Synology NAS: die wichtigsten ersten Einstellungen zur Datensicherheit
Fotografen und / oder Menschen die viel unterwegs sind kennen das Problem: im Laufe der Zeit sammeln sich unglaublich viele Daten an. Diese Daten möchte man einerseits sicher abspeichern, gleichzeitig aber auch von unterwegs jederzeit uneingeschränkten Zugriff haben. Die Lösung hierfür ist ein NAS-System. Ich setze eine Synology DS218+ ein, die mir seit vielen Jahren gute Dienste leistet. Synology hat noch alternative Modelle im Angebot, ebenso gibt es zahlreiche weitere Hersteller wie Qnap, WD, Buffalo uvm. Welches Modell von welchem Hersteller zum Einsatz kommt, muss jeder für sich selbst entscheiden. Ich möchte nur grundlegend auf die Basiskonfiguration eingehen.
NAS – der sichere Netzwerkspeicher
Network Attached Storage (NAS, englisch für netzgebundener Speicher) bezeichnet einfach zu verwaltende Dateiserver. Allgemein wird ein NAS eingesetzt, um ohne hohen Aufwand unabhängige Speicherkapazität bereitzustellen.
Vorteile eines NAS-Systems
- Energieverbrauch: NAS-Systeme weisen im Vergleich zu herkömmlichen PC-Systemen einen deutlich geringeren Stromverbrauch auf.
- Dateizugriff: NAS können große Datenmengen bewältigen und mehreren Benutzern gleichzeitig Zugriff auf Daten gewähren. Durch den Einsatz leistungsfähiger Festplatten und Caches werden auch umfangreiche Datenmengen dem Benutzer schnell zugänglich gemacht. Alternativ kann ein NAS auch als Sicherungslösung für vorhandene Computer herangezogen werden.
- Datensicherheit / Übertragungsgeschwindigkeit: NAS-Systeme können mit mehreren Festplatten ausgestattet werden, die zu einem logischen Volume in einem RAID zusammengefasst werden können. Ab 2 Festplatten ermöglicht das eine höhere Kapazität, Sicherheit oder Geschwindigkeit. Sogenannte NAS-Festplatten sind im Gegensatz zu DAS-Festplatten auf Dauerbetrieb ausgelegt bzw. konstruiert. Quelle: Wikipedia
Warum setze ich ein NAS-System ein
Seit über 10 Jahren fotografiere ich leidenschaftlich, seit ein eine digitale Spiegelreflexkamera fast ausschließlich im RAW Format. Diese Dateien sind mit 30-40MB massiv größer als die klassischen .jpgs, bieten jedoch auch mehr Möglichkeiten. Diese Bilder möchte ich einerseits sicher speichern, andererseits aber auch unterwegs verfügbar haben. Zusätzlich möchte ich auch alle sonstigen Dokumente sicher speichern und auch die Möglichkeit haben, Dateien mit wenig Aufwand zu teilen. Sicherlich kennt jeder die einfachen Teilmöglichkeiten per Dropbox oder WeTransfer. Doch das funktioniert alles nur gut und sicher, wenn das NAS richtig konfiguriert ist.
Welches NAS ist das richtige?
Die Frage kann und möchte ich nicht beantworten. Je nach Einsatzzweck benötigt man ein leistungsfähiges NAS oder ein preiswertes NAS. Zur Orientierung möchte ich nur ganz kurz einige Denkanstöße in den Raum werfen:
- es gibt vereinzelte NAS-Systeme mit einer Festplatte: Finger weg. Die Geräte sind preiswert, bieten jedoch keine wirkliche Datensicherheit.
- NAS-Systeme mit zwei Festplatten: sicherlich die perfekten Geräte für fast alle Privatnutzer und auch einen Großteil der Homeoffices und Kleinunternehmen
- sollen Filme im Netzwerk gestreamt werden? In diesem Fall benötigt man eine leistungsfähige CPU.
- Sollen nur Daten sicher abgelegt werden? Wenn das NAS nur als „Datengrab“ bereitsteht genügt eine schwache CPU. Diese ist spart nebenbei auch Strom.
