Du bist nicht mit dem Internet verbunden.
Galaxus Logo
Knowhow Computing2947

Schütze dein NAS

Ist dein NAS ausreichend vor einem Hackerangriff geschützt? Meines war es nicht. Doch nun habe ich nachgebessert.

Dieser Artikel hilft dabei, grobe Schnitzer beim Aufsetzen eines NAS zu verhindern. Die Tipps zur Sicherheit beginnen beim ersten Titel. Aber erst ein Vorwort, das zwar ehrlich ist, ich aber nicht gerne schreibe.

Ich entschuldige mich für den Sturm im Wasserglas. Aufgrund plötzlich auftretender, dauerhafter Geschwindigkeitsprobleme und meiner irrtümlicherweise im Internet veröffentlichten IP, hatte ich Angst, dass ich schlecht konfiguriert habe und jemand an meinem NAS rumfummelt.

Angriff auf mein NAS: <strong>Werde ich gehackt?</strong>
HintergrundComputing

Angriff auf mein NAS: Werde ich gehackt?

Den Fehler finde ich erst nach stundenlangem Studieren von System-Logs und Tests im vom Internet abgeschotteten Netzwerk. Für die Probleme war nicht etwa Fremdeinwirkung Schuld, sondern ein defekter LAN-Port meiner Synology DS918+. Mein NAS hat zwei LAN-Ports, weshalb ich den Defekt überhaupt bemerke. Auch wenn dies ärgerlich ist, bin ich sehr froh, dass es nicht schlimmer gekommen ist.

LAN-Port 1 liefert nur noch um die 350 KB/s.
Dank LAN-Port 2 sind meine Probleme passé.

Wie du siehst, liefert mein erster LAN-Port nur noch um die 350 Kilobyte pro Sekunde, doch der zweite funktioniert, wie er soll.

Somit rennt mein NAS wieder. Aber was mir zu denken gibt, ist, dass ich wie befürchtet grobe Schnitzer beim Konfigurieren machte. Tatsächlich habe ich vergessen, zwei Standard-Ports korrekt umzuleiten. Damit waren die Anmeldeseiten zur Weboberfläche und zum Plex-Server für Interessierte erreichbar. Autsch – dafür dürfte man mich schon mal an den Pranger stellen!

Passiert dir sowas, musst du dich nicht wundern, wenn dir ein dahergelaufenes Scriptkiddie deine Filmdatenbank klaut oder die CPU des NAS fürs Coin-Mining missbraucht.

NAS und Sicherheit: Darüber musst du dir Gedanken machen

Vollumfänglichen Schutz vor Missbrauch bietet kein System. Doch machst du dir vor dem Aufbau eines Heimnetzwerkes respektive vor dem Aufsetzen eines NAS grundlegende Gedanken, kannst du dich weitgehend schützen. Nimm dir genügend Zeit, dich zu informieren und dein NAS sorgfältig einzurichten. Lass dich dabei nicht ablenken.

Speichere nur Daten auf dem NAS, deren Verlust du verschmerzen kannst

Sei dir bewusst, dass im Internet rund um die Uhr Netzwerkscans und -angriffe durchgeführt werden. Auch wenn du deine Netzwerkhardware gut konfigurierst und absicherst, wirst du nie ausschliessen können, dass jemand an deine Daten kommt. Abgesehen davon dient ein NAS nicht als Backupmedium. Ein Grund mehr, wichtige Dateien nicht auf dem NAS zu speichern. Speichere nur, was du verschmerzen kannst, wenn es in fremde Hände gelangt.

Grundlegende Sicherheitsprinzipien: Router und NAS

Bevor du dein NAS ins Netzwerk hängst, solltest du dich erstmal mit deinem Router beschäftigen. Er ist die erste Sicherheitslinie in deinem Netzwerk. Folgende Punkte solltest du überprüfen/umsetzen. Diese gelten natürlich auch für dein NAS:

