Best Practices für die Sicherung Ihrer Speicherverbindung

von | 3.7.2024

Als Videobearbeiter oder anderer Postproduktionsprofi könnten Sie wahrscheinlich nicht ohne Ihr angeschlossenes Speichergerät arbeiten. Und genau deshalb ist es so wichtig, Ihre Speicherverbindung zu sichern.

Schließlich gelten angeschlossene Speichergeräte wie Network Attached Storage (NAS) als besonders lohnende Ziele für Cyberkriminelle. Das ist der Grund dafür:

  • Sie enthalten oft sehr wertvolle (d. h. berufliche und geschäftliche) Daten, was die Opfer noch mehr motiviert, Lösegeld zu zahlen.
  • Sie sind oft nicht gesichert.
  • Sie sind im Allgemeinen leichter zu kompromittieren als ein Server von der IT verwaltet.

Es gibt viele verschiedene Arten von vernetzten digitalen Speichern, von Cloud-Speichern (wie Amazon S3, Azure Blob Storage und Google Cloud Storage) bis hin zu Storage Area Networks (SANs) und NAS-Geräte (Network Attached Storage) vor Ort.

Dieser Artikel befasst sich mit einer NAS-Speicheranschluss hinter einem Router für das Büro-/Heimnetzwerk, auf den von außerhalb des Büro-/Heimnetzwerks zugegriffen werden kann. Die meisten dieser Punkte zur Sicherung der Speicherverbindung gelten jedoch auch für jeden vor Ort angeschlossenen Speicher.

Inhaltsübersicht

Mehr Kollaboration, weniger Konfiguration

MASV vereinfacht die Dateneingabe, indem es als sicherer, einheitlicher Einstiegspunkt für gemeinsam genutzte Speicherziele fungiert.

Die Bedrohungslandschaft von Storage Connection

Sicherheitsforscher Jacob Holcomb geprüfte NAS-Geräte von 10 verschiedenen Herstellern im Jahr 2014. Das Ergebnis? Alle enthielten potenziell verheerende Sicherheitslücken.

Obwohl sich die Sicherheit der angeschlossenen Speichergeräte seither zweifellos verbessert hat, sind sie nach wie vor weit verbreiteten Angriffen ausgesetzt:

  • Synology NAS-Geräte wurden bereits 2021 angegriffen und innerhalb des letzten Jahres.
  • QNAP-Geräte waren das Ziel des Qlocker-Ransomware-Angriffs im Jahr 2021.
  • Western Digital NAS Geräte wurden im Jahr 2021 über eine Sicherheitslücke zur Remotecodeausführung angegriffen.
  • Kürzlich wurde im April berichtet, dass fast 100.000 D-Link NAS Geräte enthalten eine Backdoor-Schwachstelle.
Platzhalterbild

Die Gefahren des Offenlassens von Häfen

Hacker müssen nicht unbedingt eine Sicherheitslücke ausnutzen, um in Ihr System oder Ihr Speicherkonto einzudringen, wenn Sie nicht die richtigen Vorsichtsmaßnahmen ergreifen.

Öffnen oder Weiterleiten von Ports auf Ihrem Router, um den Fernzugriff auf den angeschlossenen Speicher zu ermöglichen, kann zum Beispiel ein großes Risiko darstellen.

Botnet-Angriffe auf NAS-Speichergeräte sind sehr verbreitet. Und wenn diese Botnets einen offenen Port finden, der von Ihrem NAS oder einem anderen angeschlossenen Speicher verwendet wird, werden sie mit ziemlicher Sicherheit versuchen, sich mit Brute-Force-Methoden Zugang zu verschaffen, um Ihre Administrator-Anmeldeinformationen zu stehlen (und dann Ihre Daten entweder zu stehlen oder gegen Lösegeld zu verschlüsseln).

Und wenn Sie einen Port offen lassen, während Sie das standardmäßige "Admin"-Konto Ihres Speichergeräts verwenden, ist es für Angreifer viel einfacher, einen erfolgreichen Brute-Force-Angriff durchzuführen, da sie den Benutzernamen Ihres Kontos nicht erraten müssen (mehr dazu später).