- Welche Festplatte ist die richtige? HDDs mit 5400 Umdrehungen pro Minute sind billig und leise. HDDs mit 7200 Umdrehungen pro Minute sind schneller, jedoch auch lauter. SSDs bieten schnellsten Zugriff und sind völlig geräuschlos, jedoch auch am teuersten.
Ein NAS ist nur so gut wie seine Konfiguration
Die heutigen NAS-Systeme bieten beeindruckende Möglichkeiten und sind weit mehr als reiner „Netzwerkspeicher“. Sie sind vollwertige Computer mit Cloudspeicher, Online-Office, Bilderkennung, Groupware und vielem mehr. Bereits in der Grundkonfiguration sind die heutigen NAS sicher konfiguriert, es gibt jedoch Stolpersteine. Darauf möchte ich im folgenden eingehen. Denn jedes System das man als Nutzer von unterwegs erreichen kann, das können auch böse Langfinger erreichen. Außerdem sollte man bei der Einrichtung von einem NAS auch technische Probleme und Anwendungsfehler berücksichtigen.
Zwei Festplatten immer als RAID1 konfigurieren
Sofern das gekaufte NAS über zwei Festplatten verfügt, so sollte man diese immer als RAID1 konfigurieren. Dabei werden alle Daten auf beiden Festplatten identisch gespeichert. Sollte eine Festplatte ausfallen, sind die Daten ohne Unterbrechung weiterhin verfügbar. Alternativ kann man zwei Festplatten auch als RAID5 konfigurieren, damit steht der vollständige Speicher beider Festplatten verfügbar. Das ist sicherlich verlockend, das Risiko Daten zu verlieren steigt jedoch immens an.
- RAID1: Daten werden gespiegelt und sind sehr sicher
- RAID5: vollständiger Speicher steht zur Verfügung, Daten sind jedoch nicht sicher
Externe Datensicherung für das NAS einrichten
Unabhängig davon, ob man nun ein NAS mit 1, 2 oder noch mehr Festplatten betreibt, sollte man unbedingt noch eine externe Datensicherung einrichten. Es hilft zwar in vielen Fällen, wenn die Daten im NAS gespeichert sind, jedoch nicht immer:
- Diebstahl vom gesamten NAS
- Kurzschluss der beide Festplatten zerstört
- Wasser– / Feuerschaden
Die externe Datensicherung kann ein NAS an einem anderen Standort sein, oder einer der gängigen Cloud-Dienste. Wichtig ist, das die Datensicherung räumlich vom eigentlich NAS getrennt ist. Da ich eine Synology DiskStation nutze, greife ich auf den Dienst Synology C2 zurück. Die erste Datensicherung hat mehrere Tage gedauert (was natürlich von der Datenmenge und dem Internetanschluß abhängt), jede Nacht erfolgt nun eine Aktualisierung der Datensicherung.
Es gibt verschiedene Pakete für die Synology DiskStation die die Backup-Aufgaben erledigen. Ich habe „Hyper Backup“ installiert und bin hochzufrieden. Es läuft einwandfrei:
Sollte die Synology DiskStation irgendwann einen endgültigen technischen Defekt erleiden, kann ich die Daten auf eine neue DiskStation ganz einfach wieder herstellen und mit nur ganz kurzem Ausfall weiter arbeiten.
Papierkorb im NAS aktivieren
Doch es gibt nicht nur technische Probleme die zu Dateiverlust führen. Oftmals sind schlichte Anwendungsfehler schuld. Schnell hat man beabsichtigt oder unbeabsichtigt eine Datei gelöscht, die man später vielleicht doch noch benötigt. Genau wie Windows oder OSX haben auch die gängigen NAS-Betriebssysteme Papierkörbe, die man aktivieren oder deaktivieren kann. Das sorgt dafür, dass gelöschte Dateien in eben jenen laden und wiederhergestellt werden können. Wer die Sichtbarkeit der Papierkörbe für normale Nutzer einschränkt stellt zusätzlich sicher, das der Papierkorb ebenfalls nicht versehentlich gelehrt wird. Als Administrator kann man nun irrtümlich gelöschte Dateien ganz einfach wieder herstellen.
