„Security Counselor“ nutzen

Wenn ein NAS in irgendeiner Form öffentlich über das Internet erreichbar ist, müssen besondere Vorkehrungen getroffen werden, um einen Zugriff unberechtigter Dritter darauf zu verhindern. Eine sehr übersichtliche Variante dazu bietet die App „Security Counselor“, die im App-Center ab QTS 4.3.5 verfügbar ist.

Installation

Damit der „Security Counselor“ genutzt werden kann, muss die App zunächst installiert werden. Dies erfolgt am einfachsten über das App-Center und der Suche.

Beim ersten Aufruf werden Zustimmungen zu datenschutzrelevanten Einstellungen abgefragt und eine Einführung angeboten, die individuell genutzt und beantwortet werden können.

Konfiguration

Im Anschluss beginnt die eigentliche Konfiguration, hier sollte für ein Höchstmaß an Sicherheit immer die „Erweiterte Sicherheitsrichtlinie“ gewählt werden und im weiteren Verlauf einzelne Prüfungen angepasst werden.

Nach dem ersten Scan sollte sich folgendes Bild ergeben.

Im Bericht werden im dann die einzelnen Punkte im Detail aufgeführt.

Über die Links bzw. die Aktionen kann dann direkt auch die weitere Konfiguration erfolgen, sofern dies notwendig sein sollte.

wesentliche sicherheitsrelevante Einstellungen

In der Standard-Installation werden die folgenden Punkte eine Konfiguration erfordern:

  • Passwortrichtlinie
  • Benachrichtigungen
  • Zwei-Faktor-Authentifizierung
  • SSH-Verbindungen
  • Antivirus / Firewall
  • Webserver

Passwortrichtlinie

Einer der ersten Punkte führt zur Passwortrichtlinie. Diese wird in der Systemsteuerung unter Sicherheit / Passwortrichtlinie konfiguriert.

Die erweiterte Sicherheitsrichtlinie erwartet hier ein Wechsel des Passwortes alle 90 Tage und eine Definition zur Passwortkomplexität. Hier sollten möglichst viele Kriterien berücksichtigt werden, um den Zugang durch dritte möglichst auszuschließen.

Eine einfache Verwaltung komplexer Passwörter ist über Passwortmanager möglich, eine Beschreibung der Vorgehensweise in KeePass findet Ihr in der entsprechenden Kategorie.

Sollen einzelne Punkte bei der Bewertung des Sicherheitstests unberücksichtigt bleiben, können diese über die Aktion „Ergebnis ignorieren“ ausgeschlossen werden. Dies sollte jedoch nur bei konkret geprüften Punkten geschehen.

(E-Mail-) Benachrichtigungen einrichten

Um die weiteren Funktionen nutzen zu können muss ein E-Mail-Konto für den Versand von Nachrichten eingerichtet werden. Dies ist im Benachrichtigungscenter unter „Servicekonto und Gerätekopplung“ möglich.

Grundlegend sollte zumindest ein E-Mail-Konto hinterlegt werden. Optional können auch weitere Dienste an dieser Stelle konfiguriert werden.

Für den E-Mail-Versand muss eine SMTP-Konto angegeben werden. Neben einigen vordefinierten Typen sollten sich alle E-Mail-Konten über den Typ „Benutzerdefiniert“ einrichten lassen.

Dafür werden die folgenden Angaben des Internet-Service-Providers oder eures E-Mail-Postfaches benötigt:

  • SMTP-Server (z.B. securesmtp.t-online.de)
  • Typ der Verschlüsselung (SSL oder TLS)
  • Port entsprechend der gewählten Verschlüsselung (z.B. 465 oder 587)
  • E-Mail-Adresse des Kontos
  • Benutzername und Passwort für die Anmeldung am SMTP-Server

Nach dem erstellen sollte der Versand mit eine Testnachricht geprüft werden.

Zwei-Faktor-Authentifizierung

Ein wichtiger Punkt für ein effektives Passwort ist neben dessen Komplexität die Zwei-Faktor-Authentifizierung. Dabei wird die Identität der Nutzers über einen zweiten unabhängigen Weg, etwa über E-Mail oder eine App, bestätigt, bevor der Zugriff auf das Konto möglich ist.

Im QNAP-NAS wird diese in den Profil-Einstellungen unter Optionen / Bestätigung in 2 Schritten eingerichtet.

Mit „Beginnen Sie“ wird die Einrichtung gestartet. Vorbereitend sollte eine TOTP-App auf dem Smartphone installiert sein, die weitere Einrichtung zeigt dies anhand der „Google Authenticator“-App, die für alle Betriebssysteme verfügbar ist.

Der zweite Schritt der Einrichtung bietet die Möglichkeit den Namen des Eintrages im „Google Authenticator“ zu definieren und dann die Einrichtung über eine QR-Code vorzunehmen. Wenn das Konto auf mehreren Geräten eingesetzt werden soll oder bei einem Gerätewechsel erneut einzurichten ist, sollte statt des QR-Codes der Sicherheitsschlüssel genutzt werden. Dieser lässt sich im Passwortsafe verwalten und kann zur Einrichtung weiterer Geräte genutzt werden, da der ermittelte Code für alle identisch ist.

Um die Daten im zu nutzen, muss ein neuer Eintrag angelegt werden. Dazu sollte ein Einrichtungsschlüssel eingegeben werden.

Im nächsten Schritt können dann die gewünschte Bezeichnung und der Sicherheitsschlüssel eingegeben werden. Als Typ muss Zeitbasiert ausgewählt bleiben.

Mit Hinzufügen wird dann der Code im „Google Authenticator“ gespeichert und der Authentifizierungscode wird angezeigt. Dieser wechselt dann alle 30 Sekunden und kann so zu Validierung genutzt werden.

Dieser Code muss dann im Schritt 2 in der QNAP eingetragen werden.

Da der Code nur über das eingerichtete Gerät ermittelbar ist und ohne diesen kein Zugriff mehr auf das Konto möglich ist, wird im letzten Schritt noch eine alternative Methode konfiguriert, mit der eine Authentifizierung möglich ist.

Um den E-Mail-Versand nutzen zu können, muss zunächst eine E-Mail-Service im Benachrichtigungscenter konfiguriert sein. Die Schritte dazu sind im vorherigen Abschnitt aufgeführt.

Nach der Bestätigung mit „Fertigstellen“ erfolgt eine automatische Abmeldung des Benutzers.

Beim erneuten Login wird der soeben konfigurierte Code abgefragt.

Alternativ kann über „Auf andere Weise bestätigen“ auch eine Mail mit dem Code gesendet werden.

Systemsteuerung / Webserver

Die Systemsteuerung eines QNAP-NAS erfolgt über einen eigenen Webserver, der über zwei Ports erreichbar ist, die 8080 für http- und 443 für https-Verbindungen. Da diese allgemein bekannt sind und so ein Einfallstor bieten (könnten), sollen beide für eine korrekte Prüfung im „Security Counselor“ geändert werden.

Dies sollte für den https-Port bereits erfolgt sein, da der Webserver die 443 nutzt. Für den http-Port 8080 muss ein abweichender Wert definiert werden, auch wenn alle Verbindungen auf https umgeleitet werden. An gleicher Stelle muss noch die http-Komprimierung deaktiviert werden.

Die http-Komprimierung muss für den Webserver ebenfalls deaktiviert werden, zu finden ist diese unter Anwendungen / Webserver.

SSH-Verbindungen

Wenn erweiterte Funktionen wie eine Datensicherung auf ein zweites NAS oder der Zugriff über WinSCP genutzt werden sollen, muss eine SSH-Verbindung zum NAS möglich sein, die in der erweiterten Sicherheitsrichtlinie deaktiviert sein sollte. Um diese Funktion dennoch einigermaßen sicher nutzen zu können, muss der Port von 22 abweichend konfiguriert werden und im Anschluss eine Ausnahme im „Security Counselor“ definiert werden.

Antivirus

Für die weiteren Punkte sind zusätzliche Apps notwendig, die in der Standard-Installation nicht vorhanden sind. Eine davon „Antivirus“, die in der Systemteuerung unter Anwendungen / Antivirus aktiviert werden muss. Für Modelle mit x86-Prozessor kann über das App-Center auch die kostenpflichtige Variante „McAfee Antivirus“ genutzt werden.

Benachrichtigungen für Firmware-Updates

Einen letzten Punkt, der für eine erfolgreiche Prüfung des „Security Counselors“ notwendig ist, sind Benachrichtigungen über Firmwareupdates.

Diese werden im Benachrichtigungszentrum verwaltet. Da für die Prüfung sowohl eine Ereignisbenachrichtigung, als auch eine Alarmbenachrichtigung notwendig sind bietet es sich an mindestens zwei separate Regeln zu erstellen:

  1. Eine Ereignisbenachrichtigung für neue Firmware-Updates.
  2. Eine Alarmbenachrichtigung für alle oder ausgewählte andere Nachrichten.

Angelegt werden beide im Benachrichtigungscenter unter „Regeln für Systembenachrichtigungen“.

Um eine Regel zu erstellen, müssen zunächst die Ereignisse gewählt werden, bei denen eine Benachrichtigung erfolgen soll. Diese sind als Auswahl-Boxen vordefiniert und können je Regel definiert werden. Über den Filter der „Angezeigte[n] Elemente“ können einzelnen Abschnitte einfach gefiltert werden.

Für die Ereignisbenachrichtigung sollten hier nur die Punkte „Firmware Update“ und „Firmwareaktualisierung“ gewählt werden. Eines dient der Benachrichtigung, wenn ein neues Update verfügbar ist, das andere dokumentiert die Installation, wenn ein Update eingespielt wird.

Der zweite Schritt schränkt den Schweregrad einer Nachricht ein. Da es sich bei den ausgewählten Elementen nur um Informationsmeldungen handelt, genügt hier die Auswahl „Information“.

Abschließend muss noch die Art der Benachrichtigung, etwa E-Mail oder SMS, festgelegt werden. Das einfachste ist hier die E-Mail-Benachrichtigung, für die zuvor bereits ein Konto erstellt wurde.

Analog wird mit den Alarmbenachrichtigung verfahren, nur das hier keine Ereignisse ausgewählt werden können und der Schweregrad auch nur die Auswahl auf „Fehler“ und gegebenenfalls auf „Warnung“ ermöglicht.

Die Push-Benachrichtigungen für neue Firmwareupdates können dann, wie oben beschrieben, deaktiviert werden.

Firewall

Im „Security Counselor“ findet sich ab Firmware 4.5 noch ein Eintrag zur App „QuFirewall“, die als separate App verfügbar ist und erweiterte Funktionen für die Blockierung von (Fremd-) Zugriffen auf das NAS bietet.

This post is also available in: Deutsch

0 Kommentare zu „„Security Counselor“ nutzen

Schreibe einen Kommentar