QNAP Sicherheit

MarkusAT

Member
Hallöchen zusammen,

ich mach hier mal einen Thread auf, zur generellen Sicherheit der QNAP's bzw was sicher ist und was man lieber lassen sollte.
Der Hintergrund, ich als Laie will wissen, ob ich eh alles deaktiviert habe, was einen Angriff von außen ermöglicht. Und im besten Fall können sich auch andere User daran orientieren.

Aktuell (und in den letzten Monaten) hört man ja immer wieder von (leider erfolgreichen) Angriffen von QNAP's im Internet.
Auch wenn der Zugriff über scheinbar (zumindest für den Laien) sichere Verbindungen läuft. Zumindest sollte man meinen, dass die QNAP eigenen Tools, die den Zugriff auf seine Daten von überall auf der Welt bewerben, sicher sind (das würde ich mir zumindest als Kunde erwarten). Ist aber halt nicht so.

Sicherer Zugriff (relativ):
  • Zugriff über einen VPN (QVPN möglich, externe Firewall (Router/Modem mit VPN) empfohlen)


Unsicherer Zugriff:
  • QSync (am besten deaktivieren)
  • myQNAPcloud (am besten deaktiveren, vor allem das NAS nicht mit einer xxx.myqnapcloud Adresse von außen zugänglich machen)
  • direkter DDNS Zugriff auf das NAS (am besten deaktivieren)
  • UPnP Dienst im QNAP (wenn man nicht ganz genau weiß, was man damit tut, lieber deaktivieren und zwar am Router und am NAS)

Andere Dienste:
  • DLNA Medienserver (relativ sicher, wenn nur im eigenen Netzwerk erreichbar)

Generell gilt natürlich, Finger weg von allen Services die irgendwie mit dem Web kommunizieren, wenn man nicht weiß was man macht. Das unterstelle ich mal vielen QNAP-Usern, der sicherlich nicht dem hiesigen Forumsschnitt widerspiegelt.

Weitere Dienste die auf jeden Fall (außer man weiß genau was man macht) deaktiviert werden sollte, oder auf jeden Fall sichere Dienste, gerne ergänzen, ich passe dass dann hier in Post 1 an :)
Natürlich auch, sollte ich bei oben genannen Dingen falsch liegen :)

Liebe Grüße,
Markus
 
Zuletzt bearbeitet:

MarkusAT

Member
Da es zum Thema passt, aber nicht zu meiner Übersicht:
Der Security Counselor sagt ich bin sicher, aber was will er mir mit der ersten Meldung sagen. Es geht um das senden von den Scanergebnissen an QNAP, klar, aber warum ist dieser Status "unknown"?
1642015632466.png
 

FSC830

Active member
Qsync ist nur unsicher, wenn man aus dem Internet per Portweiterleitung zugreift.
Im LAN oder über VPN würde ich es nach jetzigem Kenntnisstand nicht als unsicher ansehen.

Und nur zur besseren Verständlichkeit: mit FW meinst Du FireWall, nicht FirmWare. Manche Kürzel sind eben mehrdeutig. :)

Gruss
 

tiermutter

Well-known member
Es hängt halt immer vom Dienst ab, der hinter einer portfreigabe läuft... Das ist also maximal so sicher wie der Dienst selbst und dieser kann weitere Abhängigkeiten von anderen Diensten haben, die ebenfalls unsicher sein können. Die meisten Anwendungen, vor allem solche die auf einem NAS laufen, sind meist nicht so gut gepflegt und abgesichert wie es erforderlich wäre. Es werden sich immer Sicherheitslücken auftun, je mehr zugängliche Dienste samt Abhängigkeiten, desto gefährdeter ist man auch.
Ein VPN ist erstmal nichts anderes, allerdings sind diese Dienste extra dafür gesichert, darauf liegt das Hauptaugenmerk und unterm Strich ist es dann nur ein Dienst, der angreifbar ist.