Im Synology DiskStation Manager kan man den Papierkorb ganz einfach unter Systemsteuerung > Gemeinsamer Ordner > ‚Ordner Name‘ -> Bearbeiten konfigurieren:
Dateiversionierung aktivieren
Synology bietet zusätzlich zum Papierkorb noch eine Dateiversionierung. Mit dem Versionsexplorer können Administratoren frühere Versionen geänderter oder gelöschter Dateien in synchronisierten Ordnern anzeigen und verwalten. Administratoren können den Verlauf der Daten durch Auswahl von Datum und Zeit anzeigen und Ihnen ermöglichen, Daten eines bestimmten Zeitpunkts wiederherzustellen. Gerade wenn mehrere Nutzer Dateizugriff haben und beispielsweise gemeinsam an Texten oder Tabellen arbeiten kann die Versionsverwaltung sehr hilfreich sein, wenn man Änderungen doch wieder Rückgängig machen möchte.
Im Synology DiskStation Manager findet man die Versionsverwaltung ganz einfach unter Hauptmenü > Synology Drive Admin-Konsole > Team-Ordner -> Versioning:
Datenschutz: Zugriff auf das NAS einschränken
Sich auf möglichen Datenverlust im Netzwerkspeicher einzustellen und vorzusorgen ist die eine Sache. Neben der Datensicherheit ist jedoch auch der Datenschutz elementar wichtig. Hat man als Fotograf „nur“ Bilder gespeichert, so mag der Datenschutz noch vernachlässigbar sein. Spätesten wenn man jedoch persönliche Dokumente im NAS ablegt, muss man sich intensiv mit dem Thema Datenschutz auseinander setzen. Synology macht es einem dabei ebenfalls wieder sehr einfach.
Kennwortregeln bei Synology festlegen
In aller Regel ist ein NAS nicht nur im lokalen Netzwerk erreichbar, sondern weltweit. Entweder weil man einen VPN-Zugang ins heimische Netzwerk hat, oder weil man Synology QuickConnect nutzt. Sobald ein NAS im Internet erreichbar ist, wird es auch automatisiert angegriffen. Entweder wird per Brute-Force-Attacke versucht das Kennwort herauszufinden, oder es werden geklaute Passwörter und Benutzernamen ausprobiert. Strenge Kennwortregeln sorgen für Sicherheit:
Fehlerhafte Anmeldeversuche blockieren
Man muss verstehen, das ein Großteil der Angriffe auf NAS-Systeme so erfolgen, das automatisiert Benutzernamen und Passwörter ausprobiert werden. Blockt man nun IP-Adressen die zu viele fehlerhafte Versuche unternehmen, hat man einen großen Schritt in Richtung Sicherheit unternommen.
2-Faktor-Authentifizierung aktivieren
Neben den Angriffen bei denen automatisiert Passwörter ausprobiert werden gibt es noch die Angriffe, bei denen Benutzername und Passwort bekannt sind. bDas kommt beispielsweise dann vor, wenn die Daten per Phishing vorher abgegriffen wurden. Sehr gängig ist auch, das Kombinationen ausprobiert werden, die durch Sicherheitslücken abgegriffen wurden.
Beispiel: Vor einiger Zeit wurden die Accounts bei Adobe gehacked. Die Kombinationen aus eMail-Adresse und Passwort wurden anschließend bei Paypal, eBay & Co ausprobiert – und es hat oft genug geklappt.
Hier hilft die 2-Faktor-Authentifizierung, die es seit geraumer Zeit gibt. Wenn man sich von einem unbekannten Gerät in der DiskStation einloggt, wird erst ein 6-stelliger Code ans Handy gesendet (das Handy muss bereits in der DiskStation registriert sein, der Code ist nur wenige Sekunden gültig) den man dann zusätzlich zum Login eingeben muss. Ist nun also jemand unbefugt an die Zugangsdaten gelangt so helfen die nicht weiter, sofern er nicht auch das zugehörige Handy hat.
Die 2-Faktor-Authentifizierung aktiviert man bei Synology unter Optionen > Persönlich > Konto: