Empfehlung für sichere Einstellung der Firewall für VPN Zugang

[forus]

Hallo,

ich möchte zukünftig nur noch über den OpenVPN Zugang der Synology von außen (Internet) auf diese zugreifen.
Jetzt suche ich die optimale Einstellung für die Firewall. Hatte dabei an folgende Regeln gedacht:

Regel 1:
- alle Ports zulassen
- IP Bereich auf das lokale Netz beschränken z.B.192.168.0.1 bis 192.168.0.255

Regel: 2
- Port 1194 für die OpenVPN Zugang freigeben
- IP Bereich alles freigeben (oder ggf. auf Deutschland begrenzen)

Ich hatte beim ersten Gedanken in der Regel 1 noch Ports für verschiedenen Anwendungen spezifiziert, dacht dann aber das es nicht notwendig ist weil das ja nur intern abläuft.

Das müsst doch eigentlich ok sein, oder habe ich da einen Gedankenfehler drin?

 

[NSFH]

Du brauchst keine Regel 2 weil du mit Regel 1 eine Portanfrage schon erlaubt hast. Regel 2 wird gar nicht mehr abgefragt.
Vielleicht solltest du dich erst mal damit beschäftigen, wie ein Firewall prinzipiell funktioniert!

 

[forus]

Verstehe ich jetzt nicht ganz. Die Ports bei Regel 1 gelten ja nur für den internen IP Bereich. Ich habe das vielleicht etwas unklar ausgedrückt.
Wenn von außen (Regel 2) zugegriffen wird geht es eben nur über die VPN mit dem entsprechenden Port.

 

[the other]

Moinsen,
Mal von deiner eigentlichen Frage abgesehen...
Soll in der Quell IP Zone der Adressbereich wirklich so sein, wie im Screenshot?? Also 192.168.0.1 bis 192.168.1.255??
Dann solltest du auch bedenken, dass heute die meisten Angriffe von innen kommen (Schadsoftware auf einem Client im eigenen Netz). Also vielleicht doch nur die ports freigeben, die wirklich nötig sind.
Und schließlich kannst du auch einstellen, dass alles verboten ist, wofür keine explizite erlaubt-Regel besteht.
Davon ab: @NSFH hat durchaus recht, denn du erlaubt oben ja auch alles INKLUSIVE Port für udp für ALLE Schnittstellen. Du kannst im Fenster oben rechts aber auch die einzelnen Schnittstellen (lan1, vpn, usw) einzeln anwählen und dann dort die für eben diese Schnittstelle geltende Regel einrichten.
Jetzt klarer geworden?

 

[forus]

Soll in der Quell IP Zone der Adressbereich wirklich so sein, wie im Screenshot?? Also 192.168.0.1 bis 192.168.1.255??
Dann solltest du auch bedenken, dass heute die meisten Angriffe von innen kommen (Schadsoftware auf einem Client im eigenen Netz). Also vielleicht doch nur die ports freigeben, die wirklich nötig sind.

ok, das überlege ich mir dann noch einmal.

Davon ab: @NSFH hat durchaus recht, denn du erlaubt oben ja auch alles INKLUSIVE Port für udp für ALLE Schnittstellen.

Das habe ich jetzt noch einmal getestet. Ich kann von außen über die VPN aber nur zugreifen wenn ich die Einstellungen wie folgt gemacht habe:


Mit diesen Einstellungen geht VPN von außen definitiv nicht:


Ich erkläre mir das so, dass die erste Regel nur für die internen Zugriffe des IP Bereiches 192.168.0.1 bis 192.168.1.255 gilt.
Der VPN Zugriff erfolgt aber mit einer exteren IP aus Deutschland, oder?

Du kannst im Fenster oben rechts aber auch die einzelnen Schnittstellen (lan1, vpn, usw) einzeln anwählen und dann dort die für eben diese Schnittstelle geltende Regel einrichten.
Jetzt klarer geworden?

Dann kann man aber nicht kombinieren, oder? die Einstellung gilt ja dann für die gesamte Firewall Regeln dann.

