Firewall Beschreibung

[Mike1304]

Gibt es eine Beschreibung, wie man die Firewall einrichten soll?
Ich meine nicht wie man die Oberfläche bedient, sondern Empfehlungen, Erklärungen, Beispiele.

 

[AndiHeitzer]

Ich habe mir das so eingerichtet:

1) FW an
2) ALLOW-Regeln bei 'All Interfaces' für Ports, die ich benötige
3) DENY-ALL-Regel bei 'All Interfaces' für alle Ports am Schluss der Regeln

Die Regeln werden von oben nach unten abgearbeitet. Wenn also etwas erlaubt ist, dann wird der Rest der Regeln nicht beachtet.

Das genügt mir.

 

[Mike1304]

Danke

 

[NSFH]

Ein guter Rat dazu, mach es nicht wie in dem Beispiel sondern für jedes Protokoll eine eigene Regel erstellen.
Das erleichtert die Übersicht und spezielle Anpassungen.
Ich würde auch niemals Network Printer einfach so von Aussen freigeben. Da fehlt dann jegliche Info was da überhaupt offen ist. Für die Videstration sieht man noch, dass http freigegeben wurde. Nächster faultpas, wenn dann https aber niemals unverschlüsselte Protokolle nutzen!
Das obige Beispiel kann also kein typisches Beispiel für eine Grundkonfigurtation sein, sondern nur wie es aussieht. So nicht nachbauen!

 

[Mike1304]

Ich hab jetzt bei PPPoE gar nichts freigegeben,
und dann 2 Regeln angelegt:
bei LAN ziemlich viel freigegeben,
bei VPN kein http nur https, keine Drucker

 

[NSFH]

Hilfreich ist es auch bei Zugängen von Aussen wenn möglich mit Länderkennung arbeiten, also idealer Weise nur D zuzulassen. Das schützt zwar nicht vor Proxies aber schränkt die Verwundbarkeit durch Ausländer etwas ein.
Deinen Zugang kannst du hier dann mal testen
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

 

[Mike1304]

Danke für den Tipp, die Länder hab ich ganz übersehen.
Allerdings hab ich wohl nicht kapiert, wie das funktioniert.

Ich hab jetzt mal VPN auf D, A, I eingeschränkt.

Dann hab ich mir überlegt, dass ich ja auch LAN auf D einschränken kann.
Da blieb sofort meine VU stehen, die vom NAS liest und das DSM sagte, dass ich mich selber ausschließe und es deshalb die Firewall-Änderung wieder zurücknimmt.

Danach ging die VU wieder, aber ich verstehe nicht warum ich mich im LAN mit Deutschland aussperre (ich bin in Deutschland).

Muss ich das evtl "andersherum" eingeben?
Alle Länder anhaken und bei D, A, I die Haken wegnehmen?

 

[NSFH]

Dein LAN ist physich in D aber dieser IP-Bereich wird weltweit verwendet, deswegen die Warnung. Begrenze alles, was sich nur in deinem LAN befindet nur auf diesen IP-Bereich. Mit VPN bist du sowieso immer nur lokal unterwegs.
Alles was unverschlüsselt ist möglichst erst gar nicht nutzen, also http ist zB unerwünscht!

 

[Mike1304]

evtl. hast Du meinen Edit nicht mitbekommen:

Frage: Hake ich die Länder an, die erlaubt sind, oder die, welche gesperrt werden sollen?

Zusatzfrage: Kann das mit den weltweit verwendeten IP-Bereichen dann auch in D, A, I zuschlagen, wenn ich im Urlaub über VPN arbeiten will?
https://www.dein-ip-check.de/ sagt IPv4 und IPv6: country DE

Was meinst Du mit "mit VPN lokal unterwegs"?

 

[NSFH]

Firewall Regeln immer mit Allow setzen, am Ende wird dann der gesamte Rest verboten.
Bei Ländern also D erlauben, dann ist der Rest gesperrt.

Wenn du VPN nutzt (also nicht zum surfen sondern zur Einwahl in dein LAN) spielt der interne IP-Bereich keine Rolle. Bei diesem VPN ist es immer so als wärst du zu Hause.
Du kommst aber mit einer ausländischen IP an deiner Firewall an. Ist dann Die Regel für diesen Dienst deny kommst du natürlich nicht rein, wenn dieses Land nicht unter allow steht.

 

[Mike1304]

Bei sieht das so aus,
Das steht halt nichts von deny oder allow,
ist jetzt Deutschland erlaubt oder verboten?

 

[NSFH]

So aktivierst du, auf der vorigen Seite gibts dann ganz unten eine Checkbox die an sein muss, damit wird alles was oben nicht erlaubt wurde komplett verboten.

 

[Mike1304]

dann verstehe ich nicht wie ich mich bei LAN durch Auswahl von Deutschland ausschließen konnte.
Muss ich nochmal testen, wenn die VU nicht läuft.

 

[Mike1304]

Nochmal getestet:
Nur Deutschland zugelassen => Syno lehnt Änderung ab (und VU bleibt stehen)

Irgendwie erkennt die Syno nicht, dass ich in Deutschland bin.
Ich fürchte, das könnte auch bei VPN passieren.

Wie erkennt die Syno das Land?

 

[Tommes]

Hi!

