NAS Absichern

Hi und guten Abend!

Eigener Admin nur für administrative Tätigkeiten. Sonst alles mit Standard-Benutzern. Firewall auf benötigte Ports und Subnetz begrenzt. Starke Passwörter, bei Bedarf 2FA.

Meine NAS ist nach aussen komplett dicht. Für den Zugriff von unterwegs nutze ich Wireguard über die Fritzbox.

VG Mike

Zunächst einmal sollte man unterscheiden, wofür genau du dein NAS verwenden möchtest. Handelt es sich dabei vorwiegend um sensible Daten, dann würde ich maximal mit VPN von extern auf das NAS zugreifen wollen und dabei die von Mike0185 bereits erwähnten Punkte beachten.

Ansonsten kommt es immer auch ein Stück weit auf die eigene Paranoia an. Ich habe zwar ein NAS, das (temporär) aus dem Internet erreichbar ist, dabei verwende ich aber einen Reverse Proxy der Anfragen intern an das NAS weiterleitet. Das NAS selbst befindet sich wiederum hinter einer Hardware Firewall (pfSense) in einer sogenannten DMZ, also einem eigenen Subnetz, innerhalb meines lokalen Netzwerkes, das aber nicht mit anderen Subnetzen kommunizieren kann.

Eine "einfache" Portweiterleitung, am besten über die Standard-Ports würde ich jedenfalls nicht empfehlen. Es wurden durchaus schon NAS System durch Trojaner komplett verschlüsselt und dann ist das Geheule immer groß, vor allem dann, wenn man kein Backup in der Hinterhand hat.

Moin. Was wird denn generell als Einstellungen empfohlen, welche man in der Firewall mindestens machen sollte ? Will mir das nicht verbauen bzw. aussperren beim Versuch

Generell sollte eine Firewall zunächst alle eingehende Verbindungen abweisen oder blockieren. Ausgehende Verbindungen kann man entweder generell zulassen, oder auch auf bestimmte Ports bzw. Dienste beschränken. Das kommt immer ein Stück weit auf die eigene Paranoia oder das Netzwerk an, was du schützen möchtest. Ich lasse zunächst alle ausgehende Verbindungen zu. Erwünschte, eingehende Verbindungen sollten immer gut überlegt und abgewogen werden und dann bei Bedarf freigegeben werden. Hier wären an erster Stelle die gängigen VPN Ports zu nennen. Man kann das ganze auch noch mit GeoIP Blocking für eingehende oder IP- oder DNS Blocklisten (Pi-hole etc.) für ausgehende Verbindungen kombinieren. Auch werden Reverse Proxys in diesem Zusammenhang immer gerne erwähnt. Da gibt es eigentlich kein generelles Allgemeinrezept und fragst du 10 Leute, bekommst du mindestens 12 Antworten.

Das ist halt Segen und Fluch einer Firewall, weil du die Regeln selbst festlegen kannst.

Ich nutze für den externen Zugriff auf das NAS ausschließlich VPN/Wireguard. Im Prinzip brauchst Du da dann auch keine Firewall, da Du beim VPN/Wireguard Zugang keine geöffneten Ports hast.

Habe seit vielen Jahren mit Synology nie eine Firewall genutzt und hatte dennoch nie Probleme.

Ich bin da ein wenig außen vor, da ich bei mir aus Jucks und Dollerei eine Hardware Firewall betreibe. Jedoch habe ich die Firewall der DS ebenso wenig wie die Firewall der DXP wirklich im Einsatz. Einzig die automatische Blockierung ist aktiv. Vor allem greife ich von Extern fast ausschließlich per OpenVPN zu.

Ok. Also der Zugriff findet bei mir aus der Ferne auch nur über Wireguard statt. Man überlegt jedoch trotzdem halt, ob man die Firewall nutzen sollte. 😅

Es schadet jedenfalls nicht, wenn man die Firewall nutzt. Man muss nur wissen, wie man sie so konfiguriert, das sie auch den nötigen Schutz bietet. Man kann die Firewall z.B. auch dafür nutzen, um im lokalen Netzwerk nur bestimmten Geräten den Zugriff auf das NAS zu gestatten. Wie gesagt, da gibt es viel was man machen kann. Ob es am Ende aber Sinn macht, muss jeder selbst herausfinden. Viel hilft zwar viel, ist aber nicht immer zielführend.