Einstellung Firewall

[saffamo]

Hallo Zusammen,

falls in der falschen Rubrik, bitte verschieben.

Meine NAS (DS224+) ist aktuell extern über DynDNS erreichbar. Funktioniert sowar auch sehr gut.
Ich hatte lediglich anfangs 1-2 Login versuche auch anderen fernen Ländern.
Daraufhin hatte ich meine Firwall Einstellungen erneuert, und seid dem hatte ich nie wieder eine Meldung von gescheiterten Loginversuchen.
Weil ich gestern zufällig gelesen habe man sollte als letzte Regel wieder alles ausschließen, bin ich aktuell bisschen verunsichert, ob meine Einstellungen "ausreichend" sind.
Vielleicht könnt ihr zu meinen Einstellungen euren Senf mal dazu geben, und auch Verbesserungsvorschläge. ich wäre euch dankbar!
PS:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ja ausgeschlossen
- Die letzte Regel, in der alles verweigert wird hatte ich jetzt gerade zugefügt.

Vielen Dank euch!!

 

[wegomyway]

Ganz schön viel, was da zugelassen wird.
DAS ist meines:
Man kann im Aufgabenplaner mal IP-Blocker einrichten, irgendwo hier im Forum zu lesen (finde es aktuell nicht)
https://github.com/geimist/Update_Blocklist ist vom User @geimist.
Oder https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/page-2#post-1015901

 

[saffamo]

Nachtrag:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ausgeschlossen.

Bei deiner Variante, hast du zwar alle Länder außer Deutschland ausgeschlossen, aber hast auch wirklich ALLE Port's freigegeben! Hier solltest du nur die Ports freigeben die du auch benutzt.

 

[Kachelkaiser]

sieht für mich gut aus.

Ich habe es so eingestellt:


Man muss nur beachten, dass die Regeln von oben nach unten "durchgearbeitet" werden.

 

[saffamo]

sieht für mich gut aus.

Ich habe es so eingestellt:

Anhang anzeigen 101173
Man muss nur beachten, dass die Regeln von oben nach unten "durchgearbeitet" werden.

Top danke!

Frage zu deinen Einstellungen:
1.) wenn nach der ersten Regel erstmal nur die lokalen IP's reingelassen werden, funktioniert es dann überhaupt, das man von extern rein kommt? Müsste da die 3te Regel nicht am Anfang stehen?

2.) Wenn Regel 1-3 Positiv abgearbeitet wurden. was bringt hier noch die 4te Regel.
Es sind ja schon alle drinnen aus Deutschland und Italien, außerdem deine beiden lokalen IP's
Wer und warum kann dann noch ausgeschlossen werden. Davor wird ja schon alles was man nicht will ausgefiltert. oder
habe ich einen Denkfehler!?

3.) Warum lässt du immer alle Portszu und nicht nur die die du benötigst? So wären ja unnötig viele Angriffsflächen offen oder nicht?

 

[Benares]

Die Abarbeitung hört bei der ersten passenden Regel auf.

 

[saffamo]

Die Abarbeitung hört bei der ersten passenden Regel auf.

Ah verstehe, hier liegt der Denkfehler. Sollte Die erste Regel schon nicht passend sein, zb. weil die Anfrage vom Mond kommt, wird die Anfrage nicht gleich komplett beendet, sondern er geht definitiv alle Regeln weiter ab und und wird dann am Ende durch die Regel "Alle Ports mit allen Quell-IP's verweigern" rausgeschmissen.
Sollte eine Regel zwischendrin passen, lässt er dies zu.

Liege ich hier richtig?

 

[wegomyway]

Nachtrag:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ausgeschlossen.

Bei deiner Variante, hast du zwar alle Länder außer Deutschland ausgeschlossen, aber hast auch wirklich ALLE Port's freigegeben! Hier solltest du nur die Ports freigeben die du auch benutzt.

