Hi,
ich habe ein Synology NAS welche ich als meine eigene Cloud benutze. Allerdings nutze nicht nur ich das NAS sondern auch eine Reihe anderer Leute welche wie ich Ihre Daten in guten Händen sehen möchten. Leider gab es am 13.07.2023 einen extrem kurzen Angriff auf mein NAS. Der Angriff dauerte nur 2 Sekunden, allerdings bekam ich in dieser kurzen Zeit über 1300 Loginversuche aus allen Teilen der Welt. Glücklicherweise hat die Automatische Blockierung von meinem NAS hier ganze Arbeit geleistet und alle Anfragen abgewehrt. Geblieben ist aber die reale Angst davor dass das nur der Anfang war. Ich suche also im Moment eine oder mehrere Lösungen um die Sicherheit von meinem NAS so gut es geht zu erhöhen. Wenn jemand eine Idee hat lasst es mich gerne wissen.
Vielen Dank schonmal im Vorraus!
Ein NAS gehört nicht ins Internet sondern hinter ein VPN.
Um Dir ggf. zu helfen solltest Du vielleicht etwas mehr an Informationen liefern.
- Wie erfolgt Dein bzw. der Zugriff Deiner Freunde auf das NAS?
- Auf welche Dienste wir zugegriffen?
- Wo sitzen Deine Freunde? Im In- oder Ausland oder zusammen in z.B. einem Büro?
- Welcher Router und welche Ports hast Du geöffnet?
- Wie sieht die Firewall Konfiguration des NAS aus?
(IMHO: Ich würde keinem meiner Freunde anbieten seine Daten bei mir zu speichern. Selbst wenn Du Netzwerktechnisch alles richtig machst kann ein Hardwaredefekt mit ev. Datenverlust eine Freundschaft ziemlich belasten 
)
Automatische Blocklist via Script erstellen lassen, Firewall einschalten und Bereiche für den Zugriff festlegen
https://github.com/geimist/Update_Blocklist/blob/master/update_blocklist.sh
Die erste Antwort ist die wichtigste. Ein NAS gehört nicht ins Internet oder nur hinter einem VPN.
Die größte Gefahr für einen NAS ist der eigene Nutzer, der meint alles mit dem Internet verbinden zu müssen.
Ja, das ist immer das Totschlagargument, wenn du aber nunmal Sachen mit anderen auf dem NAS nutzt, dann geht es nicht anders, oder möchtest du diesen Leuten einen VPN-Zugang zu deinem Netzwerk geben?
Außerdem ist das NAS nur für die Dienste/Ports erreichbar die du im Router/Firewall freigibst - hier sollte man also auf drauf achten nur das Notwendigste freizugeben und vor allem die Firmware auf aktuellem Stand zu halten - sie Fritz!Boxen kürzlich…
GM Accu,
wie schon angedeutet festlegen, welche Services genutzt werden sollen und dann auch nur diese.
Nutzer: ordentliche Passwörter, ggf MFA aktivieren, geht für Syno. Ebenfalls auf die Zugriffsstruktur achten - nur das erreichbar machen, was für den Nutzer minimal notwendig ist.
FW: Zuerst ein individuelles Regelset erstellen, nicht die Grundeinstellung nutzen. Regel erstellen, dass erstmal alles blokiert wird, bis auf z.B. D, wenn die Zugriffe nur aus D erfolgen sollen oder ggf. spezifische IP-Adressen und Ports nutzen(im Router konfigurieren), die sonst eher nicht ins „Zielbild“ eines Scans passen.
Danach testen, ob der Zugriff funktioniert - das war jetzt die Kurzversion…
Viel Glück.
Nein, das ist es nicht, es ist eine allgemein anerkannte Lösung. Wenn @Accuracy6777 folgendes schreibt:
dann ist es den Nutzern durchaus zuzumuten einen VPN zu nutzen. Die von dir skizzierte Lösung hat eine größere Angriffsfläche, die beim VPN auf denselbigen reduziert wird.
3 Irrtümer in einem Satz
a) Das ist kein Totschlagargument, sondern „best practice“.
b) Der externe Zugriff auf das NAS lässt sich auch anders realisieren (Reverse Proxy).
c) Ein VPN kann auch nur für den Zugriff auf das NAS eingerichtet werden.
Grundsätzlich sind die meisten NAS nicht für den Einsatz im Internet konzipiert.
Sie lassen sich dafür zwar einsetzen, dann sollten aber zusätzliche Maßnahmen zur Absicherung getroffen werden.
Das ist meistens deutlich aufwendiger als einfach ein VPN für den Zugriff auf das NAS einzurichten.
Ein Synology NAS sollte bereits eine VPN-App anbieten.
Außerdem werden VPN-Dienste deutlich seltener angegriffen.
Na dann ist doch alles super oder?
Dann hilfst du dem geneigten User, der hier fragt doch sicher bei der Einrichtung eines ReverseProxys und ebenso der Konfiguration des VPN’s - vermutlich noch auf einer Fritzbox…
Man sollte Theorie und Praxis schon trennen, gerade wenn ein User hier um Ratschläge bittet - best practice lässt sich halt oft nicht mit der vorhandenen Umgebung umsetzen…
Sehe jetzt auch kein größeres Risiko wenn nur ein Dienst/Port vom NAS extern freigegeben und der Zugriff mittels Firewall des NAS entsprechend eingegrenzt wird - zumal diese Lösung weniger Aufwand bedeutet als für jeden externen User einen VPN Zugang bereitzustellen…
Die meisten Dinge, die ich bei mir umgesetzt habe wurden schon genannt.
Hier noch ein paar Sachen, wie ich sie bei mir geregelt habe und für sinnvoll erachte.
- Systemupdates und Aktualisierungen für die installierten Pakete kann man automatisch installieren lassen. In der Systemsteuerung (DSM-Software) und dem Paketzentrum (Programme/Pakete) lässt sich das aktivieren.
- Pakete/Programme, die man nicht braucht sollte man nicht installieren und ggf. entfernen.
- Ein Benuteraccount, der als Administratoraccount dient und nur zum einrichten/einstellen des Systems genutzt wird. Die Benutzer haben somit keine Möglichkeit, Einstellungen vozunehmen.
(„admin“ o.ä. soll als Accountname nicht das Beste sein, da es zu den bekannten Namen gehört, die Angreifer gerne durchprobieren) - Es gibt ein Paket, dass sich „Sicherheitsberater“ nennt. Dort kann man das System nach „sicherheitsrelevanten“ Einstellungen scannen und bei Bedarf anpassen. (Man kann hier unter anderem auch festlegen, nach was überhaupt gesucht werden soll.)
- Aus sicht des Datenschutzes kann man noch den NTP-Server ändern. Als Standart ist da meines Wissens Google eingetragen. (z.B. https://dismail.de/info.html#ntp)
Zudem kann man noch den DNS Server anpassen (lokal mit einem Pi-Hole oder einem externen DNS-Server)
Full ACK!
Mehr gibt es dazu nicht zu sagen.
Außer: Der einzig richtige Weg ist ein VPN-Zugriff - falls man den ordentlich absichert.