NAS Security: Benutzer, Berechtigungen, Passwörter

NAS Security ist ein wichtiges Thema beim NAS Selber Bauen. In mehreren Artikeln beleuchte ich verschiedene Aspekte hierbei. In diesem Artikel geht es um den Zugriffschutz, der sich in die Themen Benutzer, Berechtigungen und Passwörter unterteilen lässt.

Benutzer

Am wichtigsten ist, dass Sie nur denjenigen Nutzern Zugriff auf Ihr NAS erlauben, von denen Sie auch möchten, dass sie zugreifen können. Klingt komisch, bedeutet jedoch, dass alle Nutzer eines NAS mit Namen bekannt sind und sich mit einem Passwort authentifizieren. Das gilt auch für zum Beispiel Netzwerk-Scanner, die ihre Dokumente auf dem NAS ablegen oder MediaPlayer, die Musik von dem NAS abspielen. Gast-Accounts sollten prinzipiell tabu sein und mindestens deaktiviert, wenn nicht sogar gelöscht werden. Bei fertigen NAS Servern gibt es hierfür eine zentrale Nutzerverwaltung, bei kompletten Eigenbauten muss das ggf. je Server (Samba, FTP, SSH, etc.) festgelegt werden.

Berechtigungen

Haben Sie dafür gesorgt, dass nur diejenigen Benutzer Zugriff auf Ihr NAS haben, die es auch sollen? Dann geht’s im nächsten Schritt darum, deren Berechtigungen so stark einzuschränken wie es sinnvoll möglich ist. Jeder Nutzer sollte nur das Minimalset an Diensten nutzen dürfen, die er benötigt. Auch sollte ein Nutzer nur auf diejenigen Verzeichnisse zugreifen dürfen, die explizit für ihn freigegeben sind. Keinesfalls darf ein Nutzer mit Admin-Rechten arbeiten (auch Ihr eigener, persönlicher Nutzer nicht!). Grundsätzlich gilt die Regel: Berechtigungen sollten explizit vergeben werden und nicht standardmäßig vorhanden sein.

Passwörter

Für die Nutzer, die jetzt Zugriff auf Ihr NAS haben und die für explizite Dienste freigeschaltet sind, gilt eine wichtige Regel sowohl in der NAS Security wie auch für andere Systeme: Gute Passwörter verwenden!

Ich unterscheide zwischen 2 Arten von Passwörtern:

  • Passwörter, die ich mir merken muss
  • Passwörter, die ich mir nicht merken muss

Die Nutzer Ihres NAS sollten bevorzugt nicht-merkbare Passwörter verwenden. Nur wenn es nicht anders geht, sollten merkbare Passwörter verwendet werden. Strenger ist das für Admin- oder Root-Accounts: Keinesfalls darf ein solcher Account ein merkbares Passwort besitzen.

Nicht-Merkbare Passwörter

Die Gruppe Passwörter, die ich mir merken muss, versuche ich so klein wie möglich zu halten. Realisiert habe ich das durch die Nutzung eines Passwort-Tresor. Konkret nutze ich auf meinen Systemen KeePass, bzw. MacPass auf dem Mac und KeePassXC unter Linux. Dort sind mittlerweile ca. 300 verschiedene Passwörter gespeichert – für alle möglichen Systeme wie meine NAS’ oder meine Server. Aber auch für andere Dienste wie meine Mail-Accounts oder meinen Amazon-Account. Durch den Passwort-Tresor fällt es leicht, verdammt gute Passwörter zu erzeugen und zu verwalten. Merken muss ich mir dabei nur das Passwort mit dem der Tresor selbst verschlüsselt ist. Die Passwörter für die einzelnen Accounts sind 20stellige Zufallskombinationen von Buchstaben, Zahlen und Sonderzeichen wie zum Beispiel: m(Ty,-rf}Cop2G,*g>WT

Passwörter in dieser Klasse sind im Jahr 2020 unmöglich zu erraten und können nur durch BruteForce-Angriffe geknackt werden, die bei einer Länge von 20 Zeichen aber Jahrtausende dauern. Weiterhin erfüllen sie eine wichtige Sicherheitsregel: Kein Passwort mehrfach verwenden! Denn wenn ein Passwort bei einem Anbieter kompromittert ist, dann kann durch diese Sicherheitsmaßnahme nicht auch ein anderer Account übernommen werden. Stellen Sie sich vor, dass Sie für Ihren Mail-Account und Ihren Paypal-Account das gleiche Passwort nutzen wie für ein kleines Forum auf einer Homepage für Angelfreunde. Kommt es nun zu einem Sicherheitsvorfall auf dem Forum für Angelfreunde, können die Angreifer Ihr Passwort direkt für Ihren Mailaccount nutzen (mit dem Sie an dem Forum angemeldet sind) und sich von Ihrem Konto Geld per Paypal überweisen. Unschön!

Merkbare Passwörter

Bei Passwörtern die ich mir merken muss, ist die Lage anders. Über 300 zufällige, wilde Kombinationen von Zeichen kann selbst ich mir nicht merken. Daher gilt für alle zu merkenden Passwörter:

  • Sie müssen mindestens 12 Zeichen haben
  • Sie sollten wo möglich über einen 2. Faktor abgesichert werden
  • Sie dürfen nicht in einem Wörterbuch stehen
  • Es dürfen keine Geburtsdaten, Postleitzahlen, eigene Telefonnummern oder sonstigen prominenten Zahlen drin vorkommen
  • Es dürfen keine per Leetspeak abgewandelten Worte sein (z.B.: g3h31m)

Ich verwende für Passwörter, die ich mir merke, daher meist solche Kombinationen: HTSD8403#(-$pqgf => Das kann ich mir gerade noch so merken. Eine Alternative dazu wäre die Passwort-Regel, die Randall Munroe in einem seiner Comics vorschlägt. Klingt witzig, ist aber sinnvoll:

Merkbare Passwörter bei XKCD
Quelle des Bildes: xkcd: Password Strength