Firewall aktivieren sinnvoll

[Kreiseltaucher]

Hallo Zusammen

Ist es eigentlich Sinnvoll die Firewall in der DS zu aktivieren ? Mein Browser hat ja schon eine Firewall.

 

[EDvonSchleck]

Dein Browser hat eine Firewall - nicht der Router?
Wenn du die DS nur intern nutzt kann sie deaktiviert bleiben. Wenn du Zugriff von Außen hast, kannst du die Firewall besser einstellen als beim "normalen" Router. So ist es möglich IP-Bereiche und Länder auszuschließen.

 

[Kreiseltaucher]

Sorry ich meinte natürlich mein Router. Ich finde die Einstellungen der Firewall in der DS mit den erforderlichen Regeln schon tricky.

 

[EDvonSchleck]

Die Firewall soll aber nicht "tricky" sein sondern deine DS und Daten schützen! Die Firewall im Router beschränkt sich meistens auf die Ports. Da bietet die DS wesentlich mehr um das ganze so klein wie nötig einzugrenzen. Besser wäre dazu noch fail2ban um das noch sicherer zu machen.

Alternativ kannst du dich auch einfach via VPN verbinden (Router) denn sind keine Freigaben nötig.

 

[Nurbi]

Hallo, bin nicht ganz sicher, ob ich hier richtig bin. Ich verstehe eine Sache im Firewall nicht:
Ich habe, neben anderen Einstellungen, folgendes (folgendes sind - in dieser Reihenfolge - die letzten beiden Einträge):
- alle Ports / alle Protokolle / mein Land --> erlaubt
- alle Ports / alle Protokolle / alle Länder --> verboten
Funktioniert korrekt, aus anderen Ländern kann nicht zugegriffen werden.

Dann habe ich den Speedtest Tracker installiert. Funktionierte nicht, nicht einmal die Installation. Nach deaktivieren des letzten Eintrages funktionierte alles korrekt. Meine Schlussfolgerung: Speedtest Tracker braucht Zugriff auf ein weiteres Land. Aber welches?
Erster Versuch:
Ich habe zwischen den obgenannten zwei Regeln eine weitere Regel mit "erlaubt" eingefügt. Darin habe ich - in fünfzehner-Gruppen - alle Länder durchprobiert, um herauszufinden, welches Land ich zusätzlich erlauben muss. Erfolglos.
Zweiter Versuch:
Ich habe die letzte Regel (alle Ports / alle Protokolle / alle Länder --> verboten) deaktiviert (> so läuft Speedtest) und habe neue Regeln eingefügt mit "verboten" und jeweils fünfzehn Ländern. Mit 17 Regeln habe ich sämtliche zur Verfügung stehenden Länder und Regionen verboten, und Speedtest läuft immer noch.

Das heisst: "alle Ports / alle Protokolle / alle Länder --> verboten" ist nicht dasselbe wie "alle Ports / alle Protokolle / jedes einzelne Land angeklickt --> verboten"

Weiss jemand, wo hier der Unterschied liegt? Das System scheint jetzt offener zu sein als mit der ursprünglichen Regel.

 

[TheHansWurst]

Glaub er arbeitet die von unten nach oben ab und bis eine regel quasi getriggert wird da hört er auf.. alle Länder blockieren->Schluss für dich...diese 15 Länder blockieren(de ist nicht dabei)->weiter zur nächsten Regel bis eine triggert

 

[NSFH]

In Firewallregeln wird NUR erlaubt, niemals mischen mit Verboten.
Man erlaubt also ein Land, in der Regel D.
Die letzte Regel muss immer sein: Alles verbieten, das erreicht man mit dem Haken ganz unten im Fenster

Und glauben heisst nicht wissen. Firewallregeln werden immer von oben nach unten sequentiell abgearbeitet.

 

[Thorfinn]

Bei der Firewall mancht man KISS "Keep it simple & stupid".
"The art of german overengineering" garantiert dir das etwas schief laufen wird.


Ersteinmal ist die Wand zu. Dann bohrt man da ganz bestimmte Löcher rein.

