06.08.2012
NAS-Freigaben
1. Teil: „Vorsicht - Ihr NAS im Internet“
Vorsicht - Ihr NAS im Internet
Autor: Stefan Kuhn
Wenn Sie Ihr NAS für Zugriffe aus dem Internet freigeben, dann ist Vorsicht geboten. Im Zweifelsfall sollten Sie sich für mehr Sicherheit und weniger Komfort entscheiden, um Ihre Daten zu schützen.
Es ist schon verlockend, wenn man per Internet weltweit und jederzeit vollen Zugriff auf die Daten seines NAS hat. Der Komfort hat allerdings seine Tücken, denn die Internetfreigaben öffnen auch Angreifern die Tür zu Ihrem Heimnetz.
2. Teil: „Benutzerrechte für das NAS festlegen“
Benutzerrechte für das NAS festlegen
Benutzerrechte spielen auf einem NAS, das mehrere Anwender gemeinsam nutzen, eine wesentlich wichtigere Rolle als auf einem Windows-PC.
Sichere Passwörter wählen
Wie am PC sollten Sie auch für Ihr NAS sichere Passwörter wählen. Als Administrator eines NAS sind Sie zudem dafür verantwortlich, dass andere Mitbenutzer dies ebenfalls tun. Viele NAS-Systeme stellen dafür Anwendungen bereit, mit denen sich die Sicherheitsanforderungen an Passwörter vorgeben lassen.
Auf NAS-Systemen des Herstellers Synology finden Sie solch ein Tool beispielsweise unter „Systemsteuerung, Benutzer“ im Reiter „Kennwortstärke“. Hier legen Sie unter anderem fest, wie viele Zeichen ein Passwort haben muss, und ob es numerische oder Sonderzeichen enthalten soll.
Zugriffsrechte beschränken
Wenn mehrere Anwender ein NAS-System gemeinsam nutzen, dann sollte jeder Benutzer nur die Zugriffsrechte erhalten, die er wirklich benötigt. In der Benutzerverwaltung eines NAS-Systems haben Sie die Möglichkeit, den Zugriff auf einzelne Ordner komplett zu sperren oder einem Anwender lediglich Leserechte zu gewähren.
Dabei sollten Sie auch Ihre eigenen Rechte einschränken. Legen Sie sich deshalb zusätzlich zum Administratorkonto ein Benutzerkonto mit eingeschränkten Zugriffrechten für die tägliche Arbeit an. Wenn Sie Ihrem Benutzerkonto nun beispielsweise nur Leserechte für Ihre Medien-Ordner einräumen, dann laufen Sie nicht Gefahr, Musik-oder Bilddateien versehentlich zu löschen. Und im Fall eines Passwort-Diebstahls erhält der Angreifer auch nicht die vollen Zugriffsrechte.
3. Teil: „Netzwerkdienste des NAS konfigurieren“
Netzwerkdienste des NAS konfigurieren
Die Internetfreigabe von Netzwerkdiensten, etwa eine Fernwartungskonsole oder ein FTP-Zugang, sollte mit größter Sorgfalt erfolgen. Im Zweifelsfall verzichten Sie auf eine Freigabe.
Port-Freigaben minimieren
Um Netzwerkdienste Ihres NAS aus dem Internet heraus zu nutzen, müssen Sie im Router die Port-Adressen der Dienste an Ihr NAS weiterleiten. Derartige Weiterleitungen sollten Sie auf ein Minimum beschränken. Richten Sie niemals Internetfreigaben für Dienste ein, die Sie gar nicht nutzen.
Wenn Netzwerkdienste Ihres NAS sowohl verschlüsselt als auch unverschlüsselt verfügbar sind, dann sollten Sie für die Internetfreigabe nur die Port-Adressen der verschlüsselten Variante verwenden. So stellen Sie sicher, dass Ihre Zugangsdaten etwa im Internetcafé nicht unverschlüsselt übertragen und von Angreifern aufgezeichnet werden.
Angreifer blockieren
Wenn Sie Internetfreigaben für Ihr NAS einrichten, dann müssen Sie zudem mit Brute-Force-Attacken aus dem Internet rechnen. Dabei versucht der Angreifer, durch unzählige Login-Versuche Benutzername und Passwort zu ermitteln. Viele NAS-Systeme verfügen deshalb über einen integrierten Schutz gegen Brute-Force-Angriffe.
In der Systemsteuerung eines Synology-NAS lässt sich zum Beispiel eine automatische Blockierung einrichten. Wenn mehrere Login-Versuche für den FTP-Dienst oder das Webinterface des NAS fehlschlagen, dann wird die IP-Adresse des Angreifers automatisch gesperrt. Diese Blockierung lässt sich manuell oder automatisch nach einem bestimmten Zeitraum wieder aufheben.