Also ich mach das bei mir immer so, das ich in einer ersten Regel mein komplettes LAN freigebe und als zweite Regel eine GeoIP Freigabe nur für Deutschland. Dann folgen alle weitern Freigaben bzw. Ports, die ich einzeln freigebe und am Ende dann noch den Radio-Button auf - Wenn keine Regel zutrifft: Zugriff verweigen - stelle. Hier mal ein Screenshot...



Sicherlich kann man den LAN IP-Bereich noch weiter einschränken, was durchaus Sinn machen würde, aber für meine Zwecke reicht das so. Gleiches gilt für die GeoIP-Beschränkungen, die man ja eh individuell handhaben sollte.

Bisher hatte ich mit dieser Einstellung noch nie große Problem gehabt. Auch gibt es da ja noch die Router-Firewall, die ja ebenfalls die Ports durchlassen muss. Oder hast du deine DS als Exposed Host oder aber in einer DMZ geparkt?

Tommes

 

[ClearEyetemAA55]

Es kommt glaube immer darauf an, welche Schutzbedürftigkeit man hat. Stellt man keine Dienste ins Web, braucht man allerdings trotzdem eine konfigurierte Firewall. Denn heute kommen die meisten Angriffe von eigenen Geräten die bereits gekapert wurden. Also der Fall, dass durch eigene Fehler das LAN bereits infiltriert ist (z.B. falschen Emailanhang geöffnet, ChinaSmarthomeGeräte, veraltete snstg. Hardware wie Drucker etc.).

FW+Blocklist ist da mein Ansatz zum Selbstschutz. Nutze zudem nur VPN. Ja, auch zwischen Clients und NAS im LAN. Switches, Drucker, Heizungssteuerung usw. ist der Internetzugang geblocked. Und, ich mag einfach keine Geräte die per Push-Button fertig konfiguriert sein sollen

 

[NSFH]

Das hier immer noch der Trugschluss vorliegt der Router würde erst mal für Sicherheit sorgen.
Nein tut er nicht, wenn die Portweiterleitung benutzt wird. In diesem Moment steht das Zielgerät mit diesem Port offen im Internet, da der Router komplett umgangen wird! Firewallregeln des Routers können dann nicht mehr greifen.
Das gilt natürlich für alle Ports, für die eine Umleitung Richtung Syno eingerichtet wird. Einziger Schutz ist die Nutzung von VPN via Router und keine Portweiterleitungen.
Das ist auch der Grund, warum ich von der Syno als VPN Server gar nichts halte, wenn sie gleichzeitig auch als Fileserver genutzt wird. Wer stellt seinen Server schon direkt ins Internet?

 

[Tommes]

Nur zur Klarstellung. Ich habe niemals behauptet, das ich meine DS in irgendeiner Form ins Internet stelle, geschweige denn als Exposed Host und das ich die Routerfirewall als Gott gegeben erachte. Aber wenn man von außen auf seine DS zugreifen möchte und man dafür kein VPN nutzt, dann muss man auch einen Port im Router öffnen, weil man dann selbstredend auch nicht mit der DS Firewall weiter kommt... außer man nutzt Quick-Connect! Wie auch immer...

Ich hab mir jetzt eigens auf einem RasPi (siehe Signatur) einen OpenVPN Server eingerichtet, da mir das FritzVPN einfach zu lahm ist. Und meine Geräte erreiche ich von extern nur über VPN. Den Aufwand, die DS Firewall für mein LAN so restriktiv einzurichten, halte ich im meinen Fall für übertrieben, und wer mich kennt der weiß, das ich in solchen Dingen eigentlich schon recht paranoid bin.

Tommes

 

[NSFH]

Nur zur Klarstellung, das ist das was du geschrieben hast: Auch gibt es da ja noch die Router-Firewall, die ja ebenfalls die Ports durchlassen muss.
Das ist arg missverständlich. Der Router lässt diese ports nicht durch sondern sie werden vorher auf eine interne IP umgeleitet. Aus diesem Grund findet da keine sicherheitstechnische Überprüfung durch die Firewall statt, die Ports landen ungefiltert und ungeprüft am Eingang der Syno.
Deine Lösung mit dem zusätzlichen VPN Server ist immer die empfehlenswerte, oder direkt mit einem VPN Router arbeiten.

 

[Tommes]

Der Router lässt diese ports nicht durch sondern sie werden vorher auf eine interne IP umgeleitet.

Jetzt wirst du aber pingelig. Aber recht hast du ja. Und ja, da habe ich mich wohl etwas missverständlich ausgedrückt.

Deine Lösung mit dem zusätzlichen VPN Server ist immer die empfehlenswerte, oder direkt mit einem VPN Router arbeiten.

Ich wollte mir immer schon mal ein APU.2D4 Board von PC Engines zulegen um darauf dann pfsense o.ä. laufen zu lassen. Um das aber richtig aufzuziehen, bräuchte ich noch zusätzliche Komponenten, die nötige Zeit, Ruhe sowie zusätzlich noch jede Menge Wissen welches ich mir erst aneignen muss, um die pfsence richtig einzustellen. Genau an diesen Punkten ist es bisher immer gescheitert, weshalb ich jetzt erstmal die RasPi Variante gewählt habe. Mehr geht natürlich immer.

Tommes