Experten für vernetzte Speicher sagen, dass diese Art von Angriffen auf NAS-Geräte in den letzten Jahren deutlich zugenommen hat. Aus diesem Grund ist es unerlässlich, die Sicherheit Ihres NAS mindestens einmal im Jahr zu überprüfen und zu aktualisieren.

Wie Sie Ihre Speicherverbindung sichern

Was können Sie neben den üblichen Maßnahmen zur Cybersicherheit wie der Verwendung komplexer Passwörter (besser sind Passphrasen) und der Aktualisierung von Patches für Ihre Systeme noch tun, um Ihre Speicherverbindung zu sichern? Ihre Dateiuploads sicher halten?

Schließlich ist die Sicherung und Wartung Ihres eigenen angeschlossenen Geräts mit viel mehr Verantwortung verbunden als beispielsweise eine Verbindung zu Google Cloud Storage.

Bevor Sie etwas anderes tun, sollten Sie:

  • Konfigurieren Sie Ihr Speichergerät so, dass es eine HTTPS-Verbindung verwendet, die den Netzwerkverkehr zwischen ihm und anderen Geräten verschlüsselt.
  • Vergewissern Sie sich, dass Sie ein gültiges SSL/TSL-Zertifikat installiert haben (in der Regel können Sie ein Zertifikat über die Verwaltungsoberfläche des Geräts abrufen und installieren).
  • Richten Sie einen Backup-Speicher ein, für den Fall, dass Ihren Daten etwas zustößt.

Im Folgenden finden Sie eine Liste mit weiteren Maßnahmen, die Sie ergreifen können, um Ihre Speicherverbindung im Rahmen Ihrer bewährten Datenverwaltungspraktiken zu sichern.

Halten Sie Ihr Netzwerk sicher

Beginnen wir mit den Grundlagen: Die Aufbewahrung Ihrer Sicheres Heim- oder Büronetzwerk ist zwingend erforderlich, da sich dort wahrscheinlich Ihr angeschlossener Speicher befindet. Halten Sie Ihren Router, Ihre Firewall und andere Netzwerkgeräte immer relativ neu, auf dem neuesten Stand und mit neuen Kennwörtern konfiguriert.

Um Ihren Router zu sichern, müssen Sie zunächst die IP-Adresse Ihres Routers ermitteln. Geben Sie sie in die Adressleiste Ihres Browsers ein. Von dort aus können Sie sich bei Ihrem Router anmelden und alle möglichen nützlichen Sicherheitskonfigurationen hinzufügen, z. B.:

  • Deaktivieren von WPS.
  • Aktivieren von HTTPS-Anmeldungen.
  • Deaktivieren des Fernzugriffs.
  • Aktivieren der WPA2-Verschlüsselung.
  • Aktualisieren der Firmware.
  • Aktivieren der Protokollierung für den Fall, dass etwas passiert.

Sie können auch Ihr Passwort aktualisieren (und den aktuellen Benutzernamen auf Ihrem Router vom Standard "admin" ändern), während Sie angemeldet sind.

Apropos Benutzernamen ändern...

Deaktivieren Sie das Administratorkonto für Ihr Speichergerät

Die meisten angeschlossenen Speichergeräte haben standardmäßig den Benutzernamen "admin". Das sollten Sie sofort ändern. Denn Hacker wissen, dass "admin" ein gängiger Standardbenutzername ist, und versuchen, dies mit Brute-Force-Angriffen auszunutzen.

Dieses Video ansehen für ein Beispiel, was passieren kann, wenn ein Synology NAS-Benutzer die Ports 5000 oder 5001 offen lässt: Tausende von Anmeldeversuchen von unbekannten Entitäten innerhalb eines kurzen Zeitraums, die alle den Benutzernamen "admin" verwenden.

Um das Admin-Konto zu deaktivieren, erstellen Sie einfach ein neues Konto mit Admin-Rechten, das nicht admin heißt. Deaktivieren Sie dann das ursprüngliche Administratorkonto. Auf diese Weise können Sie eine Vielzahl von Brute-Force-Angriffen abwehren.