Wen meinst Du denn?
Bei mir ist nur 443 offen. Wenn ich auf Malle oder in Kroatien weile, dann eh über WG-VPN und gut ist (wenn es notwendig ist, eigentlich nur für Pictures and Videos), alles andere ist zu. Urlaubsländer, die kann man händisch freigeben oder ist man 365 Tage in allen Ländern gleichzeitig?

 

[saffamo]

Ja dich meinte ich
Kannst du kurz erklären wie du dann von extern drauf zu greifst? also innerhalb Deutschland? zb. Mobil.
Ja dann ohne DynDNS oder?
Funktioniert aber auch dann nur für einen selbst, bzw. wird kompliziert wenn Familienmitglieder auch drauf zugreifen, zb. per Netzwerkfreigabe an ihren Rechnern.

ne da hast du schon recht. Die anderen Länder könnte ich immer händlich davor auch freigeben.
Wir war es wichtig keine anderen "dubiosen" Länder freizugeben, aus denen man Attacken vermuten würde bzw. schon darüber gehört hat.

Bist du der Meinung das der Externe Zugriff über DynDNS bedenklich ist und empfiehlst mir dann welchen Weg ?
Danke dir!

 

[Benares]

Liege ich hier richtig?

Ja. Und da die häufigsten Zugriffe von innen erfolgen, sollten die oben stehen.

 

[wegomyway]

Meine mobilen Apps, ALLE nur als Nutzer eingerichtet (3 an der Zahl) haben auf ihren Handys alle WG-VPN, in der 224+ ist das Zertifikat von Let's Encrypt mit entsprechender Domain(s) eingerichtet.
Für die mobilen Apps Drive, Photos, Audio und File eingerichtet.
Zugriff dann beispielsweise mobile Photo-App aufm Androiden: photo.xxxxx.myds.me.
Aber wenn es bei dir so funktioniert, wurdest ja auch bestätigt, dann nutze dieses.

 

[Kachelkaiser]

wie hier bereits schon geschrieben, funktioniert das von oben nach unten. was passt, zieht. Hauptsächlich gehe ich lokal oder per VPN auf die DS. Dann zieht die oberste Regel.
Die zweite ist für die docker-Container. Hatte mal geslesen, dass das sinnvoll wäre, damit die Zugriff auf die DS haben.
Und für die paar Dienste, die ich über DDNS anspreche (z.B: Vaultwarden), zeiht dann die dritte Regel.

Hab keinen Sinn gesehen, da dann nochmal die ports zu beschränken.

 

[saffamo]

Ich sehe schon, es gibt hier viele Wege nach Rom
Ich glaube dann lasse ich es so, läuft seit 2 Jahren ohne Vorkomnisse, lediglich die Zugriffe von Innen werde ich hoch setzen.

Danke euch!

 

[synfor]

@saffamo deine 2. Regel kommt nie zum Zuge, denn das wird schon von der 1. abgedeckt.

 

[NSFH]

Das oberste Beispiel ist auch gut als Lehrstück wie man es nicht macht.
Die erste Regel erlaubt für die aufgeführten Länder alles.
Die zweite Regel macht das gleiche nur für bestimmte Dienste. Doppelt und damit überflüssig.

Das Beispiel von Kachelkaiser zeigt gut wie löchrig Regeln sein können.
Er sagt schon richtig, dass die Regeln von oben nach unten abgearbeitet werden, aber das passiert, bis das Ende aller Einstellungen erreicht ist.
Also ist es Unsinn oben etwas zu beschränken was unten wieder erlaubt wird.
Dann aber für ganz D alle Ports aufzumachen ist schon wieder fahrlässig.
Wenn man dann noch in einer regel alle Dienste einträgt blickt man gar nicht mehr durch.

