NAS Server gut absichern

[Thomas]

Ich habe mal eine Frage. Wie kann ich einen NAS Server, den ich betreibe, gut absichern? Also vor allem, dass von außen keine Angriffe bzw. nur erschwert stattfinden können. Die Datenübertragung an sich sollte per https stattfinden, das ist klar.

Auch würde ich gerne ein Volume erstellen, das ich mit True Crypt verschlüssele. Ich habe schon im Netz recherchiert, ist dies - mit akzeptablem Aufwand - umzusetzen? Ich interessiere mich dabei sowohl für fertige NAS Server (z.B. Synology) als auch für selbst zusammengebaute NAS Server, die mittels FreeNAS betrieben werden. In Bezug auf die fertigen dürfen gerne Vorschläge kommen.

 

[alter_Bekannter]

Welche Dienste sind überhaupt von außen erreichbar, warum und wie ist es realisiert?

 

[Thomas]

Also von außen erreichbar ist auf jeden Fall der normale Zugang, also NFS (Web Fileserver). Evtl. auch per FTP. Ferner UPnP Media Server, um Videos zu streamen. Realisiert habe ich ihn noch nicht. Ich meinte eben, dass ich ihn betreiben werde. Ich hatte gedacht, man kann mal allgemein eine Empfehlung aussprechen, was das Absichern angeht.

 

[alter_Bekannter]

Allgemein gilt nichts unnötig aktivieren, Software auf dem aktuellen Stand halten, nichts unnötig aktiveren und natürlich gute Passwörter setzen.

Nicht zu vergessen nichts unnötiges zu aktiveren, denn unnötige Sachen werden gerne über die Zeit vergessen und dann kommen alle Probleme auf einmal zum Tragen.

Außerdem ist bei deiner Aufzählung kein Webserver dabei, worauf bezieht sich das https? Dann stellt sich noch die Frgae was das für ein NAS-Server ist. Wir man den überhaupt zuverlässig updaten können oder bleibt der dann Jahre mit bekannten Sicherheitslücken am Netz wie die aktuellen tollen Router vieler Provider?

 

[Thomas]

Ja, das ist klar, dass man nicht unnötig viel aktiviert, das man nicht braucht.

Außerdem ist bei deiner Aufzählung kein Webserver dabei

Wie meinst du das? Ja, also sorry, meinte, dass der NAS Server per DynDNS (No-IP.org oder DynDNS) aufrufbar sein soll, da sollte auf jeden Fall https STANDARD sein! Ja, es dürfe bezüglichder NAS Server gerne Vorschläge kommen. Die Synology sollen ganz gut sein. D-Link weiß ich nicht, sind nicht die absoluten Pioniere der Netzwerktechnik. FreeNAS wäre am besten zum Updaten, denke ich.

 

[alter_Bekannter]

Oh, es wäre toll wenn das so klar wäre...

Also nochmal zur Frage:
DynDNS hat genau garnichts mit HTTPS zu tun.

Okay, also auch noch nicht auf ein Gerät festgelegt, dann mal die ganz entscheidende erste Frage:
Wie weit würdest du preislich gehen?

 

[Thomas]

Ja, mir ist es klar, da es - eigentlich - selbsterklärend ist.

DynDNS hat genau garnichts mit HTTPS zu tun.

Das weiß ich. Aber DynDNS brauche ich logischer Weise, um von außen auf meine Daten zugreifen zu können. Die meisten NAS Server unterstützen den Zugriff per https, sollte ein NAS das nicht tun, gehört er nicht zu meiner Wahl.

Der Preis spielt jetzt keine so große Rolle, zwischen 100 und 300 € würde ich jetzt mal sagen. Wenn ein Top Gerät 320 € kostet ist es auch egal. Evtl. müssen noch HDD?s dazugekauft werden, ich weiß.

 

[alter_Bekannter]

Ok, geraten würde ich sagen du willst unbedingt ein Webinterface das https unterstützt, falls dem so ist, warum?

 

[Thomas]

Ja, schon mit Webinterface, warum nicht? Es is schön übersichtlich, beim Upload/Download von Daten. Hast du einen anderen Vorschlag?

 

[The_Emperor]

DynDNS? HTTPS? Mach deinen Router OpenVPN fähig und hänge dich darüber in ass Netz wo die NAS hängt. Solange du nur alleine auf die NAS zugreifen willst ist das die einfachste Lösung wenn du einen OpenVPN tauglichen Router hast.

 

[Thomas]

Ich habe keinen Router, der das unterstützt. Zudem möchte ich mittels der Rechteverteilung auch anderen Zugang gewähren.

Edit: Ich bitte um weitere Vorschläge. OpenVPN kommt aus den genannten Gründen nicht infrage.

