Hallo,
vom Prinzip her gibt es ja zwei Möglichkeiten, wie Daten nach außen wandern können. Zum Einen durch einen Zugriff von außen, geregelt über Port-Weiterleitungen im Router. Je nach verwendetem Port und Dienst ist es teilweise total unsicher oder fast sicher. Zum Anderen können Daten durch entsprechende Software gesammelt und nach draußen weiter geleitet werden. Das funktioniert bei vielen Routern standardmäßig, weil von innen nach außen oft alles durchgelassen wird.
Für den Fall, daß Daten von außen durch einen gezielten Angriff abgerufen werden können, kann man einfach keine Ports von außen auf die DiskStation / entsprechenden Dienste weiterleiten. Für den Fall, daß du den Verdacht hast, daß eine Software (entweder im Betriebssystem integriert oder durch Schadsoftware nachträglich installiert) Daten sammelt und gezielt nach außen weiterleitet, kann man einfach das Gateway aus der DS oder jedem anderen betroffenen System raus nehmen. Denn ohne Gateway-Eintrag kommt dann das entsprechende System nicht mehr ins Internet. Folglich sind die Daten dann etwas mehr sicher.
Noch mehr Sicherheit kann man einrichten, indem man eine dedizierte Firewall aufbaut. Damit meine ich ein System wie IPFire beispielsweise. Da kann man in dessen Firewall-System gezielt Regeln einstellen, welcher PC wann und wie ins Internet darf. Damit kann man auch sehr gut überwachen, welches System wohin zugreift. Dann kann man noch Virenscanner und SPAM-Filter dort laufen lassen, ebenso einen Proxy (squid). (Läßt man das aber auf einer virtuellen Maschine laufen, führt man das Konzept ad absurdum und es ist dann wieder wirkungslos.)
Möchte man explizit Dienste (Homepage, PhotoStation, Webdav oder FTP) nach draußen anbieten, hat aber zugleich wichtige Daten, die keinesfalls nach draußen dürfen, kann man ja mit zwei DiskStations arbeiten. Eine stellt man ins LAN, trägt kein Gateway ein und leitet auch keine Port von außen dort hin. Die zweite, öffentliche DS, kann man in die DMZ stellen, das ist ein besonders abgeschottetes LAN, die o. g. IPFire z. B. zur Verfügung stellen kann. Das ist dann ein physikalisch getrenntes Netzwerk auch mit anderen IP-Adressen wie das LAN selbst. Zugriff kann man vom LAN in die DMZ durchaus einrichten, wenngleich ich das nicht tun würde. Denn die DMZ gilt als relativ unsicher, weil dort Zugriff aus dem Internet möglich ist.
Wie es aber bei allen Internet-fähigen Systemen so ist, 100%ige Sicherheit bekommt man nie. Wichtig ist auch, die Zugriffsrechte entsprechend immer zu prüfen. Alles immer wieder prüfen und durch schauen. Bei jeder Änderung konsequent erneut prüfen, ob das Sicherheitskonzept noch paßt. Sicherheit ist nicht einmal aktiviert und geht, sondern ist eine "Lebensaufgabe". Dazu zählt dann natürlich auch die Logfile-Überprüfung von den Systemen, die vom Internet aus erreichbar sind.
Ciao Jan
