Wenn Sie keine Sicherheitsprobleme mit Ihrem NAS-Server haben möchten, sollten Sie den Management-Port niemals dem Internet aussetzen. Obwohl wir der Meinung sind, dass durch die Verwendung eines guten Passworts für unseren Administratorbenutzer mit zweistufiger Verifizierung, der Änderung des Standardports des NAS und sogar der Aktivierung von HTTPS die Wahrheit so ist Wenn Sie den Port am Router zum NAS öffnen, wird ein schwerwiegender Fehler ausgeführt. Achtung dass Ihr Computer gehackt wird. Cyberkriminelle nutzen den Fernzugriff auf diese Art von Gerät, um eine Schwachstelle auszunutzen und die vollständige Kontrolle zu erlangen. Heute werden wir Ihnen in diesem Artikel sagen, was Sie tun können, um sicher über das Internet darauf zuzugreifen.
Zugriff über den VPN-Server des NAS
Diese Lösung ist aufgrund ihrer einfachen Konfiguration und der gebotenen Sicherheit die empfehlenswerteste von allen. Wenn wir die konfigurieren VPN Server des NAS-Servers selbst und öffnen Sie den entsprechenden Port auf unserem Router, um eine Verbindung vom Internet herzustellen, können wir uns mit maximaler Sicherheit aus der Ferne mit dem Computer verbinden, und das alles so, als ob wir über das lokale Heimnetzwerk verbunden wären.
Um auf diese Weise eine Verbindung herstellen zu können, müssen wir den OpenVPN-Server oder den konfigurieren WireGuard VPN-Server , oder konfigurieren Sie beide gleichzeitig für unterschiedliche Verwendungszwecke, da in der Regel alle Systeme mit mehreren Protokollen kompatibel sind, die wir problemlos gleichzeitig verwenden können. Dank der Möglichkeit, einen VPN-Tunnel zu konfigurieren, greifen wir sicher auf unseren Computer zu, da für die Verbindung die entsprechenden Zertifikate und privaten Schlüssel erforderlich sind, die sich nur unter unserer Domäne befinden.
Auf diese Weise müssen wir im Router nur Öffnen Sie den VPN-Serverport , und wir werden die NAS-Verwaltungswebseite nicht direkt offenlegen, um sie vor möglichen Angriffen durch Cyberkriminelle zu schützen. Wenn ein Cyberkrimineller einen Port-Scan durchführt und den offenen VPN-Port findet, kann er nicht viel tun, da er nicht über die privaten Schlüssel verfügt, um sich damit zu verbinden.
Richten Sie einen Reverse-Proxy mit zusätzlicher Authentifizierung ein
In den letzten Jahren integrieren NAS-Hersteller einen Reverse-Proxy nativ in ihre Betriebssysteme, man könnte aber auch den beliebten Traefik-Reverse-Proxy als Docker-Container installieren. Hersteller wie QNAP, ASUSTOR oder Synology ermöglichen Ihnen die Installation Docker-Container um die Funktionalitäten der Geräte weiter auszubauen.
Wenn wir in diesem Fall einen Reverse-Proxy installieren, können wir nur auf die Serververwaltungswebsite zugreifen, indem wir eine bestimmte Subdomain oder URL eingeben, was es einem Cyberkriminellen eindeutig erschwert, eine Verbindung herzustellen. In diesem Fall müssen wir nur Port 443 des Reverse-Proxy-Webservers öffnen, um später zur Serververwaltungswebsite zu gelangen.
Reverse Proxys ermöglichen es uns, zusätzliche Sicherheitsmaßnahmen hinzuzufügen, um mögliche Angriffe und Eingriffe in die verschiedenen Dienste abzuschwächen und sogar zu verhindern. Hier sind einige der häufigsten und empfohlenen Sicherheitsmaßnahmen, die wir anwenden sollten:
- Beschränken Sie den Zugriff auf verschiedene Ressourcen nach Land, basierend auf der Quell-IP-Adresse.
- Blockieren Sie IP-Adressen basierend auf Zugriffsversuchen auf den Computer.
- Fügen Sie eine erste Authentifizierung hinzu, um auf die freigegebenen Ressourcen zugreifen zu können. Diese Authentifizierung kann einfach mit Benutzername und Passwort sein oder Oauth verwenden, um sich direkt bei Google zu authentifizieren.
- Fügen Sie eine zu verwendende sichere Header-Richtlinie hinzu.
- Begrenzen Sie die Anzahl der Anfragen pro Sekunde, um viele mögliche Angriffe abzuschwächen.
Wie Sie sehen können, ist die Konfiguration eines Reverse-Proxys mit ausreichender Sicherheit auch eine weitere Methode, um sich sicher mit unserem NAS zu verbinden. Was Sie niemals tun sollten, ist, den Administrationsport dem Internet zugänglich zu machen, da jeder auf eine Sicherheitslücke im Webserver zugreifen und diese ausnutzen könnte.