Das A und O ist erstmal keine derartigen Dienste von außen zugänglich zu machen. Wenn man das dennoch braucht muss man explizit schauen was es für Möglichkeiten gibt und wie man das im Einzelfall sicher gestalten kann.

Ansonsten ist es natürlich grundsätzlich sinnvoll alle Dienste zu deinstallieren, die man nicht benötigt, ein Risiko sehe ich da aber nicht wenn das NAS nicht aus dem Internet erreichbar ist, deshalb kann ich auch gut mit Sicherheitslücken am NAS leben und muss mir nicht zwanghaft jedes Update auftun... Solange der Feind nicht in meinem Netzwerk lauert interessiert mich das nicht sonderlich.

Was den Security Counselour angeht scheint der einen Fehler zu haben... Ich benutze ihn nicht, denn was will er mir schon erzählen?
 

MarkusAT

Member
Und nur zur besseren Verständlichkeit: mit FW meinst Du FireWall, nicht FirmWare. Manche Kürzel sind eben mehrdeutig. :)
Habe ich geändert, stimmt :)

Das A und O ist erstmal keine derartigen Dienste von außen zugänglich zu machen.
Ich denke, dass es hier für viele Laien schon eben schwer wird. Ich nehm hier mich als NAS-Deppen als Beispiel:

Vor 2 Wochen habe ich das NAS eingerichtet, und direkt mal alle empfohlenen Dienste, die so aufpoppten eingerichtet. Unter anderem eben das NAS direkt per DDNS erreichbar machen, myQnapCloud, UPnP (kam zum Glück ein Fehler, da es am Router deaktiviert war). Meine NAS waren also voll im Netz. Hab dann gemerkt, dass der Spindown nicht so will, und dachte erst mal an diesen Diensten, deswegen (und das war Stand vor 2 Wochen der einzige Grund) habe ich all diese Dienste wieder deaktiviert, alle Geräte von irgendwelchen Online QNAP Konten gelöscht und hatte quasi wieder ein NAS, erreichbar nur über LAN.
Dann hab ich in den Foren gesucht, nach VPN-Möglichkeiten, aber vor allem am Anfang wegen den Temps und den Spindown. Ich bin aber neugierig und schau mir in Foren auch immer die "neuen" Beiträge an.
Und siehe da, meine ursprüngliche Einrichtung war ja höchstgefährlich und genau diese Einrichtung hat mir QNAP als "Features" aufdrängen wollen. Nach der Art "it's not a Bug, it's a Feature".
Ich weiß den Wortlaut nicht, aber im Prinzip, "Richten Sie X,Y,Z ein um das NAS überall Zugriff auf Ihre Daten zu haben"; "Richten Sie X,Y,Z ein um Ihr NAS immer unter diesem Link erreichen zu können".

Klar, beim IT-Profi läuten bei diesen Sätzen eh so oder so die Alarmglocken, für den 0815 Anwender (der einfach seine 200 Urlaubsfotos sichern will und auch Zugriff darauf haben will wenn er Oma Erma besucht, der denkt sich dabei nichts. Und weil das mit den Fotos ja so praktisch ist, legt er sich noch die Bankzugänge, natürlich schön lesbar und sortiert als Word Datei auch noch auf das NAS. Der ganz schlaue, auch in Word als Screenshot gespeichert noch seine Bitcoin Wallets...

Ansonsten ist es natürlich grundsätzlich sinnvoll alle Dienste zu deinstallieren, die man nicht benötigt, ein Risiko sehe ich da aber nicht wenn das NAS nicht aus dem Internet erreichbar ist
Genau das machen ja einige dieser Dienste, zumindest war ich vor 2 Wochen beeindruckt, wie ich auf mein NAS kam, das am Router steckte, mit deaktivierten UPnP und ohne Portweiterleitung.

