RPi 4 als Firewall für QNAP-NAS?

Xechon

Commander
Registriert
Feb. 2014
Beiträge
2.092
Servus alle miteinander,

da meine Frau und ich das QNAP-NAS auch teils als iCloud-Ersatz nutzen und man alleine für den Gedanken im Netz schon gejagt wird (weil nicht ausreichend geschützt), hatte ich mir gedacht, ich könnte evtl. etwas für die Sicherheit tun. Dabei dachte ich an den Raspi. Kann man das (einfach für Anfänger) als Firewall für das NAS einrichten? Ähnlich wie Pi Hole?

Danke schonmal für eure Unterstützung!
 
Kann man machen, bringt aber nichts. Damit es funktioniert müssen die entsprechenden Ports freigeschaltet werden. Damit ist das NAS wieder angreifbar.
Xechon schrieb:
als iCloud-Ersatz nutzen und man alleine für den Gedanken im Netz schon gejagt wird (weil nicht ausreichend geschützt)
Ist auch so, ein NAS gehört nicht ins Internet, egal was der Hersteller dazu meint. Es gibt schon wieder viele Angriffe auf Qnap NAS in DE.
https://www.heise.de/security/meldu...zwerkspeicher-auch-in-Deutschand-4573483.html
 
Helge01 schrieb:
Kann man machen, bringt aber nichts. Damit es funktioniert müssen die entsprechenden Ports freigeschaltet werden. Damit ist das NAS wieder angreifbar.

Ist auch so, ein NAS gehört nicht ins Internet, egal was der Hersteller dazu meint. Es gibt schon wieder viele Angriffe auf Qnap NAS in DE.
https://www.heise.de/security/meldu...zwerkspeicher-auch-in-Deutschand-4573483.html
Und deine Dateien bei Google, Dropbox, etc. zu haben findest du besser?
 
Weil ich nicht weiß wie das geht. Ich nutze VPN nur dienstlich aus dem HO und muss dazu nur „Connect“ klicken und mein Passwort eingeben. 🙈 Dazu muss insbesondere meine Frau einen Cloudersatz ala iCloud (Fotoalben) haben, da sie es sonst nicht nutzt. Dann hab ich wieder die Abhänigkeit von einer fremden Cloud.
 
Eine Firewall macht auch nichts anderes als dein Router eh schon macht: Nur gewisse Ports durchlassen. Du gewinnst also nichts an Sicherheit.
Du könntest aber einen OpenVPN Server auf deinem Pi installieren. Der sollte sicherer sein als die Dienste auf dem QNAP. Mit PiVPN gibt es einen recht simplen installer. Alternativ bieten aus manche Routerhersteller (z.B. AVM bei den Fritzboxen VPN Dienste an)
Oder eben drauf setzten/hoffen das QNAP Lücken in deren Diensten schnell genug erkennt und schließt ...
 
Xechon schrieb:
Und deine Dateien bei Google, Dropbox, etc. zu haben findest du besser?
Was soll den dieser schwachsinnige Vergleich. Ein NAS wird von Betrügern missbraucht, oder ist irgendwann ein Teil von einem Botnet. Von Datenschutz ist hier nicht die Rede.
 
Beim Synology NAS kann man sehr einfach ein VPN Server einrichten (z.B. IPSec, anschließend leitet man 3 Ports im Router weiter). QNAP kenne ich nicht, daher weiß ich nicht ob die das auch anbieten.

Oder noch besser aber etwas schwieriger in der Ersteinrichtung: Wireguard auf´m Raspberry + 1 Port weiterleiten.
Wenn es eingerichtet ist, braucht man auf´m Handy nur 1 Klick machen und ist mit Zuhause verbunden.

Beide Varianten schaffen knapp 100Mbit/s (getestet auf´m Raspberry Pi 3 bzw. DS218+).

Das integrierte FritzBox VPN kann ich nicht empfehlen, viel zu langsam.
 
  • Gefällt mir
Reaktionen: Xechon
Nilson schrieb:
Eine Firewall macht auch nichts anderes als dein Router eh schon macht: Nur gewisse Ports durchlassen. Du gewinnst also nichts an Sicherheit.
Na diese Aussage ist der Hammer :hammer_alt:
 
Avenger84 schrieb:
Beim Synology NAS kann man sehr einfach ein VPN Server einrichten (z.B. IPSec, anschließend leitet man 3 Ports im Router weiter). QNAP kenne ich nicht, daher weiß ich nicht ob die das auch anbieten.

Oder noch besser aber etwas schwieriger in der Ersteinrichtung: Wireguard auf´m Raspberry + 1 Port weiterleiten.
Wenn es eingerichtet ist, braucht man auf´m Handy nur 1 Klick machen und ist mit Zuhause verbunden.

