Doppelte Firewall sinnvoll?

Status
Für weitere Antworten geschlossen.

Typoman111

Benutzer
Mitglied seit
08. Nov 2017
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Auf meinem Router kann ich ja mittels Portweiterleitung einzelne Ports für meine Synology öffnen. Zum Beispiel habe ich nur Port 5000 (HTTP) und 5001 (HTTPS) an meine Synology weiter geleitet.

Wenn ich dies richtig verstehe, gibt es auf diese Weise am Router bereits eine 1. Firewall?
Ist meine Schlussfolgerung richtig? Alle anderen Ports bleiben schon beim Router verschlossen.

Nun frage ich mich, ob es sinnvoll ist, zusätzlich über meine Synology die Firewall einzurichten?
Da ohnehin SSH und Telnet in der Grundeinstellung deaktiviert ist, muss man zusätzlich die Firewall einschalten und Port 22 und Port 23 explizit schliessen?

Macht eine doppelte Firewall überhaupt Sinn?
Falls ja, hat die doppelte Absicherung auch einen Einfluss auf die Geschwindigkeit - falls man von extern über DS Video die Filme streamt?

Soweit ich verstanden habe, ignoriert Quick-Connect dies?

Welche Erfahrungen habt Ihr gemacht?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.643
Punkte
314
Hi!

Erstmal...
Auf meinem Router... ...habe ich nur Port 5000 (HTTP) und 5001 (HTTPS) an meine Synology weiter geleitet.
... sollte man es tunlichst unterlassen einen unverschlüsselten (HTTP)-Port, wie den Port 5000 weiter zu leiten. Wenn überhaupt, dann den (HTTPS)-Port 5001, aber auch diesen würde ich mit Vorsicht genießen. Hintergrund ist, das du über den Port 5001 den Zugang zum DSM aus dem Internet verfügbar machst. Solltest du dann noch ein schwaches Passwort haben, oder der DSM mal eine Sicherheitslücke haben, könnte es dir passieren, das du irgendwann mal unerwünschten Besuch auf deiner DS hast. Aber wollen wir den Teufel mal nicht an die Wand malen. Auch war das nicht deine Frage. Also zurück...

In meinen Augen macht es erstmal keinen Sinn zwei Firewalls zu betreiben und ich würde erstmal immer die Router-Firewall nutzen aber... die DS-Firewall bietet unter anderem eine GeoIP-Sperre, eine automatische Blockierung sowie andere Nettigkeiten zur Unterbindung von DDoS-Attacken usw. an. von daher macht die Verwendung der DS-Firewall durchaus Sinn, wenn ich hierüber auch keine Ports sperren würde, die von der Router-Firewall nicht eh schon blockiert werden. Es kommt aber auch immer auf die eigene Paranoia an, weshalb es natürlich nicht verboten ist, Ports an zwei Stellen zu blockieren. Jedoch könnte das auch unerwartete Nebenwirkungen nach sich ziehen.

Als Faustregel gilt: Solange du keine Ports in der Router-Firewall explizit weiterleitest, sind alle Ports geschlossen (Naja, außer ein paar Grundlegende Ports, die aber immer offen sind). Nur die Ports weiterleiten, die du wirklich benötigst, alles andere bleibt geschlossen. Somit brauchst du auch die Ports 22 und 23 nicht explizit schließen, da sie standardmäßig garnicht erst weitergeleitet werden.

Quick-Connect bombt sich den Weg durch die Firewall frei, weshalb ich dieses spooky'ge Verfahren auch nie nutzen würde.

Tommes
 
Zuletzt bearbeitet:

Renalto

Benutzer
Mitglied seit
19. Jul 2015
Beiträge
207
Punkte für Reaktionen
3
Punkte
18
ssh zu deaktivieren ist auch nicht das gelbe vom Ei. Sollte dir mal die System Partition voll laufen, aus welchem Grund auch immer, kannst du dich nicht mehr in DSM anmelden und wenn du dann keinen Zugriff via ssh hast kannst du das Problem auch nicht beheben. Sicherheitshalber kannst du für ssh einen anderen Port definieren.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.643
Punkte
314
Er kann im DSM den SSH-Dienst durchaus aktivieren, das hat ja erstmal nichts mit einer Portweiterleitung zu tun, da man auch lokal per SSH zugreifen kann. So lange im Router der Port 22 dann nicht weitergeleitet wird und in der DS-Firewall dieser nicht gesperrt wurde, ist doch alles gut. Aber auch hier könnte man die DS-Firewall so einstellen, das alle lokalen Port-Anfragen zugelassen werden und WAN-Anfragen blockiert werden... bis halt auf Port 5001... um mal bei diesem Beispiel zu bleiben. Dann noch GeoIP einrichten, das z.B. nur Anfragen aus Deutschland zugelassen werden (wobei das natürlich auch nur einen subjektiven Effekt hat, da IP‘s auch umgeleitet werden können) und man hat schon einiges für die Sicherheit getan.