denn was will er mir schon erzählen?
Dir sicher nicht, mir schon (noch) :D
 

tiermutter

Well-known member
Genau so ist es aber leider... Dem User wird das Blaue vom Himmel versprochen weil man mit dem Mitbewerber mitziehen muss und der es genauso anbietet. Dort ist es grundsätzlich aber auch nicht weniger gefährlich. Bei QNAP genießt man vor allem auch den Nachteil, dass Malware vornehmlich für NAS von QNAP entwickelt wird, das ist wie mit Windows und Linux, da bekommt auch Windows die Masse an Malware ab.
So langsam bekommt QNAP die Kurve was diese Features angeht, habe ich das Gefühl. Es wird aber noch einige Zeit dauern bis diese Verherrlichungen ein Ende nehmen und so richtig verübeln kann ich es halt auch nicht, denn dann gehen potentielle Kunden halt zur Konkurrenz, die diese Features weiterhin anpreist.... So lange, bis diese das Hauptziel von Malware sind.

Für unerfahrene User ist das halt gefährlich, genauso wie Autofahren, dafür muss man aber wenigstens nen Führerschein machen. Und auch da werden schnelle Autos mit viel PS und Drehmoment verkauft... Karren die eigentlich auf eine Rennbahn gehören. Da erzählt Dir aber auch niemand wie gefährlich es ist die Karre im Straßenverkehr auszureizen.
Eigentlich müsste man heute in der Schule wenigstens schonmal grundlegend über Gefahren im Internet aufgeklärt werden, da würde sowas dann dazugehörigen. Ansonsten bleibt nur das versehentliche entdecken solcher Informationen oder die Leidvolle Erfahrung. Blöd, aber ist so. Deswegen ist es wichtig sich etwas mehr in die Materie hineinzusteigern... Glaubst Du dass ich mir irgendwann mal ein NAS zugelegt habe und mir gesagt habe "aber mache den Zugang aus dem Internet bloß vernünftig und sicher"? :D
Natürlich nicht, das hat auch seine Woche gedauert...
 

MarkusAT

Member
Für unerfahrene User ist das halt gefährlich, genauso wie Autofahren, dafür muss man aber wenigstens nen Führerschein machen. Und auch da werden schnelle Autos mit viel PS und Drehmoment verkauft... Karren die eigentlich auf eine Rennbahn gehören. Da erzählt Dir aber auch niemand wie gefährlich es ist die Karre im Straßenverkehr auszureizen.
Das stimmt, aber da hat die Allgemeinheit (okay, die meisten) ein besseres Verständnis für die Gefahren, als von einer Platte die mit nem Kabel am Router hängt :)
Was nicht heißt, dass die Leute die Gefahren im Straßenverkehr trotzdem eingehen ^^

Eigentlich müsste man heute in der Schule wenigstens schonmal grundlegend über Gefahren im Internet aufgeklärt werden, da würde sowas dann dazugehörigen.
Ja, das wäre tatsächlich was. Würde 95% der Menschheit (die Zahl unterstelle ich einfach mal) weiter bringen als Biologie, Geschichte, Religion,...). Aber gut, da müsste noch viel anderes gelehrt werden :)

Glaubst Du dass ich mir irgendwann mal ein NAS zugelegt habe und mir gesagt habe "aber mache den Zugang aus dem Internet bloß vernünftig und sicher"? :D
Natürlich war das meine Meinung :p
 

