Netzwerksicherheit und NAS-Server
5 Tipps für mehr Netzwerksicherheit
In unserem Artikel zu den besten Netzwerk Tipps und Tricks haben wir Ihnen beschrieben, wie Sie Ihren NAS-Server so konfigurieren, dass Sie von überall aus auf ihn zugreifen können – egal ob über Smartphone, Laptop oder Tablet. Doch dieser Luxus kann auch zur bösen Falle werden, wenn einige Sicherheitsregelungen nicht beachtet werden. Erfahren Sie daher in diesem Artikel,
» Mehr Informationen- Warum Ports freigegeben werden
- oder alternativ ein VPN genutzt werde sollte.
- Wie Sie wissen ob Ihr Kennwort sicher ist,
- den Zugriff für bestimmte Nutzer oder IPs sperren oder
- gezielt Angreifer aus dem Internet sperren können.
1. Begrenzen Sie die Auswahl der Ports – oder nutzen Sie ein VPN
Um aus dem Internet auf Ihr NAS zugreifen zu können, ist eine Variante, während der Konfiguration spezifische Ports für Netzwerkdienste freizugeben – ohne diese Weiterleitungen funktioniert der Zugriff von außerhalb des Netzwerkes in diesem Fall nicht. Doch zur Sicherheit Ihres NAS sollten Sie die Portfreigaben auf ein Minimum beschränken, denn je offener das Netzwerk, umso mehr Angriffsfläche für Hacker bietet es.
» Mehr InformationenZudem sollten Sie darauf achten, möglichst nur auf verschlüsselte Netzwerkdienste zu setzen, damit auch Ihre eingegebenen Zugangsdaten verschlüsselt übertragen werden. So wird das Risiko minimiert, dass Unbefugte sich zwischenschalten und die eingetragenen Daten für ihre Zwecke missbrauchen.
Alternativ können Sie ein Virtual Private Network (VPN) nutzen, um auf das NAS-System via Internet zuzugreifen. Hierfür wird zunächst Ihr heimischer Rechner über eine verschlüsselte Verbindung in das Netzwerk Zuhause integriert, um später per Fernzugriff auf persönliche Daten und Ordner zugreifen können. Mehr dazu erfahren Sie in unserem Artikel über besten Netzwerk Tipps und Tricks.
Vor- und Nachteile einer VPN-Freigabe
- VPN-Freigaben sind oftmals deutlich unkomplizierter eingerichtet als die Freigabe von Ports.
- Die Verbindung ist in der Regel verschlüsselt.
- Es besteht bei vielen NAS-Betriebssystemen die Möglichkeit, dass VPN über die Einstellung Privilegien nur für ein Benutzerkonto freizuschalten.
- Der Datentransfer erfolgt schnell und unkompliziert.
- Wenn Sie über die notwendigen Kenntnisse verfügen ist es sicher, eine HTTPS-Verbindung über entsprechend eingeschränkte Benutzerkonten einzurichten, da ein VPN falsch eingerichtet Zugriff auf das ganze LAN-Netzwerk gewährt.
2. Achten Sie auf sichere Passwörter
Sobald Ihr NAS-Server für den Zugang über das Internet freigegeben wurde, kann sich jeder über die IP dazu Zugang verschaffen – sofern er ein Passwort von einem Benutzer kennt. Achten Sie daher darauf, dass das von Ihnen und eventuell anderen Nutzern gewählte Passwort sowohl Buchenstaben, Zahlen als auch Sonderzeichen enthält.
» Mehr InformationenTipp! Einige NAS-Betriebssysteme bieten die Möglichkeit, dass Passwort direkt im Administrationsinterface auf seine Stärke hin zu prüfen. Das ist zwar kein Garant für Sicherheit, gibt aber dennoch einen Anhaltspunkt auf den Grad der Sicherheit des Passworts.
3. Beschränken Sie die Zugriffsrechte der Nutzer
Sofern mehrere Nutzerkonten auf den NAS zugreifen, sollten die den jeweiligen Benutzerkonten nur die Rechte verschaffen, die sie auch benötigen. Hierzu können Sie in der Administrationsoberfläche jedem User Ordner sowie Lese- und Schreibrechte zuordnen.
» Mehr InformationenTipp! Falls ein Account beispielsweise nur Videos ansehen, aber nicht Speichern soll, reicht der Lesezugriff vollkommen aus. So können im Falle eines Hacks die Filmdaten zwar angesehen, aber nicht gelöscht werden.
