zu können. Wenn man bei jedem Nutzer einen Zugang ins Heimnetzwerk erstmal einrichten muss, wäre das alles andere als praktisch.

    Ja, Zu hause im LAN!

    Nein, wenn Du über das Internet von unterwegs zugreifen willst.

    Aber einen Sync macht man i.d.R. doch auf eigene(n) Geräte(n), da läßt sich VPN doch mühelos einrichten!?


    Gruss

    Mal schauen ob CloudLink Qsync supported dann wird alles über QNAP Server getunnelt (denen muss man vertrauen und Geschwindigkeit kann auch stark schwanken)