 

[0reZ]

Ich hab ein Synology NAS mit vier Slots und bin wunschlos glücklich. Die haben mit dem "DiskStation Manager" (der Weboberfläche) echt Qualität geliefert. Es gibt auf deren Seite auch einen Testserver, da kannst Du ja mal etwas rumprobieren und schauen, ob es was für dich sein könnte.
Der Service bei denen ist auch klasse. Der CPU-Lüfter fing nach zwei Jahren auf einmal an laut zu werden, Lagerschaden denk ich. Die haben sofort kostenlosenErsatz geschickt.
Die c't hatte in der letzten Ausgabe einen Testbericht über NAStorages, da waren QNAP und Synology von den Softwaremöglichkeiten auf jeden fall an der Spitze.
VPN ist mit ner Kiste von Synology kein Problem, hier gibt es ne Anleitung zum Einrichten.

Manche Modelle bieten für die Verschlüsselung auch Hardwarebeschleunigung an, wie die DS112.

edit: c't artikel zum lesen

 

[mathmos]

Ferner UPnP Media Server, um Videos zu streamen.

UPnP im Internet ist oft eine schlechte Idee. Selbst im LAN dient es im Grunde genommen oft nur der Bequemlichkeit zu Lasten der Sicherheit.

http://www.heise.de/security/meldung/UPnP-faehige-Router-ermoeglichen-Angriff-aufs-LAN-1329633.html
http://de.wikipedia.org/wiki/Universal_Plug_and_Play
http://www.all-about-security.de/ko...ietet-angreifern-eine-vielzahl-an-moeglichke/
Usw.

Ich würde nur die Ports öffnen, die du auch wirklich brauchst. Das mag zwar etwas mehr Arbeit sein, aber unterm Strich kommst du damit sicherer weg.

 

[vtepes]

Auch würde ich gerne ein Volume erstellen, das ich mit True Crypt verschlüssele. Ich habe schon im Netz recherchiert, ist dies - mit akzeptablem Aufwand - umzusetzen? Ich interessiere mich dabei sowohl für fertige NAS Server (z.B. Synology) als auch für selbst zusammengebaute NAS Server, die mittels FreeNAS betrieben werden. In Bezug auf die fertigen dürfen gerne Vorschläge kommen.

FreeNAS verschlüsselt (optional) die Festplatten jeweils mit dem Standard-Mechanismus von FreeBSD (geom.eli) und macht dann ZFS als Dateisystem drüber - im Klartext: um Verschlüsselung musst du dir dann keine weiteren Gedanken machen.

Zu dem Anderen: was willst du denn "von Aussen" genau tun können? Das hast du bis jetzt nicht konkret formuliert.

Was sich in jedem Fall anzuschauen lohnt ist Bittorrent Sync. Das ist wie der Name sagt so eine Möchtegern-Dropbox die Bittorrent für Discovery und Datenübertragung benutzt. Inklusive Verschlüsselung der Übertragung (bringt Bittorrent ja mit), Authentifizierung, Support für mobile Devices (Android/iOS) und sehr einfacher Einrichtung.

http://labs.bittorrent.com/experiments/sync.html
http://forum.bittorrent.com/topic/16410-bittorrent-sync-faq/
http://forum.bittorrent.com/topic/8578-supported-nas/

Ich habs (noch) nicht im Produktiveinsatz, nur bisschen getestet. Aber ist mMn ziemlich geil.

 

[Thomas]

@OreZ


Vielen Dank für die Empfehlung bzw., den Bericht bezügl. des NAS Servers. Der DS112 ist z.B. auch wesentlich billiger als gedacht. Ich werde mir das alles mal ansehen, vielen Dank!


@mathmos

Ja, was UPnP angeht, hast du recht, das stimmt! Ich nutze UPnP überhaupt nicht, ich hatte es nur der Vollständigkeit halber erwähnt. Was du sagst ist korrekt und die Links sind ebenfalls gut.

Das mag zwar etwas mehr Arbeit sein, aber unterm Strich kommst du damit sicherer weg.

Sicherheit VOR Bequemlichkeit!

@vtepes

Zu dem Anderen: was willst du denn "von Aussen" genau tun können? Das hast du bis jetzt nicht konkret formuliert.

Ja, z.B. auf Daten zugreifen, wenn ich nicht zu Hause bin, also Daten hoch- oder runterladen. Ferner evtl. streamen.

 

[Tedious]

Ich werfe mal den WHS 2011 in den Raum. 1155er Board, fixer Celeron, 4-8 GB Ram, Gehäuse und sparsames Netzteil. Fertig! Schnell, skalierbar, sicher - ohne Festplatten ca. 200-250€ für die Hardware, so habe ich das gelöst. Lights Out Addin installieren, denn fährt der hoch wenn ein Client im Netzwerk aktiv ist und ist annonsten im Ruhezustand. Aufwecken via Magic packet auch übers Internet. Plex Media Server implmentiert für sämtliche Medien, Zugriff von überall via Myplex (Streming!). Serverzugriff via https oder RDC. Zudem viele nette Kleinigkeiten wie automatisierte Systemsicherungen der Win Clients. Vorteil: basiert auf einem Win2008Server. Du brauchst irgendein Feature? Website? Mailserver? NFS? Wasauchimmer - kann der

 

[vtepes]

Ja gut, bei selbstgebasteltem NAS stellt sich als Erstes die Frage nach der Hardware, das ist nochmal n ganz anderes Fass.

Generell ists würd ich sagen so:

Fertig-NAS
- maximal 2 Platten. NAS-Lösungen wo 4x SATA reinpasst und die ein wenig was können gibts zwar aber die sind IMHO unverhältnismässig teuer (vierstellig).
- Minimum Konfigurationsaufwand
- Minimum Stromverbrauch
- keine ausgefalleneren "Extrawünsche"

Selbstbau (x86 = "PC-Hardware")
- deutlich mehr Stromverbrauch (ich würde sagen so 40-50W im Normalbetrieb sollte man schon rechnen)
- deutlich mehr Konfigurationsaufwand (Hard- und Software)
- man bekommt halt genau das was man will

Bei mir ists so dass ich 4+ SATA Platten ins NAS reinstecken möchte, die Features von ZFS haben will und es muss (u.a) ein bestimmter torrent-client in einer bestimmten Version laufen.
Also Supermicro miniATX Board mit Atom-Prozessor, 6 SATA II Anschlüssen und 4GB RAM im Lian Li Gehäuse mit "Standard" Netzteil (halt 80+ zertifiziert) wo ein Linux mit ZFS on Linux läuft.

 

[Tedious]

Sorry, das stimmt so nicht. Konfiguration ist definitiv minimal auf x86 Basis unter Verwndung von WHS 2011. 50W sind da schon ein Maximum, das aber unter halbwegs leistungfsfähiger Hardware und nicht mit einem Atom. Der WHS mit Lights Out bietet einen unschlagbaren Vorteil - die Clients. Der WHS ist im Standby und braucht minimal Strom (1-2W?). Ich komme heim, klappe das Netbook auf/fahre den HTPC hoch/wasauchimmer. Der Client weckt den WHS automatisch, er ist in 2 Sekunden da, und los gehts. Klappe ich das Netbook zu, fährt der WHS nach 5 Minuten wieder in den Standby (Zeit konfigurierbar). Android/IOS-Geräte wecken den WHS per App - WOL. Der WHS "sieht" den Client nicht, er wird nur geweckt. Allerdings ist es der Traffic der ihn nun wach hält, Grenze habe ich auf mind. 8Kb/s eingestellt, also MP3-Streaming. Fordert kein Client Daten an (mind. 8Kb/s), fährt er nach 5 Minuten wieder in den Standby. Abends um 23 Uhr, falls er nicht wach ist, kommt er aus dem Standby hoch und fährt in den Ruhezustand. Morgens um 6 erwacht er und geht direkt wieder in Standby - ausser am Wochenende, da macht er das erst um 9

Das ist nur ein Beispiel wie das bei mir läuft... der config sind wenig Grenzen gesetzt. Das System braucht knapp 38W im Idle, was aber hinfällig ist - denn die meiste Zeit ist er im Standby und braucht so gut wie nichts. Wenn ich ihn brauche ist er dank Standby und AutoWake so schnell da, dass ich keinen Unterschied merke ob er dauernd an ist oder geweckt wird. Insofern sehe ich hier eher einen Vorteil als einen Nachteil gegenüber einm FertigNAS. Bei gezielter Auswahl der Komponenten kann man hier massiv Strom sparen. Hier braucht es keinen i5 zu, bei mir steckt ein Celeron530 drin (der hat wenn ich mich richtig erinnere ca. 40€ gekostet?).

Zudem läuft hier noch zentral der JDownloader sowei ein paar Scripts zum verschieben der entpackten Downloads - Daten liegen ja eh hier Plex stellt via MyPlex alles bereit, ich kann in NY im Hotel Filme von Zuhause schauen - kostet mich nur einen Mausklich (WOL über Internet).

 

[vtepes]

Jo, WOL ist cool. Ich hab mich in erster Linie nicht damit auseinandergesetzt weil auf meiner NAS 24/7 ein torrent-client mit Paar Hundert torrents laufen soll.
Stromverbrauch hast du bei dir wirklich an der Steckdose gemessen? Das würde mich mal interessieren.

 

[Tedious]

Da steckt so ein einfaches Messgerät dazwischen. Inwiefern die nun genau sind der streuen kann ich nicht sagen. Aber da der die meiste Zeit mehr oder weniger eh nur im Idle ist braucht der nicht viel.