j-Serie DS213j nur für IP´s aus Deutschland freigeben?

[Oggy1]

Hallo,
mein DS213j ist fürs Internet freigegeben (nicht für jeden), was soweit super funktioniert, nur werden jeden Tag so um die 3-5 IPs aus dem Ausland gesperrt, gibt es eine Möglichkeit, dass nur Nutzer mit einer deutschen IP darauf zugreifen dürfen und ausländische nicht?

MfG

 

[Peter_Lehmann]

Hallo Oggy1!

Du fragst, ob dieses möglich ist.
Selbstverständlich ist es technisch möglich, bestimmte IP-Bereiche oder einzelne IP oder auch bestimmte Portbereiche und Protokolle usw. zu sperren.
In bestimmten Regionen unserer Erde ist es gewollt, dass zum Beispiel STAAT festlegen will, was seine Bürger sehen oder schreiben können, und vor allem, dass STAAT alles mitlesen will. Deshalb werden die o.g. Beschränkungen politisch durchgedrückt. Es gibt auch Länder, wo du keine Chance hast, von diesem Land oder in dieses Land per VPN zu gelangen. Das behindert ja das Mitlesen ungemein ... .

Dann gibt es ganz Schlaue die denken, dieses durch ein schnödes Verlegen des Ports meinetwegen auf den eigentlich immer "zulässigen" Port 80 umgehen zu können. Manchmal klappt das sogar (wie in manchen Firmen, welche meinen, derartige Vorhaben ihrer Mitarbeiter mit einer einfachen Portsperre verhindern zu können). Aber es gibt Techniken (Deep Packet Inspection) welche sich durch solche Spielereien nicht beirren lassen.

HTH!

MfG Peter

 

[Puppetmaster]

Wobei ich mich frage, wie gut kann ein Deep Packet Inspection funktionieren, wenn der übertragene Inhalt z.B. verschlüsselt wird.

 

[Peter_Lehmann]

Ganz einfach: indem er nicht funktioniert!
Ich kann einstellen, dass sogar zu jedem Protokoll geprüft wird, ob es sich wirklich um Daten des entsprechenden Protokolls handelt. Wenn zum Beispiel jemand ganz schlau ist, und aus der "Firma" heraus nicht zugelassene Verbindungen auf :35 (DNS, muss ja immer funktionieren) macht, fällt das sofort auf. Und auch, wenn DPI eben wegen Verschlüsselung nichts mitlesen kann. Ist alles eine Frage, was ich denn vermeiden bzw. erreichen will.

 

[Oggy1]

Danke erstmal für die Antworten, gibt es dafür eine Anleitung? Wie kann ich der DS213j sagen, nur IPs aus Deutschland, den Rest gleich ignorieren...

MfG

 

[Tommes]

Es gibt im Wiki eine Anleitung zu dem Thema.

http://www.synology-wiki.de/index.php/DSM_Zugriff_auf_IP-Ebene_beschränken

Tommes

 

[Peter_Lehmann]

Ob das technisch möglich ist, darauf habe ich dir eine Antwort gegeben. Ja, mit entsprechendem technischen Aufwand ist auch das möglich.
Ob du bereit und in der Lage bist, den entsprechenden Aufwand zu betreiben, ist eine andere Frage. Wegen tägl. 3-5 versuchten und abgewehrten (!) Zugriffen diese Aufwand zu betreiben, wage ich zu bezweifeln.
Auch ist mir unklar, was du gegen "Ausländer" hast - die meisten Menschen (und auch IP) sind "Ausländer".

Trotzdem, hier eine technisch mögliche Lösung im Kurzformat:
Dein Router leitet alle auf dem entsprechenden Port ankommenden Verbindungsversuche an den auf deiner Syno lauschenden Port weiter. Jetzt möchtest du die "ausländischen" IP ausfiltern. Das könntest du
1.) entweder deinen Router, oder
2.) einen zwischen Router und Syno geschalteten Firewall
machen lassen.

zu 1.)
Wenn du eine neuere Fritz-Box (73xx oder 74xx) besitzt (es wird ja ein wenig Prozessorleistung dazu benötigt), dann könntest du diesen Router "freetzen". => www.freetz.org
Damit baust du dir deine eigene angepasste Firmware für diese Box. Dann ergänzt du diese Firmware mit den Paketen "iptables" und evtl. noch "iptables-cgi", der dazu passenden GUI.
Und dann liest du dich gründlich in die Konfiguration von "iptables", also dem Anlegen von Firewallregeln ein. Das machst du allerdings nicht in 1 bis 2 Tagen!
Ach ja, dann musst du "nur noch" aus den im Internet vorhandenen Quellen (IANA oder DENIC, usw.) die den dt. Providern zugeteilten IP-Bereiche ermitteln, diese "ermöglichen" und alle anderen sperren.