  • Erstelle falls möglich einen neuen Administrations-User, der nicht «admin» genannt wird. Lösche den alten Account.
  • Richte für jedes Gerät respektive jeden Dienst eigene Passwörter ein. Diese sollten lang und zufällig sein. Ausserdem sollten sie sowohl Gross- und Kleinbuchstaben, wie auch Sonderzeichen und Zahlen enthalten.
  • Falls du WLAN aktiviert hast, solltest du überprüfen, ob WPS als Verschlüsselung aktiviert ist. Falls ja, solltest du es deaktivieren und an dessen Stelle WPA2 verwenden.
  • Aktiviere die SSL-Verschlüsselung falls vorhanden, um nur noch via HTTPS zuzugreifen (weiter unten mehr dazu).
  • Überprüfe, ob die Remote-Access-Funktion deaktiviert ist. Deaktiviere sie, solange du nicht exakt weisst, was du tust.
  • Halte sämtliche Geräte und Dienste aktuell. Aktiviere falls vorhanden das automatische Updaten für neue Firmwares/Aktualisierungen.
  • Aktiviere die Zwei-Stufen-Verifizierung. Damit kannst du dich nur einloggen, wenn du nebst dem Passwort einen Code eingibst, der dir auf eine vordefinierte Mailadresse gesendet wird.
  • Aktiviere die Auto-Block-Funktion, damit eine IP nach einer gewissen Anzahl misslungener Loginversuchen für weitere Zugriffe gesperrt wird.
  • Überprüfe, ob die Firewall aktiv ist und installiere auf deinen Geräten eine Antivirus-Software.
  • Aktiviere die Protokollierung, damit du im Falle eines Falles in den Logs das Problem verfolgen kannst.

Dienste und Portforwarding: Verwende keine standardisierten Ports

Überleg dir gut, welche Dienste du bei deinem NAS benutzen möchtest. Und insbesondere, welche Dienste du ausserhalb des lokalen Netzwerkes zugänglich machen möchtest. Denn je weniger Portweiterleitungen du einrichtest, desto kleiner die Chance, irgendwann gehackt zu werden. Benutzt du beispielsweise nur sporadisch einen SFTP-Zugang zu deinem NAS, ist es zu empfehlen, die entsprechenden Ports nur für die Zeit weiterzuleiten, wo du auch wirklich Zugriff benötigst. Ausserdem empfiehlt es sich, die Weiterleitung nur für IPs aus den Ländern freizugeben, in denen du dich aufhältst.

Fallstricke beim Portforwarding

Richtest du bei einem Synology-NAS deinen Internetzugang mit Hilfe des Assistenten ein oder aktivierst einen neuen Dienst, wird dir automatisch eine Portweiterleitung vorgeschlagen.

Leider weist dich das System nicht darauf hin, dass es keine gute Idee ist, standardisierte Ports zu verwenden. Hier sollte der Hersteller des NAS nachbessern. Denn wenn du bei deinem Router Universal Plug and Play (UPnP) aktiviert hast oder du dein NAS in einer demilitarisierten Zone (DMZ) betreibst, wird die vorgeschlagene Regel respektive das vorgeschlagene Sicherheitsrisiko übernommen.

So leitest du Ports richtig weiter

Am besten deaktivierst du also UPnP beim Router und erstellst die Portforwardings von Hand. Wie dies bei deinem Router funktioniert, findest du entweder im Handbuch oder auf dieser Seite heraus. Natürlich musst du, falls nicht schon getan, deinem NAS zuvor eine feste IP zuweisen. Auch wie das funktioniert, ist auf erwähnter Homepage nachzulesen.

Willst du sichergehen, keine Standard-Ports zu erwischen, empfiehlt sich ein Blick in diese Liste. Achte darauf, keine dieser Ports freizugeben. Willst du beispielsweise den TCP Port 5001 für den verschlüsselten Zugriff auf die Synology-Weboberfläche freigeben, stellst du beim Router-Port einen anderen ein. Beispielsweise Port 26953. Damit wird dein offener Port nur gefunden, wenn jemand im entsprechenden Bereich einen Scan durchführt.

Bitte keine standardisierten Ports freigeben.

Die Portforwarding-Regeln findest du bei Synology unter «Systemsteuerung/Externer Zugriff/Routerkonfiguration». Wenn du die Weiterleitung manuell auf Routerseite konfiguriert hast, und die Regeln hier auch noch eingibst, kannst du von der NAS-Oberfläche aus testen, ob die Ports auch funktionieren. Vergiss bitte auch nicht, die Firewall-Regeln des NAS zu den jeweiligen Diensten zu erstellen/überprüfen. Bei Synology findest du diese unter «Systemsteuerung/Sicherheit/Firewall». Wie bereits erwähnt, ist es eine gute Idee, Dienste/Ports in der Firewall nur für gewisse Länder freizugeben.

Teste, ob nicht doch ein unerwünschter Port geöffnet ist

Wenn du mit dem Portforwarding durch bist, solltest du testen, ob nicht noch irgendwo ein Schlupfloch vergessen gegangen ist. Dazu führst du einen Portscan durch. Den kannst du beispielsweise von dieser Homepage aus machen.

Gib deine IP sowie die zu scannenden standardisierten Ports ein und los geht's. Hast du alles richtig gemacht, bekommst du von den Ports keine Rückmeldung:

Scanning ports on 178.xx.xxx.xx
178.xx.xxx.xx isn't responding on port 21 (ftp).
178.xx.xxx.xx isn't responding on port 23 (telnet).
178.xx.xxx.xx isn't responding on port 25 (smtp).
178.xx.xxx.xx isn't responding on port 80 (http).
178.xx.xxx.xx isn't responding on port 110 (pop3).
178.xx.xxx.xx isn't responding on port 139 (netbios-ssn).
178.xx.xxx.xx isn't responding on port 443 (https).
178.xx.xxx.xx isn't responding on port 445 (microsoft-ds).
178.xx.xxx.xx isn't responding on port 1433 (ms-sql-s).
178.xx.xxx.xx isn't responding on port 1521 (ncube-lm).
178.xx.xxx.xx isn't responding on port 1723 (pptp).
178.xx.xxx.xx isn't responding on port 3306 (mysql).
178.xx.xxx.xx isn't responding on port 3389 (ms-wbt-server).
178.xx.xxx.xx isn't responding on port 5900.
178.xx.xxx.xx isn't responding on port 8080 (webcache).
178.xx.xxx.xx isn't responding on port 5000 (commplex-main).
178.xx.xxx.xx isn't responding on port 5001 (commplex-link).
178.xx.xxx.xx isn't responding on port 32000.

Aktiviere SSL, benutze HTTPS

Die verschlüsselte Übertragung sollte nicht nur bei all deinen NAS-Diensten verwendet werden. Auch allgemein im Netz sollte darauf nicht verzichtet werden. Denn durch die Verschlüsselung wird dir die Echtheit von übertragenen Daten garantiert. Dank HTTPS kommt das an, was der Server an dich schickt. Dies verhindert Manipulationen respektive Man-in-the-Middle-Angriffe.

Hier ein Beispiel, wie du SSL für den Zugriff auf die Weboberfläche eines Synology-NAS aktivieren kannst:

  1. Aktiviere unter «Systemsteuerung/Netzwerk/DSM-Einstellungen» die Option «HTTP-Verbindungen automatisch zu HTTPS umleiten».
  2. Gib den Hostname des NAS und den gewünschten externen Port unter «Systemsteuerung/Externer Zugriff/Erweitert» ein.
  3. Konfiguriere eine Portweiterleitung, bei welcher der soeben definierte externe Port auf den Port der Weboberfläche (Standard ist 5001) umgeleitet wird.

Es ist empfehlenswert, danach eine Zertifikatregistrierungs-Anforderung zu erstellen und ein signiertes Zertifikat zu importieren. Tust du das nicht, wird dein Browser bei einem Zugriff reklamieren, dass das vorliegende Zertifikat nicht vertrauenswürdig ist. Mehr Infos, wie das bei Synology funktioniert, findest du hier.

Benutze ein VPN

Überlege dir, einen VPN-Server einzusetzen. Wenn du mittels Virtual Private Network auf dein LAN zugreifst, bringt dir das einiges an Sicherheit. Sauber aufgesetzt, bleibt damit selbst deinem Internetdienstanbieter verborgen, was du respektive dein NAS im Internet treibt. Alles, was mitgeschnitten wird, ist die Verbindung zum VPN-Server. Da du fürs VPN nur einen Port öffnen musst, reduzierst du damit viel Angriffsfläche. Natürlich sollte der VPN-Provider überlegt ausgewählt werden.

Der Zugriff über VPN bringt allgemein folgende Vorteile:

  • Der Suchverlauf, das Online-Verhalten, Nutzungsmuster und der Standort von Downloads werden vor deinem Internetdienstanbieter verborgen.
  • Sollte dein Internetdienstanbieter oder deine Regierung gewisse Inhalte im Internet blockieren/zensieren, kannst du dank VPN wieder darauf zugreifen.
  • Dank Geo-Spoofing kannst du den wahren Standort verbergen und auch auf Inhalte zugreifen, die normalerweise auf bestimmte Länder beschränkt sind.
  • Mittels VPN kannst du auch sicherstellen, dass dein Surfverhalten, deine Logins sowie deine Daten auch bei Benutzung eines kostenlosen öffentlichen WiFi-Anbieters (Flughafen, Bahnhof, Döner-Bude) verborgen bleiben.

Eine Anleitung für die Einrichtung eines VPN bei einem Synology-NAS, findest du hier.

Ist da noch mehr?

Wenn du die beschriebenen Tipps zur Sicherheit umsetzt, solltest du relativ gut aufgestellt sein. Dennoch ist noch lange nicht alles gesagt und getan. Das Thema ist derart komplex, dass es nie schadet, immer wieder Recherche zu betreiben und sein eigenes Sicherheitskonzept erneut zu überdenken/definieren.

Nebst dem gibt es auch Verhaltensregeln, die du dir selbst aufstellen solltest. Beispielsweise solltest du dir gut überlegen, ob und wem du Logins für gewisse Services anvertrauen willst. Verteile Zugangsdaten nur sehr gut überlegt. Ausserdem ist es immer wichtig, den gesunden Menschenverstand zu benutzen. Falls du dein NAS auch als Mailserver benutzt, sind selbstverständlich Klicks auf verdächtige Links tabu. Insbesondere, wenn sie in dein lokales Netzwerk weitergeleitet wurden.

Noch Lust auf einen allerletzten Tipp? Na gut, einen habe ich noch: Bei den meisten NAS kannst du Notifications aktivieren. Beispielsweise eine Benachrichtigung per Mail, welche immer dann gesendet wird, sobald jemand einen erfolgreichen oder falschen Loginversuch unternimmt.

So, nun ist aber vorerst Ende Gelände. Falls du weitere wichtige Punkte hast, die hier nicht genannt wurden, wäre ich sehr dankbar für deine Tipps. Gerne werde ich allenfalls auch den Artikel damit erweitern/updaten.

Diese Beiträge könnten dich auch interessieren

So richtest du deinen Plex-Server ein
KnowhowComputing

So richtest du deinen Plex-Server ein

<strong>NAS-Migration:</strong> Lang lebe Boba Fett!
KnowhowComputing

NAS-Migration: Lang lebe Boba Fett!

<strong>NASgeforscht:</strong> Welcher RAID-Typ passt zu mir?
KaufratgeberComputing

NASgeforscht: Welcher RAID-Typ passt zu mir?

Avatar

Martin Jud, Zürich

  • Editor
Der tägliche Kuss der Muse lässt meine Kreativität spriessen. Werde ich mal nicht geküsst, so versuche ich mich mittels Träumen neu zu inspirieren. Denn wer träumt, verschläft nie sein Leben.

29 Kommentare

3000 / 3000 Zeichen
Es gelten die Community-Bedingungen

User jerome155

Ich glaube, du machst dir hier mehr Angst als angebracht. Ein NAS ist der perfekte Speicherort für deine Daten, um sie sicher aufzubewahren. Was sichergestellt sein muss:
- Firwallports inbound alle zu, ausser dringend benötigen.
- Automatisches Blockieren von IP Adressen nach n Loginversuchen.
- Gute Passwörter, die sich nicht in n Loginversuchen erraten lassen.

Damit bist du schon sehr safe, Skriptkiddies werden damit nie an deine Daten kommen. Wenn das nicht reicht, dann wird die angreifende Person so oder so auf dein NAS zugreifen können, da sie andere Sicherheitslücken ausnutzen können.

21.05.2019
User Craz7Shadow

"Abgesehen davon dient ein NAS nicht als Backupmedium." - Und warum nicht? Ich sehe keinen Grund wieso ein NAS nicht als Backupmedium dienen kann.

Ja, ein RAID ist kein Backupmedium. Aber ein NAS an sich kann sehr wohl als gutes Backupmedium dienen.

Grüsse
Craz7

21.05.2019
User Carmageddon

Natürlich ist ein RAID ein Backupmedium, wenn die Daten auch noch woanders existieren. Wie bei jedem anderen Backupmedium auch.

