QNAP NAS Sicherheitsleitfaden

Dieser Leitfaden bietet detaillierte Einblicke in die Sicherheitseinstellungen und Schutzmechanismen von QNAP NAS und hilft Ihnen dabei, Ihre Netzwerksicherheit zu stärken und Ihre Daten zu schützen.

Sicherheitsleitfaden herunterladen

Sichere Netzwerkarchitektur und Einstellungen

1. NAS richtig anschließen

Sie sollten den Netzwerkanschluss des NAS niemals direkt mit dem Internet verbinden. Stellen Sie sicher, dass Ihr NAS zuerst mit dem Router und dann mit dem von Ihrem Internetdienstanbieter (ISP) bereitgestellten Modem verbunden wird. Mit den richtigen Einstellungen kann der Router bösartigen Datenverkehr aus dem Internet blockieren und das Risiko von Cyberangriffen verringern.

Richtige Verbindung - NAS zuerst mit dem Router verbinden

Falsche Verbindung - NAS direkt mit dem Modem verbinden

2. Konfigurieren Sie den Router richtig

Melden Sie sich beim Router an oder lassen Sie sich von Ihrem ISP helfen, um die folgenden Einstellungen zu überprüfen und zu deaktivieren:

UPnP deaktivieren
DMZ deaktivieren

(Demilitarisierte Zone)
Portweiterleitung deaktivieren

Wie kann der Fernzugriff auf Ihr NAS bei deaktivierter Portweiterleitung gesichert werden? QNAP bietet QVPN und myQNAPcloud Link, die einen sicheren Fernzugriff auf Ihr NAS ermöglichen.

Mehr erfahren:
Schließen Sie Ihr NAS nicht ohne Schutz direkt an das Internet an >
So richten Sie myQNAPcloud für den Fernzugriff auf ein QNAP NAS ein >
Wie richtet man einen VPN-Server auf einem QNAP NAS hinter dem Router ein? >

Wie kann man überprüfen, ob man dem Internet ausgesetzt ist?
Wir empfehlen die Installation und Verwendung von Security Center oder Tools zur Abfrage von IP-Adressen, um zu überprüfen, ob Ihre Geräte dem Internet ausgesetzt sind

4 Methoden zur Sicherung des Fernzugriffs auf NAS

Verbindungsmethode	Vorteile	Nachteile	Geeignete Benutzer
Aktivieren und Konfigurieren der Router DMZ/Portweiterleitung von UPnP	Schnellste Verbindung	Anfällig für Cyberangriffe Kein Schutz gegen 0-Day-Angriffe auf Sicherheitslücken	Ein klares Verständnis für die damit verbundenen Risiken haben Vertraut mit Netzwerkeinstellungen mehrere Sicherungen für wichtige Daten erstellt haben Einen Plan für die Wiederherstellung im Notfall haben
VPN-Server auf dem Router aktivieren	Relativ einfach einzurichten	Keine Benachrichtigung bei Anmeldefehlern, automatische Sperrung und Firewall Funktion Weniger unterstützte VPN Protokolle Leistungseinschränkung durch Router Hardware	Nicht mit den Netzwerkeinstellungen vertraut Keine Rücksicht auf die Übertragungsgeschwindigkeit
VPN Serverfunktion auf dem QNAP NAS aktivieren	Unterstützt mehrere VPN Protokolle Kompatibel mit NAS Firewall (QuFirewall) Unterstützt Benachrichtigung bei Anmeldefehlern und automatische Sperrung	Einstellungen sind etwas komplizierter	Mit den Netzwerkeinstellungen vertraut Muss häufig auf viele Dateien aus dem Internet zugreifen
Sichere myQNAPcloud Verbindung verwenden	Einfachste Einrichtung Unterstützt Zugriffssteuerung NAS muss nicht mit dem Internet verbunden sein	Langsamere Verbindung	Nicht vertraut mit den Netzwerkeinstellungen Seltener Zugriff auf das NAS aus dem Internet Netzwerkumgebung, in der keine WAN IP-Adresse erhältlich ist
SD-WAN oder Site-to-Site VPN Produkte verwenden	Einmal eingerichtet, können die Intranet-Benutzer es nutzen, ohne einen Unterschied zu spüren Unterstützt auch Client-to-Site VPN	Zusätzliche Geräte erforderlich	Erfordert Multi-Point Zugang und Remote Backup Erfordert weitere Anwendungen