 

[Nurbi]

In Firewallregeln wird NUR erlaubt, niemals mischen mit Verboten.
Man erlaubt also ein Land, in der Regel D.
Die letzte Regel muss immer sein: Alles verbieten, das erreicht man mit dem Haken ganz unten im Fenster

Und glauben heisst nicht wissen. Firewallregeln werden immer von oben nach unten sequentiell abgearbeitet.

Ich bin der Meinung, das so befolgt zu haben. Die Arbeitsweise des Firewalls ist mir bekannt.
Ursprüngliche Definition (weiter oben sind nur Port / LAN bezogene Regeln)


So läuft der Speedtest Tracker nicht. Wenn ich die letzte Regel deaktiviere, läuft er.
Also habe ich angenommen, dass mindestens ein zusätzliches Land erlaubt werden muss. Wie oben beschrieben habe ich in einem ersten Schritt weitere Ländergruppen (in 15er Blöcken) zugelassen, ohne Erfolg. Dann habe ich es umgekehrt:


In diesen 17 Regeln habe ich ALLE Länder, 15 pro Regel, verweigert, die "Alle" - Regel deaktiviert. So läuft der Speedtest Tracker. Aktiviere ich die letzte Regel, läuft er nicht. Und hier kommt, was ich nicht verstehe: Wenn alle Länder verweigert sind, läuft er, wenn ich sage "Alle verweigern", läuft er nicht. Nach meiner Logik sehe ich aber den Unterschied nicht. So muss ich auch annehmen, dass in der aktuellen Definition irgendwas mehr offen ist. Aber was?

 

[Benares]

Vielleicht steht dein Speedtest-Gegenstück ja in einem Land, dass bisher noch nicht entdeckt wurde
Finde doch bitte mal raus, mit welcher Server-IP dein Speedtest kommuniziert. Das sollte z.B. mit "netstat" ja möglich sein.

 

[Nurbi]

Vielen Dank, Benares, für Deinen "Kick". Ich bin kein Systemer, so läuft mein Hirn manchmal etwas langsam in dieser Richtung. Und insgeheim habe ich gehofft, dass ich einen Überlegungsfehler gemacht habe, welcher mir hier aufgezeigt wird.....
Ok, es ist eine RFC 1918 Adresse. Ich habe wieder meine ursprünglichen Firewall Regeln aktiviert mit Schweiz erlaubt und alles andere verboten (siehe meinen ersten Screenshot), habe aber diese IP noch zugelassen und alles läuft korrekt. Tankä schöön, sagen wir hier
Nebenbei zusätzliche Erkenntnis aus dieser Geschichte: "Alles" blockieren blockiert mehr als die Blockade der zur Auswahl stehenden Einzelteile. Vielleicht ist das anderen klar, für mich ist das eine wichtige Erkenntnis.
Technisch soweit ok, ich frage mich natürlich, wie hoch das Sicherheitsrisiko dieser Einstellung ist. Gibt es da Meinungen dazu?

 

[the other]

Moinsen,
vielleicht doch noch mal ein kompletten screenshot deiner jetzt aktuellen Einstellungen posten? Mag am Alter liegen, aber ich bin gerade unsicher, WAS nun konkret drinsteht (also komplett = von oben bis unten inkl. Alles erlauben / verbieten checkbox)

 

[NSFH]

Mein obiger Post: Erst lesen, dann denken, dann verstehen.

Lösche alle Regeln die verbieten denn die sind Quatsch!
Lege alle Firewallregeln neu an mit allem was erlaubt sein soll.
Mache das für jede App und Funktion in einer eigenen Zeile, keine Bandwürmer
Ganz unten im Fenster den Haken setzen was nicht erlaubt wurde zu verbieten.
So klappt es dann auch mit der Firewall

 

[Hallern]

Hallo zusammen,

bevor ich mich mit wenig Vorwissen an meine Firewalls setze, würde ich gerne wissen, ob es überhaupt Sinn macht diese zu konfigurieren, wenn meine beiden DiskStation nicht im Internet erreichbar sind.

Router: 7590 -> im LAN eine DS220+
Router: 7530 AX -> im LAN DS216j -> stehen extern an einem anderen Ort.

