Vorsicht - Ihr NAS im Internet

Es ist schon verlockend, wenn man per Internet weltweit und jederzeit vollen Zugriff auf die Daten seines NAS hat. Der Komfort hat allerdings seine Tücken, denn die Internetfreigaben öffnen auch Angreifern die Tür zu Ihrem Heimnetz.

Benutzerrechte spielen auf einem NAS, das mehrere Anwender gemeinsam nutzen, eine wesentlich wichtigere Rolle als auf einem Windows-PC.

Wie am PC sollten Sie auch für Ihr NAS sichere Passwörter wählen. Als Administrator eines NAS sind Sie zudem dafür verantwortlich, dass andere Mitbenutzer dies ebenfalls tun. Viele NAS-Systeme stellen dafür Anwendungen bereit, mit denen sich die Sicherheitsanforderungen an Passwörter vorgeben lassen.

Auf NAS-Systemen des Herstellers Synology finden Sie solch ein Tool beispielsweise unter „Systemsteuerung, Benutzer“ im Reiter „Kennwortstärke“. Hier legen Sie unter anderem fest, wie viele Zeichen ein Passwort haben muss, und ob es numerische oder Sonderzeichen enthalten soll.

Wenn mehrere Anwender ein NAS-System gemeinsam nutzen, dann sollte jeder Benutzer nur die Zugriffsrechte erhalten, die er wirklich benötigt. In der Benutzerverwaltung eines NAS-Systems haben Sie die Möglichkeit, den Zugriff auf einzelne Ordner komplett zu sperren oder einem Anwender lediglich Leserechte zu gewähren.

Dabei sollten Sie auch Ihre eigenen Rechte einschränken. Legen Sie sich deshalb zusätzlich zum Administratorkonto ein Benutzerkonto mit eingeschränkten Zugriffrechten für die tägliche Arbeit an. Wenn Sie Ihrem Benutzerkonto nun beispielsweise nur Leserechte für Ihre Medien-Ordner einräumen, dann laufen Sie nicht Gefahr, Musik-oder Bilddateien versehentlich zu löschen. Und im Fall eines Passwort-Diebstahls erhält der Angreifer auch nicht die vollen Zugriffsrechte.

Die Internetfreigabe von Netzwerkdiensten, etwa eine Fernwartungskonsole oder ein FTP-Zugang, sollte mit größter Sorgfalt erfolgen. Im Zweifelsfall verzichten Sie auf eine Freigabe.

Um Netzwerkdienste Ihres NAS aus dem Internet heraus zu nutzen, müssen Sie im Router die Port-Adressen der Dienste an Ihr NAS weiterleiten. Derartige Weiterleitungen sollten Sie auf ein Minimum beschränken. Richten Sie niemals Internetfreigaben für Dienste ein, die Sie gar nicht nutzen.

Wenn Netzwerkdienste Ihres NAS sowohl verschlüsselt als auch unverschlüsselt verfügbar sind, dann sollten Sie für die Internetfreigabe nur die Port-Adressen der verschlüsselten Variante verwenden. So stellen Sie sicher, dass Ihre Zugangsdaten etwa im Internetcafé nicht unverschlüsselt übertragen und von Angreifern aufgezeichnet werden.

Wenn Sie Internetfreigaben für Ihr NAS einrichten, dann müssen Sie zudem mit Brute-Force-Attacken aus dem Internet rechnen. Dabei versucht der Angreifer, durch unzählige Login-Versuche Benutzername und Passwort zu ermitteln. Viele NAS-Systeme verfügen deshalb über einen integrierten Schutz gegen Brute-Force-Angriffe.

In der Systemsteuerung eines Synology-NAS lässt sich zum Beispiel eine automatische Blockierung einrichten. Wenn mehrere Login-Versuche für den FTP-Dienst oder das Webinterface des NAS fehlschlagen, dann wird die IP-Adresse des Angreifers automatisch gesperrt. Diese Blockierung lässt sich manuell oder automatisch nach einem bestimmten Zeitraum wieder aufheben.

Wenn nur wenige Benutzer über das Internet auf Ihr NAS zugreifen müssen, dann sollten Sie ganz auf Port-Freigaben verzichten. Nutzen Sie für den Fernzugriff stattdessen ein Virtual Private Network (VPN). Mit Hilfe eines VPN binden Sie Ihren PC über eine verschlüsselte Internetverbindung in Ihr Heimnetz ein. Dann stehen Ihnen auch unterwegs oder an entfernten Arbeitsplätzen sämtliche Ordner- und Dateifreigaben Ihres NAS zur Verfügung.

Sehr einfach lässt sich ein derartiges Virtual Private Network mit einem Fritzbox-Router von AVM aufbauen. Alle neueren Modelle der Fritzbox-Serie sind für den VPN-Fernzugang bereits vorbereitet, und AVM stellt alle benötigten Windows-Tools kostenlos zur Verfügung.

Mehr zur VPN-Nutzung mit einer Fritzbox finden Sie im Artikel „Fernzugriff aus eigene Netz per VPN“ .

NAS-Systeme verfügen oft über einen Webserver. Darauf lassen sich Anwendungen wie Fotogalerien einrichten. Die dabei verwendeten Verzeichnisse sollten Sie besonders schützen.

Wenn auf Ihrem NAS ein Webserver aktiviert ist, dann lassen sich Fotogalerien, Blog-Systeme oder andere Webanwendungen auf dem NAS installieren. Doch ähnlich wie bei einer Website ist es nicht ratsam, sämtliche Anwendungen des Webservers für jedermann zugänglich zu machen. Ein Verzeichnisschutz sperrt unwillkommene Gäste aus.

Auf NAS-Systemen wird ebenso wie im Web oft der kostenlose Apache-Server als Webserver eingesetzt. Auf solch einem Webserver lassen sich einzelne Verzeichnisse mit einem Passwortschutz versehen. Dazu müssen Sie in dem zu schützenden Verzeichnis zwei Textdateien namens „.htpasswd“ und „.htaccess“ ablegen.

In der Datei „.htaccess“ definieren Sie, dass für den Zugriff per Web eine Benutzeridentifikation erforderlich ist, und legen fest, wo die Passwörter der zugelassenen Benutzer gespeichert sind. In der Datei „.htpasswd“ werden Zeile für Zeile die verschlüsselten Passwörter der einzelnen Nutzer abgelegt. Um einen Verzeichnisschutz einzurichten, ist ein Passwort-Generator hilfreich, wie Sie ihn zum Beispiel unter kreiter.info finden.

Weitere Tipps für einen wirksamen Verzeichnisschutz erhalten Sie im Internet unter Synology-wiki.de.

Der Webserver des NAS lässt sich auch so einrichten, dass sich Teilbereiche des Webangebots nur aus dem Heimnetz heraus, aber nicht über eine Internetverbindung aufrufen lassen. Zu diesem Zweck sperren Sie einzelne Verzeichnisse des Servers anhand der IP-Adresse des Anwenders.

Wenn auf dem NAS Apache als Webserver läuft, dann erstellen Sie in dem zu schützenden Verzeichnis die Textdatei .htaccess. In dieser Textdatei sperren Sie mit deny from all zunächst den Zugriff für alle Anwender. Anschließend geben Sie den Zugriff mit allow from für Anwender mit einer lokalen Netzwerkadresse wieder frei. Der komplette „.htaccess“-Eintrag sieht dann folgendermaßen aus:

1
2

order deny,allow
deny from all