Was wirklich einmal interesant wäre - für Anfänger - wie mich ein paar Beispielkonfigurationen. Ich würde vermuten, dass bei den meisten die Einstellugen nicht optimal sind. Ist wirklich schwer zu verstehen, wenn man das nicht jeden Tag macht.

 

[blurrrr]

Was wirklich einmal interesant wäre - für Anfänger - wie mich ein paar Beispielkonfigurationen.

Siehste, genau SO fängt es nämlich NICHT an Für Anfänger auch schon mal "garnicht". Da setzt man sich auf seine 4 Buchstaben und liest erstmal was über OSI-Layer 3 (z.B. IP/Routing), OSI-Layer 4 (z.B. TCP/UDP) + ggf. noch die oberen Schichten (HTTP, DNS, etc.) und wenn man das so halbwegs kapiert hat, dann hat man auch verstanden, wie das mit den Firewall-Regeln funktioniert, bzw. wie diese für entsprechende Applikationen auszusehen haben.

Ein "paar"? Kein Thema:

ANY -> ANY -> ANY - allow
ANY -> ANY -> ANY - deny

So funktioniert "alles", drehst Du die Reihenfolge um, funktioniert "nichts" mehr. Happy Birthday ?

EDIT: Nur, damit es nicht allzu langweilig wird und Du wieder auf die Idee mit den "paar Beispielen" kommst...:
- https://de.wikipedia.org/wiki/OSI-Modell
- https://de.wikipedia.org/wiki/Internet_Protocol
- https://de.wikipedia.org/wiki/Routing
- https://de.wikipedia.org/wiki/Transmission_Control_Protocol
- https://de.wikipedia.org/wiki/User_Datagram_Protocol
- https://de.wikipedia.org/wiki/Firewall (kann dann ja auch nicht schaden)
- https://de.wikipedia.org/wiki/Geoblocking (da die Syno-Firewall es auch kann)

... denke Du bist erstmal versorgt, wir sprechen dann nächstes Jahr nochmal darüber, wenn Du alles durch und verstanden hast ?..... mal eben....

 

[servilianus]

Und schließlich kannst du auch einstellen, dass alles verboten ist, wofür keine explizite erlaubt-Regel besteht.

das geht aber nur auf der jeweiligen Schnittstelle. Der TE hat aber das ganze im Bereich: „Alle Schnittstellen“ konfiguriert.
Ich würde die FW-Regeln auf der jeweiligen Schnittstelle anlegen.

Und FW ist ja kein Hexenwerk:

- FW-Regeln werden von oben nach unten abgearbeitet
- Trifft eine Regel zu, wird der Rest verworfen bzw gar nicht mehr weiter abgearbeitet
- auf der jeweiligen Schnittstelle der Synology definierst Du Ausnahmen/was ist erlaubt, unten klickst Du an: Trifft keine dieser Regeln zu, blockieren

In Deinem Screenshot oben erlaubst Du Clients aus dem LAN den Zugriff, ausserdem alle Anfragen aus dem Internet per UDP, der Rest von ausserhalb wird verworfen. Wenn Du die FW-Regel „VPN-Server“ deaktivierst, ist es logisch, dass OpenVPN nicht mehr klappt, weil der über den UDP-Port 1194 geht.

Also: Ich würde die Fw-Regeln oben mal rausnehmen, sie stattdessen auf der einzelnen Schnittstelle definieren. Dort also erlauben: Zugriff aus dem LAN-Adressbereich, Erlauben UDP-Port 1194, Rest:Blockieren.

Und ganz eigentlich würde ich da auf der Syno gar nix machen, sondern mir einen gescheiten Router holen, und dort die Firewall sowie den VPN-Zugang einrichten. Die Firewall gehört auf das Verbindungsglied Internet-Heimnetz.Auf der Syno dann die ganzen Sicherheitsdinge wie 2-FA, blockieren nach dreimal falschen Zugangsdaten, etc.