Die beiden Boxen werden mit WireGuard gegenseitig verbunden, damit meine DS220+ via HyperBackup ein Backup auf die DS216j schiebt.
Auf meine DS220+ greife ich aus dem Internet (Mails, Files) via WireGuard und VPN der 7590 zu. Ansonsten halt ganz normal im LAN/WLAN.
Sprich, ich komme über eine URL im Browser nicht auf die Geräte.

Sollte ich trotzdem Regeln auf beiden DiskStation einfügen? Oder macht dies über meinen reinen VPN-Zugriff keinen Sinn?

Vielen Dank

 

[Thorfinn]

Was passiert wenn der Angreifer schon im LAN ist (sich auf einem Gerät im LAN eingenistet hat)?
Sollen dann alle Türen und Tore offen stehen, damit der Angreifer dann vom infiziertem System (nennen wir es Winzigweich 2000) mühelos auf deine NAS marschiert?
Eine Firewall gehört auf jedes Gerät.

 

[Hallern]

Danke @Thorfinn, ich teste mich dann mal ran.
Ich habe jetzt fünf Geräte aus meinem LAN zugelassen, inkl. Deutschland.
Den Rest habe ich verweigert. Nach und nach schaue ich dann, welche Ports ich evtl. für Anwendungen freigeben muss.
Ich nutze neben HyperBackup noch Active Backup for Business, File Station, Cloud Sync und den Mail Server.

 

[EDvonSchleck]

Die intern IPs brauchst du nicht unkenntlich machen, damit kann keiner etwas anfangen.
Du kannst auch IP-Bereiche freigeben, somit ersparst du dir das Anlegen der einzelnen IPs.
Ich würde auch das lokale Heimnetz freigeben.

 

[Hallern]

Danke @EDvonSchleck. Ich habe extra nur die IPs meiner Rechner mit NAS-Zugriff gewählt. Andere IPs wie Tablet, Sonos Speaker etc. hatte ich ausgelassen. Dann könnte ja auch "Deutschland" komplett raus. Zugriff habe ich ja eh nur via WireGuard auf meine FritzBox.

Jetzt muss noch geschaut werden, ob die DS216 von "192.168.177.X" zur "192.168.176.X" via Wireguard connecten kann.

 

[Synchrotron]

Firewall-Regeln sollten möglichst einfach gehalten werden, damit man sie nachvollziehen kann. Es macht daher auch Sinn, im Heimnetzwerk an die permanenten Geräte statische, feste IP-Adressen zu vergeben. Sind die sinnvoll gruppiert, kann man leicht per Bereich sperren oder freigeben.

Nicht freigegeben werden sollten Bereiche mit IoT-Geräten - sie können oft keine Firmwareupdates erarbeiten, oder weisen andere Lücken auf. Auch bei Geräten wie Druckern und Scannern wäre ich vorsichtig - die werden bisweilen angegriffen und als Steigbügelhalter ins weitere Netzwerk mißbraucht. Im Normalfall lassen die sich ja nur benutzen, wenn man eh vor Ort ist.

 

[Thorfinn]

Du hast meinen ersten Einwand nicht verstanden. Es sind die Ports zu öffnen die gebraucht werden. Alles andere bleibt durch die Firewall verriegelt.
Hier die Ports die die Synology braucht.

Firewall und WireGuard und was noch so auf dem Router an Sicherheitsmechanismen läuft ist egal. Ungeroutete Transport Layer gibt es genug.
UDP findet im LAN von peer zur peer seinen Weg, vorbei an deiner Fritzbox ganz unbemerkt vom Wireguard auf derer.
Ein falsches Bit oder Byte ins Haus getragen (Lochkarte eingelesen, Diskette, USB Stick, Laptop mal woanders gewesen.....) und der Wurm ist im LAN.

Nur die Gartenpforte (Trennung WAN-LAN) abzuschliessen reicht nicht. Normal verriegelt man auch die Klotür damit der Rest der Familie (übrige Klienten im LAN) einen nicht mit heruntergelassenen Hosen auf dem Topf erwischt.