zu 2.)
Unter "Firewall" verstehen wir hier nicht die Softwareteilchen, welche die meisten User auf ihren Rechnern installieren, sondern eine entsprechende Hardware. Das kann als Billigvariante ein ausgedienter PC, welcher unter Linux läuft, aber auch ein kommerzielles Produkt sein (Checkpoint, Genua, usw.)
Der "Rest" entspricht dem, was ich unter 1.) geschrieben habe. Vergiss auch nicht, den IP-Bereich deines Homenet zuzulassen ;-)

Das ist, wie schon geschrieben, eine mögliche Variante. Du wirst jetzt sicherlich zugeben, dass sich dieser Aufwand keinesfalls lohnt. Und du hast ja auch bei deiner Betrachtung übersehen, dass es auf der Welt nicht nur mehr Aus- als Inländer, sondern auch im Inland genügend "Böse", "Scriptkiddies" usw. gibt. Was machst du mit denen? Leider kannst du diese nicht prophylaktisch an ihrer IP erkennen.

Wenn du irgend einen Server ins Internet stellst, dann musst du immer Vorsorge treffen, dass Fremdzugriffe möglichst ausgeschlossen werden. Das ist für einen Amateuradministrator kaum möglich. Er muss sich auf die mitgelieferten Abwehrmöglichkeiten des kommerziellen Gerätes verlassen, mehr ist aber kaum. Und du musst auch immer beachten, dass es auch bei kommerziellen Geräten große Unterschiede zw. einem für den Privatgebrauch bestimmten kleinen NAS und einem "richtigen ausgewachsenen" Webserver gibt.


Leider hast du uns nicht gesagt, wie groß der Kreis der Zutrittsberechtigten für deine Syno ist. Sollte es nur eine Handvoll sein, dann denke mal über eine VPN-Lösung nach.


MfG Peter

 

[Oggy1]

Ist ja wieder Typisch, da möchte man nicht, dass irgendwer von irgendwo (laut IPs halt nur aus dem Ausland wie Türkei, Polen, Russland...) versucht illegal und ohne Erlaubnis mit unterschiedlich falschen Benutzernamen und Kennwörtern auf private Daten zuzugreifen, da man diese ja nicht für die Öffentlichkeit zugänlich gemacht hat, deswegen Benutzername und Kennwort und schon hat man was gegen Ausländer.

Ich würde den Aufwand ja nicht betreiben wollen, wenn nicht jemand anderes den Aufwand betreiben würde, an meine Daten zu kommen, dem ich nicht die Erlaubnis erteilt habe.

Bei 3-5 Versuchen am Tag (können ja noch mehr werden) macht das bei 4 im Durchschnitt 1460 Versuche in einem Jahr und wenn ich die nur für deutsche IPs freigebe, wo bis jetzt genau 0 (Null) IPs dabei waren um Welten weniger Versuche, denn das ist erstmal was Zählt.

Ich werde es jetzt erstmal mit der .htaccess versuchen, mal schauen wie das wirkt...

 

[Puppetmaster]

Wer sagt dir denn eigentlich, dass eine "russische" IP auch aus Russland kommt und eine "chinesische" aus China?

IPs kann man fälschen. Und wer heutzutage kriminell im Internet unterwegs ist, wird sicher nicht seine Visitenkarte "IP" dabei hinterlassen.

 

[Oggy1]

Wer sagt, dass es nicht so ist?

Nur weil man nicht sicher sagen kann, ob eine russische IP wirklich aus Russland kommt oder eine "chinesische" aus China, soll man also alles so lassen wie es ist?
Ist es vielleicht besser, das Passwort zu entfernen oder soll ich besser den Benutzernamen und das Kennwort auf der Startseite anzeigen lassen?

 

[Puppetmaster]

Die Botschaft war:

kümmere dich nicht um den Absender, sondern darum, dass du starke Zugangsbeschränkungen hast.

 

[trininja]

Ausserdem kannst du nicht wissen woher die IP kommt, ich zum Beispiel hatte ne zeitlang eine "russische" IP, da irgendeine Firma in Russland einen dicken IP Block freigegeben hat und dieser Block meinem Provider gegeben wurde, bis dann endlich mal die WHOIS Datenbank aktualisiert war, waren 6 Monate ins Land gezogen. Geodaten mal aussen vorgelassen, da diese Umsetzung fast unmöglich ist ohne dedizierte Firewall gibt es keine sinnvolle Methode hier irgendwas umzusetzen. Mittlerweile sind selbst in Deutschland mehr ausländische IP Blöcke unterwegs als man denkt. Dazu kommen noch VPNs aus dem Ausland (Ich selber surfe wenn ich über VPN surfe aus Holland, Schweden, Singapoure oder Tschechien.).