Beide Varianten schaffen knapp 100Mbit/s (getestet auf´m Raspberry Pi 3 bzw. DS218+).

Das integrierte FritzBox VPN kann ich nicht empfehlen, viel zu langsam.
Also wenn ich schon mit VPN rumdoktoren anfange, dann hört sich das am interessantesten an.
 
Tiu schrieb:
Na diese Aussage ist der Hammer :hammer_alt:
Na dann klär mich mal auf, wie die Firewall erkennen will, ob das Paket jetzt vom Mobiltelefon des TE kommt, oder von jemanden "bösen"?
 
Hallo,

Ich würde das auch mit VPN lösen, NAS ins Internet hängen ist eine Einladung an alle Hacker. Mach dich auch gleich noch schlau wie das mit PieHole funktioniert, das ist in Kombination mit always-on VPN eine sehr gute Lösung die ich mir selbst in nächster Zukunft einrichten werde.

Grüße,
Znep
 
Wenn ihr Hilfe beim Raspberry Pi-Hole und Wireguard braucht kein Problem, einfach melden.
 
Nilson schrieb:
Na dann klär mich mal auf, wie die Firewall erkennen will, ob das Paket jetzt vom Mobiltelefon des TE kommt, oder von jemanden "bösen"?
Es geht um deine "pauschale" Aussage, dass eine Firewall nichts anderes macht als ein Router und man "nichts" an Sicherheit gewinnt... Zwischen einem Router und einer IpFireDuo liegen aber Welten... dagegen ist eine Fritte ein offenes Scheunentor!
 
  • Gefällt mir
Reaktionen: Nilson
Das stimmt wieder rum ;)
 
  • Gefällt mir
Reaktionen: Tiu
Xechon schrieb:
Weil ich nicht weiß wie das geht.
Hä? Du weißt nicht wie man eine Firewall konfiguriert und fragst hier nach. Dann wird VPN vorgeschlagen und deine Begründung lautet, dass du nicht weißt wie das geht
?!? Offenbar weißt du weder wie eine Firewall funktioniert noch wie ein VPN funktioniert. Das ist also offensichtlich kein Argument ;)

Grundsätzlich ist Firewall nicht gleich Firewall und VPN nicht gleich VPN. Einfach einen PI mit Firewall ins Netzwerk zu hängen bringt erstmal gar nichts, weil der PI das NAS als gleicherechtigter Netzwerkteilnehmer überhaupt nicht schützen kann, weil der PI den Traffic vom NAS gar nicht sieht, wenn man nicht eine subnetzinterne Routingkrücke einbaut.

Eine (Hardware-/PI-) Firewall sitzt am Übergang zweier Netzwerke. Man müsste das NAS daher konsequenterweise in einem separaten Netzwerk hinter dem PI betreiben, ähnlich wie zB ein Gastnetzwerk, nur dass man das dann als DMZ bezeichnet.

Ob eine Firewall hier das richtige ist, sei mal zu bezweifeln.

Szenario 1: Portweiterleitungen je Service
Ein Angreifer attackiert einen potentiell unsicheren Service über die Portweiterleitung und kapert es. Nun kann der Eindringling vom NAS aus den Rest des Netzwerks infiltrieren. In diesem Fall würde man eine Firewall zwischen das NAS und das Hauptnetzwerk setzen und wenn ein Angreifer das NAS kapert, bleibt er in der DMZ eingesperrt und das Hauptnetzwerk sicher.

Szenario 2:
Statt über direkte, beliebig unsichere Portweiterleitungen auf alle mögliches Services am NAS geht man ausschließlich über eine einzelne Weiterleitung für das VPN. VPN ist aber explizit dafür gebaut, voll verschlüsselt. Das VPN ist dann wie ein Netzwerkkabel für unterwegs und wenn korrekt eingerichtet, bedient man NAS und Co so als säße man zu Hause.

Eingerichtet werden muss beides. Der Aufwand ist vergleichbar bzw. beim VPN, insbesondere wenn es direkt auf dem NAS läuft, eher geringer, weil für eine DMZ muss man wissen wie eine Firewall funktioniert.
 
  • Gefällt mir
Reaktionen: Nilson und Avenger84
Nur für freunde fotoalben freigeben geht dann via vpn nicht, richtig?
 
Beim Synology VPN Server schon aber gleichzeitig ist das Heimnetzwerk auch freigegeben.

Bei Wireguard könnte man nur das NAS erreichbar machen und dort wiederum mit User/Passw einen Bereich.
 
Zurück
Oben