NAS richtig absichern

Wenn Sie Ihr NAS auch für Zugriffe aus dem Internet nutzen, dann sollten Sie eingeschränkte Benutzerkonten einrichten und diese Einstellungen durchgehen.

von Simon Gröflin, Andreas Dumont 11.04.2018

Es ist schon faszinierend, jederzeit weltweit per Internet auf das NAS zugreifen zu können, das zu Hause steht. Viele NAS-Hersteller liefern gleich die passenden Apps für das Smartphone. Damit schauen Sie via Internet Fotos an, hören Ihre Musik und greifen auf beliebige Daten zu.

Solche Internetfreigaben öffnen allerdings potenziellen Angreifern Tür und Tor zu Ihrem Heimnetz. Der Artikel erklärt am Beispiel von Synology DSM 6.1, wie Sie Ihr NAS absichern.

NAS absichern: Alle wichtigen Einstellungen finden Sie in der DSM-Systemsteuerung. Wichtige Anlaufstellen sind «Benutzer» und «Gemeinsamer Ordner» NAS absichern: Alle wichtigen Einstellungen finden Sie in der DSM-Systemsteuerung. Wichtige Anlaufstellen sind «Benutzer» und «Gemeinsamer Ordner» © Screenshot / PCtipp

Bei NAS-Servern anderer Hersteller finden Sie in der Regel die gleichen Funktionen, allerdings ist die Menüstruktur eine andere.

Wählen Sie sichere Passwörter. Das gilt sowohl für den Router als auch für das NAS. Am besten verwenden Sie mindestens 16 Zeichen: Klein- und Grossbuchstaben, Ziffern und Sonderzeichen. Ein richtig gutes langes Passwort, das Sie ausschliesslich für ein Gerät verwenden, müssen Sie auch nicht regelmässig wechseln. Als Administrator sind Sie verantwortlich dafür, dass alle Nutzer des NAS ebenfalls sichere Passwörter verwenden. Zusätzlich können Sie eine Zwei-Faktor-Authentifizierung einrichten.

Kennwortstärke: Als Administrator des NAS geben Sie den anderen Benutzern Regeln für sichere Passwörter vor Kennwortstärke: Als Administrator des NAS geben Sie den anderen Benutzern Regeln für sichere Passwörter vor © Screenshot / PCtipp

NAS-Systeme von Synology unterstützen Sie dabei. Damit lassen sich Mindestanforderungen an Passwörter definieren. Dazu gehen Sie im Disk Station Manager DSM zu Systemsteuerung. Dort klicken Sie auf Benutzer und gehen im Tab Erweitert zu den Passwort-Einstellungen. Unter den «Regeln für Passwort-Einstellungen» legen Sie fest, welchen Anforderungen neue Passwörter genügen müssen.

Nächste Seite: Ports prüfen

Ports prüfen

Die verschiedenen NAS-Anwendungen erfordern eine ganze Reihe geöffneter Ports. Dabei werden eingehende Daten vom Router an die IP-Adresse des NAS weitergeleitet. Welche Port-Freigaben bereits bestehen, sehen Sie etwa im Webinterface Ihres Routers, meist unter einem Menüpunkt wie Erweiterte Einstellungen. Um zu prüfen, welche NAS-Anwendung welche Ports benutzt, werfen Sie einen Blick in diese Port-Tabelle. Unverschlüsselte Ports wie 5000 sind in der Tabelle rosa markiert. Diese Ports sollten Sie aus Sicherheitsgründen im Router nicht freigeben.

Verschlüsselte Verbindungen nutzen

Ihr NAS lässt sich mithilfe einer DynDNS-Adresse über das Internet erreichen. Wie Sie den Fernzugriff auf den NAS übers Internet einrichten, erklären wir in diesem Beitrag. Es gibt auch auch viele Privatanwender, die ihr NAS nur im Heimnetzwerk im Einsatz haben. So ist natürlich Ihr Netzwerkspeicher punkto Sicherheit noch besser von der Aussenwelt abgeschottet.

Besser nutzen Sie immer eine verschlüsselte HTTPS-Verbindung: Um diese einzurichten, gehen Sie zunächst in der Systemsteuerung des NAS bei Netzwerk zum Reiter DSM-Einstellungen und aktivieren dort die Option HTTP-Verbindungen automatisch zu HTTPs umleiten. Webdienste umfasst die Web Station und die dazugehörigen Anwendungen.

