TS451 richtig absichern - QuFirewall und Fritzbox & Absicherung nach außen

    Hallo zusammen,


    endlich kam ein NAS ins Haus geflogen.

    Erste Amtshandlung: Rumspielen und Rumtesten!

    Zweite Amtshandlung aktuell: Absichern.


    Ich hab ein paar Themen überflogen, und überall steht drin: Machs direkt richtig, bevor du für z.B. ein Botnet Resourcen stellst, deine Daten weg sind, oder du den dritten Weltkrieg auslöst.

    Deshalb will ichs richtig machen und ersuche deshalb eure Hilfe.


    Wir haben eine Fritz!Box 6660 und einen Fritz!Repeater 600.

    An der Fritz!Box hängt mein PC, das NAS und div. Alexas, Handys, Konsolen und son Krams halt.


    Das NAS soll einen Raid0 für Medienstreaming haben und später mit einem Raid1 für meine private Cloud nachgerüstet werden.


    Auf dem Raid0 liegen Videos, Fotos und Musik, die ich mittels Plex auf Port 32400 an Freunde und Familie weiterleite.

    Um Daten von extern auf das NAS zu kriegen nutze ich jDownloader. Im Netzwerk nutze ich die Laufwerksfreigabe.


    Der Raid1 soll später Daten aus z.B. google Drive und Co synchronisieren, und als Datensicherung fungieren.


    Beim Rumspielen und Testen habe ich natürlich die Firmware aktualisiert, 5.0.0.2131.

    Die ganzen Apps/Programme sind laut App Center aktuell.

    Standardports sind geändert, Passwort ist nach sicheren Unternehmensrichtlinien erstellt, Standardadmin ist deaktiviert, ...


    Ich bin die empfohlenen ersten Schritte durchgewandert, und habe den NAS soweit erst einmal "abgesichert".

    Security Counselor hat "nur" noch 3 Meldungen. Eine davon arbeite ich noch ab (nicht die neuste Virendefinition), die anderen beiden sind "egal" (keine gültige Signatur (Entware-ng)) und keine Push Meldung für neue Firmware).

    Antivirus läuft täglich in kurzer Form, wöchtlich ein kompletter Scan.

    Malware Remover läuft täglich.



    Doch jetzt kommt das große Thema: Netzwerk und QuFirewall


    QuFirewall wie vom NAS empfohlen installiert und auf Restricted security gesetzt.


    pasted-from-clipboard.png


    Sieht für mich erstmal ganz gut aus, Recherche ergab das die Ports von QNAP genutzt werden.


    QuFirewall_Restricted security_20220906 (4).txt


    Leider ist die Fritz!Box sehr kommunikativ, und das möchte ich etwas einschränken, damit ich die richtigen Probleme sehe und nicht nur Broadcasts oder UPnP Anfragen.

    192.168.178.1 ist die Fritz!Box 6660

    192.168.178.23 Fritz!Repeater

    192.168.178.41 ist mein Desktop PC.

    192.168.178.45 ist "Android-2-fritz-box-fritz-box" (muss ich mal schauen was das ist und anständig beschriften)


    Jetzt kommen wir zu dem Punkt, an dem ich Hilfe benötige:

    Ich möchte die Fritzbox broadcasts rausgefiltert haben, damit ich von meinen 60-100k geblockten Anfragen/Tag wegkomme sowie eine Anpassung von der Mail

    Code
    "Message: [QuFirewall] Reached alert message threshold. Threshold value: 50".

    Damits dort wieder sauber wird.


    Außerdem möchte ich das NAS "erreichbar" halten aber dennoch abgesichert gegen unbefugten Zugriff.


    Wir alle wissen, dass man sich nie zu 100% im Netz schützen kann, aber ich möchte es so gut es geht richtig machen. Oder so wenig wie möglich falsch :D

    Gerne lese ich mich auch ein, wenn ihr da was an der Hand habt.


    Deshalb: Wie kann ich die Fritzbox filtern und was kann ich noch machen, um das NAS abzusichern?


    Danke im vorraus!

    Moin und Willkommen!


    Die oberste Regel lautet eigentlich "NAS nicht von außen erreichbar machen".

    Damit hast Du eigentlich schon alles Nötige erreicht, der Rest ist allenfalls nice to have, wenn nicht sogar überflüssig.


    Meine Meinung dazu:

    Zitat von mysteryx

    Security Counselor

    Völlig überflüssig, würde ich abschalten.

    Zitat von mysteryx

    Antivirus

    Finde ich auch überflüssig, in Deinem Fall (Jdownloader) kann es aber hilfreich sein. Dann würde ich den Scan aber auch nur auf das DL Verzeichnis beschränken, ansonsten ist man mit dem Antivir auf den Clients besser bedient.

    Zitat von mysteryx

    QuFirewall

    Wenn Du nicht einen triftigen Grund hast diese zu nutzen, unbedingt deinstallieren. Die macht ansonsten eher Probleme, als dass sie etwas nützt. Wenn das NAS also ohnehin nicht von außen erreichbar ist und Du innerhalb Deines LAN nichts einschränken kannst/willst/musst, dann brauchst Du das nicht.
    Damit hätte sich dann auch das Thema mit dem Rausfiltern der Braodcasts erledigt.

    Zitat von mysteryx

    Außerdem möchte ich das NAS "erreichbar" halten aber dennoch abgesichert gegen unbefugten Zugriff.

    Dafür bietet sich ein VPN Server auf der FritzBox an.

    Okay, klingt nach einem Fahrplan.


    Wenn ich also das NAS hinter der Fritzbox per VPN verstecke, zählt er trotz offenem Port als "nicht von außen erreichbar"?

    Das muss ich definitiv machen.

    Gibt es da eine Anleitung zu? Ich hab noch nie mit Fritz VPN und NAS in Kombination gearbeitet.

    Naja, der unterschied zwischen "offen" und "hinter VPN" ist ja schonmal eine Eingrenzung der User.


    "offen"... jeder der die Adresse kennt (oder findet) ist "potenzieller" (unerwünschter) User und kann sich mit dem NAS beschäftigen (Brute force, Exploiting, usw.)

    "hinter VPN" braucht erst mal, bevor man überhaupt bis zum NAS kommt, einen VPN-Zugang.


    Damit hast Du eine zusätzliche Sicherheit... einen "Perimeter", wie man es auch nennt.

    Du grenzt die Menge der "potenziellen Nutzer" auf die ein, die einen VPN-Zugriff haben.

    Zitat von mysteryx

    Wenn ich also das NAS hinter der Fritzbox per VPN verstecke, zählt er trotz offenem Port als "nicht von außen erreichbar"?

    Es wird ja kein Port zum QNAP weitergeleitet/ freigegeben, sondern nur für die Fritzbox selbst zum VPN Server. Das NAS ist damit "nicht direkt über Portfreigaben von außen erreichbar". So wäre es korrekt ausgedrückt. Man käme also nur "von außen" auf das NAS, wenn man mit dem VPN verbunden ist.

    Zitat von mysteryx

    Gibt es da eine Anleitung zu? Ich hab noch nie mit Fritz VPN und NAS in Kombination gearbeitet.

    Das NAS spielt dabei eigentlich keine Rolle, wenn das VPN entsprechend eingerichtet ist, dann hast Du auf alle Geräte Zugriff.

    Es gibt aber noch ein oder zwei Haken:

    Fritte kann aktuell nur IPsec mit veralteter Authentifizierung. Das ist zwar besser als Nichts, aber das funktioniert auch nur, wenn Du eine öffentliche IPv4 von Deinem Provider bekommst.

    Bekommst Du diese nicht, musst Du über IPv6 gehen, was die Fritte wiederum nur mir Wireguard kann, was momentan aber nur in der Laborversion enthalten ist, also noch nicht "offiziell".

    Aus meiner Sicht empfehenswert ist Wireguard VPN entweder auf der FritzBox (aktuell nur mit Laborfirmware) oder einem anderen Netzwerkteilnehmer mit aktuellem OS im Netzwerk hinter dem Internetrouter.

    Das kann ein WLAN Accesspoint (mit OpenWRT) oder auch ein RasPi sein. Es geht auch ein Wireguard Server in einem Docker Container oder einer VM auf der QNAP.

    Wichtig dabei ist eine aktuelle Software auf dem Server!

    Die FritzBox leitet dann nur einen UDP Port zum VPN-Server weiter.


    Tschau

    Uwe

    Hab erst einmal alle Ports richtung NAS zu gemacht. Grundsätzlich funktioniert die Freigabe dort :)

    Zitat von tiermutter

    Fritte kann aktuell nur IPsec mit veralteter Authentifizierung. Das ist zwar besser als Nichts, aber das funktioniert auch nur, wenn Du eine öffentliche IPv4 von Deinem Provider bekommst.

    Das ist nicht das Problem, Plex telefoniert wie DDNS nach draußen und meldet sich am Server draußen an, um die Erreichbarkeit sicherzustellen.


    Allerdings ... Gibt es spontan performantere Lösungen als IPSec über Fritzbox?

    Plex findet das so doof, dass es Pixelgulasch aus den 1080p Videos macht. Oder ist das hier tatsächlich wieder nur Einstellungssache?


    Ansonsten werd ich mir demnächst nen RasPi bestellen, auch um SSLVPN möglich zu machen. Wobei ich das aus Bastelgründen vermutlich auch so machen werde :D

    Zitat von mysteryx

    Plex findet das so doof, dass es Pixelgulasch aus den 1080p Videos macht. Oder ist das hier tatsächlich wieder nur Einstellungssache?

    Das hängt eher von dem verfügbaren Upload deiner Internetverbindung ab, als vom VPN der Fritzbox.

    Wenn es eine Fritz ohne Hardware AES Support ist, dann gurkt die total rum.

    Die 65/75 aufwärts sind da aber echt schnell.


    Mit Wireguard im RW VPN auch richtig schnell dank Hardware Crypto Support.


    Was S2S angeht kann man den Tunnel auf den Main Mode und DH15 hoch bekommen, mehr geht dann erstmal nicht. Ggf. kommt ja mit der 7.5 da was neueres.


    Die QFirewall ist echt nutzlos, weil kein gescheites Log. x ? pro Zeiteinheit zu blocken ist ja nett aber ohne zu wissen was total Hirnlos.


    Läuft Plex über den Server statt direkt, gibt es ein Bandbreiten Limit.

    Läuft das über einen performanten VPN Tunnel ist der Upload das limitierende.