IP- und Benutzernamen-Blockierung aktivieren

Viele angeschlossene Speichergeräte, z. B. von Synology oder QNAP, verfügen über eine automatische Sperrfunktion, die eine bestimmte IP-Adresse sperrt, wenn das NAS zu viele fehlgeschlagene Anmeldeversuche auf einmal feststellt.

Die meisten Geräte erlauben auch die Anpassung der Regeln für die automatische Sperrung. Sie können zum Beispiel konfigurieren, dass eine IP-Adresse nach 10 Fehlversuchen innerhalb von fünf Minuten gesperrt wird.

💡 Hinweis: Um sicherzustellen, dass Sie sich nicht versehentlich von Ihrem eigenen NAS aussperren, können Sie die automatische Sperrung so konfigurieren, dass eine IP-Adresse nach einer bestimmten Zeitspanne freigegeben wird.

Die NAS-Geräte von Synology und QNAP bieten auch eine Kontoschutzfunktion, um wiederholte Anmeldeversuche mit demselben Benutzernamen zu überwachen (und eventuell zu blockieren). Oder Unternehmen können Fail2Banein Intrusion Prevention Daemon, der vor Brute-Force-Angriffen schützt, indem er IPs sperrt, die mehrere Fehlversuche verursachen.

Die Sperrung eines Benutzernamens kann bei der Eindämmung von Botnet-Angriffen wirksamer sein als die IP-Sperrung. Das liegt daran, dass Botnets in der Lage sind, Tausende von IP-Adressen von infizierten Computern durchzugehen.

Verwenden Sie 2FA oder adaptive MFA

Wenn Sie die Möglichkeit haben, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, sollte es selbstverständlich sein, dass Multi-Faktor-Authentifizierung (MFA) auf Ihrem Gerät haben, sollten Sie das tun (das gilt für so ziemlich alles). Die meisten NAS-Geräte mit 2FA oder MFA erfordern einen sicheren USB-Schlüssel oder eine Authentifizierungs-App, um bei der Anmeldung einen eindeutigen Code zu erzeugen.

Das bedeutet, dass ein Hacker, selbst wenn er irgendwie Zugang zu Ihrem Benutzernamen und Kennwort erhält, auch in Ihre E-Mail oder Ihr Telefon eindringen muss, um auf Ihren verbundenen Speicher zuzugreifen. Die meisten Hacker werden sich nicht die Mühe machen, dies zu tun (es sei denn, sie haben es speziell auf Sie abgesehen).

Tatsächlich kann die Aktivierung von 2FA besonders effektiv sein, da sich viele Hacker auf weiche Ziele konzentrieren, die nicht viel Aufwand erfordern, um einzudringen.

Zusätzlich zur Aktivierung von 2FA ermöglichen einige Geräte eine adaptive Multi-Faktor-Authentifizierung. Das bedeutet, dass jeder, der versucht, sich von einer ungewöhnlichen IP-Adresse aus anzumelden, automatisch aufgefordert wird, zusätzliche Anmeldedaten anzugeben. Wenn Sie diese Option haben, sollten Sie sie ebenfalls aktivieren.

Aktivieren Sie NAS-Firewall und DoS-Schutz

NAS und andere angeschlossene Speichergeräte verfügen oft über integrierte Firewalls, die Sie unbedingt nutzen sollten. Einige NAS-Geräte schalten ihre Firewalls jedoch nicht proaktiv ein. Die Benutzer müssen dies manuell tun.

Dennoch ist es immer eine gute Idee, Ihre NAS-Firewall einzurichten und zu aktivieren.

Wenn Sie ein Video-Editor oder Postproduktionsprofi sind, der nur mit Mitarbeitern in bestimmten Ländern zusammenarbeitet, können Sie auch eine Firewall aktivieren Geoblocking um Personen aus Regionen zu sperren, mit denen Sie nicht zusammenarbeiten. Geoblocking wird in der Regel nach Land durchgeführt.

Da viele Cyberangriffe in den USA ihren Ursprung im Ausland haben, kann die Implementierung von Geoblocking das Volumen der Angriffe auf Ihre Speicherverbindung um Größenordnungen reduzieren.