 

[servilianus]

Danke für die Nachhilfe. Im Fall des TE, der ja alle Länder ausser Deutschland ausschließen will, wäre unter Linux statt der obigen jedoch folgende iptable sinnvoller:

iptables -A INPUT -p udp --dport 1194 -m geoip ! --source-country DE -j DROP

Aber das ist OT und hat mit den vom TE angefragten GUI-Einstellungen auf seiner Synology wenig zu tun. Daher bin ich hier nun raus und wünsche einen schönen Abend.

 

[NSFH]

Ich glaube das entgleist jetzt ein wenig.
Wenn es in die Richtung deines vorigen Postings geht verlassen wir den Bereich Synology und driften in den rein professionellen Bereich ab. Dann reduziert sich hier im Forum der Kreis der Verständigen auf geschätzt 1%.
So extrem muss man das Thema Firewall auch nicht herunter brechen. Hier wäre es schon ein Riesenerfolg, wenn alle Router nutzen würden in denen der inbound und outbound traffic gefiltert wird.
Wir sind bei der Masse an Routern noch nicht mal in der Lage sowas wie flood überhaupt erkennen zu können, geschweige denn irgendwie darauf zu reagieren.
Zum konfigurtieren einer Firewall gehört dann auch nicht nur das Erstellen von Regeln sondern auch das Tracen alle Dienste um die Einstellungen zu checken genau so wie der penetrationstest von Aussen. Wer sich also mit dem Thema beschäftigt muss absolut sattelfest in IP Technik sein!

Auf Basis einer Synology Firewall sind wir auf der simpelsten Lösung einer Firewall überhaupt. Es gibt nur Eingangsregeln und diese werden von oben nach unten abgearbeitet.
Daher sollte man sich erst mal eine Liste anfertigen in der alle Dienste und alle Ports erscheinen, welche überhaupt auf die Syno dürfen.
Die muss man dann in eine sinnvolle Reihung setzen, immer nach dem Prinzip des Erlaubens. Alsletztes setzt man dann unten im Firewallfenster den Haken, dass alles andere verworfen wird.
Hexenwerk ist das wirklich nicht bei einer Syno, vernünftig geplant werden muss es trotzdem.

 

[NocTec]

Ich habe hier mal durchgefegt. Schade, wenn dabei auch die ein oder andere nützliche Information verloren gegangen ist.

Wir wollen diesen offensiven Umgangston hier im Forum nicht sehen. Es kann jetzt gerne sachlich weiter gehen.

 

[the other]

Moinsen @servilianus,

das geht aber nur auf der jeweiligen Schnittstelle. Der TE hat aber das ganze im Bereich: „Alle Schnittstellen“ konfiguriert.
Ich würde die FW-Regeln auf der jeweiligen Schnittstelle anlegen.

Deswegen hatte ich den te ja darauf hingewiesen. Doppelt hält aber bekanntlich besser...
Danke fürs durchfegen... Hatte die gelöschten Beiträge zum Glück noch gar nicht gelesen, stimme aber der Aktion und Begründung voll zu. Der Ton macht die mucke und hier ist eben idR ein angenehmer Sound wahrzunehmen und unbedingt zu bewahren.

 

[Fusion]

Laut Erinnerung werden die Listen nacheinander durchgegangen. Zuerst alle Schnittstellen und dann die Regeln der einzelnen Schnittstellen.
Wenn man Einträge für alle macht sollte es also reichen, wenn man bei den einzelnen die Blockierung aktiviert falls keine Regel zutrifft.
Oder eben gleich alle Einträge nur auf der passenden Schnittstelle.
Hinderlich ist da, dass die Syno Automatik immer ihre Einträge auf alle Schnittstellen setzt, wenn man nicht aufpasst.

 

[NSFH]

Auch meine Empfehlung alle Schnittstellen nie zu nutzen sondern für jede Schnittstelle, also LAN, VPN etc die passenden Regeln erstellen und bitte nie vergessen am Ende des Fensters den Haken zu setzen um alles nicht Zutreffende zu verwerfen!
Und noch ein Rat: Für jedes Protokoll oder jeden Dienst den man erlaubt eine eigene Regel erstellen. Keine Sammelregeln, denn damit verliert man den Überblick!