25.05.2019
Antworten
User dexer011

Wie man so schön in der Security Branche sagt, es ist immer eine Frage der Ressourcen die ein Angreifer bereit ist zu investieren um an die Daten zu gelangen. Je mehr Ressourcen(Zeit, Rechenleistung, technisches Know How) benötigt werden, umso geringer ist die Chance, dass ein Angreifer bereit ist die Ressourcen zu investieren.
Meiner Meinung nach wurden ziemlich alle Punkte erwähnt. ^^ Gute Recherche

Die Notifications hätte man allenfalls noch weiter oben erwähnen können. Die Informatiker in der Community stimmen mir sicherlich zu, das Monitoring einer der wichtigsten Punkte in der Systemtechnik und Security ist. Somit kann man relativ schnell einen Breach(Überwindung der Sicherheitsmechanismen in einem Netzwerk) erkennen und reagieren. Denn wie korrekt erwähnt ist kein System zu 100% geschützt.

Ebenfalls ein wesentlicher Punkt wie auch schon erwähnt die Kennwörter. Meiner Meinung sollte jede Person, welche über mehrere Logins verfügt, egal ob Facebook, Instagram oder Email, einen Passwort Safe benutzten bspw. 1Password, SecureSafe
Somit kann man Kennwörter mit 30-40 Zeichen verwenden und somit eine Brute Force Attacke mehrheitlich ausschliessen.

Ebenfalls wie bereits erwähnt, Zugriff auf das NAS interface lediglich über SSL VPN mit Portumleitung.
Zugriff mit anderen Diensten wie Plex, ebenfalls mit Portumleitung und nur einrichten falls zwigend nötig.


Anbei noch ein Link auf Wikipedia mit den Ports:
de.wikipedia.org/wiki/Liste...

Es empfiehlt sich Ports in den höheren Bereichen zu verwenden, welche nicht offiziel verwendet werden.

Wie @Jerome55 bereits ebenfalls erwähnt hat:
- Automatisches Blockieren von IP Adressen nach n Loginversuchen.

Sry für den langen Kommentar, hatte gerade Lust wieder einmal etwas zu schreiben.

21.05.2019
User adr1vn

Ist es nicht einfacher, das NAS einfach über den gratis dynDNS Dienst von Synology zu betreiben? :)

20.05.2019
User marcel_mayr

Quickconnect nennt ssich der Dienst. Achtung, das ist kein DYNDNS Service, sondern die Verbindung wird mittels Relay-Server aufgebaut. Der Relayserver liest den gesammten Traffic mit falls kein https aktiviert ist. Zusätzlich ist diese Verbindung auch etwas langsamer als direkt via DYNDNS bei dyn.com bspw.

20.05.2019
User Wyrx

@marcel_mayr
Es gibt beides: Quickconnect und DNS.

Wer Quickconnect einrichtet hat dann eine URL wie "quickconnect.to/mynas", und wer ein DNS einrichtet hat dann z.B. eine "mynas.synology.me" Subdomäne.

20.05.2019
User adr1vn

Jop, gratis Relay-Server wäre wohl korrekter gewesen. Sorry mein Fehler.
...trotzdem finde ich Quickconnect mit https eine Alternative, die in Ordnung ist.

21.05.2019
Antworten
User mfasnacht

Ein Reverse-proxy wäre der nächste Schritt, um noch mehr Sicherheit zu garantieren.

20.05.2019
User Anonymous

Also ich will ja nicht klugscheissen, aber "- Falls du WLAN aktiviert hast, solltest du überprüfen, ob WPS als Verschlüsselung aktiviert ist. Falls ja, solltest du es deaktivieren und an dessen Stelle WPA2 verwenden." macht keinen Sinn. WPS ist keine Verschlüsselungsmethode, sondern ein Authentifizierungs-Mechanismus. Es gibt WPS per Code oder Push, hat aber nichts mit dem Thema zutun. Was wohl gemeint war, ist WEP, was lange überholt ist. Ich bezweifle, dass es heute noch standardmässig aktiviert zu finden ist. Aber das sollte auf jeden Fall mit WPA2 ersetzt werden.

