Netzwerksicherheit und NAS-Server

Buffalo WS5600DNAS-Server sind eine praktische Lösung, um Medien wie Bilder, Fotos und Videos, aber auch Dokumente sicher zu verwahren – ohne auf eine Cloud im Internet zurückgreifen zu müssen, bei der man nie genau weiß, was das Unternehmen dahinter mit den Daten anstellt. Doch auch der falsche Umgang mit NAS-Servern kann zu ungewollten Datenlücken führen. Damit Ihr Netzwerk etwas sicherer ist, möchten wir Ihnen in diesem Artikel 5 Tipps geben, wie Sie Ihren Heimserver vor den modernen Gefahren des Internets schützen können.

5 Tipps für mehr Netzwerksicherheit

Netzwerksicherheit und NAS-ServerIn unserem Artikel zu den besten Netzwerk Tipps und Tricks haben wir Ihnen beschrieben, wie Sie Ihren NAS-Server so konfigurieren, dass Sie von überall aus auf ihn zugreifen können – egal ob über Smartphone, Laptop oder Tablet. Doch dieser Luxus kann auch zur bösen Falle werden, wenn einige Sicherheitsregelungen nicht beachtet werden. Erfahren Sie daher in diesem Artikel,

  • Warum Ports freigegeben werden
  • oder alternativ ein VPN genutzt werde sollte.
  • Wie Sie wissen ob Ihr Kennwort sicher ist,
  • den Zugriff für bestimmte Nutzer oder IPs sperren oder
  • gezielt Angreifer aus dem Internet sperren können.

1. Begrenzen Sie die Auswahl der Ports – oder nutzen Sie ein VPN

Um aus dem Internet auf Ihr NAS zugreifen zu können, ist eine Variante, während der Konfiguration spezifische Ports für Netzwerkdienste freizugeben – ohne diese Weiterleitungen funktioniert der Zugriff von außerhalb des Netzwerkes in diesem Fall nicht. Doch zur Sicherheit Ihres NAS sollten Sie die Portfreigaben auf ein Minimum beschränken, denn je offener das Netzwerk, umso mehr Angriffsfläche für Hacker bietet es.

Zudem sollten Sie darauf achten, möglichst nur auf verschlüsselte Netzwerkdienste zu setzen, damit auch Ihre eingegebenen Zugangsdaten verschlüsselt übertragen werden. So wird das Risiko minimiert, dass Unbefugte sich zwischenschalten und die eingetragenen Daten für ihre Zwecke missbrauchen.

Alternativ können Sie ein Virtual Private Network (VPN) nutzen, um auf das NAS-System via Internet zuzugreifen. Hierfür wird zunächst Ihr heimischer Rechner über eine verschlüsselte Verbindung in das Netzwerk Zuhause integriert, um später per Fernzugriff auf persönliche Daten und Ordner zugreifen können. Mehr dazu erfahren Sie in unserem Artikel über besten Netzwerk Tipps und Tricks.

Vor- und Nachteile einer VPN-Freigabe

  • VPN-Freigaben sind oftmals deutlich unkomplizierter eingerichtet als die Freigabe von Ports.
  • Die Verbindung ist in der Regel verschlüsselt.
  • Es besteht bei vielen NAS-Betriebssystemen die Möglichkeit, dass VPN über die Einstellung Privilegien nur für ein Benutzerkonto freizuschalten.
  • Der Datentransfer erfolgt schnell und unkompliziert.
  • Wenn Sie über die notwendigen Kenntnisse verfügen ist es sicher, eine HTTPS-Verbindung über entsprechend eingeschränkte Benutzerkonten einzurichten, da ein VPN falsch eingerichtet Zugriff auf das ganze LAN-Netzwerk gewährt.

2. Achten Sie auf sichere Passwörter

Sobald Ihr NAS-Server für den Zugang über das Internet freigegeben wurde, kann sich jeder über die IP dazu Zugang verschaffen – sofern er ein Passwort von einem Benutzer kennt. Achten Sie daher darauf, dass das von Ihnen und eventuell anderen Nutzern gewählte Passwort sowohl Buchenstaben, Zahlen als auch Sonderzeichen enthält.

Tipp! Einige NAS-Betriebssysteme bieten die Möglichkeit, dass Passwort direkt im Administrationsinterface auf seine Stärke hin zu prüfen. Das ist zwar kein Garant für Sicherheit, gibt aber dennoch einen Anhaltspunkt auf den Grad der Sicherheit des Passworts.

3. Beschränken Sie die Zugriffsrechte der Nutzer

Sofern mehrere Nutzerkonten auf den NAS zugreifen, sollten die den jeweiligen Benutzerkonten nur die Rechte verschaffen, die sie auch benötigen. Hierzu können Sie in der Administrationsoberfläche jedem User Ordner sowie Lese- und Schreibrechte zuordnen.