Tommes
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Die Sache mit dem SSH will schon gut überlegt sein (s. z.B. rfc3128), daher macht die Sache mit der Firewall (und entsprechenden ein- UND ausgehenden Regeln...) schon Sinn. Es bleibt wohl die alte Diskussion Bequemlichkeit gegen Sicherheit. Hier ist es z.B. so konfiguriert, dass nur die "echten" statischen Clients (nichtmals Smartphones, nur Rechner) auf das NAS zugreifen dürfen und nichts anderes aus dem lokalen LAN. Von ausserhalb garnichts, aber wenn, dann mit Sicherheit nur aus Deutschland. Für Viel-Urlauber würde ich wohl hingehen und dann konkreterweise grade eben das Land temporär hinzufügen, in welches in verreisen will (wenn es denn unbedingt sein muss). Wer unbedingt Zeugs mit seinen Kumpels teilen will, dem wäre vermutlich ein kleines 1-Bay-Zweitgerät in einer DMZ anzuraten. Ist aber auch zugegebenermaßen alles ein bisschen viel für kleinere Privathaushalte.

Firewall bei deaktivierten Dienste: Sofern ein Dienst nicht läuft, lauscht auch nichts auf dem Port was irgendwelche Anfragen annehmen könnte und somit laufen diese Anfragen sowieso ins Nirgendwo. Grundlegend wäre aber ein Konzept anzuraten bei dem man es sich schon recht einfach machen kann: erlaube die Dienste die ich will und verbiete einfach "alles" andere. Allerdings sollte man schon mit der ersten angelegten Regel dafür sorgen, dass man sich nicht aussperrt ;)

Quickconnect nutzt ein hole-punching-Verfahren via dauerhafter Verbindung zu Synology. Mehr dazu findet Du hier im Whitepaper. Wer es nutzen will, ist vermutlich schlichtweg selbst schuld, da man hier die Kontrolle schon ziemlich aus der Hand gibt. Aber: ist natürlich wesentlich einfacher, als sich um irgendwelche Portfreigaben zu kümmern. Quickconnect funktioniert dafür aber eben auch bei DS-Lite und Co. Wer keine Lust auf IPv6 hat, oder mit dem Umstand kämpft keine IPv4-Adresse zu haben, wäre damit vllt auch besser beraten. Alternativ halt via irgendeinem Provider so eine komische VPN-Geschichte mit statischer IPv4-Adresse besorgen, was im Umkehrschluss aber theoretisch auch heisst, dass eben solcher ggf. auch Zugriff auf das eigene LAN hat (also eher zweifelhaft sicher).

EDIT:

Kurz worum es bei RFC3128 eigentlich geht:

1.1 The scope of the attack
Where the filtering rules allow incoming connections to a machine AND
there other ports which allow only outgoing connections on the same
host, the attack allows incoming connections to the supposedly
outgoing-only ports.
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Ich hänge hier hinter einer Routerkaskade, seit uns unser lokaler Kalebnetzbetreiber UPC eingehandelt hat (die "Alternative" Swisscom ist keine infolge völlig unzureichender verfügbarer Bandbreiten und auch unterm Kostenaspekt).
Folglich sieht es bei uns so aus:
Internet<--->UPC Connectbox<--->AVM Fritzbox 7580<--->Switch<--->LAN

Die Connectbox läuft zwangsläufig als Router mit IPv6 im DS-Lite-Modus, also mit CGN-IPv4, mit der man "von aussen" nichts anfangen kann. Trotz anderslautender Empfehlungen in Consumerforen habe ich die Firewall darin mit allen Schikanen aktiv belassen, denn man muss nur wissen, wie man es richtig macht, damit auch ein zweiter Router dahinter korrekt läuft. In der Firewall habe ich genau EIN "Loch" gebohrt - ich lasse meinen OpenVPN-Port auf IPv6 zur Fritzbox durch. IPv4 ist infolge des CGN eh komplett "dicht". Allerdings ist WLAN hier deaktiviert, denn dafür ist u.a. die Fritzbox da.
Selbstverständlich ist die Firewall in der Fritzbox aber ebenfalls weiterhin aktiv, weil ich das Ding nicht zum reinen IP-Client kastrieren kann und will (sowohl WLAN als auch DECT werden darüber abgewickelt). Und selbstverständlich ist auch hier die Portfreigabe für IPv6 fürs OpenVPN hier drin und lässt entsprechende Pakete an die DS916+ durch.
Die 7580 erhält von der Connectbox neben ihrer eigenen IPv6 per PrefixDelegation (DHCPv6 ist als stateless konfiguriert) ein eigenes Subnetz und ist ihrerseits als primärer DHCPv6-Server eingerichtet, um alle Geräte im LAN mit einer IPv6 auszustatten. Deshalb kann ich auch auf der DS916+ dank FIP-Portmapper trotz der DS-Lite-Krücke den OpenVPN-Server betreiben.

De fakto habe ich hier also durch die Routerkaskade eine echte DMZ etabliert, in der ich (bislang) allerdings keine Serverdienste betreibe, die ich "von aussen" zugreifbar machen möchte/müsste. Was wir an Serverdiensten benötigen (z.B. eigener DNS/Pi-Hole über einen Raspi3 "hinten" im LAN, oder eben alles, was die DS ausser dem VPN noch so bietet), kann alles abgesichert im LAN "stehen".
TROTZDEM ist auf allen Rechnern die OS-eigene Firewall aktiv, auf den (gerooteten) Smartphones laufen AFWall+, Adaway und natürlich OpenVPN, um dank Tasker-Profil vollautomatisch auf den VPN-Tunnel umzuschalten, sobald man das heimische Netz verlässt, und somit ist selbstverständlich auch die Firewall auf der DS (bzw. seit zwei Wochen: auf beiden DS) aktiv, und nur für die explizit zugelassenen Dienste sind Ports geöffnet, und ansonsten gilt die Regel "deny all".

Ist das Paranoia? Nein. Es ist Risikobewusstsein und Erfahrung. Die heutige IT und insbesondere die Software ist so komplex geworden, dass niemand mit Gewissheit behaupten kann, alle eigenen Geräte wären "sicher". Spätestens wenn wir Gäste da haben, die auch einen WLAN-Zugriff bekommen sollen (egal ob enge Familie im Heimnetz oder sonstige Gäste im Gast-WLAN) befinden sich Geräte im Dunstkreis UNSERER Infrastruktur, die sich meiner Kontrolle entziehen. Ich kann de fakto nie wissen, ob z.B. die Freunde unserer Kinder nicht mal eine Virenschleuder anschleppen, und dann habe ich hier keinen Angriff "von aussen", sondern der Feind ist längst hinter den eigenen Linien.
Und genau deshalb ist es IMMER gerechtfertigt, auf JEDEM dazu fähigen Gerät eine Firewall zu betreiben, die so wenig wie irgend möglich zulässt.

Zu Quickconnect/MyFritz und co noch etwas: diese Holepuncherei funktioniert im Prinzip genau deshalb, weil der jeweilige Tunnel zum Relayserver outbound aufgebaut wird, also AUS dem LAN RAUS ins Internet. Rein um aufs Admininterface zugreifen zu können, ist das ggf. auch ganz nett, wenn man grad kein Device zur Hand hat, mit dem man den VPN-Tunnel nach Hause aufbauen kann. Allerdings kann wohl jeder an einer Hand abzählen, wie oft man an einem fremden Rechner sitzt und unbedingt grad ans DSM ran muss.

Zuletzt noch ein Merksatz: auch paranoide Menschen werden gelegentlich wirklich verfolgt.
 
Zuletzt bearbeitet:

MIKA

Benutzer
Mitglied seit
15. Mrz 2007
Beiträge
51
Punkte für Reaktionen
1
Punkte
14
Installiere Dir doch einfach einen VPN und gut ist.
Mache ich schon lange so.
Nun noch bei mehrfacher Falsch-Anmeldung dass die IP blockiert wird.
Ausserdem noch 2-Faktor Authentifizierung an der DS aktivieren und du hast sehr, sehr viel getan.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat