Netzwerke und Freigaben

Um die Sicherheit der Daten auf Ihrem NAS zu gewährleisten ist es entscheidend, welche Netzwerke und Freigaben Sie auf dem System einrichtet haben. Im Folgenden beschreibe ich verschiedene Szenarien und deren Sicherheitsprobleme.

Szenario 1: NAS im einfachen Heimnetzwerk ohne Freigaben

In den allermeisten Fällen in Privathaushalten dürfte ein NAS innerhalb eines lokalen Netzwerks stehen (LAN), meist erweitert durch ein WLAN. Da bei aktuellen DSL- und Kabelroutern die internen Netzwerke per NAT vom Internet getrennt sind, gibt das schon eine gewisse Grundsicherheit. Die NAT (Network Adress Translation) im Router übersetzt Anfragen an die “offizielle Internetadresse” des Routers (im Bild unten als Beispiel: 84.167.x.x) in eine lokale Adresse (192.168.x.x). Damit ist schon viel Sicherheit gewonnen, weil damit das NAS nicht direkt von “außen” (dem Internet) erreichbar ist. Lokale IP-Adressen wie 192.168.x.x. sind aus dem Internet grundsätzlich nicht erreichbar, weshalb sie meistens für Heimnetzwerke benutzt werden.

Einfaches LAN mit einem NAS ohne Freigaben
Einfaches LAN mit einem NAS ohne Freigaben

Unter der Annahme, dass der Router (wie zum Beispiel eine FritzBox) keine gravierenden Sicherheitslücken hat, kann das NAS in diesem Szenario nicht aus dem Internet angegriffen werden. Das ist der Optimalzustand. Jetzt sind theoretisch nur noch Angriffe “von innen” möglich. Denen könne sie aber begegnen in dem Sie Ihr WLAN ordentlich absichern und die Punkte unter NAS Security: Benutzer, Berechtigungen, Passwörter beachten.

Szenario 2: VPN Netzwerke und Freigaben

Soll Ihr NAS noch aus einem zweiten Netzwerk außer Ihrem eigenen erreichbar sein, dann bietet sich der Aufbau eines VPN-Tunnel an. Der VPN-Tunnel (VPN = “Virtual Private Network”), der von den Routern aufgebaut wird, verbindet die beiden Netzwerke über das Internet. Dabei ist der Tunnel stark verschlüsselt, so dass keine Daten abgegriffen werden können, die über das Internet transferiert werden.

Zwei Netzwerke mit NAS, verbunden durch einen VPN-Tunnel
Zwei Netzwerke mit NAS, verbunden durch einen VPN-Tunnel

Nutzer im Netzwerk 1 (mit dem IP-Adressbereich: 192.168.1.x) können jetzt auf das NAS im Netzwerk 2 (192.168.2.10) zugreifen und umgekehrt. Die Angriffe von außen sind nach wie vor nicht möglich (sofern der VPN-Tunnel gut abgesichert ist), aber Angriffe von innen können jetzt auch aus einem zweiten Netzwerk kommen. Bauen Sie solch’ einen VPN-Tunnel also nur zu den Netzwerken von Personen auf, denen Sie vertrauen. Dieses Szenario ist eine gute Möglichkeit um Daten zwischen geographisch verteilten Freunden oder Familien zu teilen.

Ein weiterer Anwendungsfall für dieses Szenario sind geographisch verteilte Backups. Die beiden NAS können Ihre Daten gegenseitig sichern und schützen sich so vor Elementarschäden (Brände, Überschwemmungen, etc.).

Für einen temporären VPN-Tunnel genügen die aktuellen IP-Adressen der jeweiligen Netzwerke. Soll der Tunnel jedoch permanent sein, müssen Sie für jedes Netzwerk einen dynamischen DNS-Namen vergeben. Einen Überblick über solche Anbieter finden Sie zum Beispiel im Digital Guide von IONOS.

Szenario 3: Zugriff und Freigaben ins Internet

Sollte es wirklich notwendig sein, aus dem Internet auf das NAS zuzugreifen (z.B.: mit dem Smartphone auf eine Nextcloud-Installation), dann bleibt nur noch das Szenario 3: Freigabe des NAS ins Internet. Die Gefahr ist hierbei immer: Wenn Sie aus dem Internet auf Ihr NAS kommen, dann besteht die Möglichkeit, dass das auch andere können.

Verschlüsselte Freigabe ins Internet
Verschlüsselte Freigabe ins Internet

Wenn Sie das tun, sollten Sie darauf achten, dass Sie lediglich einzelne Ports (und damit Dienste) ins Internet freigeben und niemals das gesamte System (“Exposed Host”). Weiterhin muss die Freigabe verschlüsselt und authentifiziert sein. Einen Webserver sollten Sie also nur per TLS-Verschlüsselung (https://…) erreichbar machen und es ist zwingend erforderlich, dass sich die Nutzer an dem System anmelden. Sollten Sie eine dieser beiden Maßnahmen nicht treffen, dann kann jeder auf Ihr NAS zugreifen. Sie, Ihre Familie, völlig Unbekannte und nicht wohlwollend gesinnte Hacker.

Variante: Ein zweites NAS

Beim genannten Szenario einer Freigabe ins Internet bleibt bei mir immer das mulmige Gefühl zurück, dass das System, das ich ins Internet freigebe, dasjenige ist, auf dem auch meine privaten Daten liegen. Sicherheitslücken gibt es immer und überall und ich verlagere die Grenze des Internet in dieser Variante vom Router auf’s NAS. Das ist etwas, was mir per se nicht gefällt. Daher nutze ich in solch einem Fall lieber ein zweites NAS, wie zum Beispiel ein Raspberry PI NAS. Das RasPi NAS gibt dann einen Port ins Internet frei, aber meine Daten verbleiben auf dem primären NAS, das nirgendwo freigegeben ist. Auf dem sekundären NAS liegen nur die Daten, die unbedingt im Internet gebraucht werden. Alles andere bleibt sicher im eigenen Netz.

Fazit

Systeme ins Internet freizugeben ist immer eine gefährliche Sache und man sollte wissen was man tut. Besonders in diesem Szenario ist es wichtig, dass Sie die Software auf Ihrem NAS immer aktuell halten. Nur so erhalten Sie die wichtigen Sicherheitsupdates, die verhindern, dass jemand über Ihre Netzwerke und Freigaben Schaden anrichten kann.

Wichtig auch zu beachten: Dies sind Szenarien für Privathaushalte. Wenn es um Firmennetzwerke und sensible und vertrauliche Daten geht, sollten Sie sich von einem Experten individuell beraten lassen!