26.05.2019
User Anonymous

Ich weiss, man könnte mit einem NAS sehr viel machen. Aber wenn man dort seine Backups speichert, Fotos und andere Daten die man partout nicht teilen will, sehe ich den Grund nicht, das NAS überhaupt ans Internet anzuhängen.
Risiko ist dann deutlich kleiner.
Im Zeitalter von Streamingdiensten für Musik/Film macht die zurverfügungstellung im Internet überhaupt keinen Sinn.
Um Daten mit anderen zu Teilen gibt es Cloud lösungen.
Swisscom bspw. bietet seinen Kunden eine Schweizer DynDNS Lösung an - inkl. Portforwarding, so man das denn möchte.
Wer keine Ahnung von Netzwerk und Sicherheit hat sollte sich einlesen oder jemanden zu Rate ziehen, bevor man einfach mal das NAS möglichst von weit draussen für alles zugänglich macht - womöglich noch mit den Standard Ports und ohne Sicherheit.
Kann halt jeder machen wie er mag - aber nur weil man etwas kann, muss man es nicht tun.

21.05.2019
User Anonymous

Falls man doch einen SSH Port offen haben möchte (für remote Zugriff) empfiehlt sich nur remote login per Zertifikat zuzulassen.
Hohe/andere Ports als die Standardports zu benutzen erschwert zwar das einfache ausnutzen von bekannten Sicherheitslücken via Bot, aber bietet keinerlei extra Schutz.
Gibt interessante Artikel dazu, welche sogar davon abraten (zumindest bei Systemdiensten), da ports unterhalb 1024 nur per Root access aufgemacht werden können. Wenn du nun ssh auf port 22222 hast, kann ein einfaches script diesen port übernehmen und so tun als wäre es ssh und dein pw/cert abgreifen.
Quelle: adayinthelifeof.nl/2012/03/...

21.05.2019
User JiSiN

@Martin
Wie scho im letschte Teil gschribe, wür ich folgendes au na hinzuefüege:
- Geo-Locations sperren von Länder die man so oder so niemanden kennt.

21.05.2019
User li-lo

Wenn ein NAS kein Backup Medium ist, was genau ist dann ein Backup Medium?

Ich war mir bis heute eigentlich ziemlich sicher dass die von Synology angebotenen Dienste wie Cloud Station BACKUP, C2 BACKUP, Active BACKUP for Business, etc. als Backup Lösung dienen.... aber man lernt bekanntlich nie aus ;o)

21.05.2019
User Anonymous

Meine Worte: Active Backup for Business rules... sowas von genial!

24.05.2019
User Carmageddon

Natürlich kann ein NAS als Backupmedium dienen. Die Aussage ist schlichtweg falsch.

25.05.2019
User sworth

Es gibt schon einen Unterschied zwischen einer Kopie und einem Backup. Aber das wurde unter anderen Artikeln schon zur Genüge breitgetreten und ist für eine Privatperson auch nicht unbedingt relevant.

29.05.2019
Antworten
User Belegnor

Hallo,

wie Einige bereits erwähnt haben, ist ein NAS das ideale System, um Daten zu speichern, deren Verlust man nicht verschmerzen kann. Wichtig ist das man sich auch Gedanken über deren "Schutz", sei es in Bezug auf Datensicherung (Schutz vor Verlust) oder Datensicherheit (Schutz vor unberechtigtem Zugriff)

Die erste Schutz-Regel: Management-Ports nie direkt aus dem Internet erreichbar machen. Never ever! Wenn man auf die Verwaltungskonsole von internen Systemen vom Internet aus zugreifen muss, dann nur via VPN.

Zweite Schutz-Regel: Was für die Management-Ports gilt, gilt auch für den Zugriff auf Services wie Dateidienste, Webseiten, Videos und ähnliches. Wenn die Daten besonders schützenswert sind, dann sollte man nie, unter gar keinen Umständen Port Forwarding verwenden. Die Port-Weiterleitung ist recht einfach einzurichten, man hat jedoch keine Kontrolle darüber, worauf über die freigegebenen Ports zugegriffen wird (der Service ist uneingeschränkt freigeschaltet). Da ist VPN wieder eine bessere Wahl.

Alternativ, kann der Zugriff mithilfe eines Reverse Proxys realisiert werden. Diese Methode hat den Vorteil, dass keine VPN-Verbindung benötigt wird, und der Zugriff trotzdem eingeschränkt werden kann, sodass nur bestimmte Ressourcen (z. Bsp. nur die URL mein.server.com/freigabepfa...) über die freigegebenen Ports erreichbar sind. Zudem können standardisierten Ports (z. Bsp. TCP 80 oder TCP 443) bei korrekter Konfiguration gefahrlos verwendet werden.

Dritte Schutz-Regel: Egal ob man sich via VPN oder über einen Reverse Proxy mit dem Heimnetz verbindet, die internen Ressourcen sollten nur für berechtigte Benutzer zugänglich sein. Die Authentisierung sollte daher mit 2FA/MFA Mechanismen zusätzlich gesichert werden.

Vierte Schutz-Regel: Keine Barriere ist absolut unüberwindbar. Da man Fehler bei der Konfiguration von Zugriffen machen kann, sollte man sich eine Datensicherungsstrategie ausdenken, für den Fall, dass die eingesetzten Schutzmassnahmen versagen, und es doch zu einem Datenverlust kommt.

Grüsse
Belegnor

22.05.2019
User technician

Ich frage mich ob bei anderen NAS (wie zb Apollo Cloud) die Sicherheit auch gewährleistet ist, obwohl man da nichts grosses einstellen kann.

21.05.2019
User flooyq42

Diese ip ist eine private ip adresse und ist im internet nicht geroutet. Du kannst diese absolut sorgenfrei veröffentlichen ;)

21.05.2019
User sutzfl01

Gemäss IANA ist der im Artikel erwähnte IP Block 178.0.0.0/8 durch die RIPE verwaltet und diese hat ihn an mehrere Provider verteilt. Somit ist sie eher öffentlich und sollte nicht veröffentlicht werden...

21.05.2019
User flooyq42

Uuuuups. Hab nur das bild angeschaut :) text lesen vor kommentarfunktion nutzen ist wohl nur was für profis :)

21.05.2019
Antworten
User hheggliag

Ein neues NAS und schon ein LAN-Port defekt? Was jetzt? Alle Daten wieder runter und die Kiste einschicken? Genau solche Probleme halten mich davon ab, viel Geld in solche Geräte zu stecken...

22.05.2019
User robertfrank

Nein, nicht alle daten runter, sondern: alle disks raus, NAS zur reparatur/zum austausch einsenden, warten (c.a. 4-6 wochen), alle disks in das neue NAS einstecken, einschalten, die migration bestätigen und weiter geht's. Hab's gerade probiert.

23.05.2019
User hheggliag

Trotzdem, der Aufwand und die Umstände bleiben. Hätte man einen "normalen" PC als Datenserver verwendet, hätte einfach die defekte Netzwerkkarte ausgetauscht werden können...

23.05.2019
Antworten
User steck_bowil

Ich benutze ebenfalls ein Synology-NAS in meinem Heimnetzwerk. Vom ganzen Beitrag oben verstehe ich nur Bahnhof; muss ich mir ernsthaft Sorgen um meine Daten machen!? Ausser das ich sowohl für den Router als auch für das NAS selbst ziemlich "sicherere" Passwörter verwende habe ich keine Vorkehrungen getroffen.

06.06.2019
User Patrick S. aus B.

Solange Du Dein NAS ausschliesslich "intern" verwendest, also niemals von unterwegs über das Internet darauf zugreifst, musst Du Dir keine Sorgen machen. Sobald Du aber auf irgendeine Weise von "extern" auf Dein NAS zugreifst, solltest Du den obigen Beitrag solange durchlesen, bis Du ihn verstehst. Ohne weitere Sicherheitsvorkehrungen sind Deine Daten sonst stark gefährdet gestohlen, gelöscht oder manipuliert zu werden.

gestern 18:01
Antworten
User Patrick S. aus B.

Das mit dem Ändern der Standards-Ports 5000 (http) und 5001 (https) halte ich für stark übertrieben. Ich weiss schon, dass die App "Synology-Sicherheitsberater" ebenfalls dazu auffordert. Ob nun aber ein externer Portscan 5000 als "offen" entdeckt oder 26953 halte ich persönlich für irrelevant. Auch der Hinweis, dass man für VPN nur 1 Port öffnen muss, ist nicht ganz richtig. Je nach VPN-Protokoll (z.B. L2TP/IPsec, also MIT Verschlüsselung) braucht es bei einer DS918 sogar 3 Ports: 1701, 500 und 4500.

gestern 18:08
User salzmann.it

Dieser Artikel ist sehr unprofessionell, die Aussagen sind teilweise schlichtweg falsch. Das hat nichts mit Informatik zu tun. Weiterhin viel Spass beim herumbasteln!

06.06.2019