Sauber wird es erst dann, wenn wenn man in der Firewall für wirklich jeden einzelnen Dienst den man erlauben möchte eine eigene Regel aufstellt.
Nur so behält man eine Übersicht.
Und klar, am Ende unten den Haken setzen, mit dem alles was oben nicht zugelassen ist blockiert wird.

Nächste Massnahme alle Apps die auf Webdiensten beruhen auf den ReverseProxy legen. Durch die Mehrfachnutzung von 443 entfallen automatisch jede Menge offene Ports nach aussen!

Als letztes dann noch das bekannte update_blocklist.sh script installieren, was schon über 20T IPs blockiert die als schädlich gemeldet sind.

 

[Kachelkaiser]

ok ich hatte die Firewall mal mit Hilfe eines Threads hier angepasst. Aber man ist ja lernfähig.

Ports nach außen sind eh nur 443 und 6690 offen, der Rest ist zu. Sachen wie Vaultwarden, Photos, Kalender, Kontakte etc. laufen über den Reverse Proxy. Damit sollte das Thema erledigt sein, wenn ich dich richtig verstehe.

Muss dann trotzdem für jedne Dienst ne Regel rein? Ich denke nicht oder?

Das Blocklist script muss ich mal noch einbauen.

 

[saffamo]

Das oberste Beispiel ist auch gut als Lehrstück wie man es nicht macht.
Die erste Regel erlaubt für die aufgeführten Länder alles.
Die zweite Regel macht das gleiche nur für bestimmte Dienste. Doppelt und damit überflüssig.

Das Beispiel von Kachelkaiser zeigt gut wie löchrig Regeln sein können.
Er sagt schon richtig, dass die Regeln von oben nach unten abgearbeitet werden, aber das passiert, bis das Ende aller Einstellungen erreicht ist.
Also ist es Unsinn oben etwas zu beschränken was unten wieder erlaubt wird.
Dann aber für ganz D alle Ports aufzumachen ist schon wieder fahrlässig.
Wenn man dann noch in einer regel alle Dienste einträgt blickt man gar nicht mehr durch.

Sauber wird es erst dann, wenn wenn man in der Firewall für wirklich jeden einzelnen Dienst den man erlauben möchte eine eigene Regel aufstellt.
Nur so behält man eine Übersicht.
Und klar, am Ende unten den Haken setzen, mit dem alles was oben nicht zugelassen ist blockiert wird.

Nächste Massnahme alle Apps die auf Webdiensten beruhen auf den ReverseProxy legen. Durch die Mehrfachnutzung von 443 entfallen automatisch jede Menge offene Ports nach aussen!

Als letztes dann noch das bekannte update_blocklist.sh script installieren, was schon über 20T IPs blockiert die als schädlich gemeldet sind.

Danke dir!

Also Sprich so sollte mach es machen:
Da angeblich die meisten Angriffe aus dem Internen Netzwerk kommen, sollte man dann wie in meinem Beispiel hier für jede einzelne Anwendungsregel auch eine Regel mit einem internen IP Bereich machen? Und wenn ja wahrscheinlich erst alle Regeln mit den Internen IP's und im Anschluss von extern z.b. nur aus Deutschland.





Zur meinem Verständis mit dem Reverse Proxy: Musst auch nicht zu tief ins Detail gehen, ich informiert mich absofort darüber
Ich habe mich mit dem Reverse Proxy noch nicht auseinander gesetzt.
Aktuell habe ich ja dann praktisch für jede Anwendung per Regel den jeweiligen Port freigegeben zb. für das Verwaltungsprogrammoberfläche (Https) den 5001 (fiktiv!)
Dieser Port musste ich ja auch in meiner Fritzbox öffnen, damit ich von außen per DynDNS draufkomme.

Wenn ich jetzt ein Reverse Proxy mache, gebe ich in der Fritzbox dann nur doch den Port 443 frei.
In den Firewalleinstellungen nehme ich dann alle Regeln die ich jetzt gemacht habe / erneuere wie oben beschrieben, wieder raus und man gibt hier auch noch noch die 443 frei.
Und alles (Mobil App's, mein Backup auf ein zweites NAS an einem anderen Standort) läuft dann über diesen einen Port.