3. Automatische Updates aktivieren

QNAP führt regelmäßig Sicherheitsupdates für Firmware und Software durch. Die Aktivierung automatischer Updates stellt sicher, dass Sie über die neuesten Funktionen, Fehlerbehebungen und Schutzmaßnahmen gegen Sicherheitslücken verfügen.

Von innen nach außen: Mehrschichtige Sicherheit

QNAP bietet umfassenden Schutz der NAS-Verbindungen und Notfallwiederherstellungspläne, kombiniert mit Sicherheitsbewertungen des Systems und Bedrohungsanalysen für interne Netzwerke, um ein mehrschichtiges Cybersicherheits-Managementsystem zu schaffen.

Lesen Sie den Blog: Aufbau eines mehrschichtigen Abwehrsystems für Cybersicherheit in Unternehmen

Stärkung der Sicherheit von Systemkonten

1. Deaktivieren Sie das Standard-Administratorkonto "admin".

Hacker, die Passwörter mit der brute Force Methode Gewalt knacken, haben es in der Regel auf "admin" (das Standard-Administratorkonto) abgesehen. Es wird dringend empfohlen, "admin" zu deaktivieren und ein neues Administratorkonto zu erstellen.

Mehr erfahren: So deaktivieren Sie das admin Benutzerkonto

Bei Modellen mit QTS 5.0.1 / QuTS hero h5.0.1 (oder höher) ist "admin" standardmäßig deaktiviert.

2. Zugriffsschutz aktivieren (IP / Konto)

Der "IP-Zugangsschutz" und der "Kontozugriffsschutz" können dabei helfen, das Knacken von Passwörtern durch die Brute Force Methode zu verhindern. Wenn die Anmeldung einer bestimmten IP oder eines bestimmten Kontos zu oft fehlschlägt, wird die IP gesperrt oder das Konto deaktiviert, wodurch Angreifer daran gehindert werden, Passwörter wiederholt auszuprobieren.

3. Aktivieren Sie die Multi-Faktor-Authentifizierung

Es wird dringend empfohlen, sichere Anmeldemethoden wie die passwortlose Anmeldung und die 2-stufige Überprüfung zu aktivieren, um eine zusätzliche Ebene der Datensicherheit zu schaffen.

Erfahren Sie mehr: Sichere Anmeldung und Multi-Faktor-Authentifizierung

4. Telnet / SSH deaktivieren

Es wird dringend empfohlen, Telnet und SSH zu deaktivieren, wenn Sie sie nicht verwenden. Diese beiden Funktionen werden im Allgemeinen vom QNAP Kundendienst oder von professionellem IT-Personal zur Wartung des Systems verwendet. Allgemeine Benutzer sollten sie nicht benötigen, daher wird empfohlen, sie zu deaktivieren

Geplante Snapshots aktivieren

Snapshots können Ihre wichtigen Daten schützen, indem sie Wiederherstellungspunkte mit mehreren Versionen erstellen. Wenn Ransomware zuschlägt, können Ihre Daten von einem Snapshot wiederhergestellt werden. Es wird dringend empfohlen, geplante Snapshots zu aktivieren und eine Richtlinie zum Löschen von Snapshots festzulegen, um eine angemessene Datensicherheit und Speichernutzung zu gewährleisten.

Mehr erfahren: Was sind Snapshots ?, Snapshot Replica – Sichern Sie Ihre Snapshots, Echtzeit-SnapSync (*Nur in QuTS hero verfügbar)

Öffnen Sie "Speicher & Snapshots", klicken Sie auf "Volume" und öffnen Sie "Snapshot Manager" im Menü.

Klicken Sie auf "Snapshot planen". Es wird empfohlen, den Snapshot "Täglich" oder "Wöchentlich" zu planen.

