Firewall aktivieren sinnvoll

Kreiseltaucher

Benutzer
Mitglied seit
19. Nov 2012
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Hallo Zusammen

Ist es eigentlich Sinnvoll die Firewall in der DS zu aktivieren ? Mein Browser hat ja schon eine Firewall.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Dein Browser hat eine Firewall - nicht der Router?
Wenn du die DS nur intern nutzt kann sie deaktiviert bleiben. Wenn du Zugriff von Außen hast, kannst du die Firewall besser einstellen als beim "normalen" Router. So ist es möglich IP-Bereiche und Länder auszuschließen.
 
  • Like
Reaktionen: luddi und Benares

Kreiseltaucher

Benutzer
Mitglied seit
19. Nov 2012
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Sorry ich meinte natürlich mein Router. Ich finde die Einstellungen der Firewall in der DS mit den erforderlichen Regeln schon tricky.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Die Firewall soll aber nicht "tricky" sein sondern deine DS und Daten schützen! Die Firewall im Router beschränkt sich meistens auf die Ports. Da bietet die DS wesentlich mehr um das ganze so klein wie nötig einzugrenzen. Besser wäre dazu noch fail2ban um das noch sicherer zu machen.

Alternativ kannst du dich auch einfach via VPN verbinden (Router) denn sind keine Freigaben nötig.
 

Nurbi

Benutzer
Mitglied seit
23. Feb 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo, bin nicht ganz sicher, ob ich hier richtig bin. Ich verstehe eine Sache im Firewall nicht:
Ich habe, neben anderen Einstellungen, folgendes (folgendes sind - in dieser Reihenfolge - die letzten beiden Einträge):
- alle Ports / alle Protokolle / mein Land --> erlaubt
- alle Ports / alle Protokolle / alle Länder --> verboten
Funktioniert korrekt, aus anderen Ländern kann nicht zugegriffen werden.

Dann habe ich den Speedtest Tracker installiert. Funktionierte nicht, nicht einmal die Installation. Nach deaktivieren des letzten Eintrages funktionierte alles korrekt. Meine Schlussfolgerung: Speedtest Tracker braucht Zugriff auf ein weiteres Land. Aber welches?
Erster Versuch:
Ich habe zwischen den obgenannten zwei Regeln eine weitere Regel mit "erlaubt" eingefügt. Darin habe ich - in fünfzehner-Gruppen - alle Länder durchprobiert, um herauszufinden, welches Land ich zusätzlich erlauben muss. Erfolglos.
Zweiter Versuch:
Ich habe die letzte Regel (alle Ports / alle Protokolle / alle Länder --> verboten) deaktiviert (> so läuft Speedtest) und habe neue Regeln eingefügt mit "verboten" und jeweils fünfzehn Ländern. Mit 17 Regeln habe ich sämtliche zur Verfügung stehenden Länder und Regionen verboten, und Speedtest läuft immer noch.

Das heisst: "alle Ports / alle Protokolle / alle Länder --> verboten" ist nicht dasselbe wie "alle Ports / alle Protokolle / jedes einzelne Land angeklickt --> verboten"

Weiss jemand, wo hier der Unterschied liegt? Das System scheint jetzt offener zu sein als mit der ursprünglichen Regel.
 

TheHansWurst

Benutzer
Mitglied seit
14. Dez 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
7
Glaub er arbeitet die von unten nach oben ab und bis eine regel quasi getriggert wird da hört er auf.. alle Länder blockieren->Schluss für dich...diese 15 Länder blockieren(de ist nicht dabei)->weiter zur nächsten Regel bis eine triggert
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
In Firewallregeln wird NUR erlaubt, niemals mischen mit Verboten.
Man erlaubt also ein Land, in der Regel D.
Die letzte Regel muss immer sein: Alles verbieten, das erreicht man mit dem Haken ganz unten im Fenster

Und glauben heisst nicht wissen. Firewallregeln werden immer von oben nach unten sequentiell abgearbeitet.
 
  • Like
Reaktionen: Thorfinn

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.777
Punkte für Reaktionen
442
Punkte
103
Bei der Firewall mancht man KISS "Keep it simple & stupid".
"The art of german overengineering" garantiert dir das etwas schief laufen wird.


Ersteinmal ist die Wand zu. Dann bohrt man da ganz bestimmte Löcher rein.
 
