itzwich
Goto Top

NAS in Domäne einbinden

Hallo zusammen,

ich habe ein Frage. Wir haben uns für unsere Softwareabteilung ein NAS besorgt, wo wir regelmäßig Backups darauf erstellen wollen. Bei dem QNAP Nas gibt es die Möglichkeit dieses in die Domäne einzubinden um nur bestimmten Benutzer Zugriff auf das Nas zu erlauben. Um das Nas aber in die Domäne einzubinden, will QNAP das man sich über das USER Inteface des NAS mit einem Domänen Admin account anmeldet.

Das kann aber doch nicht sein. Ich kann mich doch nicht mit einem Admin Account der sämtliche Berechtigungen hat einfach im NAS Interface anmelden.

Gibt es irgendwie die Möglichkeit einen Domänenbenutzer zu erstellen der zwar Admin Rechte hat, aber nur Lesend? Wie bindet habt ihr euer NAS ggf. in eine Domäne eingebunden?

Hoffe mir kann jemand weiterhelfen

Beste Grüße

Content-ID: 2098323075

Url: https://administrator.de/contentid/2098323075

Printed on: November 10, 2024 at 08:11 o'clock

OlliSe
OlliSe Mar 09, 2022 at 07:18:17 (UTC)
Goto Top
Pack das NAS in ein VLAN, Backups sollten IMMER vom Netz getrennt sein.
NordicMike
NordicMike Mar 09, 2022 updated at 07:26:56 (UTC)
Goto Top
Das sogenannte User Interface ist kein User Interface, sondern die Verwaltungskonsole des NAS. Der User benötigt nur Zugriff auf seine Netzwerklaufwerke oder auf die Dienste, die auf dem NAS laufen.

Und ja, +1 für:
Das Backup Ziel sollte nicht in der Domäne sein, damit ein Virus, das den Domain Controller erreicht hat, nicht auch die Backups zerstören kann. Du brauchst ja einen sicheren Platz, von wo du nach einem Crash alles wieder herstellen kannst.
goscho
goscho Mar 09, 2022 at 07:47:56 (UTC)
Goto Top
Moin,

bei einem NAS hat man viele Möglichkeiten, u.a.:
  • NAS-Speicher per ISCSI von einem Server verbinden und dann dort ein Laufwerk mit Freigaben anlegen.
  • NAS SMB Freigaben einrichten und auf diesen mit NAS-Benutzer verbinden - klappt bei Backup-Software oft nicht
  • NAS in die Domäne bringen und dann mit Domänenbenutzern auf die angelegten Freigaben verbinden.

Ich bevorzuge den Weg via ISCI, wenn das NAS nur dafür genutzt werden soll.

Zitat von @OlliSe:
Pack das NAS in ein VLAN, Backups sollten IMMER vom Netz getrennt sein.
Das hilft nur gegen versehentliches Löschen von eigenen Mitarbeitern, nicht vor Hackern.
Backups sollten immer zusätzlich extern gelagert werden, ohne überhaupt eine Verbindung zum Netzwerk zu haben, auch nicht über VLANs.
Hacker finden das NAS im anderen VLAN und nutzen Lücken der Software aus, um sich zu verbinden und dieses zu formatieren. Damit sind diese Sicherungen weg.

Es gibt aber auch Backup-Programme, die es Hackern schwieriger macht. So hat Veritas Backup Exec einen Sperrserver, der Backupspeicher vor fremdem Zugriff schützt.
NordicMike
NordicMike Mar 09, 2022 at 07:54:45 (UTC)
Goto Top
Das hilft nur gegen versehentliches Löschen von eigenen Mitarbeitern, nicht vor Hackern.
Hacker finden das NAS im anderen VLAN und nutzen Lücken der Software aus, um sich zu verbinden und dieses zu formatieren.

