Viele haben dann die Sicherheit des offenen Netzes erwähnt. Ist diese in einem kleinen Home-Netz (3-4 User) so groß, dass ich diese nicht ohne viel Aufwand beseitigen könnte?
Hier ein paar Beispiel, die mir spontan einfallen. Es geht meist nicht um die Anzahl der Heimuser, sondern um die potentiell millionen an Bots oder menschlichen Angreifer aus dem Internet:
Der Zugriff auf die Freigabe des NAS geschieht mittes Samba (SMB). Einige Linux-Distributionen nutzen heutzutage noch SMB1, falls man vom Linux-Desktop aus anderen Windws-Rechner "Browsen" möchte. SMB1 ist schon lange von Microsoft als unsicher definiert und wird daher sogar unter Windows 10 standardmäßig nicht mehr aktiviert. Jetzt kann man es entweder deaktiviert lassen, um auf der sicheren Seite zu sein (und damit u.U. auf einige alte Netzwerkgeräte garnicht mehr zugreifen zu können) oder man aktiviert es halt doch, weil man das Risiko in seinem Heimnetz als gering genug einschätzt.
Kommt jetzt aber noch ein Bug (z.B. in OwnCloud) dazu, mit dessen Hilfe ein unbekannter Angreifer von außen auf dem Heimmserver etwas mit Root-Rechten ausführen darf, so kann er SMB1 (oder eine der diversen u.U. nicht zeitnah in Windows gepatchen Bugs) ausnutzen und Deine Rechner übernehmen. Ähnliches gab es auch schon mit dem damals unsicheren Druckserver oder RDP von Windows.
Oder Du konfigurierst mit Absicht einne FTP-Zugang so, dass er auf die Dateien des NAS (und nicht nur auf gesonderte für FTP) zugreifen kann, auf welche Du auch per Windows-Freigabe zugreifst. Dann könnte noch ein falsch konfigurierter FTP-Zugang dazu kommen und der Angreifer manipuliert eine exe-Datei auf dem Server. Danach lädtst Du Dir diesen Installter (der nun infiziert ist) auf den PC und führst ihn im guten Glauben aus, dass er noch dem Origunal entspricht, das Du schon zehnmal genutzt hast.
Oder der Angreifer kann durch irgendeinen Bug Dein OwnCloud Passwort auslesen, welches Du der Einfachheit halber auch für alle Windows-Rechner nutzt. Oder das NAS hängt per WLan am Heimnetz und dem Angreifer gelingt es, das WLan Passwort über den Server auszulesen.
Alles reine "Spinnerei" die niemals auftreten muss, bei schon nur einer falschen Config oder einem zu späte behobenen Bug (OwnCloud besiert auf PHP) aber auftreten kann.
Die ganzen Firmenausfälle wegen WannaCry/Locky und co. waren auch rein menschliche Bugs, die bei korrekt aufgesetzter IT und geschultem Personal niemals hätten auftreten dürfen. Damit wurden (und werden) aber ganze Krankenhäuser, Stadtverwaltungen und Produktionsanlagen lahmgelegt.
Wegen finanziellen Gründen würde ich die 10-15 TB dann so verwenden, dass das dann auch die Backup Dateien beinhaltet. Ich will, brauche eigentlich keine Sicherung gegen eigener Löschung von Dateien.
Du hast etwas von 3-4 Usern geschrieben. Gilt das für alle, oder verlassen die sich nach ein paar Monaten darauf?
Da Du schonmal Daten verloren hast, musst Du das natürlich für Dich einschäzten. Ich kenne nur seit >20 Jahren meinen Unwillen, konsequent und regelmäßig manuelle Backups durchzuführen. Genauso kenne ich meine bisherigen Elementarschäden (Überspannug/Brand/Wasserschäden) und die Häufigkeit von Trojanern auf meinen PCs.
Mein tägliches und automatisches Backup liegt auf einer zweiten Platte im PC (da geht es nur um den Schutz der wichtigsten Daten vor einem HW Defekt), vom NAS gibt es nur ein manuelles Backup. Wollte ich dort etwas automatisches (weil andere Familinemitglieder sich darauf verlassen würden), dann gäbe es NAS-Intern einen inkrementellen Backup-Job, der auf eine HDD sichert, die aus dem Heimnetz nicht erreichbar ist.
Wobei es imo fur den Privatgebrauch auch garnicht notwendig ist das selbst erstellte Zertifikat irgendwo signieren zu lassen. Damit sieht es nur für externe sicherer aus, aber an der realen Sicherheit für dich ändert sich nichts.
Da ich z.B. die OwnCloud Clients nicht kenne weiss ich nicht, ob man dort die Zertifikatavalidierung deaktivieren kann. Hostet man andere Webseiten für sich selber, kann man darauf natürlich verzichten und das nicht signierte Zertifikat einfach akzeptieren.
Wenn man das einmal eingerichtete hat, sollte es mit Lets Encrypt kein großes Problem sein. Das sind ein paar Scripte, die auf dem eigenen Server laufen und die man dann regelmäßig wieder starten (lassen) muss. Das Hauptprobelm beim Heimserver scheint zu sien, dass Lets Encrypt zwingend Port 80 oder 443 nutzen muss und diese oft vom Webserver im Router genutzt werden.
Ich bin hoch erfreut wie schnell solche klaren Antworten kommen.