4. Beschränken Sie den Zugriff auf das NAS für bestimmt IP-Adressen
Wenn Sie regelmäßig von denselben Standorten aus auf Ihr NAS oder bestimmte Ordner zugreifen und Sie nicht vorhaben, spontan aus Internetcafés Ihre Daten verwalten zu wollen, empfehlen wir Ihnen diese für bestimmte IP-Adressen freizugeben.
» Mehr InformationenHierzu erstellen Sie eine .htaccess-Textdatei, in der festgelegt wird, welche IP-Adressen auf das NAS oder einzelne Ordner zugreifen dürfen. Der Aufbau dieser Datei könnte folgendermaßen aussehen:
order deny,allow
deny from all
allow from 12
allow from 123.45
allow from 192.168
allow from 127.0.0.1
Tipp! Die IP-Adressen müssen Sie natürlich durch jene ersetzen, von denen Sie auf das NAS zugreifen wollen!
Durch „deny from all“ werden alle Verbindungen abgelehnt, außer jene, die über „allow from“ zugelassen werden.
Alternative: Beschränken Sie den Zugriff auf das NAS für bestimmte Benutzer und Kennwörter
Deutlicher flexibler ist ein zusätzlicher Schutz durch eine ordnerspezifische Passwort-Abfrage, die oftmals ganz einfach über die Einrichtung einer .Htaccess- und Htpasswd–Datei konfigurieren können. Sobald jemand ein geschütztes Verzeichnis betritt, erscheint ein kleines Fenster in dem er Benutzerdaten eingeben muss.
Bei Apache-Servern können Sie folgendermaßen vorgehen:
Schritt | Hinweise |
1. Rufen Sie das zu schützende Verzeichnis auf | Um einen Ordner zu schützen, müssen Sie ihn zunächst aufrufen. |
2. Erstellen Sie die Datei .htaccess | Um den Schutz des Verzeichnisses zu aktivieren, benötigen Sie zunächst eine .Htaccess –Datei. In dieser wird festgelegt, welche Benutzer Zugriff auf den Ordner erhalten und wo ihre Passwörter hinterlegt sind.
Der Aufbau dieser Datei könnte folgendermaßen aussehen: AuthType Basic AuthName „Bitte Zugangsdaten eingeben“ AuthUserFile /server/daten/.htpasswd (hier bitte den absoluten Pfad zu Ihrer .htpasswd (siehe Schritt 3 hinterlegen) Require user Blubb |
3. Erstellen Sie die Datei .htpasswd | Um den Schutz des Verzeichnisses zu aktivieren, benötigen Sie darüber hinaus eine .Htpasswd-Datei:
Hier hinterlegen Sie die verschlüsselten Passwörter der zuvor definierten Benutzer, die auf den Ordner zugreifen können sollen. Im Internet finden Sie zahlreiche .htaccess Passwort Generatoren, bei denen Sie die Benutzernamen samt ihrer Passwörter eingeben und einen Code erhalten, der in die Datei kopiert werden muss. Beispiel: Benutzername: Blubb Passwort: Test Code: Blubb:$1$22N07cvh$cq4WVJYqQ0jZE/sBBRp7N. |
Nun wird jeder, der auf den geschützten Ordner zugreifen will zunächst nach einem Benutzernamen und Passwort gefragt.
5. Blocken Sie Angreifer aus dem Internet
In den letzten Jahren haben sich Hacker darauf spezialisiert, automatisiert Angriffe auf NAS-Server zu schicken und dabei zu testen, welche Kombination aus Benutzername und Kennwort funktioniert. Nutzen Sie daher den integrierten Schutz gegen Brute-Force-Angriffe Ihres NAS-Systems, dass Sie im Administrationsbereich sehr wahrscheinlich aktivieren können.
» Mehr InformationenSobald dieses Tool aktiviert wird, sperrt der NAS ein Benutzerkonto nach einer vorgegebenen Anzahl von fehlerhaften Logins solange, bis sie es als Admin wieder freigegeben haben. Natürlich ist das hinderlich, wenn Sie Ihr Passwort eventuell mal vergessen – doch für diesen Fall sollten Sie es sich irgendwo notieren und hinterlegen.
Tipp! Viele NAS-Systeme können auch so konfiguriert werden, dass das Benutzerkonto nach einer festgelegten Zeit automatisch wieder freigegeben wird.