Verschlüsselte Verbindungen: Diese Einstellungen erzwingen verschlüsselte HTTPS-Verbindungen Verschlüsselte Verbindungen: Diese Einstellungen erzwingen verschlüsselte HTTPS-Verbindungen © Screenshot / PCtipp

Ausserdem stellen Sie ebenfalls in der Systemsteuerung bei DSM-Einstellungen im Reiter HTTP-Dienst die beiden Optionen HTTP/2-Verbindung aktivieren und HTTP-Verbindungen automatisch zu HTTPS umleiten ein. Mit diesen Einstellungen greifen Sie stets über den verschlüsselten Port 5001 auf die Administrationsoberfläche zu.

Nächste Seite: Benutzerkonten einrichten

Benutzerkonten einrichten

Auf einem NAS, das mehrere Anwender nutzen, haben Benutzerkonten und Benutzerrechte eine viel grössere Bedeutung als etwa bei Windows. Auch wenn Sie das NAS alleine nutzen, ist es sinnvoll, neben dem Admin-Konto mehrere Benutzerkonten mit eingeschränkten Rechten einzurichten. Denn dann laufen Sie nicht Gefahr, aus Versehen Daten zu löschen. Und wenn die Kontodaten an Fremde gelangen, können diese auch nur wenig Schaden anrichten.

So gehts: Benutzerkonto einrichten. Ein Benutzer hat genau drei Möglichkeiten, was die Zugriffsrechte angeht: Lesen, Lesen und Schreiben oder keine Zugriffsrechte. Die Rechte lassen sich für jeden Ordner einzeln festlegen So gehts: Benutzerkonto einrichten. Ein Benutzer hat genau drei Möglichkeiten, was die Zugriffsrechte angeht: Lesen, Lesen und Schreiben oder keine Zugriffsrechte. Die Rechte lassen sich für jeden Ordner einzeln festlegen © Screenshot / PCtipp

Das Administratorkonto admin sollte ausschliesslich zur Einrichtung und Verwaltung verwendet werden und nicht für den alltäglichen Gebrauch. Über den Disk Station Manager lassen sich bequem Benutzerkonten und entsprechende Freigaben einrichten.

Benutzer anlegen

Standardmässig legt DSM die beiden Benutzer admin und guest an. Das Konto guest lassen Sie am besten deaktiviert. Das Konto admin verwenden Sie nur, um Ihr NAS zu konfigurieren und zu verwalten.

Wenn Sie für verschiedene Einsatzzwecke eigene Benutzer einrichten, etwa einen «Musikhörer» für die «Audio Station», und diesem nur Leserechte gewähren, dann laufen Sie nicht Gefahr, Musikdateien versehentlich zu löschen. Und falls ein Angreifer Ihre Zugangsdaten stiehlt, hat dieser Angreifer eben auch nur Leserechte.

Um einen neuen Benutzer anzulegen, gehen Sie in die Systemsteuerung und klicken auf Benutzer. Dort wählen Sie Erstellen. Anschliessend geben Sie dem Benutzer einen Namen, eine Beschreibung und ein Passwort.

Ein neuer Benutzer sollte der Gruppe «users» angehören und nur so viele Zugriffsrechte wie nötig erhalten Ein neuer Benutzer sollte der Gruppe «users» angehören und nur so viele Zugriffsrechte wie nötig erhalten © Screenshot / PCtipp

Im nächsten Schritt legen Sie die Gruppe fest, welcher der neue Benutzer angehören soll. Wählen Sie nie «administrators», sondern «users» oder eine selbst angelegte Gruppe ohne Administratorrechte.

Als Nächstes legen Sie die Zugriffsrechte für gemeinsame Ordner wie «photo», «music» und «homes» fest. Einem Benutzer, der nur Musik hören darf, geben Sie entsprechend nur Leserechte für den Ordner «music» und setzen alle übrigen Ordner auf «Kein Zugriff».

Sie gelangen nun zu den NAS-Anwendungen wie File Station, FTP und rsync. Anwendungen, die Sie «verweigern» können, bekommt der Benutzer nicht zu Gesicht. Ein Klick auf Übernehmen schliesst den Vorgang ab.

