Hardware-Firewall für Homeoffice mit NAS notwendig?

[yambaaa]

Liebe alle,

Folgende Situation:
Zu Hause wird ein kleines Ingenieurbüro gestartet. Anzahl der Clients: 3. Eingebunden wird eine Qnap 231+ NAS, auf die alle technischen Zeichnungen zentral abgelegen werden. Hardware ist schon am Postweg Soweit ich online gelesen habe, hat die NAS eine Firewallfunktion, frage mich aber wie gut diese ist. Die NAS soll derzeit über DDNS von außen erreichbar sein. Auf den 3 Clients läuft Kaspersky Total Security 2016.

1. Frage: Ist es überhaupt notwendig eine feste IP vom Provider anzufragen? Kosten / Nutzen in dem Fall sehe ich persönlich derzeit in keinem Verhältnis.

2. Frage: Ist für dieses Szenatio mit NAS eine HARDWARE-Firewall überhaupt nötig?
Wenn ja, welche ist zu empfehlen und welche ist wirtschaftlich am sinnvollsten?

Danke und LG

 

[Lawnmower]

Es reicht ein Router und beim NAS einfach die Firewall eingeschaltet lassen. Wichtig hier noch: Backup der Daten vom Qnap auf eine externe USB3 Festplatte machen und diese jeweils am besten auswärts lagern und mindestens 1x pro Monat aktualisieren.

Zugriff von aussen im eigenen Interesse nur per VPN durchführen, das geht z.B. mit einer Fritzbox sehr einfach.
Frage 1: Per DynDNS Dienst machen (bietet die Fritzbox m.W.n. auch an) und Frage 2: Nicht nötig.

 

[CPU-Bastler]

zu 1: Feste IP wozu?

zu 2: Wenn die Zeichnungen fertig sind diese in die Cloud ablegen (z.B. drobox). Nur von dort können außenstehende auf die Zeichnungen zugreifen. Vorteil: Absicherung erfolgt beim Betreiber (dropbox). Auf dem NAS bleiben nur die internen Daten und das Ausgangsmaterial. Neue Daten werden durch einen guten virenscanner geprüft. Welcher Virenscanner gut ist muss jeder selbst entscheiden. Meist Sitz das EDV-PROBLEM vor dem PC.
WICHTIG regelmäßig backups machen.
1 .Tag Vollsicherung, 7 weiter Tage inrem. Sicherungen, 8.Tag wieder Vollsicherung. Alles auf einem etra NAS nur zu Backupzwecken angeschlossen.

 

[ChrisM]

Nötig ist es nicht, aber wenn du Spaß an solchen Projekten hast, kannst du dir ja eine Sophos UTM aufbauen, die Software gibts für Privatanwender kostenlos.

 

[error]

Moin,

es kommt bei deinen Fragen sehr darauf an, welchen Internetanschluss du hast bzw. wie viel du in Hardware und Konfiguration invenstieren willst.

1.) Feste IP: Lohnt sich nur, wenn du einen dauerhaft erreichbaren Server mit eigener Domain betreiben willst. Bei einem 3-Mann Büro ist das Übertrieben. Ein Dyndns-Account reicht aus. Weiter unten mehr dazu.

2) Ich empfehle dir, dein privates Netzwerk und dein "Arbeitsplatz-Netzwerk" zu trennen. Das hat dann den Vorteil, dass z.B. bei einem Virenbefall des Kind(er)-PCs deine beruflichen Daten gefährdet werden. Die Trennung kannst du z.B. über eine Hardwarefirewall oder einen semiprofessionellen Router erreichen.

Der Aufbau des Netzwerks:

Je nachdem wie du an das Internet angebunden bist ergeben sich mehrere Möglichkeiten:

-Kabelinternet:
In der Regel wirst du nur via IPv6 von außen erreichbar sein. In diesem Fall solltest du das NAS lokal nutzen und z.B. Dropbox Pro als Alternative um Daten im Internet bereit zu stellen. Ein Upgrade auf einen Businesskundenanschluss kann dir eine öffentliche und statische IPv4 beschaffen.

