Da gab es jemanden, der hat eine Schranke zum Hof, die man mit einem Schlüssel öffnen kann.
(Schlüssel = Kennwort vom NAS)
Der wollte als zusätzliche Sicherheit eine Kamera haben, die die Schranke öffnet, sobald zusätzlich zum richtigen Schlüssel das Kennzeichen seines Fahrzeugs erfasst wurde.
(Kennzeichen = MAC-Adresse)
Dann kam jemand, der hat den Schlüssel zufällig gefunden, ihn in das Schloss gesteckt und bemerkt: „Mist, die Schranke geht nicht hoch“ und ist weiter gegangen.
Insofern ist die MAC-Adress-Prüfung eine Bürde, die hier geholfen hat.
Und dann kam ein echter Angreifer, der das Schoss knackte - aber die Schranke ging nicht hoch.
Dann sah er die Kamera und folgerte, dass das Kennzeichen geprüft wird, druckte sich ein Kennzeichen nach und war drin.
Insofern ist die MAC-Adress-Prüfung für einen echten Angreifer nur insoweit eine Bürde, als die Gefahr besteht, dass er sich beim Bemerken dieser Prüfung totlachen könnte.
Dein NAS muss „für sich“ sicher sein. Der Zugang darf nur über HTTPS mit Benutzername und Kennwort möglich sein, die Dateien sind dann am besten zusätzlich verschlüsselt und müssen mit einem weiteren Kennwort entschlüsselt werden.
Für das Netzwerkgerät im Außenbereich würde ich als erste (kleine) Hürde tatsächlich eine MAC-Adress-Filterung am Switch einstellen.
Dann würde ich das Gerät zusätzlich in die DMZ packen, keinen DHCP-Server auf der DMZ laufen haben und die Verbindung zwischen DMZ und Intranet auf die benötigten Ports begrenzen. Wenn der Zugriff auf das Außengerät nur vom Intranet aus erfolgt, dann sind alle Ports geschlossen zu halten (bei Zugriff vom Intranet zur DMZ wird die Rückroute automatisch geöffnet).