Sie können eine Snapshot Aufbewahrungsrichtlinie festlegen, um die Anzahl der Snapshots zu begrenzen und zu verhindern, dass Snapshots zu viel Speicherplatz beanspruchen. Es wird empfohlen, "Intelligente Versionierung" einzustellen.

Vergewissern Sie sich, dass "Speicherplatz" eine "Speicherpool" Struktur ist und dass der "Speicherpool" über genügend freien Speicherplatz für Snapshots verfügt. QNAP empfiehlt Benutzern die Aktivierung der intelligenten Snapshot Speicherplatzverwaltung und die Verwendung von Thin-Volumes für Snapshots, um sicherzustellen, dass genügend Speicherplatz für die ordnungsgemäße Funktion des NAS vorhanden ist.

Security Center - Ihr Sicherheitsportal für QNAP NAS

Security Center analysiert und überwacht proaktiv den NAS Status, ungewöhnliche Dateiaktivitäten und potenzielle Sicherheitsbedrohungen und bietet sofortige Schutzmaßnahmen zum Schutz Ihres Systems und Ihrer Daten. Es integriert auch Antiviren- und Anti-Malware-Software, um einen vollständigen Schutz Ihres QNAP NAS zu gewährleisten.

Öffnen Sie das "Security Center", wählen Sie die Sicherheitsstufe, die Ihren Anforderungen entspricht, und klicken Sie auf "Jetzt scannen".

Wenn die Scan-Ergebnisse Sicherheitsrisiken aufzeigen, können Sie auf "Assistent für vorgeschlagene Einstellungen" klicken, um die Einstellungen anzupassen.

Es wird empfohlen, „Scan Schedule“ auf mindestens einmal pro Monat einzustellen, damit das System regelmäßig die Einstellungen und den Systemstatus überprüfen kann. Wenn ein Risiko erkannt wird und das Benachrichtigungszentrum korrekt eingerichtet ist, erhalten Sie eine Benachrichtigung, damit das Problem so schnell wie möglich behoben werden kann.

Die "Überwachung ungewöhnlicher Dateiaktivitäten" ermöglicht Ihnen die einfache Verfolgung der durchschnittlichen Anzahl ungewöhnlicher und geänderter Dateien auf dem NAS während eines bestimmten Zeitraums.

QuFirewall: Integrierte Firewall für QNAP Geräte

QuFirewall blockiert Pakete, von denen vermutet wird, dass sie von Tor (einer anonymen Kommunikationsverbindung) gesendet werden, um Ihr NAS vor Angriffen zu schützen. Sie erkennt auch verdächtiges Onion Routing und bösartige Bots und aktualisiert dynamisch die Blockierliste bösartiger Pakete, um die Sicherheit Ihrer QNAP Geräte zu gewährleisten.

Wenn Ihr Netzwerk keine besonderen Anforderungen hat, sollten Sie "Einfacher Schutz" wählen und dann auf "Weiter" klicken, um fortzufahren.

Legen Sie eine Region entsprechend Ihrem Standort fest. Sie können später weitere Regionen hinzufügen.

Auf der Seite QuFirewall Profile sehen Sie, dass "Einfacher Schutz" aktiviert ist. Klicken Sie auf "Einfacher Schutz", um die entsprechenden Firewall-Regeln zu erweitern und anzuzeigen. Die Regeln werden anhand der Informationen in den eingehenden Paketen überprüft, die entweder durchgelassen oder gemäß den Regeln der Firewall blockiert werden.

Malware Remover

Malware Remover scannt Ihr NAS regelmäßig unter Verwendung der neuesten Malware-Definitionen. Bei Erkennung werden infizierte Dateien sofort entfernt, um die Sicherheit Ihrer NAS Daten zu gewährleisten. Das Programm erhält regelmäßig Cloud-basierte Updates von Malware Definitionen, um die Sicherheit Ihrer Daten zu erhöhen.

Öffnen Sie "Malware Remover". Der Status des letzten Scans wird angezeigt. Klicken Sie auf "Einstellungen" auf der linken Seite.

