QNAP: Konfiguration von grundlegenden Sicherheitseinstellungen

QNAP: Konfiguration von grundlegenden Sicherheitseinstellungen

letzte Aktualisierung: 13. März 2022
#
Ungefähre Lesezeit: 2 min

So ein Netzwerkspeicher ist schon was tolles. Was der alles kann… Musik abspielen, Videos streamen und transkodieren, meine Website hosten, Daten mit Freunden und Geschäftspartnern teilen, meine Google Cloud und DropBox sichern, Daten speichern, Backups anlegen… Und das alles kann ich sogar im Urlaub genießen, den meine QNAP ist ja aus dem Internet erreichbar… :-)

Ja, all das geht! Vieles ist schon voreingestellt, um dem „Otto-Normalverbraucher“ all diese Vorzüge möglichst einfach zu präsentieren. Aber VORSICHT! Leider erkauft man sich mit der unbedarften Nutzung viele Sicherheitslücken, die unter anderem in der fremden Verschlüsselung der eigenen Daten enden können. Stichwort Ransomware!

Je nach Anwendungszweck gibt es einige Einstellungen, die die Sicherheit erhöhen und das Risiko einer Infektion mit Schadsoftware verringern können. Eine endgültige Absicherung umfasst dabei aber noch deutlich mehr, Stichwort Router, Firewall, IDS … Es ist ein erster Schritt und sollte je nach eigenem Nutzungsverhalten angepasst / erweitert werden.

Es ist immer sinnvoll, erst einmal alles zu deaktivieren, was nicht dazu dient seine eigenen Daten im lokalen Netzwerk zu speichern. Sollen Daten später über das Internet geteilt oder die NAS über das Internet erreicht werden, so müssen die Dienste wieder freigeschaltet / konfiguriert werden.

Voraussetzungen

  • QTS 5.0.0.1891

QNAP – Sicherheits-App’s

Qnap bietet diverse Apps, die einen bei der Absicherung des eigenen Systems unterstützen.

  • Security Counselor (2) – App die die NAS Einstellungen auf Risiken überprüft und Vorschläge zu Anpassungen der Sicherheitseinstellungen macht
  • QuFirewall (3) – QNAP eigene Firewall, noch sehr rudimentär, eine Firewall auf Router oder als extra Hardwarefirewall sollte der Vorzug gegeben werden
  • Maleware Remover (4) – scannt die NAS auf Maleware und entfern diese bei Bedarf
  • Antivirus (Systemsteuerung -> Anwendungen -> Antivirus) – scannt Benutzerdateien auf der QNAP mit ClamAV, eher als Nothilfe zu verwenden

Sicherheitseinstellungen

Bild 1: QTS Systemsteuerung

Systemsteuerung

(7) System -> Allgemeine Einstellungen ->

  • Systemadministration
    • Servenamen ändern, ohne Rückschlüsse auf QNAP Typ
    • Systemport 8080 ändern, falls Zugriff von außen gewährt werden soll, oder anderen Port für externen Zugriff im Router einrichten (z.B. 8095)
    • Sichere Verbindung (https) aktivieren
    • TLS-Versionskompatibilität 1.2 und höher
    • Portnummer https ändern, falls Zugriff von außen gewährt werden soll, oder anderen Port für externen Zugriff im Router einrichten (z.B. 4256)
    • Nur eine sichere Verbindung (https) herstellen
    • QTS-Einbettung in IFrames nicht zulassen
    • X-Content-Type-Options-HTTP-Header aktivieren
    • Content-Security-Policy-HTTP-Header aktivieren
  • Anmeldebildschirm
    • Firmwareversion nicht anzeigen

(7) System -> Sicherheit

  • IP-Zugriffsschutz
    • IP-Zugriffsschutz aktivieren (1 Minute, 5 Fehlschläge, 5 Minuten oder mehr)
  • Kontozugriffschutz
    • Kontozugriffsschutz aktivieren (Benutzer je nach Anforderung, 5 Minuten, 5 Fehlschläge)
  • Passwortrichtlinie
    • Passwortrichtlinie aktivieren (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen, keine Benutzernamenübereinstimmung, mind. 12 Zeichen)

(7) System > Firmwareaktualisierung

Die regelmäßige Aktualisierung der Firmware ist ein einfacher Schritt, aktuelle Sicherheitslücken die damit geschlossen werden, für sein System auszuschließen.

  • Echtzeitaktualisierung
    • Auf Aktualisierung prüfen
  • Automatische Aktualisierung
    • Empfohlene Version – täglich

(8) Rechte -> Benutzer

  • Erstellen
    • neuen Admin Account mit einem eigenen Benutzernamen anlegen
    • Standard Administrator Account admin deaktivieren (mit neuem Admin bei QTS anmelden, erst dann geht Deaktivierung)

(8) Rechte -> Freigabeordner

  • Freigabeordner auswählen –> Berechtigung für Freigabeordner bearbeiten
    • Gastzugriffsberechtigung -> Zugriffsverweigerung

(9) Netzwerk und Dateidienste ->

  • Win/Mac/NFS/WebDAV
    • nicht benötigte Dienste deaktivieren
    • Microsoft-Netzwerk -> Erweiterte Optionen -> Niedrigste SMB-Version 2.0
  • Telnet / SSH
    • SSH-Verbindung zulassen aktivieren
    • Portnummer ändern
  • Diensterkennung
    • UPnP-Dienst deaktivieren

(10) Anwendungen ->

  • Webserver
    • Webserver deaktivieren
  • Antivirus
    • Antivirus ggf. aktivieren (wenn keine Andere Antivirensoftware die Netzlaufwerke scannt)
    • Automatisch prüfen und aktualisieren (ja nach Nutzungshäufigkeit des Speichers 1-7 Tage)

Firmware aktualisieren

Die regelmäßige Aktualisierung der Firmware ist ein einfacher Schritt, aktuelle Sicherheitslücken die damit geschlossen werden, für sein System auszuschließen.

Sicherheitseinstellungen testen

Eine Möglichkeit den Zugriff auf sein eigenen NAS aus dem Internet zu testen, ist ein Onlinescanner. Dieser prüft die eigene öffentlichen IP-Adresse auf offene Ports.

Quellen

  • QNAP – What is the best practice for enhancing NAS security?
Artikelaufrufe: 1572
Nach oben