  • Haha
Reaktionen: Kachelkaiser

Nurbi

Benutzer
Mitglied seit
23. Feb 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
In Firewallregeln wird NUR erlaubt, niemals mischen mit Verboten.
Man erlaubt also ein Land, in der Regel D.
Die letzte Regel muss immer sein: Alles verbieten, das erreicht man mit dem Haken ganz unten im Fenster

Und glauben heisst nicht wissen. Firewallregeln werden immer von oben nach unten sequentiell abgearbeitet.
Ich bin der Meinung, das so befolgt zu haben. Die Arbeitsweise des Firewalls ist mir bekannt.
Ursprüngliche Definition (weiter oben sind nur Port / LAN bezogene Regeln)

1656000573025.png
So läuft der Speedtest Tracker nicht. Wenn ich die letzte Regel deaktiviere, läuft er.
Also habe ich angenommen, dass mindestens ein zusätzliches Land erlaubt werden muss. Wie oben beschrieben habe ich in einem ersten Schritt weitere Ländergruppen (in 15er Blöcken) zugelassen, ohne Erfolg. Dann habe ich es umgekehrt:

1656000915541.png
In diesen 17 Regeln habe ich ALLE Länder, 15 pro Regel, verweigert, die "Alle" - Regel deaktiviert. So läuft der Speedtest Tracker. Aktiviere ich die letzte Regel, läuft er nicht. Und hier kommt, was ich nicht verstehe: Wenn alle Länder verweigert sind, läuft er, wenn ich sage "Alle verweigern", läuft er nicht. Nach meiner Logik sehe ich aber den Unterschied nicht. So muss ich auch annehmen, dass in der aktuellen Definition irgendwas mehr offen ist. Aber was?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Vielleicht steht dein Speedtest-Gegenstück ja in einem Land, dass bisher noch nicht entdeckt wurde :unsure: :ROFLMAO:
Finde doch bitte mal raus, mit welcher Server-IP dein Speedtest kommuniziert. Das sollte z.B. mit "netstat" ja möglich sein.
 

Nurbi

Benutzer
Mitglied seit
23. Feb 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Vielen Dank, Benares, für Deinen "Kick". Ich bin kein Systemer, so läuft mein Hirn manchmal etwas langsam in dieser Richtung. Und insgeheim habe ich gehofft, dass ich einen Überlegungsfehler gemacht habe, welcher mir hier aufgezeigt wird.....
Ok, es ist eine RFC 1918 Adresse. Ich habe wieder meine ursprünglichen Firewall Regeln aktiviert mit Schweiz erlaubt und alles andere verboten (siehe meinen ersten Screenshot), habe aber diese IP noch zugelassen und alles läuft korrekt. Tankä schöön, sagen wir hier :LOL:
Nebenbei zusätzliche Erkenntnis aus dieser Geschichte: "Alles" blockieren blockiert mehr als die Blockade der zur Auswahl stehenden Einzelteile. Vielleicht ist das anderen klar, für mich ist das eine wichtige Erkenntnis.
Technisch soweit ok, ich frage mich natürlich, wie hoch das Sicherheitsrisiko dieser Einstellung ist. Gibt es da Meinungen dazu?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
vielleicht doch noch mal ein kompletten screenshot deiner jetzt aktuellen Einstellungen posten? Mag am Alter liegen, aber ich bin gerade unsicher, WAS nun konkret drinsteht (also komplett = von oben bis unten inkl. Alles erlauben / verbieten checkbox)
:)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Mein obiger Post: Erst lesen, dann denken, dann verstehen.

Lösche alle Regeln die verbieten denn die sind Quatsch!
Lege alle Firewallregeln neu an mit allem was erlaubt sein soll.
Mache das für jede App und Funktion in einer eigenen Zeile, keine Bandwürmer
Ganz unten im Fenster den Haken setzen was nicht erlaubt wurde zu verbieten.
So klappt es dann auch mit der Firewall
 
  • Like
Reaktionen: the other und Monacum

Hallern

Benutzer
Mitglied seit
11. Okt 2021
Beiträge
103
Punkte für Reaktionen
20
Punkte
74
Hallo zusammen,

bevor ich mich mit wenig Vorwissen an meine Firewalls setze, würde ich gerne wissen, ob es überhaupt Sinn macht diese zu konfigurieren, wenn meine beiden DiskStation nicht im Internet erreichbar sind.

Router: 7590 -> im LAN eine DS220+
Router: 7530 AX -> im LAN DS216j -> stehen extern an einem anderen Ort.

