Tipps & Tricks
11.04.2018, 10:00 Uhr
NAS richtig absichern
Wenn Sie Ihr NAS auch für Zugriffe aus dem Internet nutzen, dann sollten Sie eingeschränkte Benutzerkonten einrichten und diese Einstellungen durchgehen.
Es ist schon faszinierend, jederzeit weltweit per Internet auf das NAS zugreifen zu können, das zu Hause steht. Viele NAS-Hersteller liefern gleich die passenden Apps für das Smartphone. Damit schauen Sie via Internet Fotos an, hören Ihre Musik und greifen auf beliebige Daten zu.
Solche Internetfreigaben öffnen allerdings potenziellen Angreifern Tür und Tor zu Ihrem Heimnetz. Der Artikel erklärt am Beispiel von Synology DSM 6.1, wie Sie Ihr NAS absichern.
Bei NAS-Servern anderer Hersteller finden Sie in der Regel die gleichen Funktionen, allerdings ist die Menüstruktur eine andere.
Wählen Sie sichere Passwörter. Das gilt sowohl für den Router als auch für das NAS. Am besten verwenden Sie mindestens 16 Zeichen: Klein- und Grossbuchstaben, Ziffern und Sonderzeichen. Ein richtig gutes langes Passwort, das Sie ausschliesslich für ein Gerät verwenden, müssen Sie auch nicht regelmässig wechseln. Als Administrator sind Sie verantwortlich dafür, dass alle Nutzer des NAS ebenfalls sichere Passwörter verwenden. Zusätzlich können Sie eine Zwei-Faktor-Authentifizierung einrichten.
NAS-Systeme von Synology unterstützen Sie dabei. Damit lassen sich Mindestanforderungen an Passwörter definieren. Dazu gehen Sie im Disk Station Manager DSM zu Systemsteuerung. Dort klicken Sie auf Benutzer und gehen im Tab Erweitert zu den Passwort-Einstellungen. Unter den «Regeln für Passwort-Einstellungen» legen Sie fest, welchen Anforderungen neue Passwörter genügen müssen.
Nächste Seite: Ports prüfen
Ports prüfen & verschlüsselte Verbindung
Ports prüfen
Die verschiedenen NAS-Anwendungen erfordern eine ganze Reihe geöffneter Ports. Dabei werden eingehende Daten vom Router an die IP-Adresse des NAS weitergeleitet. Welche Port-Freigaben bereits bestehen, sehen Sie etwa im Webinterface Ihres Routers, meist unter einem Menüpunkt wie Erweiterte Einstellungen. Um zu prüfen, welche NAS-Anwendung welche Ports benutzt, werfen Sie einen Blick in diese Port-Tabelle. Unverschlüsselte Ports wie 5000 sind in der Tabelle rosa markiert. Diese Ports sollten Sie aus Sicherheitsgründen im Router nicht freigeben.
Verschlüsselte Verbindungen nutzen
Ihr NAS lässt sich mithilfe einer DynDNS-Adresse über das Internet erreichen. Wie Sie den Fernzugriff auf den NAS übers Internet einrichten, erklären wir in diesem Beitrag. Es gibt auch auch viele Privatanwender, die ihr NAS nur im Heimnetzwerk im Einsatz haben. So ist natürlich Ihr Netzwerkspeicher punkto Sicherheit noch besser von der Aussenwelt abgeschottet.
Besser nutzen Sie immer eine verschlüsselte HTTPS-Verbindung: Um diese einzurichten, gehen Sie zunächst in der Systemsteuerung des NAS bei Netzwerk zum Reiter DSM-Einstellungen und aktivieren dort die Option HTTP-Verbindungen automatisch zu HTTPs umleiten. Webdienste umfasst die Web Station und die dazugehörigen Anwendungen.
Ausserdem stellen Sie ebenfalls in der Systemsteuerung bei DSM-Einstellungen im Reiter HTTP-Dienst die beiden Optionen HTTP/2-Verbindung aktivieren und HTTP-Verbindungen automatisch zu HTTPS umleiten ein. Mit diesen Einstellungen greifen Sie stets über den verschlüsselten Port 5001 auf die Administrationsoberfläche zu.
Nächste Seite: Benutzerkonten einrichten
Benutzerkonten einrichten & Benutzer anlegen
Benutzerkonten einrichten
Auf einem NAS, das mehrere Anwender nutzen, haben Benutzerkonten und Benutzerrechte eine viel grössere Bedeutung als etwa bei Windows. Auch wenn Sie das NAS alleine nutzen, ist es sinnvoll, neben dem Admin-Konto mehrere Benutzerkonten mit eingeschränkten Rechten einzurichten. Denn dann laufen Sie nicht Gefahr, aus Versehen Daten zu löschen. Und wenn die Kontodaten an Fremde gelangen, können diese auch nur wenig Schaden anrichten.
Das Administratorkonto admin sollte ausschliesslich zur Einrichtung und Verwaltung verwendet werden und nicht für den alltäglichen Gebrauch. Über den Disk Station Manager lassen sich bequem Benutzerkonten und entsprechende Freigaben einrichten.
Benutzer anlegen
Standardmässig legt DSM die beiden Benutzer admin und guest an. Das Konto guest lassen Sie am besten deaktiviert. Das Konto admin verwenden Sie nur, um Ihr NAS zu konfigurieren und zu verwalten.