Es gibt natürlich unterschiedliche Angriffsszenarien z.B. Hacker versuchen erst einmal den Domain Controller an sich zu reissen. Wenn das Backup Ziel vom normalen User zugreifbar ist, kann auch eine Ransomware schon ohne Hürden seine Spielchen treiben, wenn der User sich sowas eingefangen hat.
90948
90948 Mar 09, 2022 at 08:05:55 (UTC)
Goto Top
Hi,

für die Einbindung brauchst du auch einen Benutzer, der über die Berechtigung verfügt Geräte ins AD aufnehmen zu dürfen. Ein Read-only kann dein NAS dann auch nicht in das AD Einbinden. Nach der Einbindung kann das NAS dann die dementsprechenden Benutzer/Gruppen/Computer auslesen. Das QNAP wird vollständig in die Domäne eingebunden. Was du meinst glaube ich, dass das NAS nur die Accounts auslesen soll aber nicht in die Domäne aufgenommen werden soll oder? Das ist soweit ich weiß so nicht möglich. Nach meinem Verständnis wird der Domänen Admin für die Einbindung gebraucht und sonst nicht mehr ähnlich wie bei einem normalen Windows Client.

In Sachen Backup gehe ich auf externe Laufwerke mittels Tandberg. Kann man dann mit der Hybrid Backup Sync App schön einen Auftrag einrichten, der das Laufwerk nach Abschluss sogar auswirft.

Gruß
ukulele-7
ukulele-7 Mar 09, 2022 at 08:07:31 (UTC)
Goto Top
Die NAS muss Domain Member werden damit du Principels aus der Domäne berechtigen kannst Freigaben zu nutzen. Es könnte sein das du statt des Domain Admin auch einen anderen Benutzer nehmen kannst um der Domain beizutreten und das die NAS damit zufrieden ist. Leider ist das nicht so trivial, du suchst sowas hier:
https://www.active-directory-faq.de/2012/01/least-privileges-join-comput ...

Vermutlich sind aber auch noch weitere Rechte nötig um der Domain nicht nur beizutreten sondern auch um Userobjekte lesen zu dürfen.
chgorges
chgorges Mar 09, 2022 at 08:27:13 (UTC)
Goto Top
Sicherheitsregel Nr.1: Eine Backup-NAS wird niemals in eine AD eingebunden.
itzwich
itzwich Mar 09, 2022 at 09:07:11 (UTC)
Goto Top
Wie kann ich mir das Funktionsprinzip von iSCSI vorstellen?
itzwich
itzwich Mar 09, 2022 at 10:11:29 (UTC)
Goto Top
Zitat von @goscho:

Moin,

bei einem NAS hat man viele Möglichkeiten, u.a.:
  • NAS-Speicher per ISCSI von einem Server verbinden und dann dort ein Laufwerk mit Freigaben anlegen.
  • NAS SMB Freigaben einrichten und auf diesen mit NAS-Benutzer verbinden - klappt bei Backup-Software oft nicht
  • NAS in die Domäne bringen und dann mit Domänenbenutzern auf die angelegten Freigaben verbinden.

Ich bevorzuge den Weg via ISCI, wenn das NAS nur dafür genutzt werden soll.

Zitat von @OlliSe:
Pack das NAS in ein VLAN, Backups sollten IMMER vom Netz getrennt sein.
Das hilft nur gegen versehentliches Löschen von eigenen Mitarbeitern, nicht vor Hackern.
Backups sollten immer zusätzlich extern gelagert werden, ohne überhaupt eine Verbindung zum Netzwerk zu haben, auch nicht über VLANs.
Hacker finden das NAS im anderen VLAN und nutzen Lücken der Software aus, um sich zu verbinden und dieses zu formatieren. Damit sind diese Sicherungen weg.

Es gibt aber auch Backup-Programme, die es Hackern schwieriger macht. So hat Veritas Backup Exec einen Sperrserver, der Backupspeicher vor fremdem Zugriff schützt.

Habe ich dann nicht trotzdem das Problem, dass mein Windows Server mit dem Nas verbunden ist?
ukulele-7
ukulele-7 Mar 09, 2022 at 11:01:50 (UTC)
Goto Top
Du musst das systematisch betrachten. Es gibt mehrere "Grenzen" für schadhafte Software, Eindringlinge oder böswillige Benutzer, in diesem Fall im wesentlichen zwei:
1) Eine Netzwerkverbindung
2) Rechte auf dem Zielsystem

Ersteres kann man durch VLANs abschotten. Hat der Angreifer Zugriff auf z.B. die Switch-Konfiguration, kann man das umgehen. Ein VLAN ist aber ein sehr guter Anfang das sauber zu trennen und der Angreifer weiß auch nicht sofort, wo er hin muss. Eine schadhafte Software macht sowas schon mal gar nicht automatisch.