tiermutter

Well-known member
Religion... Ganz wichtig... Und Musik und Kunst 🙈🙈

Tatsächlich habe ich auch mit einer Portweiterleitung auf QTS angefangen. Vorher hatte ich eine externe HDD mit vornehmlich Medien, die ich immer zwischen den Rechnern (Büro, Wohnzimmer, Schlafzimmer, Bar) rumgeschleppt habe. Als dann das NAS kam und ich von überall im LAN Zugriff hatte, wollte ich natürlich auch Zugriff über WAN. Ich wusste zwar was eine Portweiterleitung ist und diese risikobehaftet ist, habe QTS aber noch mehr Sicherheit zugesprochen... Und tatsächlich waren die Zeiten "damals" noch andere, da gab es nicht ständig Malware und Angriffe auf QNAP. Dass ich schon bald auf VPN gewechselt habe lag noch nichtmal an der Gefahr, sondern vielmehr daran, dass ich nun gerne auch andere Geräte im LAN erreichen wollte. Der VPN Server lief dann auch lange Zeit auf dem QNAP und die Intention den VPN aif dem Router zu haben war nicht nur dem Gedanken an Sicherheit geschuldet sondern auch den besseren Konfigurationsmöglichkeiten und weil es grundsätzlich halt eleganter ist. In der heutigen Zeit würde ich auf diese Gedanken nicht mehr kommen, kann sie aber entsprechend nachvollziehen. Und so steigert man sich immer weiter rein und will an jeder Ecke die Sicherheit verbessern. Wie eine Sucht :p
... Bis man zum Freak mutiert... Hatte ich erwähnt, dass ich mein Rack letztes Jahr mit einer Zutrittskontrolle ausgestattet habe? :ROFLMAO:
 

FSC830

Active member
Du hast ein ***begehbares*** Rack? :oops:
Ein Rack allein ist ja schon viel, das sind bei mir mind. 24HE eigentlich 38 oder 42HE, darunter sind es für mich "nur" Rackschränke.
Jetzt kommst Du um die Ecke mit einem begehbaren Rack. Das erinnert mich ein wenig an begehbare Wandschränke. :LOL:

Gruss
 

tiermutter

Well-known member
:ROFLMAO: :ROFLMAO:
Tatsächlich muss ich mein Rack wirklich begehen, wenn ich an die Rückseite will. Es steht in einer Nische unter der Kellertreppe und ich komme nur hinten ran, wenn ich durch die untersten freien HE nach hinten durchklettere.
🙈
 

blurrrr

Well-known member
Habt ihr etwa keinen begehbaren Cage Zuhause? Kann ich ja jetzt so garnicht verstehen... 🤪 Aber mal ernsthaft - die von @tiermutter beschriebene Situation findet man (leider) bei sehr vielen Kunden vor... Die wenigsten denken daran, dass man ggf. auch mal hinten an die Geräte muss... Eigentlich alles nur halb so wild, wenn auch ausziehbare Schienen dabei sind, aber die kosten ja dann doch wieder "ein paar" Euro mehr, die sich einige Firmen dann auch gern sparen und dann hat man den Salat 🙄 Racks werden von den meisten halt in irgendwelche Ecken gequetscht, so dass man am besten nur noch von vorne (und auch nicht mehr von den Seiten) an irgendwas dran kommt, sieht halt einfach besser aus 😅 Mein TK-Schränkchen im Keller hängt auch an der Wand bzw. in einer Ecke, somit komme ich weder von hinten, noch von rechts dran, aber das muss ich bei dem kleinen Ding auch garnicht. Fullsize-Rack im Büro steht auf "Rollen" in einem kleineren Raum, kann dadurch aber auch frei bewegt werden, so dass man sich das dann schieben kann wie man es grade braucht. Alles andere an Racks ist sowieso standardmässig von vorne und hinten problemlos erreichbar.

Für Hausbesitzer, die sich etwas in den Keller stellen wollen, wäre definitiv darauf zu achten, dass das Ding von "allen" Seiten gut zugreifbar ist, bei mehreren Racks (welche miteinander verbunden sind) wird das mit den Seiten dann schon etwas problematischer, aber vorne/hinten sollte auf jeden Fall erreichbar sein. Dazu - ganz wichtig - den "Sockel" nicht vergessen, der hat schon so manchem die Hardware bei Wasserschaden gerettet 😉
Unsicherer Zugriff:
  • QSync (am besten deaktivieren)
  • myQNAPcloud (am besten deaktiveren, vor allem das NAS nicht mit einer xxx.myqnapcloud Adresse von außen zugänglich machen)
  • direkter DDNS Zugriff auf das NAS (am besten deaktivieren)
  • UPnP Dienst im QNAP (wenn man nicht ganz genau weiß, was man damit tut, lieber deaktivieren und zwar am Router und am NAS)

