Wenn du durch das NAS eine LAN-WAN Kopplung herstellst, in dem du eine Portweiterleitung zu dem NAS einrichtest, ist dein gesamtes Netzwerk und alle angeschlossenen Geräte (inkl. Smartphones) als kompromittiert zu betrachtet. Denn dafür dass dein NAS nicht gehackt wird kann keiner garantieren. Die Hersteller schließen Sicherheitslücken im Standardzyklus oft erst nach mehreren Monaten, bei besonders aktuten Fällen, wie dem Heartbleed nach wenigen Tagen. Normale Linux-Distributionen sind da wesentlich schneller. Besonders beliebt sind Botnetze und Verschlüsselungstrojaner (Erpressungstrojaner).
Wer sich Zugang zum NAS geschaffen hat, kann dann auch über die im ungeschützen LAN freigegebenen Netzwerkressourcen weitere Systeme kompromitieren. Und die im LAN angeboten und genutzen Dienste, wie SMB/CIFS, und andere diverse Dienste, besonders unter Windows, sind nicht ausreichend für Zugriffe von außen gehärtet, da sie nur für das LAN gedacht sind. Da dein NAS aber eine LAN-IP hat wird ihm von den anderen System in den Standardeinstellungen vertraut.
Beim mobilen Internet (inkl. WLAN Hotspots) ist zusätzlich nicht immer eine Verschlüsselung garantiert oder sie ist bereits kompromittiert, wenn du dann z.B. gerade auf deine private Cloud zugreifst könnte jemand ggf. dann deine Zugangsdaten mitlesen.
Mit einem VPN, also Server ist z.B. dein NAS und Client dein Handy, vergrößerst du den LAN-Bereich bis auf dein Handy, auch wenn du nicht zu Hause bist. Das gilt bereits als relativ sicher, da man nur ein Port aus dem Internet weiterleiten muss und der restliche Verkehr innerhalb des VPNs verschlüsselt werden muss. Was genau ein VPN ist und wie man es einrichtet (gibt verschiedenen Lösungen) solltest du selbst im Internet recherchieren, das sprengt den Rahmen.
Eine Geo-IP Firewall bedeuetet, dass eine vorgefertigte Liste von IPs aus einem Land erlaubt/verboten sind.
Das kann man z.B. beim Synology NAS einrichten. Ich habe dort einfach als Geo-IP nur "Deutschland" erlaubt. Also wird die IP des Clients als "aus Deutschland" kommend interpretiert, darf sie zugreifen sonst nicht. Wenn man das nicht macht, muss man die erlaubten Netze händisch pflegen oder das ganze sein lassen, aber wozu soll jemand aus Thailand oder Simbabwe oder Weißrussland auf deine Cloud zugreifen können? Bei Bedarf kann man den erlaubten Bereich immer erweitern.
DMZ ist ein geschützer Bereich, der den Server durch eine Firewall vor dem Internet schützt, aber auch gleichzeitig das LAN vor dem Server und man erlaubt nur die Dienste, die wirklich benötigt werden. Wie das vergleichsweise wirksam und günstig umgesetzt werden kann ist
hier zulesen. Manche werden maulen, weil Consumer-Router, aber auch hier sollte man dann auf Modelle setzen, die regelmäßig geupdatet werden, z.B. die von AVM oder welche mit OpenWRT oder so. Bei einer DMZ ist aber eigentlich ein zweites NAS für's LAN zwingend erforderlich, da man die Benutzung des Internet-NAS vom LAN aus soweit es geht einschränken sollte.
Ich habe auf meinem DMZ-NAS einen eigenen EMail-Server am laufen und wenn ich die Geo-IP Firewall nicht an habe, stehen sie Schlange um per Brute-Force-Attacke einen Spam-Schleuder daraus zu machen. Zusätzlich sind dann so Funktionen, die einen IP-Adresse bei mehrmaliger Falscheingabe des Passworts für einen Tag oder so sperren.
Zur Hardware:
Nimm besser keine WD Green, die sind nicht für den Betrieb im NAS ausgelegt.
Eine extra Kühler brauchst du nicht, die boxed sind im Idle leise genug, habe ich auf meinem Celeron G1840-NAS auch.
Nimm ein Board mit mehr SATA Steckplätzen und dann ist das Problem mit der SSD gelöst. Wenn das NAS nicht im Internet hängen würde, würde ich als OS ja Xpenology empfehlen.....
Ja, das passt dann. Nimm halt einfach die aktuellste!