Die beiden Boxen werden mit WireGuard gegenseitig verbunden, damit meine DS220+ via HyperBackup ein Backup auf die DS216j schiebt.
Auf meine DS220+ greife ich aus dem Internet (Mails, Files) via WireGuard und VPN der 7590 zu. Ansonsten halt ganz normal im LAN/WLAN.
Sprich, ich komme über eine URL im Browser nicht auf die Geräte.

Sollte ich trotzdem Regeln auf beiden DiskStation einfügen? Oder macht dies über meinen reinen VPN-Zugriff keinen Sinn?

Vielen Dank
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.777
Punkte für Reaktionen
442
Punkte
103
Was passiert wenn der Angreifer schon im LAN ist (sich auf einem Gerät im LAN eingenistet hat)?
Sollen dann alle Türen und Tore offen stehen, damit der Angreifer dann vom infiziertem System (nennen wir es Winzigweich 2000) mühelos auf deine NAS marschiert?
Eine Firewall gehört auf jedes Gerät.
 
  • Like
Reaktionen: Hallern

Hallern

Benutzer
Mitglied seit
11. Okt 2021
Beiträge
103
Punkte für Reaktionen
20
Punkte
74
Danke @Thorfinn, ich teste mich dann mal ran.
Ich habe jetzt fünf Geräte aus meinem LAN zugelassen, inkl. Deutschland.
Den Rest habe ich verweigert. Nach und nach schaue ich dann, welche Ports ich evtl. für Anwendungen freigeben muss.
Ich nutze neben HyperBackup noch Active Backup for Business, File Station, Cloud Sync und den Mail Server.

1672176472930.png
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Die intern IPs brauchst du nicht unkenntlich machen, damit kann keiner etwas anfangen.
Du kannst auch IP-Bereiche freigeben, somit ersparst du dir das Anlegen der einzelnen IPs.
Ich würde auch das lokale Heimnetz freigeben.
 

Hallern

Benutzer
Mitglied seit
11. Okt 2021
Beiträge
103
Punkte für Reaktionen
20
Punkte
74
Danke @EDvonSchleck. Ich habe extra nur die IPs meiner Rechner mit NAS-Zugriff gewählt. Andere IPs wie Tablet, Sonos Speaker etc. hatte ich ausgelassen. Dann könnte ja auch "Deutschland" komplett raus. Zugriff habe ich ja eh nur via WireGuard auf meine FritzBox.

Jetzt muss noch geschaut werden, ob die DS216 von "192.168.177.X" zur "192.168.176.X" via Wireguard connecten kann. :)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Firewall-Regeln sollten möglichst einfach gehalten werden, damit man sie nachvollziehen kann. Es macht daher auch Sinn, im Heimnetzwerk an die permanenten Geräte statische, feste IP-Adressen zu vergeben. Sind die sinnvoll gruppiert, kann man leicht per Bereich sperren oder freigeben.

Nicht freigegeben werden sollten Bereiche mit IoT-Geräten - sie können oft keine Firmwareupdates erarbeiten, oder weisen andere Lücken auf. Auch bei Geräten wie Druckern und Scannern wäre ich vorsichtig - die werden bisweilen angegriffen und als Steigbügelhalter ins weitere Netzwerk mißbraucht. Im Normalfall lassen die sich ja nur benutzen, wenn man eh vor Ort ist.
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.777
Punkte für Reaktionen
442
Punkte
103
Du hast meinen ersten Einwand nicht verstanden. Es sind die Ports zu öffnen die gebraucht werden. Alles andere bleibt durch die Firewall verriegelt.
Hier die Ports die die Synology braucht.

Firewall und WireGuard und was noch so auf dem Router an Sicherheitsmechanismen läuft ist egal. Ungeroutete Transport Layer gibt es genug.
UDP findet im LAN von peer zur peer seinen Weg, vorbei an deiner Fritzbox ganz unbemerkt vom Wireguard auf derer.
Ein falsches Bit oder Byte ins Haus getragen (Lochkarte eingelesen, Diskette, USB Stick, Laptop mal woanders gewesen.....) und der Wurm ist im LAN.

Nur die Gartenpforte (Trennung WAN-LAN) abzuschliessen reicht nicht. Normal verriegelt man auch die Klotür damit der Rest der Familie (übrige Klienten im LAN) einen nicht mit heruntergelassenen Hosen auf dem Topf erwischt.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat