Installation eines QNAP-NAS

Für die Installation eines neuen QNAP-NAS empfiehlt sich die Nutzung des QFinder, der im Download-Center nach Auswahl des Models unter „Dienstprogramm“ als „QNAP Qfinder Pro for …“ heruntergeladen werden kann.

Nach der Installation werden die im Netzwerk verfügbaren QNAP-NAS angezeigt, die neu einzurichtenden Geräte sind dabei mit dem werkseitig definierten Namen NAS + die letzen 3 Paare der MAC-Adresse sichtbar.

Die grundlegenden Einrichtung kann dann über das PopUp der „Inteligenten Installationsanleitung“ gestartet werden.

Das zweite PopUp zum SMTP-Server sollte später bearbeitet werden, wenn die grundlegende Einrichtung abgeschlossen ist.

Die Installlation erfolgt dann im Browser, hier werden in 5 Schritten die wichtigsten Eigenschaften zur Einbindung ins Netzwerk abgefragt.

Als erstes ist der Servername und das Admin-Kennwort anzugeben.

Im zweiten Schritt ist die Zeitzone anzugeben. Um auf dem NAS immer die korrekte Uhrzeit zu erhalten, die für die Nutzung spätere Nutzung der Zwei-Faktor-Authentifizierung wichtig ist, sollte unter NTP-Server ein passender eingetragen werden. Für Europa empfielt sich die Physikalisch-Techniche-Bundesanstalt in Braunschweig (ptbtime1.ptb.de). Alternativ sind weitere Server etwa bei Wikipedia zu finden.

Als nächstes ist die Netzwerk-Adresse des Servers anzugeben. Es kann zwar die automatische Vergabe per DHCP konfiguriert werden, aber für die spätere Einrichtung einer (Internet-) Freigabe sollte ein fester Wert hinterlegt werden. Dies ermöglicht zudem die Angabe des Routers als DNS-Server.

Nach der Bestätigung erfolgt die Einrichtung automatisch und es werden 4 Seiten mit weiteren Informationen angezeigt. Wenn die Einrichtung dort abgeschlossen ist, sollte zunächst noch die Firmware aktualisiert werden. Dies erfolgt am Besten wieder über den QFinder.

Im Kontextmenü findet sich dafür der Eintrag „Firmware aktualisieren“, der dann nach der Anmeldung mit den zuvor festgelegten Anmeldeinformationen auf eine Unterseite mit einer Übersicht der kompatiblen Geräte führt.

Die Installation wird ab hier im Browser fortgesetzt. Dazu ist die Seite http://<IP-der-QNAP>:8080 zu öffnen. Nach der Ammeldung mit den zu Beginn festgelegten Anmeldedaten sollten in der Systemsteuerung folgende Punkte angepasst werden, die teilweise auch vom Security-Councelor erwartet werden.

  1. nicht benötigte Apps deaktivieren
  2. Systemport ändern
  3. https-Zertifikat
  4. nur https-Verbindungen zulasssen

Im AppCenter sollten alle nicht benötigten Apps deaktiviert werden, um weniger Angriffsfläche für Hacker zu bieten und ggf. auch Ressourcen zu sparen.

Als Systemports sind standardmäßig die Ports 8080 bei http und 443 bei https hinterlegt. Soll der Standard-http-Port für den Webserver genutzt werden, muss der Systemport geändert werden. Da später nur noch https zugelassen sein sollte, reicht es den Standardwert des https-Ports von 443 auf z.B. 8480 zu ändern. Wenn im weiteren Verlauf das https-Zertifikat installiert ist, sollte auch die Option „Nur eine sichere Verbindung (HTTPS) herstellen“ aktiviert werden.

Das SSL-Zertifikat kann im Bereich „Sicherheit“ im Reiter „Zertifikat & privater Schlüssel“ installiert werden.

Unter Netzwerk- und Dateiservices können die bereitzustellenden Dienste konfiguriert werden. Diese teilen zunächst in Windows-, Apple- und Unix/Linux-Netzwerke auf. Für Windows Clients ist der Reiter Microsoft-Netzwerk zu konfigurieren.

Neben der offensichtlichen Eingeschft der Arbeitsgruppe, sollte vor allem die SMB-Version in den erweiterten Eigenschaften getetz werden.

Standardmäßig sind hier alle SMB Versionen von 1 bis 3 aktiv. Abhängig von den verwendeten Windows-Clients können alle bis auf SMB 3 deaktiviert werden. Falls noch Windows 7 Rechner im Einsatz sind, muss die minimle SMB Version auf 2.1 gesenkt werden.

Der nächste Bereich „Telnet / SSH“ sollte nur aktiviert werden, wenn diese Dienste tatsächlich aktiv genutzt werden. SSH Verbindungen sind z.B. für verschlüsselte Dateitransfers zu anderen QNAP-NAS notwendig oder um zusätzliche Dienste über die Komandozeile einzurichten. Auch hier sollten die Standardports geändert werden.

Ebenso sollten die Diensterkennung über UPnP und Bonjour deaktiviert werden.

Die folgenden Punkte der Einrichtung können erst nach Einrichtung eines Systemlaufwerkes vorgenommen werden, dazu sind zunächst die Schritte in Beitrag Speicherverwaltung in QTS notwendig.

Die Standardeinstellungen sollte zumindest für den Bereich Webserver angepasst werden. Hier sind Standardmäßig die Ports 80 für http und 8081 für https definiert. Diese solten 81 für http und 443 für https gesetzt werden. Damit kann der üblicherweise in Gäste-WLANs freie Port 80 ggf. für andere Dienste wie Plex genutzt werden. Auf die bereitgestellten webseiten hat das keine Einfluss mehr, da diese nur noch über https verteilt werden (sollten).

Weitere Massnahmen, die die grundlegende Sicherheit des NAS gewährleisten, können über die App „Security Councelor“ geprügft und eingestellt werden. Der Ablauf dazu ist im Beitrag „Security Counselor“ nutzen beschrieben.

This post is also available in: Deutsch

Schreibe einen Kommentar