 

[spatzimatzi]

Hallo,
habe auch Regeln für die Firewall angelegt. Unter der Schnittstelle "LAN". Alles schön getrennt nach den Diensten. Für den Überblick.

Habe aber noch Fragen
Die Bedeutung der Schnittstelle "Alle Schnittstellen" ist mir noch nicht ganz klar.
Sollte man diese Schnittstelle wählen oder eher meiden?
Wenn man diese Schnittstelle doch wählt, dann hat man nicht die Möglichkeit bei keiner Regel den Zugriff zu erlauben oder den Zugriff zu verweigern.
Es steht dort:
Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Kann mir jemand den 2. Halbsatz erklären.
Habe hier im Forum gelesen, dass die einzelnen Schnittstellen der Reihe nach verarbeitet werden. Innerhalb der Schnittstellen auch in der Reihenfolge. Bei meiner DS218+ werden das insgesamt 4.
Ist das von mir richtig dargestellt?
Das man Regeln für die Schnittstelle "LAN" einrichtet, leuchtet mir ein.
Kann mir jemand Beispiele nennen, bei denen die Regeln in den Schnittstellen "PPPoE" und "VPN" notwendig sein könnten.

spatzimatzi

 

[blurrrr]

PPPoE nur bei Einwahl und VPN ist für das VPN-Transfernetz bzw. die "Netze" (dafür jede Clienteinwahl ein eigenes kleines gebildet wird).

Entweder nutzt Du Deine Regeln für alle Schnittstellen und gibst dort gewünschtes an, oder Du konfigurierst es "pro Schnittstelle". Ersteres ist "einfacher", zweiteres ist zielgerichteter.

Alles schön getrennt nach den Diensten. Für den Überblick.

 

[spatzimatzi]

Hallo,
ich hatte schon vermutet, dass die Eintragungen unter "Alle Schnittstellen" allgemeiner gehalten sind. Aber kann ich dann auch alle Zugriffe verweigern, wenn die Regeln nicht zutreffen?

spatzimatzi

 

[blurrrr]

Die Regel gilt dann eben für alle Schnittstellen. Im übrigen: Ich erwähne die CleanUp-Rule auch nur Gewohnheit (alle Macht der Gewohnheit!), die Syno selbst bietet ja unten so Knöpfe an, was passieren soll, wenn keine Regel zutrifft, kann man also auch machen. Ich kenne es nur anders (da gibt es keine bunten Knöpfe) und deswegen "muss" ich diese Regel dann auch setzen. Auf der anderen Seite (nein, nicht doppelt gemoppelt hält besser, sondern) dient das ganze natürlich auch ein wenig der Übersicht UND (vllt noch viel wichtiger als das) ihr lieben Leute gewöhnt euch das evtl. direkt "richtig" an und wenn es irgendwann mal etwas anderes ist (keine Syno mit Bobbels), dass dann auch direkt intuitiv die Regel "richtig" erstellt werden

 

[the other]

Moinsen,
kurze Ergänzung maße ich mir bei dem Wetter mal an: kommt auch immer etwas auf die jeweilige FW an. Bei der pfsense/opensense FW ist es zB so, dass im default erstmal ALLES verboten ist. Wenn du das Ding dann das erste mal einschaltest und keine Allow Regel einfügst, tja, dann geht auch nix in andere Netzsegmente durchs jeweilige Interface.

 

[spatzimatzi]

Hallo,
gut, die Regeln unter "Alle Schnittstellen" gelten für alle Schnittstellen.
Aber unter "Alle Schnittstellen" gibt es nicht die Anklick-Möglichkeit (zumindest bei meiner DS218+), den Zugriff zu erlauben oder den Zugriff zu verweigern.
Es gibt nur diesen Hinweis:
Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Und zu dem Hinweis hätte ich gerne die Erklärung.

spatzimatzi

 

[Fusion]

Wie oben schon erwähnt einfach unter den einzelnen Schnittstellen überall die Option zum verwerfen anklicken.
Oder wie erwähnt unter alle Schnittstellen eine letzte Regel zum verwerfen einfügen. Gleiches Resultat, eventuell minimal performanter.

Und um dir ganz sicher zu sein einfach testen.