Danke dir!

 

[saffamo]

Nachtrag:

Ich habe mir jetzt schon etwas reingezogen zum Reverse Proxy:
Also in meiner Fritzbox gebe ich nur noch Port 80 & 443 frei. Die einzelnen Anwednungen leite ich im Reverxe Proxy zu den jeweiligen Ports der Anwednungen durch.

Frage1: Muss ich HTTP mit Port 80 überhaupt auch freigeben in der Fritzbox, wenn man nur verschlüsselt über HTTPS zugreifen will? Dann müsste ich auch nicht die Weiterleitung von Http auf Https wie in diesem Video beschrieben durch Konfiguration des Apache Servers vornehmen. Youtube Video Reverse Proxy Minute 4:19 - 6:40 min

Frage 2: Wie wären dann hier die Firewall Einstellungen? Alle Regeln der einzelnen Anwendungen rausnehmen? Es bleibt nur der Port 443 oder wenn nötig auch 80 offen.
Oder alle Ports der Anwendungen und der Port 443 evtl. auch 80 bleiben offen?

Frage 3: Warum wäre der Port 80 für HTTP wichtig, den auch in der Fritzbox aufzu machen?

Danke euch!

 

[NSFH]

Das sieht schon besser und übersichtlicher aus.
Vor allem liegst du absolut richtig den internen Bereich ebenfalls so abzusichern!
Port 80 würde ich als Regel drin lassen aber deaktiviert. Den brauchst du zB zusammen mit 443 um ein LetsEncrypt Zertifikat zu erhalten.
Port 443 muss immer möglich sein, den also fest vom Router auf die Syno (RP) weiterleiten. In der Fritz auch den Port 80 einrichten wegen Zertifikat aber nur bedarfsweise aktivieren.
Das hast du richtig verstanden, sobald du die Webanwendungen über den RP laufen lässt kannst du die Freischaltungen in der Firewall und auch Weiterleitungen in der Fritz deaktivieren. Du solltest die Regeln für den internen Bereich behalten, ansonsten müsstest du immer über den Umweg RP gehen, ist aber auch möglich. Ganz wie du es willst.

 

[saffamo]

Alles klar, dann stelle ich erstmal auf Reverse Proxy um.

1,) Den 80 lasse ich in der Fritz und Firewall deaktiviert drinnen, und aktiviere ich nur wenn ich die Meldung bekomme dass das Zertifikat erneuert werden muss?

Muss man den 80 Port für die automatische Weiterleitung zwingend so wie hier im Video so konfigurieren?
Link Youtube Minute 4:19 - 6:40 min

2.) Wie sicher ist den dann noch folgende Konstellation:
- Wenn ich zuhause am PC bin greife ich aktuell auf meine Nas bzw. auf alle freigegebenen Ordner per Netzwerkfreigabe "smb" zu. Mit einem User der aber Schreib und Leserechte besitzt und mit gespeichertem Passwort, sodass der Netzwerkordner immer gleich zugänglich ist beim einschalten des PC's und ich zb. Office Dateien gleich mit Microsoft Office bearbeiten zu können.
Das ist wahrscheinlich ziemlich unsicher oder?
Wie könnte man es anders lösen, ohne immer Drive im Browser öffnen zu müssen mit passwort und 2fA.

3.) Das gleiche habe ich auch bei meinen Eltern die wo anders wohnen. An ihrem PC können Sie auch über das gleiche freigegebene Netzlaufwerk sich mit ihrem User namen anmelden und darauf arbeiten. Sprich auch wieder passwort gespeichert.
Gibt es auch hier eine andere Lösung

Danke für deine Hilfe!!! Macht Spaß mit kompetenten Leute zu sprechen die einem Weiter helfen können