Zweiteres sind die Rechte. Verwaltet deine NAS die Rechte selber und werden hier andere Zugangsdaten verwendet hat erstmal kein möglicherweise kompromitierter Benutzer Zugang, es muss also erstmal eine weitere Lücke in der NAS gefunden werden. Wenn der User aber alles darf oder der Angreifer schon die Domäne unter seiner Kontrolle hat und die NAS ist Bestandteil der Domäne kann er sich möglicherweise an der NAS authentifizieren und hat natürlich dann alle Rechte.

Natürlich muss dein Datensicherungsserver auch einen Port in diesem VLAN haben oder eine Route dahin. Bei iSCSI wäre das sowieso ziemlich authark über z.B. eigene Kabel/Switches/etc. abgebildet, da gibt es viele Möglichkeiten. Hat aber der Angreifer z.B. Kontrolle über den Backup Server selbst ist es relativ offensichtlich wo die Backups liegen und relativ einfach Zugriff darauf zu erlangen. Außerdem hält der Datensicherungsserver i.d.R. auch die Zugriffsrechte auf das Speichersystem. Hier gibt es auch diverse Ansätze, der einfachste ist das Backupmedium offline aufzubewahren.
itzwich
itzwich Mar 09, 2022 at 12:25:29 (UTC)
Goto Top
Zitat von @ukulele-7:

Du musst das systematisch betrachten. Es gibt mehrere "Grenzen" für schadhafte Software, Eindringlinge oder böswillige Benutzer, in diesem Fall im wesentlichen zwei:
1) Eine Netzwerkverbindung
2) Rechte auf dem Zielsystem

Ersteres kann man durch VLANs abschotten. Hat der Angreifer Zugriff auf z.B. die Switch-Konfiguration, kann man das umgehen. Ein VLAN ist aber ein sehr guter Anfang das sauber zu trennen und der Angreifer weiß auch nicht sofort, wo er hin muss. Eine schadhafte Software macht sowas schon mal gar nicht automatisch.

Zweiteres sind die Rechte. Verwaltet deine NAS die Rechte selber und werden hier andere Zugangsdaten verwendet hat erstmal kein möglicherweise kompromitierter Benutzer Zugang, es muss also erstmal eine weitere Lücke in der NAS gefunden werden. Wenn der User aber alles darf oder der Angreifer schon die Domäne unter seiner Kontrolle hat und die NAS ist Bestandteil der Domäne kann er sich möglicherweise an der NAS authentifizieren und hat natürlich dann alle Rechte.

Natürlich muss dein Datensicherungsserver auch einen Port in diesem VLAN haben oder eine Route dahin. Bei iSCSI wäre das sowieso ziemlich authark über z.B. eigene Kabel/Switches/etc. abgebildet, da gibt es viele Möglichkeiten. Hat aber der Angreifer z.B. Kontrolle über den Backup Server selbst ist es relativ offensichtlich wo die Backups liegen und relativ einfach Zugriff darauf zu erlangen. Außerdem hält der Datensicherungsserver i.d.R. auch die Zugriffsrechte auf das Speichersystem. Hier gibt es auch diverse Ansätze, der einfachste ist das Backupmedium offline aufzubewahren.

Wenn ich jetzt aber über meinen PC ein iSCSI-Initiator eingerichtet habe, könnte ein Schadsoftware doch über meinen Rechner auf das LUN Zugreifen und alle Daten löschen oder?
ukulele-7
ukulele-7 Mar 09, 2022 at 12:40:21 (UTC)
Goto Top
Bei iSCSI wird i.d.R. ein Initator am Target "frei geschaltet". Ab dann hat jeder, der den Initiator kontrolliert, auch die Möglichkeit Daten zu löschen - also ja.
NordicMike
NordicMike Mar 11, 2022 at 05:25:33 (UTC)
Goto Top
Habe ich dann nicht trotzdem das Problem, dass mein Windows Server mit dem Nas verbunden ist?
Man kann nicht das selbe Gerät als Produktionsserver für die Benutzer UND als Backup verwenden.

iSCSI hat das Problem, dass bei geringster Netzwerkunterbrechung das Dateisystem korrupt ist, wenn es eingebunden war.