Das Ziel sollte immer eine saubere Absicherung des Systems durch Kennwörter, Schlüsselauthentifizierung und Sperrmechanismen sein, die bei fehlerhaften Logins greifen.

 

[synmesh]

Die Botschaft war:

kümmere dich nicht um den Absender, sondern darum, dass du starke Zugangsbeschränkungen hast.

Dem kann nur beigepflichtet werden. Alles andere ist "Security by Obscurity", ähnlich wie das "DROP" einer Firewall um dem Nutzer (s)eine tolle "STEALTH"-Technologie vorzugaugeln.

Restriktive Zugangsbeschränkungen sind der Anfang. Als nächstes sollte man sich überlegen, ob man alle offenen Türen in die Internetwelt nicht schließt und stattdessen nur einen VPN-Tunnel in sein Netzwerk zulässt. Gängige Mobilgeräte unterstützen diese Zugangsmöglichkeit i.d.R. problemlos - mit moderaten Komforteinschränkungen.

synmesh

 

[Peter_Lehmann]

Es gibt im Wiki eine Anleitung zu dem Thema.
http://www.synology-wiki.de/index.php/DSM_Zugriff_auf_IP-Ebene_beschränken

Ich bin bewusst nicht darauf eingegangen. Zum einen, weil ich da meinen (ehrlich gesagt, etwas ironisch gemeinten, siehe unten) Beitrag schon fertig hatte, und zum anderen, weil da "die fremde IP" schon auf der Kiste ist.

Was wollte ich ganz bewusst mit meiner Antwort rüberbringen:

1. Ich wollte keinesfalls jemanden zu nahe treten, wegen "Ausländern"! Ehrlich niemandem. Ich wollte rüberbringen, dass du allein an der IP nicht zwischen "gut und böse" unterscheiden kannst. Wenn das so rüberkam, dann bitte ich um Entschuldigung.
2. Dass es gar nicht so einfach ist, eine wirklich funktionierende Sperre oder Zugangsberechtigung für bestimmte IP(-Bereiche) einzurichten. JA, es ist möglich, aber auch recht aufwändig. Zumindest, wenn man das mit einer sicheren Variante realisieren will. Der verlinkte Beitrag funktioniert natürlich. Aber ob es möglich ist, damit geschätzte >90% aller weltweit vergebenen IP(-Bereiche) herauszufiltern, wage ich zu bezweifeln. Und wenn ich daran denke, wie schnell und problemlos ich mir jederzeit eine IP aus jeder beliebigen Region holen kann, muss man den Sinn wirklich hinterfragen ... .
   Es ist sehr einfach, einige wenige IP zuzulassen. Das Dumme ist nur, dass wir mit dynamischen IP leben müssen. Also fällt die Variante aus, nur die IP der berechtigten Nutzer einzutragen.
3. Dass diese immerwährenden "Angriffe" das ganz normale "Rauschen des Internets" sind! Diese "Angriffe" hast du Rund um die Uhr, wenn du irgend einen Dienst frei ins Internet stellst. Willst du letzteres, dann musst du damit leben. Je nach "Bedeutung" deines Serverchens musst du mehr oder weniger viel Aufwand betreiben, um dieses "Rauschen" einzuschränken. Es geht ja in der Praxis nicht nur um ungewolltes Eindringen, sondern auch um ein jederzeit mögliches "Abschießen" deines Dienstes durch DOS- oder sogar DDOS-Angriffe. Aber was in einer großen Firma so richtig ins Geld geht, geht dir doch an der Backe vorbei, oder?
   Und denke auch immer daran, dass ein im Log stehender geblockter "Angriff" ein missglückter Angriff ist. Freu dich doch. Einen von einem Fachmann ausgeführten erfolgreichen Angriff siehst du nicht.
4. Dass du ein gesundes Maß zwischen Aufwand und Nutzen herstellen musst. Ein richtig gutes Passwort (erzeugt mit einem Zufallszeichengenerator und >12 Zeichen) betrachte ich als Selbstverständlichkeit, genau so wie ein regelmäßiges Wechseln. Und das mitgelieferte Feature von Synology , eine IP mit mehreren Fehlversuchen möglichst lange zu blockieren, ist eine sehr gute Möglichkeit, einen Spielmatzen gar mächtig auszubremsen und somit extrem zu behindern. Und dabei spielt es absolut keine Rolle, ob es sich um einen "Angreifer" aus DL oder von sonst woher handelt.

OK?


MfG Peter

Ergänzung:
full ack zum zwischenzeitlich geposteten Beitrag von synmesh.
Genau so mache ich es auch. Alle Dienste, welche ich berechtigten Nutzern "von außerhalb" bereitstelle, laufen über mein VPN. Deshalb auch meine Frage, wie groß dein Freundeskreis der Zugriffsberechtigten ist. Und beschrieben habe ich das wohl auch schon im Forum.