Genauso wie Sie die Firewall Ihres Geräts einrichten, sollten Sie auch den Schutz vor Denial-of-Service-Angriffen (DoS) manuell auf Ihrem Gerät aktivieren.

Sichern Sie Ihre Häfen

Das Scannen von Ports, um offene Ports aufzuspüren, ist das Äquivalent zum Rütteln an einem Autotürgriff, um zu sehen, ob die Tür offen ist: Es ist einfach zu machen, passiert ständig und kann zu einer Katastrophe führen. Ein Reddit-Kommentator der Port-Scans auf seiner Firewall überwacht, meldete bis zu 10 pro Sekunde.

Deshalb ist es so wichtig:

  • Lassen Sie Ihre Ports geschlossen, wenn es nicht unbedingt notwendig ist. Eine grundlegende Sicherheitspraxis für sichere Verbindungen besteht darin, alle Ports zu schließen, die Sie nicht für die Kommunikation nach außen benötigen.
  • Achten Sie darauf, welche Portnummer Sie offen lassen. Wir haben bereits die Ports 5000 und 5001 erwähnt; auch Port 22 ist bei Angreifern sehr beliebt, da er mit dem Secure Shell-Protokoll (SSH) verbunden ist und als Standardport für Remote-Geräteverbindungen gilt. Das bedeutet, dass er, wie viele der bereits erwähnten Portnummern, mehr unbefugten Anmeldeversuchen ausgesetzt ist als weniger beliebte Portnummern.

In jedem Fall ist es gefährlich, Ports offen zu halten oder Portweiterleitungen zuzulassen (die es entfernten Servern ermöglichen, auf Geräte in Ihrem privaten lokalen Netzwerk (LAN) zuzugreifen, was wiederum dazu führen kann, dass Angreifer die Kontrolle über Ihre Geräte übernehmen).

Es gibt jedoch Möglichkeiten, wie Sie Ihren Speicher mit dem Internet verbinden können, ohne dies zu tun. Bei Synology NAS-Geräten empfehlen einige Sicherheitsexperten die Verwendung von QuickConnect anstelle der DDNS-Verbindungsmethode des Geräts, da QuickConnect keine Portweiterleitung erfordert.

Der Nachteil von QuickConnect ist jedoch, dass es als extrem langsam gilt, wenn eine große Datei oder ein großer Ordner über das Internet an Mitarbeiter oder Kunden exportiert wird.

Ein VPN verwenden

Eine der effektivsten Möglichkeiten, Ihre Speicherverbindungen zu schützen, ist die Verwendung eines virtuellen privaten Netzwerks (VPN), um den gesamten Netzwerkverkehr zu verschlüsseln, was es Angreifern erheblich erschwert, in Ihr System einzudringen.

Die meisten NAS-Geräte ermöglichen den Benutzern sogar ihren eigenen VPN-Server einrichten.

Der größte Nachteil bei der Verwendung eines VPN ist jedoch, dass es bei der Arbeit mit Kunden oder Partnern umständlich sein kann. Wahrscheinlich möchten Sie einem Kunden keinen Zugang zu Ihrem VPN gewähren, damit er zum Beispiel eine große Datei oder einen Ordner von Ihrem NAS herunterladen kann.

VPNs sind auch kein Allheilmittel, wenn es um die Sicherheit geht. Sie können keine Authentifizierungsrichtlinien oder Benutzerberechtigungen durchsetzen und ermöglichen es Remote-Benutzern, sich von beschädigten Geräten aus zu verbinden (wodurch Ihr Netzwerk ungeschützt bleibt).

Ändern Sie die Standard-Portnummer

"Sicherheit durch Unklarheit" hat in Cybersicherheitskreisen einen schlechten Ruf, weil sie nicht sehr effektiv ist und zu einem falschen Sicherheitsgefühl führen kann. Es ist sicherlich keine starke eigenständige Sicherheitstechnik, aber sie kann einen gewissen Wert haben, wenn sie zusammen mit anderen substantielleren und effektiveren Sicherheitsvorkehrungen eingesetzt wird.

Deshalb raten manche Änderung der Standard-Portnummer die von Ihrem angeschlossenen Speicher verwendet werden:

  • Ein Synology NAS zum Beispiel ist standardmäßig auf die Ports 5000 (für HTTP-Verbindungen) und 5001 (HTTPS-Verbindungen) eingestellt. Aus diesem Grund schnüffeln Hacker, die in ein NAS eindringen wollen, oft an diesen Ports herum und suchen nach leichten Zielen.
  • Wenn Sie möchten, können Sie auch die Standard-Portnummern auf Ihrem Router für HTTP- (80), HTTPS- (443) und SSH-Verbindungen (22) ändern. Sie können Ihre Ports auf eine beliebige Zahl zwischen eins und 65.535 ändern.

Der größte Nachteil beim Ändern von Portnummern besteht darin, dass die Benutzer über alle Aktualisierungen informiert sein müssen, da sie sonst nicht auf das NAS zugreifen können.

Angreifer können zwar jede verwendete Portnummer ganz einfach scannen und finden, aber das tun sie wahrscheinlich nur, wenn sie es speziell auf Sie abgesehen haben. und probieren nicht nur die beliebtesten Hafen-Nummern aus, um zu fischen.

Erfassen von Daten ohne Öffnen von Ports mit MASV Centralized Ingest

Die Sicherung Ihrer Speicherverbindung ist nicht schwierig, erfordert aber ein wenig Mühe und Sorgfalt. Um Ihr angeschlossenes NAS oder andere Speichergeräte zu sichern, sollten Sie Folgendes beachten:

  • Sicherheit für Ihr Netzwerk.
  • Deaktivieren des Administratorkontos für Ihr Speichergerät.
  • Aktivieren der Sperrung von IP und Benutzernamen.
  • Verwendung von 2FA oder adaptiver MFA.
  • Ändern der Standard-Portnummer.
  • Aktivieren Sie Ihre NAS-Firewall und den DoS-Schutz.
  • Sichern Sie Ihre Häfen.
  • Verwendung eines VPN.

Die meisten der oben genannten Maßnahmen sind reibungsarm und einfach zu implementieren, können aber leider dennoch ein Risiko für einen entschlossenen Angreifer darstellen.

Andere Techniken, wie z. B. die Verwendung von Synology QuickConnect oder eines VPN, können Probleme mit der Leistung und anderen Variablen verursachen, wenn Senden oder Empfangen großer Dateien oder Datensätze.

MASV Zentraler Ingestermöglicht es den Anwendern, ihren Dateneingabeprozess über einen einzigen Zugangspunkt zu jedem angeschlossenen Speicher, ob vor Ort oder in der Cloud, zu zentralisieren. Es handelt sich um einen sicheren, einheitlichen Zugangspunkt zu gemeinsam genutzten Speicherzielen, der den IT- und Sicherheitsaufwand für die Konfiguration und Verwaltung mehrerer Speicherplattformen und Remote-Benutzer verringert.

Verbinden Sie Ihren angeschlossenen Speicher vor Ort mit MASV erfordert keine Port-Weiterleitung - oder das Öffnen von Ports überhaupt. Benutzer können Dateien von Mitarbeitern über einen sicheren Web-Uploader des MASV-Portals abrufen, ohne direkten Speicher- oder Netzwerkzugang zu gewähren. MASV ist ein durch das Trusted Partner Network (TPN) verifizierter Dateiübertragungsdienst mit starke Verschlüsselung und Zugangskontrollenund die mit ISO 27001, SOC 2 und anderen Datenschutzbestimmungen konform ist.

Mit Centralized Ingest können Sie oder Ihr IT-Team den Ingest-Pfad einfach definieren und den Upload-Zugriff auf einen einzelnen Bucket oder Ordner beschränken, anstatt auf das gesamte Speichersystem.

Für MASV anmelden und probieren Sie Centralized Ingest noch heute aus und erhalten Sie 20 GB kostenlos.

Verbindung zum NAS ohne Öffnen von Anschlüssen

Verwenden Sie MASV Centralized Ingest, um Daten in der Cloud oder im angeschlossenen On-Premise-Speicher zu speichern, ohne Ports zu öffnen oder Ports weiterzuleiten.