Wenn Sie für verschiedene Einsatzzwecke eigene Benutzer einrichten, etwa einen «Musikhörer» für die «Audio Station», und diesem nur Leserechte gewähren, dann laufen Sie nicht Gefahr, Musikdateien versehentlich zu löschen. Und falls ein Angreifer Ihre Zugangsdaten stiehlt, hat dieser Angreifer eben auch nur Leserechte.
Um einen neuen Benutzer anzulegen, gehen Sie in die Systemsteuerung und klicken auf Benutzer. Dort wählen Sie Erstellen. Anschliessend geben Sie dem Benutzer einen Namen, eine Beschreibung und ein Passwort.
Im nächsten Schritt legen Sie die Gruppe fest, welcher der neue Benutzer angehören soll. Wählen Sie nie «administrators», sondern «users» oder eine selbst angelegte Gruppe ohne Administratorrechte.
Als Nächstes legen Sie die Zugriffsrechte für gemeinsame Ordner wie «photo», «music» und «homes» fest. Einem Benutzer, der nur Musik hören darf, geben Sie entsprechend nur Leserechte für den Ordner «music» und setzen alle übrigen Ordner auf «Kein Zugriff».
Sie gelangen nun zu den NAS-Anwendungen wie File Station, FTP und rsync. Anwendungen, die Sie «verweigern» können, bekommt der Benutzer nicht zu Gesicht. Ein Klick auf Übernehmen schliesst den Vorgang ab.
Nächste Seite: Gemeinsamer Ordner
Gemeinsamer Ordner
Gemeinsame Ordner
Für jeden gemeinsamen Ordner lässt sich anzeigen, welcher Benutzer welche Rechte darauf hat. Dazu gehen Sie in der Systemsteuerung auf Gemeinsamer Ordner. Über den Reiter Bearbeiten, gefolgt vom nächsten Reiter Berechtigungen, sehen Sie die Zugriffsrechte sämtlicher Benutzer — vorausgesetzt natürlich, Sie sind als Administrator angemeldet.
Im Reiter Erweiterte Berechtigungen können Sie noch weitergehen. Hier lässt sich auf Wunsch das Ändern und das Herunterladen von Dateien unterbinden. Somit ist es dann nicht mehr möglich, über die File Station, per FTP oder WebDAV beispielsweise Fotos oder Musikdateien herunterzuladen.
Benutzergruppen erstellen
Statt jedem Nutzer einzeln Rechte für die gemeinsamen Ordner zuzuweisen, können Sie auch eine Benutzergruppe anlegen, zum Beispiel «Freunde und Bekannte» oder «Familie», und dort alle Einstellungen vornehmen. Jeder Benutzer, den Sie zu dieser Gruppe hinzufügen, erhält dann die vordefinierten Rechte.
Um eine neue Benutzergruppe anzulegen, gehen Sie auf Systemsteuerung/, Gruppe/Erstellen. Anschliessend legen Sie fest, welche Rechte jedes Mitglied dieser Gruppe haben soll.
Da es vorkommen kann, dass Sie Rechte vergeben, die sich widersprechen, gilt die Regel, dass Benutzereinstellungen Vorrang haben vor Gruppeneinstellungen.
Nächste Seite: Angreifer blockeren
Angreifer blockeren & Einstellungen prüfen
Angreifer blockieren
Wenn Sie Dienste Ihres NAS für den Zugriff über das Internet freigeben, dann sind Sie anfällig gegen Brute-Force-Angriffe. Dabei versucht der Angreifer, durch unablässige Login-Versuche den Benutzernamen und das Passwort zu ermitteln.
Viele NAS-Server haben einen wirksamen Mechanismus gegen solche Attacken. Sie sperren die IP-Adresse des Angreifers automatisch nach einer bestimmten Zahl fehlgeschlagener Login-Versuche innerhalb von wenigen Minuten. Auf Wunsch erhalten Sie eine E-Mail, sobald ein solcher Fall eintritt.
Diesen Schutz müssen Sie aber selbst aktivieren. Dazu gehen Sie im Fall von Synology in der Systemsteuerung des DSM zum Reiter Sicherheit und ins Tab Automatische Blockierung. Dort setzen Sie ein Häkchen bei Automatische Blockierung aktivieren und geben die Anzahl der zulässigen Login-Versuche und die entsprechende Zeitspanne an, also etwa zehn Login-Versuche in fünf Minuten. Beim elften fehlerhaften Versuch wird dann die entsprechende IP-Adresse gesperrt. Im Feld darunter geben Sie an, nach wie vielen Tagen eine solche Sperre wieder aufgehoben werden soll.
Synology-Tool zum Checken der Einstellungen
Synology offeriert übrigens neuerdings einen eigenen Sicherheitschecker in der NAS-Software. Nachdem man sich durch den «Security Advisor» geklickt hat, wird am Schluss ein Gesamt-Sicherheitsstatus zur Ihren NAS-Schwachstellen ausgegeben. Der Report zeigt dann auf, ob schwache Passwörter genutzt werden, die Software eventuell nicht aktuell ist oder HTTPS eingestellt ist oder nicht.
Autor(in)
Simon
Gröflin
Kommentare
Es sind keine Kommentare vorhanden.