4. Teil: „VPN statt Port-Freigabe“
VPN statt Port-Freigabe
Wenn nur wenige Benutzer über das Internet auf Ihr NAS zugreifen müssen, dann sollten Sie ganz auf Port-Freigaben verzichten. Nutzen Sie für den Fernzugriff stattdessen ein Virtual Private Network (VPN). Mit Hilfe eines VPN binden Sie Ihren PC über eine verschlüsselte Internetverbindung in Ihr Heimnetz ein. Dann stehen Ihnen auch unterwegs oder an entfernten Arbeitsplätzen sämtliche Ordner- und Dateifreigaben Ihres NAS zur Verfügung.
Sehr einfach lässt sich ein derartiges Virtual Private Network mit einem Fritzbox-Router von AVM aufbauen. Alle neueren Modelle der Fritzbox-Serie sind für den VPN-Fernzugang bereits vorbereitet, und AVM stellt alle benötigten Windows-Tools kostenlos zur Verfügung.
Mehr zur VPN-Nutzung mit einer Fritzbox finden Sie im Artikel „Fernzugriff aus eigene Netz per VPN“ .
5. Teil: „Webserver des NAS schützen“
Webserver des NAS schützen
NAS-Systeme verfügen oft über einen Webserver. Darauf lassen sich Anwendungen wie Fotogalerien einrichten. Die dabei verwendeten Verzeichnisse sollten Sie besonders schützen.
Passwort-Schutz einrichten
Wenn auf Ihrem NAS ein Webserver aktiviert ist, dann lassen sich Fotogalerien, Blog-Systeme oder andere Webanwendungen auf dem NAS installieren. Doch ähnlich wie bei einer Website ist es nicht ratsam, sämtliche Anwendungen des Webservers für jedermann zugänglich zu machen. Ein Verzeichnisschutz sperrt unwillkommene Gäste aus.
Auf NAS-Systemen wird ebenso wie im Web oft der kostenlose Apache-Server als Webserver eingesetzt. Auf solch einem Webserver lassen sich einzelne Verzeichnisse mit einem Passwortschutz versehen. Dazu müssen Sie in dem zu schützenden Verzeichnis zwei Textdateien namens „.htpasswd“ und „.htaccess“ ablegen.
In der Datei „.htaccess“ definieren Sie, dass für den Zugriff per Web eine Benutzeridentifikation erforderlich ist, und legen fest, wo die Passwörter der zugelassenen Benutzer gespeichert sind. In der Datei „.htpasswd“ werden Zeile für Zeile die verschlüsselten Passwörter der einzelnen Nutzer abgelegt. Um einen Verzeichnisschutz einzurichten, ist ein Passwort-Generator hilfreich, wie Sie ihn zum Beispiel unter kreiter.info finden.
Weitere Tipps für einen wirksamen Verzeichnisschutz erhalten Sie im Internet unter Synology-wiki.de.
Zugriff per IP-Adresse beschränken
Der Webserver des NAS lässt sich auch so einrichten, dass sich Teilbereiche des Webangebots nur aus dem Heimnetz heraus, aber nicht über eine Internetverbindung aufrufen lassen. Zu diesem Zweck sperren Sie einzelne Verzeichnisse des Servers anhand der IP-Adresse des Anwenders.
Wenn auf dem NAS Apache als Webserver läuft, dann erstellen Sie in dem zu schützenden Verzeichnis die Textdatei .htaccess. In dieser Textdatei sperren Sie mit deny from all zunächst den Zugriff für alle Anwender. Anschließend geben Sie den Zugriff mit allow from für Anwender mit einer lokalen Netzwerkadresse wieder frei. Der komplette „.htaccess“-Eintrag sieht dann folgendermaßen aus:
Code-Beispiel
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Datenverfügbarkeit
Where EDGE Computing meets 5G
Logistik- und Produktionsprozesse sollen flüssig und fehlerfrei laufen. Maschinen und Personal müssen im Takt funktionieren. Zulieferer haben just-in-time anzuliefern. Dies stellt hohe Anforderungen an die lokale Datenübertragung. Welche Technik bietet sich dazu an?
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
10 Stationen
1.500 Händler bei der AVM-Roadshow
Der Fokus der Solution Tour 2024 von AVM lag auf den Themen Glasfaser, Wi-Fi 7 und Smart Home, und mehr als 1.500 Handelspartner folgten der Einladung des Herstellers an die insgesamt 10 Standorte in Deutschland.
>>