Tipp! Falls ein Account beispielsweise nur Videos ansehen, aber nicht Speichern soll, reicht der Lesezugriff vollkommen aus. So können im Falle eines Hacks die Filmdaten zwar angesehen, aber nicht gelöscht werden.

4. Beschränken Sie den Zugriff auf das NAS für bestimmt IP-Adressen

Wenn Sie regelmäßig von denselben Standorten aus auf Ihr NAS oder bestimmte Ordner zugreifen und Sie nicht vorhaben, spontan aus Internetcafés Ihre Daten verwalten zu wollen, empfehlen wir Ihnen diese für bestimmte IP-Adressen freizugeben.

Hierzu erstellen Sie eine .htaccess-Textdatei, in der festgelegt wird, welche IP-Adressen auf das NAS oder einzelne Ordner zugreifen dürfen. Der Aufbau dieser Datei könnte folgendermaßen aussehen:

order deny,allow

deny from all

allow from 12

allow from 123.45

allow from 192.168

allow from 127.0.0.1

Tipp! Die IP-Adressen müssen Sie natürlich durch jene ersetzen, von denen Sie auf das NAS zugreifen wollen!

Durch „deny from all“ werden alle Verbindungen abgelehnt, außer jene, die über „allow from“ zugelassen werden.

Alternative: Beschränken Sie den Zugriff auf das NAS für bestimmte Benutzer und Kennwörter

Deutlicher flexibler ist ein zusätzlicher Schutz durch eine ordnerspezifische Passwort-Abfrage, die oftmals ganz einfach über die Einrichtung einer .Htaccess- und Htpasswd–Datei konfigurieren können. Sobald jemand ein geschütztes Verzeichnis betritt, erscheint ein kleines Fenster in dem er Benutzerdaten eingeben muss.

Bei Apache-Servern können Sie folgendermaßen vorgehen:

Schritt Hinweise
1.     Rufen Sie das zu schützende Verzeichnis auf Um einen Ordner zu schützen, müssen Sie ihn zunächst aufrufen.
2.     Erstellen Sie die Datei .htaccess Um den Schutz des Verzeichnisses zu aktivieren, benötigen Sie zunächst eine .Htaccess –Datei. In dieser wird festgelegt, welche Benutzer Zugriff auf den Ordner erhalten und wo ihre Passwörter hinterlegt sind.

Der Aufbau dieser Datei könnte folgendermaßen aussehen:

AuthType Basic

AuthName “Bitte Zugangsdaten eingeben”

AuthUserFile /server/daten/.htpasswd (hier bitte den absoluten Pfad zu Ihrer .htpasswd (siehe Schritt 3 hinterlegen)

Require user Blubb

3.     Erstellen Sie die Datei .htpasswd Um den Schutz des Verzeichnisses zu aktivieren, benötigen Sie darüber hinaus eine .Htpasswd-Datei:

Hier hinterlegen Sie die verschlüsselten Passwörter der zuvor definierten Benutzer, die auf den Ordner zugreifen können sollen. Im Internet finden Sie zahlreiche .htaccess Passwort Generatoren, bei denen Sie die Benutzernamen samt ihrer Passwörter eingeben und einen Code erhalten, der in die Datei kopiert werden muss.

Beispiel:

Benutzername: Blubb

Passwort: Test

Code: Blubb:$1$22N07cvh$cq4WVJYqQ0jZE/sBBRp7N.

Nun wird jeder, der auf den geschützten Ordner zugreifen will zunächst nach einem Benutzernamen und Passwort gefragt.

5. Blocken Sie Angreifer aus dem Internet

In den letzten Jahren haben sich Hacker darauf spezialisiert, automatisiert Angriffe auf NAS-Server zu schicken und dabei zu bewerten, welche Kombination aus Benutzername und Kennwort funktioniert. Nutzen Sie daher den integrierten Schutz gegen Brute-Force-Angriffe Ihres NAS-Systems, dass Sie im Administrationsbereich sehr wahrscheinlich aktivieren können.

Sobald dieses Tool aktiviert wird, sperrt der NAS ein Benutzerkonto nach einer vorgegebenen Anzahl von fehlerhaften Logins solange, bis sie es als Admin wieder freigegeben haben. Natürlich ist das hinderlich, wenn Sie Ihr Passwort eventuell mal vergessen – doch für diesen Fall sollten Sie es sich irgendwo notieren und hinterlegen.

Tipp! Viele NAS-Systeme können auch so konfiguriert werden, dass das Benutzerkonto nach einer festgelegten Zeit automatisch wieder freigegeben wird.

Neuen Kommentar verfassen