Nächste Seite: Gemeinsamer Ordner

Gemeinsame Ordner

Für jeden gemeinsamen Ordner lässt sich anzeigen, welcher Benutzer welche Rechte darauf hat. Dazu gehen Sie in der Systemsteuerung auf Gemeinsamer Ordner. Über den Reiter Bearbeiten, gefolgt vom nächsten Reiter Berechtigungen, sehen Sie die Zugriffsrechte sämtlicher Benutzer — vorausgesetzt natürlich, Sie sind als Administrator angemeldet.

Freigegebene Ordner: Im Beispiel sehen Sie, welcher Benutzer welche Rechte für die gemeinsamen Ordner hat Freigegebene Ordner: Im Beispiel sehen Sie, welcher Benutzer welche Rechte für die gemeinsamen Ordner hat © Screenshot / PCtipp

Im Reiter Erweiterte Berechtigungen können Sie noch weitergehen. Hier lässt sich auf Wunsch das Ändern und das Herunterladen von Dateien unterbinden. Somit ist es dann nicht mehr möglich, über die File Station, per FTP oder WebDAV beispielsweise Fotos oder Musikdateien herunterzuladen.

Benutzergruppen erstellen

Statt jedem Nutzer einzeln Rechte für die gemeinsamen Ordner zuzuweisen, können Sie auch eine Benutzergruppe anlegen, zum Beispiel «Freunde und Bekannte» oder «Familie», und dort alle Einstellungen vornehmen. Jeder Benutzer, den Sie zu dieser Gruppe hinzufügen, erhält dann die vordefinierten Rechte.

Um eine neue Benutzergruppe anzulegen, gehen Sie auf Systemsteuerung/, Gruppe/Erstellen. Anschliessend legen Sie fest, welche Rechte jedes Mitglied dieser Gruppe haben soll.

Da es vorkommen kann, dass Sie Rechte vergeben, die sich widersprechen, gilt die Regel, dass Benutzereinstellungen Vorrang haben vor Gruppeneinstellungen.

Nächste Seite: Angreifer blockeren

Angreifer blockieren

Wenn Sie Dienste Ihres NAS für den Zugriff über das Internet freigeben, dann sind Sie anfällig gegen Brute-Force-Angriffe. Dabei versucht der Angreifer, durch unablässige Login-Versuche den Benutzernamen und das Passwort zu ermitteln.

Viele NAS-Server haben einen wirksamen Mechanismus gegen solche Attacken. Sie sperren die IP-Adresse des Angreifers automatisch nach einer bestimmten Zahl fehlgeschlagener Login-Versuche innerhalb von wenigen Minuten. Auf Wunsch erhalten Sie eine E-Mail, sobald ein solcher Fall eintritt.

Automatische Blockierung: Viele NAS-Server wehren Brute-Force-Angriffe aus dem Internet ab, indem sie die IP-Adresse des Angreifers nach mehreren fehlgeschlagenen Login-Versuchen sperren Automatische Blockierung: Viele NAS-Server wehren Brute-Force-Angriffe aus dem Internet ab, indem sie die IP-Adresse des Angreifers nach mehreren fehlgeschlagenen Login-Versuchen sperren © Screenshot / PCtipp

Diesen Schutz müssen Sie aber selbst aktivieren. Dazu gehen Sie im Fall von Synology in der Systemsteuerung des DSM zum Reiter Sicherheit und ins Tab Automatische Blockierung. Dort setzen Sie ein Häkchen bei Automatische Blockierung aktivieren und geben die Anzahl der zulässigen Login-Versuche und die entsprechende Zeitspanne an, also etwa zehn Login-Versuche in fünf Minuten. Beim elften fehlerhaften Versuch wird dann die entsprechende IP-Adresse gesperrt. Im Feld darunter geben Sie an, nach wie vielen Tagen eine solche Sperre wieder aufgehoben werden soll.

Synology-Tool zum Checken der Einstellungen

Synology offeriert übrigens neuerdings einen eigenen Sicherheitschecker in der NAS-Software. Nachdem man sich durch den «Security Advisor» geklickt hat, wird am Schluss ein Gesamt-Sicherheitsstatus zur Ihren NAS-Schwachstellen ausgegeben. Der Report zeigt dann auf, ob schwache Passwörter genutzt werden, die Software eventuell nicht aktuell ist oder HTTPS eingestellt ist oder nicht.