NAS: Verbindung ins Internet verbieten?

[bandchef]

Hi Leute,

wie seht ihr das? Sollte man dem NAS (in meinem Fall ein QNAP TS-251A, verbunden über eine FritzBox 7490) die Verbindung ins Internet verbieten? Quasi Angst vor "Auslesen des NAS von Unbefugten per Anschlag auf mein Netzwerk? Ist diese Angst begründet? Bin ich paranoid?

Wie handhabt ihr das?

 

[so_la_la]

Ich habe IP-Adressen aus Russland und China verboten; ist zwar eher symbolisch, aber schaden tuts auch net. Ansonsten kannst Du doch einen Nutzer definieren, der vom Internet zugreifen darf? Bzw. bestimmten Paketen den Zugriff erlauben oder verbieten?

 

[xammu]

ausgehende Verbindungen verbieten? hm. nein, das mache ich nur bei Chinateilen wie Glühbirnen und Kameras.

Wenn jemand dein Netzwerk kapert, dann kann er auch die Sperre anderweitig umgehen, da du sicher Geräte hast, die ins Internet dürfen.

 

[Blindlinks]

Ich würde mir eher Gedanken darum machen, Verbindungen von Außen auf das NAS auf das Notwendigste zu beschränken. Und ein NAS stellt in den allermeisten Fällen nur eine Verbindung mit den Servern des Herstellers her um nach Aktualisierungen für die Firmware oder/und Apps zu suchen oder, weil man einen DDNS eingerichtet hat, um die WAN IP zu aktualisieren.

 

[BeBur]

Wenn du deinen Router nicht so konfiguriert hast, dass das NAS vom Internet aus erreichbar ist, dann ist das sowieso... nicht erreichbar aus vom Internet. Das NAS selber sollte für Updates und Co. aber raus telefonieren dürfen.

 

[computerbase107]

Eine Empfehlung dazu:

1. Interessanter Grundlagen-Artikel zu den Sicherheitseinstellungen der Fritz-Box: https://www.pc-magazin.de/ratgeber/fritzbox-sicher-machen-konfiguration-test-kaskade-3199927.html

2. Die Fritzbox in einen Stealth-Modus versetzen, so dass der Router nicht mehr auf Anfragen oder Port-Scans aus dem Internet antwortet. Der Stealth-Modus lässt sich im Fritzbox-Menü unter Internet/Filter/Listen im Bereich Globale Filtereinstellungen aktivieren.

 

[Groug]

Wenn du das machst wird das NAS auch keine Updates mehr bekommen. Das ist langfristig eher ein Problem. Solange du das NAS nicht von außen erreichbar machst würde ich mir keine Gedanken machen.

 

[computerbase107]

Die laufenden QTS-Updates können ja von der Webseite von Qnap zuerst auf den Pc/das Notebook heruntergeladen werden und anschließend vom Pc/Notebook auf das Nas.

 

[BeBur]

Die laufenden QTS-Updates können ja von der Webseite von Qnap zuerst auf den Pc/das Notebook heruntergeladen werden und anschließend vom Pc/Notebook auf das Nas.

Das macht doch kein Mensch und erst recht nicht täglich/wöchentlich nachgucken. Dem NAS einfach erlauben updates selbstständig zu installieren, alles andere ist eine Verringerung der Sicherheit.

 

[Groug]

Können sicher aber das scheitert irgendwann an der eigenen Faulheit
Aber wenn man ehrlich ist, ich kaufe kein Gerät wo ich dem Hersteller so misstraue das ich dann solche Klimmzüge mache. Dann hätte ich auch im internen Netz Angst das dort etwas ungewolltest passiert und würde das Teil kompett vom internen Netz trennen. Das macht für ein Nas aber irgendwie keinen Sinn.

 

[deo]

Dem NAS einfach erlauben updates selbstständig zu installieren, alles andere ist eine Verringerung der Sicherheit.

Naja, die Hersteller machen Fehler und man gibt Kontrolle aus der Hand.
Bei Druckern ist diese Einstellung sogar schädlich, weil es HP zum Beispiel immer wieder versucht, Fremdpatronen per Firmwareupdate zu verbieten.
Außerdem sind Sicherheitslücken erst ausnutzbar, wenn man den Zugriff ins Internet gestattet.
Man schafft also die Voraussetzungen für Angriffe, die man durch automatisches Patchen bekämpfen will, wobei man sich dann auch noch auf Hersteller verlässt, die immer wieder unangenehme Sachen vertuschen und schafft sich damit ein unnötiges Chaos.

Ich denke, dass man ein NAS hat, um die Cloud nicht nutzen zu müssen und dann man es nicht absichtlich noch löchrig.

 

[BeBur]

Ja, das ist richtig, optimal bzw. perfekt ist das so dann auch nicht.

 

[Groug]

Außerdem sind Sicherheitslücken erst ausnutzbar, wenn man den Zugriff ins Internet gestattet.

Aus den Internet ist das gefährlichere.

 

[computerbase107]

Das macht doch kein Mensch und erst recht nicht täglich/wöchentlich nachgucken. Dem NAS einfach erlauben updates selbstständig zu installieren, alles andere ist eine Verringerung der Sicherheit.

Bei einem registrierten Qnap-Nas erhält man per Email eine Nachricht, das ein Update vorliegt. Erst dann muss man aktiv werden.
Zusammen mit dem Tool QFinder Pro von Qnap, welches zudem auch automatisch prüft beim Start ob ein Update vorliegt, ist dieses Vorgehen keine Ertra-Mühe und leicht zu bedienen.

 

[Blindlinks]

...
Zusammen mit dem Tool QFinder Pro von Qnap, welches zudem auch automatisch prüft beim Start ob ein Update vorliegt, ist dieses Vorgehen keine Ertra-Mühe und leicht zu bedienen.

Nur startet den QFinder Pro nur ein geringer Teil der QNAP-Benutzer jeden Tag. Es ist ja auch nicht nur die Firmware die aktualisiert werden will, häufig verlangt auch die eine oder andere App ein Update.