Es wird empfohlen, "Scan-Zeitplan" auf einmal pro Tag einzustellen, damit "Malware Remover" den Systemstatus regelmäßig überprüfen kann. Stellen Sie außerdem sicher, dass die Option "Malware Remover automatisch auf die neueste Version aktualisieren" aktiviert bleibt.

Systembenachrichtigungen einrichten

Das Benachrichtigungszentrum zentralisiert alle Systembenachrichtigungen und kann basierend auf Ihren Einstellungen Benachrichtigungen an Geräte senden, um Sie über den Status Ihres NAS auf dem Laufenden zu halten.

Öffnen Sie das "Benachrichtigungszentrum", klicken Sie im Menü auf der linken Seite auf "Dienstkonto und Gerätekopplung", wählen Sie "E-Mail" und klicken Sie dann auf "SMTP Dienst hinzufügen".

Wählen Sie ein E-Mail Konto, klicken Sie auf "Konto hinzufügen" und folgen Sie den Anweisungen, um den Verifizierungsprozess abzuschließen.

Klicken Sie im linken Menü des "Benachrichtigungszentrums" auf "Regeln für Systembenachrichtigungen", wählen Sie "Alarmbenachrichtigungen" und klicken Sie auf "Regeln erstellen".

Ändern Sie den "Regelnamen" entsprechend Ihren Anforderungen, überprüfen Sie die beiden Schweregrade "Warnung" und "Fehler" und klicken Sie zum Abschluss auf "Weiter".

Abonnieren Sie die QNAP eNews, um die neuesten Informationen zur Produktsicherheit zu erhalten

Jetzt abonnieren Ein tiefer Einblick in die Sicherheitshinweise Programm für Sicherheitsprämien

FAQ

Ist es sicherer, die Verbindung des NAS zum Internet zu unterbrechen?

Nein. Die "Trennung der NAS-Verbindung" bezieht sich im Allgemeinen auf die Trennung des NAS vom Netzwerk, so dass es keine Verbindungen zur Außenwelt herstellen kann. Obwohl einige Schadprogramme zur Ausführung eine externe Verbindung benötigen, gibt es immer noch Schadprogramme, die ohne eine externe Verbindung erfolgreich bösartige Aktionen durchführen können. Durch eine Trennung werden nicht nur Hacker an illegalen Aktionen gehindert, sondern auch einige Systemfunktionen wie automatische Softwareaktualisierungen und Benachrichtigungen nicht korrekt ausgeführt. Der richtige Ansatz besteht darin, den Datenverkehr zum NAS einzuschränken, z.B. die Kommunikation mit dem Internet zu meiden, um die Sicherheit zu erhöhen.

Meine Festplatte ist mit RAID konfiguriert. Bedeutet das, dass ich keine Datensicherung benötige?

Nein. RAID ist keine Sicherungsmethode. RAID Level über 0 sind nur dazu gedacht, Redundanz gegen Festplattenausfälle zu bieten. Ein RAID bietet keinen Schutz vor Datenlöschung oder Verschlüsselung. Es wird daher empfohlen, die Daten nach dem Prinzip des 3-2-1 Backups ordnungsgemäß zu sichern.

Ich habe bereits "Snapshots" eingerichtet, bedeutet das, dass ich kein Backup benötige?

Nein. Da "Snapshots" auf demselben Festplattensatz wie Ihre Daten gespeichert werden, gehen die Daten auch bei einem Ausfall des RAID verloren. Außerdem kann der "Snapshot" auch gelöscht werden, wenn Hacker sich ausreichende Rechte verschaffen können (z.B. durch erfolgreiches Knacken des Administratorkontos). Es wird daher empfohlen, die Snapshot Dateien nach dem Prinzip des 3-2-1 Backups ordnungsgemäß zu sichern.

Mein NAS hat keinen Zugang zum Internet. Bedeutet das, dass es unmöglich ist, angegriffen zu werden?

Nein. Obwohl die meisten Cyberangriffe aus dem Internet kommen, besteht für das NAS immer noch das Risiko, im Intranet angegriffen zu werden. Wenn zum Beispiel ein anderer Computer oder ein Gerät in Ihrem Intranet gehackt oder von Malware befallen wird, kann dies dazu genutzt werden, andere Geräte im Intranet anzugreifen und zu infizieren. Die Installation von Antivirensoftware und der Einsatz von Netzwerksicherheitsprodukten auf Ihrem Computer kann Ihnen helfen, mit den damit verbundenen Bedrohungen umzugehen. QNAP ADRA NDR kann beispielsweise verdächtige Aktivitäten im Intranet erkennen und sie automatisch isolieren. Gleichzeitig empfiehlt es sich, die Daten nach dem Prinzip des 3-2-1 Backups zu sichern.

Mein NAS ist schon lange in Betrieb. Wie kann ich überprüfen, ob Malware installiert ist?

Wenn Sie bemerken, dass die Prozessorlast ungewöhnlich hoch ist, Softwareaktualisierungen fehlschlagen oder unbekannte Apps im App Center angezeigt werden, ist es möglich, dass ein bösartiges Programm installiert wurde. Es wird empfohlen, die neueste Version von Malware Remover zu installieren und zu verwenden. Wenn Sie das Problem damit nicht lösen können, wenden Sie sich an das technische Support Team von QNAP.

Was sollte ich tun, um die Sicherheit zu gewährleisten, wenn ich einige Dienste für das Internet öffnen muss?

Bitte stellen Sie sicher, dass auf dem NAS die neueste Version der Firmware und der Anwendungen installiert ist. Sie können QuFirewall aktivieren, um einen grundlegenden Firewallschutz zu bieten. Zudem können Ihnen die "PSIRT" und "TOR" Regeln helfen, einige Hackerverbindungen zu blockieren. Wenn Sie ein Geschäfts- oder Unternehmensnutzer sind, wird empfohlen, eine höherwertige Firewall-Lösung zu verwenden. Wenn der Speicherplatz im Pool es zulässt, können Sie außerdem "Snapshots" für den grundlegenden Schutz Ihrer Daten erstellen. Es wird auch empfohlen, Daten nach dem Prinzip des 3-2-1 Backups zu sichern, um für den schlimmsten Fall gerüstet zu sein und einen möglichen Datenverlust zu verhindern.

Mein NAS ist alt und unterstützt nicht die neueste Version von QTS. Kann es trotzdem sicher verwendet werden?

Ältere und auslaufende (EOL) Modelle werden nur begrenzt unterstützt und sollten nur für Intranet-/Offline-Sicherungen verwendet werden.

Warum erhalte ich immer wieder die Warnung, dass die NAS Anmeldung fehlschlägt?

Wenn die IP-Adresse der fehlgeschlagenen Anmeldung aus dem Internet stammt, bedeutet dies, dass Ihr NAS einem Brute Force Angriff zum Knacken des Passworts ausgesetzt ist. Sie sollten vermeiden, Ihr NAS dem Internet auszusetzen, und diese Anleitung befolgen, um Ihr NAS zu schützen. Wenn die IP-Adresse der fehlgeschlagenen Anmeldung aus dem Intranet stammt, überprüfen Sie bitte, ob auf dem Gerät mit dieser IP-Adresse Malware installiert ist.

Warum haben all meine Dateien seltsame Dateinamen?

Dies ist ein Symptom für eine Infektion mit Ransomware. Überprüfen Sie die NAS Zugriffsprotokolle, um festzustellen, ob die Verschlüsselungsaktion von einem anderen Computer oder dem NAS selbst ausgeht. Wenn Ihr NAS von Ransomware betroffen ist, sollten Sie geeignete Maßnahmen ergreifen, um die Ausbreitung der Infektion zu stoppen. Wenden Sie sich bei Bedarf an das technische Support Team von QNAP.

Was sollte ich tun, wenn mein NAS mit Ransomware infiziert ist?

Die meisten Ransomware Programme verwenden unknackbare Verschlüsselungsmethoden. Wenn es keinen korrekten Schlüssel gibt, können die Dateien nicht entschlüsselt werden, so dass die Dateien nur durch ein Backup oder einen Snapshot wiederhergestellt werden können.
Ändern Sie sofort die Routereinstellungen gemäß dieser Anleitung, um zu vermeiden, dass das NAS dem Internet ausgesetzt wird, und um sekundäre Angriffe zu verhindern. Zweitens sollten Sie sofort alle Synchronisierungsaufgaben aussetzen und Snapshots als dauerhaft aufbewahrbar einstellen, um den Verlust von Sicherungsdateien zu vermeiden. Wenn Ihre Daten über Sicherungen oder Snapshots verfügen, die Sie wiederherstellen können, können Sie die Dateien nach der Aktualisierung der NAS-Firmware und -Anwendungen und nach Abschluss des Malware-Entferner-Scans wiederherstellen. Wenn die Daten nicht gesichert sind, sichern Sie bitte die von der Ransomware hinterlassene Lösegeldnotiz und die Methode zur Zahlung des Lösegelds und versuchen Sie dann, mit Methoden wie der Datenwiederherstellung einige Daten wiederherzustellen. Wenden Sie sich bei Bedarf an den technischen Support von QNAP, um Unterstützung zu erhalten.

Ich sehe in den Medien immer wieder Berichte, dass QNAP Sicherheitslücken in seinen Produkten behebt. Bedeutet dies, dass QNAP Produkte nicht sicher sind?

Es gibt keine perfekte Software und Hardware auf der Welt. Unabhängig davon, ob es sich um proprietäre Software handelt, die von verschiedenen Herstellern entwickelt wurde, oder um Open Source Software oder sogar um Hardware, werden immer Sicherheitslücken gefunden und dann von den Herstellern gepatcht. Wie andere große Technologieunternehmen patcht auch QNAP ständig bekannte Sicherheitslücken und veröffentlicht dann Aktualisierungsdateien, welche die Benutzer so schnell wie möglich einspielen können, um die Sicherheit der Geräte und Daten zu gewährleisten. Das QNAP PSIRT veröffentlicht ebenfalls Cybersecurity Benachrichtigungen, damit die Benutzer auf auftretende Probleme reagieren können.
QNAP ist der Ansicht, dass ein offener und transparenter Umgang mit Sicherheitslücken das Recht der Benutzer auf Information schützt und zur Verbesserung der Produktsicherheit beiträgt. Benutzer sind außerdem eingeladen, die QNAP Sicherheitshinweise zu abonnieren, um relevante, genaue und vollständige Informationen zu erhalten, bevor in den Medien darüber berichtet wird.

Was ist das Prinzip des 3-2-1 Backups?

Das Prinzip des 3-2-1 Backups ist ein bekanntes Sicherungsprinzip in der IT-Branche. Es bereitet auf den schlimmsten Fall vor. Es stellt sicher, dass im Falle einer Katastrophe Sicherungsdateien zur Wiederherstellung von Daten vorhanden sind, um Verluste zu vermeiden und die Sicherheit zu gewährleisten.
Die "3" in 3-2-1 Backup bedeutet mindestens drei Sicherungskopien; "2" bedeutet mindestens zwei Speichermedien; und "1" bedeutet, dass mindestens eine Kopie eine externe Sicherung ist. Basierend auf dem Prinzip des 3-2-1 Backups gibt es Sicherungsdateien, die unabhängig von versehentlichen Änderungen, Löschungen, Hardwareschäden, Virenbefall und Katastrophen wie Bränden und Überschwemmungen wiederhergestellt werden können.
Um diesem Prinzip gerecht zu werden, bietet ein QNAP NAS Hybrid Backup Sync 3 (HBS3), Snapshot Replica und SnapSync (nur von QuTS hero unterstützt) zur Sicherung von Daten auf dem NAS auf einem externen NAS, einer öffentlichen Cloud, einem externen Speicher, anderen Dateiservern und/oder anderen Geräten, um sicherzustellen, dass nichts verloren geht.

Speicher

Netzwerk

Erweiterungszubehör

Überwachung

NAS