QSync ist nur eine Synchronisationssoftware (glaub ich, hört sich jedenfalls so an) und hat erstmal nichts mit "direkt von aussen erreichbar" zu tun. myQNAPcloud kenn ich nicht, aber wenn es sowas ist wie Quickconnect von Synology, dann auf jeden Fall abschalten. Einen "direkten" Zugriff via DDNS gibt es auch nicht. DDNS selbst sorgt für "gar keinen" Zugriff, sondern ist nur ein Alias-Dienst, welcher einen fixen Ansprechpunkt für eine dynamische (sich verändernde) Adresse liefert. UPnP sollte man beim Router schon abschalten, wenn es das einzigste Gerät ist. Ist noch eine Firewall davor, wird diese sich i.d.R. mal so garnicht an irgendwelchen Aufforderungen div. Ports zu öffnen stören, da bei den meisten vernünftigen Firewalls einfach gar kein UPnP implementiert ist. UPnP ist halt eher was für Privatpersonen (und daher SOHO-Router), welche dann Zuhause mit der Konsole zocken wollen und das Spiel halt irgendwelche Ports eingehenden Ports offen braucht (z.B. zwecks Spiel hosten, etc.). Da will man privat halt keinen großen Stress mit haben und so erledigt das UPnP halt einfach automatisch... Verhält sich ebenso wie bei vielen IP-Cams, welche dann meist sogar schon mit eigenem DDNS-Dienst und -Client (auf der Cam selbst) kommen... Cam ins Netz werfen, ein bisschen warten (Cam registriert sich beim DDNS-Dienst mit der öffentlichen IP des Anschlusses und öffnet via UPnP die Ports am Router) und schon funktioniert die ganze Geschichte einfach - super für den privaten Laien. Wenn man eben nicht möchte, dass einfach "irgendwelche Dinge" im privaten Netz bzw. am Router passieren, sollte man sowas eben abstellen... kann bei mehreren Geräten mit solchem Verhalten auch Probleme verursachen (z.B. wenn sich 2 Geräte um die Portweiterleitung von Port 80 (http) streiten).
 

FSC830

Active member
Habt ihr etwa keinen begehbaren Cage Zuhause? Kann ich ja jetzt so garnicht verstehen... 🤪 Aber mal ernsthaft - die von @tiermutter beschriebene Situation findet man (leider) bei sehr vielen Kunden vor...
Nein, habe ich nicht :oops:, ich hoffe, ich darf trotzdem noch im Forum bleiben!? :p
Die wenigsten denken daran, dass man ggf. auch mal hinten an die Geräte muss
DAS kenne ich sehr gut! Ich habe Stunden hinter Racks verbracht, die nur 50cm bis zur Wand hatten und die Tür deshalb nur halb aufging.
Und einmal habe ich mir vo einem Kunden schriftlich(!!) bestätigen lassen, das ich für keinen Ausfall haftbar gemacht werde.
Da war die Serviceflächhe hinten total zu mit einem Kabelverhau, einzelne Kabel waren von der Wandsteckdose "auf Zug" an die Komponenten angeschlossen.
Die Racksteckdosen waren voll, da zieht man eben freifliegende Leitungen o_O.

