QNAP: Nutzer sollen sofortige Maßnahmen zur Sicherung ihres NAS ergreifen

Interessant ist vermutlich, was QNAP in seiner aktuellen Mitteilung nicht mitteilt. Ende des Jahres wurden immer wieder mal Nachrichten durchs Netz gereicht, dass gezielt NAS-Lösungen von QNAP angegriffen werden. Da gings dann um Schadsoftware, die die Daten von NAS-Geräten verschlüsselt und dann Lösegeld fordert – der „klassische“ Ransomware-Angriff.

Ob da etwas im Busch ist, kann man QNAP nicht unterstellen, vielleicht ist es auch nur ein gut gemeinter Rat, den man seinen Nutzern unter dem Titel „Ergreifen Sie sofortige Maßnahmen zur Sicherung von QNAP NAS“ auf den Weg gibt.

Ransomware und Brute-Force-Angriffe haben es laut Mitteilung auf alle Netzwerkgeräte abgesehen, und die anfälligsten Opfer sind die Geräte, die ungeschützt dem Internet ausgesetzt sind. QNAP bittet deshalb alle QNAP-NAS-Benutzer dringend, die folgenden Anweisungen zu den Sicherheitseinstellungen zu befolgen, um die Sicherheit von QNAP-Netzwerkgeräten zu gewährleisten.

Konkret geht’s darum, dass Nutzer über den Security Counselor auf ihrem QNAP NAS checken sollen, ob ihr NAS über das Internet erreicht werden kann. Konkret ist das Gerät beispielsweise gefährdet, wenn der Systemverwaltungsdienst von einer externen IP erreicht werden kann.

QNAP rät seinen Kunden, die NAS-Geräte mit Internetzugriff haben, die folgenden Maßnahmen zu ergreifen, um sie vor Angriffen zu schützen:

Deaktivieren Sie die Portweiterleitungsfunktion des Routers:

Rufen Sie die Verwaltungsoberfläche Ihres Routers auf, überprüfen Sie die Einstellungen für virtuelle Server, NAT oder Portweiterleitung und deaktivieren Sie die Portweiterleitungseinstellung des NAS-Verwaltungsdienstports (standardmäßig Port 8080 und 433).

Deaktivieren Sie die UPnP-Funktion des QNAP NAS: Gehen Sie zu myQNAPcloud im QTS-Menü, klicken Sie auf „Automatische Router-Konfiguration“ und deaktivieren Sie „UPnP-Portweiterleitung aktivieren“.

QNAP bietet auch detaillierte Schritt-für-Schritt-Anleitungen zum Ausschalten von SSH- und Telnet-Verbindungen und zum Ändern der Portnummern, zum Ändern von Gerätepasswörtern und zum Aktivieren des IP- und Kontozugangsschutzes an.

Anscheinend gibt’s genug Benutzer, die ihr System lax konfiguriert haben.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Wesen NAS im Heimnetz ungeschützt aus dem Internet erreichbar ist, dem ist eh nicht mehr zu helfen.

    • Sehe ich auch so, allerdings bewerben die Heim-NAS Hersteller ihre Geräte ja explizit damit, dass sie auch Dienste im Internet anbieten können. Immerhin gibt es bei Herstellern wie Synology oder QNAP Sicherheitspatches und Meldungen über akute Sicherheitslücken. Ganz im Gegensatz dazu die unzähligen billigen WLAN Steckdosen, Lampen usw, die sich ach so bequem aus irgendeiner ominösen Cloud-App fernsteuern lassen. Das kann noch übel werden. Wie schon mal jemand schrieb, IoT ist das Asbest des 21. Jahrhunderts…

      • Das kommt halt dabei raus wenn man den DAU an Netzwerktechnik läßt und der GeizistGeil Pri*** glaubt er müsse nen Smarthome mit billigstem Chinadreck aufbauen.

        Es geht auch anders: aber das erfordert Wissen/Können und ordentlich Schotter für richtige Hardware.

        You get what you paid for!

    • Max Muster says:

      Über den VPN Server welcher auch auf dem NAS läuft, kann ein NAS auch aus dem Internet erreichbar sein. Das kann schon Sinn machen von aussen Zugriff zu haben. Wirklich sicher unterwegs ist man nie, wenn man was öffnet. Mir fehlt im Artikel, eine Lösung und die Information welche Protokolle oder Dienste betroffen sind.

      • Ja hier wird mangels KnowHow Seitens Qnap einfach empfohlen wesentliche Features abzuschalten. Ich nutze meine qnap ausschließlich als GameServer und Virtual Host, Dazu müssen diese Funktionen genutzt werden(wie bei jedem Server).

        Ich nutze andere als die Standardports, 2FA und SSH-Zertifikate zur Absicherung.

        „Anscheinend gibt’s genug Benutzer, die ihr System lax konfiguriert haben.“ Ist der einzige substanzielle Hinweis auf das konkrete Problem. UNd das ist ein Problem. Am besten ich lösch die QNAP-Rotze und mach Unraid drauf.

  2. Nun ja. Ich bin darauf angewiesen, mein QNAP aus dem Internet erreichen zu können. Diese Zugriffsmöglichkeit so weit zu „enteiern“, dass diese Funktion weitestgehend unbrauchbar wird, nimmt mir mehr als nur Komfort.
    Ich erwarte von einem Hersteller wie QNAP, dass ein externer Zugriff nur per ZWA auf diskreten und zuvor registrierten Endgeräten abgesichert wird. Das würde in meinen Augen eine ausreichende Sicherheit beim Fernzugriff ermöglichen.
    Ist das wirklich zu viel verlangt?

    • Nein, wenn du denn dafür bezahlt hast…
      Deine konkrete Anforderung lässt sich lösen.
      Die Home Geräte werden nicht mit diesen Features beworben.

      Qnap Geräte sind eh nur für Leute, die wissen was sie wollen und auch ein technisches Grundverständnis mitbringen.

  3. Die Qnap habe ich für Fernzugriff gekauft. Auch für Familienmitglieder. Als Dropboxersatz. Jeder hat seine Anmeldung/ Oberfläche.

    Wie mache ich das jetzt? 2FA ist an, Port ist anders (nicht 443), Zertifikat ist drauf. Reicht das nicht?

    Muss ich wirklich VPN einstellen? Das wäre sehr kompliziert. Da würde ich dann doch irgendwelche Clouddienste nehmen 🙁

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.