-VDSL/Glasfaser:
Hier kannst du deinen bisherigen Aufbau beibehalten. Ein zweiter Router/Firewall kann dein Arbeitsplatz vom bisherigen Netzwerk trennen. Die Daten kommen zwar in Richtung Internet und dein privates Netzwerk, aber dein Arbeitsnetzwerk kann nicht infiltiert werden.
Mögliche Router: Ubiquiti EdgeRouter Lite, Sophos UTM, 0815-Router (mit OpenWRT),...

Ggf. wäre es auch möglich, wenn dein bisheriger Router über einen Gastzugang verfügt, das Büro über den Gastzugang anzubinden. Dann einen Portweiterleitung an das NAS im Gastnetz, wenn es möglich ist, und schon wäre es extern erreichbar...

Wenn du uns eine Skizze deines bisherigen Netzwerks hochlädst, können wir dich genauer beraten. Ansonsten stochern wir nur im Dunkeln herum.

Gruß

 

[Raijin]

+1 für den Beitrag von error!

Es ist zwar nicht zwingend erforderlich, Büro- und Privatnetzwerk voneinamder zu trennen, aber wie error schon geschrieben hat, ist es anzuraten. Einmal korrekt eingerichtet erleichtert das die Wartung und vermeidet ungewollte gegenseitige Beeinträchtigungen. Je nach verwendetem Router könnte man dann zB auch den Traffic von Büro/Privat reglementieren, um zB eine schnelle Verbindung für das Büro zu gewährleisten.

Darüberhinaus kann man in einem getrennten Büro-Netzwerk zB auch ein separates WLAN aufbauen.


Die Router/Firewalls, die error genannt hat, eignen sich sehr gut dafür. Bei den EdgeRoutern von Ubiquiti ist zB ein Wizard dabei, der die LAN-Schnittstellen samt Firewall in 3 Netzwerke unterteilt: WAN (Richtung Internetrouter) + LAN1 (zB Home) + LAN2 (zB Office). Ein paar Anpassungen für den NAS-Zugriff und los geht's.

Den Part mit dem VPN kann ich auch nur unterstreichen. Ich würde nie Endgeräte frei ins Internet stellen. Man muss sich zu sehr darauf verlassen, dass der Hersteller auch wirklich über Sicherheit nachgedacht hat. Bei einem VPN hat man einen verschlüsselten Zugriff auf das heimische LAN und kann alle Geräte nutzen als säße man auf der Couch.

 

[yambaaa]

Vielen Dank! Am Wochenende werd eich es probieren... mal sehn ob ich es so hinbekomme

 

[ah_frankfurt]

https://de.wikipedia.org/wiki/Demilitarized_Zone

Das NAS käme in die demillitarisierte Zone (DMZ). Die Firewalls kann man über zwei Computer (für 24/7-Einsatz) mit je zwei Netzwerkkarten bewerkstelligen oder einem Computer mit 3 Netzwerkkarten (BSI empfiehlt lt. Link die erste Lösung). Das (unsichere) private Netz würde ich an die Firewall am WAN (=Internetrouter) und DMZ hängen (dort also eine zusätzliche Netzwerkkarte also 3 bzw. 4 Netzwerkkarten bei der Sparlösung).

Als Firewallsoftware könnte man z.B. IPFire oder pfSense laufen lassen (am besten zwei verschiedne Firewalls, um es Einbrechern zu erschweren).

Das NAS soll keine Werkzeuge besitzen, die man zum tunneln durch die zweite Firewall missbrauchen könnte (zum Beispiel keine Shell oder Ordner mit schlecht gesetzten Berechtigungen).

Zur Konfiguration: Netz durchstöbern nach grüne, orangene und rote Zone (green, orange, red) und IPFire.

Theoretisch kann man auch statt physischen Firewalls virtuelle Maschinen benutzen, wovon aber abgeraten wird. Firewalls sollen immer hardwaremäßig bewekstelligt werden. Was die NAS-eigene Firewall taugt, weiß ich nicht.

Was heißt wirtschaftlich sinnvoll? Sind es dir die 1000 bis 2000 Euro wert um dein NAS und Netzwerk fachgerecht zu schützen? Weißt du, was eine SPI-Firewall ist? Welche Freigaben ein NAS bekommt? Mit Auflagekräften, Einspannmomenten, Flächenträgheitsmomenten kenn ich mich auch aus, hobbymäßig. Würdest du dich auf meinen selbstgebauten Balkon stellen?