Und so etwas gibt es auch (leider etwas unscharf):
1642082608316.png

Aber ok, das war ein Testlab, dennoch, so ähnliches habe ich auch schon bei Kunden im produktiven Umfeld gesehen.
Ganz toll, wenn man dann eine Komponente tauschen/hinzufügen muss. ;)

Gruss
 

frosch2

Active member
Habt ihr etwa keinen begehbaren Cage Zuhause? Kann ich ja jetzt so garnicht verstehen... 🤪 Aber mal ernsthaft - die von @tiermutter beschriebene Situation findet man (leider) bei sehr vielen Kunden vor... Die wenigsten denken daran, dass man ggf. auch mal hinten an die Geräte muss... Eigentlich alles nur halb so wild, wenn auch ausziehbare Schienen dabei sind, aber die kosten ja dann doch wieder "ein paar" Euro mehr, die sich einige Firmen dann auch gern sparen und dann hat man den Salat 🙄 Racks werden von den meisten halt in irgendwelche Ecken gequetscht, so dass man am besten nur noch von vorne (und auch nicht mehr von den Seiten) an irgendwas dran kommt, sieht halt einfach besser aus 😅 Mein TK-Schränkchen im Keller hängt auch an der Wand bzw. in einer Ecke, somit komme ich weder von hinten, noch von rechts dran, aber das muss ich bei dem kleinen Ding auch garnicht. Fullsize-Rack im Büro steht auf "Rollen" in einem kleineren Raum, kann dadurch aber auch frei bewegt werden, so dass man sich das dann schieben kann wie man es grade braucht. Alles andere an Racks ist sowieso standardmässig von vorne und hinten problemlos erreichbar.

Für Hausbesitzer, die sich etwas in den Keller stellen wollen, wäre definitiv darauf zu achten, dass das Ding von "allen" Seiten gut zugreifbar ist, bei mehreren Racks (welche miteinander verbunden sind) wird das mit den Seiten dann schon etwas problematischer, aber vorne/hinten sollte auf jeden Fall erreichbar sein. Dazu - ganz wichtig - den "Sockel" nicht vergessen, der hat schon so manchem die Hardware bei Wasserschaden gerettet 😉


QSync ist nur eine Synchronisationssoftware (glaub ich, hört sich jedenfalls so an) und hat erstmal nichts mit "direkt von aussen erreichbar" zu tun. myQNAPcloud kenn ich nicht, aber wenn es sowas ist wie Quickconnect von Synology, dann auf jeden Fall abschalten. Einen "direkten" Zugriff via DDNS gibt es auch nicht. DDNS selbst sorgt für "gar keinen" Zugriff, sondern ist nur ein Alias-Dienst, welcher einen fixen Ansprechpunkt für eine dynamische (sich verändernde) Adresse liefert. UPnP sollte man beim Router schon abschalten, wenn es das einzigste Gerät ist. Ist noch eine Firewall davor, wird diese sich i.d.R. mal so garnicht an irgendwelchen Aufforderungen div. Ports zu öffnen stören, da bei den meisten vernünftigen Firewalls einfach gar kein UPnP implementiert ist. UPnP ist halt eher was für Privatpersonen (und daher SOHO-Router), welche dann Zuhause mit der Konsole zocken wollen und das Spiel halt irgendwelche Ports eingehenden Ports offen braucht (z.B. zwecks Spiel hosten, etc.). Da will man privat halt keinen großen Stress mit haben und so erledigt das UPnP halt einfach automatisch... Verhält sich ebenso wie bei vielen IP-Cams, welche dann meist sogar schon mit eigenem DDNS-Dienst und -Client (auf der Cam selbst) kommen... Cam ins Netz werfen, ein bisschen warten (Cam registriert sich beim DDNS-Dienst mit der öffentlichen IP des Anschlusses und öffnet via UPnP die Ports am Router) und schon funktioniert die ganze Geschichte einfach - super für den privaten Laien. Wenn man eben nicht möchte, dass einfach "irgendwelche Dinge" im privaten Netz bzw. am Router passieren, sollte man sowas eben abstellen... kann bei mehreren Geräten mit solchem Verhalten auch Probleme verursachen (z.B. wenn sich 2 Geräte um die Portweiterleitung von Port 80 (http) streiten).
Ist deine 'Absatz-Taste' defekt, man bekommt ja keine Lust, es zu lesen.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
586
Beiträge
8.672
Mitglieder
204
Neuestes Mitglied
sina27
Oben