Firewall einrichten - Synology DS211

[Ap0phis]

Also wenn überhaupt, dann nur https über Port 5001 und 5006!

Wieso sagt jahlives das es nicht das gleiche ist eine Firewall und ein Regel auf Anwendungsberechtigung ebene zu erstellen.
Aber wieso ist mit beiden Sachen der gleiche schutz gewährt???

Weil eine Firewall dafür da ist, Zugriffe von ausserhalb deines LAN zu regeln, und die Anwendungsberechtigungen auf Benutzerebene dafür da sind, interne Benutzer zu beregeln!
Beides greift aber ineinander über, da Anwendungen eh nur funktionieren, wenn man sich als Benutzer anmeldet. Auch von extern. Nur macht das keinen Sinn, da externe User schon durch die Firewall und die entsprechende Port-Weiterlleitung des Routers auf die zugelassene Anwendung beschränkt werden!

Daher solltest du unterscheiden:

1. Alle Anwendungen funktionieren nur mit einem bestehenden Benutzer-Login.
2. Zugriffe von Extern werden durch den Router geregelt! (Portweiterleitung!)
3. Zugriffe von Intern durch die Anwendungsberechtigung!
4. Fertig!

Ergo: Die Firewall der DS bekommt dabei überhaupt nichts zu tun!

 

[jahlives]

Einspruch zu Punkt 3) Eurer Ehren ;-)
Wieso sollte eine Firewall nur externe Zugriffe regeln? Man kann sie doch genau so gut für beides brauchen. Hängt nur von den Regeln ab. Du hast recht eine Firewall hinter einem Router mit NAT/SPI für externe Zugriffe macht nicht so viel Sinn. Nur will man ja vielleicht nicht jedem LAN-Teilnehmer erlauben den DSM Login zu benutzen. Egal ob Autoblock oder nicht. Die Anwendung selber kann einen Fehler haben, so z.B. der FTP in einer älteren FW-Version. Wenn dann also nicht jeder im LAN darauf zugreifen darf, dann ist auch das potentielle Risiko geringer. Oder der admin macht aus Versehen den telnet Port am Router auf. Hast du keine Firewall dahinter, dann kommt erstmal grundsätzlich jeder an den Login.

Ich weiss es ist fast eine Religionsfrage, weil eine Firewall einen auch in falscher Sicherheit wiegen kann. Viele mögen es anders sehen, aber ich will bei mir genau festlegen können wer was darf und dazu gehört für mich auch eine (gut konfigurierte) Firewall. Nur so kann ich den Zugriff meiner verschiedenen Subnets auf die verschiedenen Dienste der DS reglementieren. Mir ist es z.B. egal ob root oder nicht, aber aus dem WLAN Sub kommt bei mir keiner an mehr als Web- und Mailserver.

Für mich auch ein Grund für eine Firewall: Ich werte bei mir verschiedene Logfiles mit fail2ban aus und sperre Clients nach eine bestimmten Anzahl fehlerhafter Verhalten. So was ähnliches wie autoblock. Das geht nur auf Protokollbasis, also Firewall. Sonst müsste ich die IP irgendwie in jeder Applikation sperren und das wäre sehr aufwändig oder gar unmöglich weil App X gar keine Optionen zum sperren von IPs bietet.

Ich hoffe ned, dass ich bis jetzt so rübergekommen bin, dass ich den/die User zu einer Firewall nötigen will. Da wäre ned meine Absicht gewesen ;-) Aber ich finde ein Sicherheitskonzept darf niemals so aufgebaut sein, dass das Fehlverhalten einer einzigen Komponente, den GAU auslösen kann. Auch was Wichtiges (finde ich zumindest): Grundsätzlich kann man die meisten Router via UPnP dynamisch konfigurieren d.h. eine Applikation kann bei Bedarf die Firewall am Router anweisen einen Port zu öffnen. Eine Firewall auf dem Client könnte den folgenden Zugriff trotzdem unterbinden.

so long + gruss

tobi

 

[Ap0phis]

Das alles, was du hier geschrieben hast setzt voraus, dass man sich mit dem Netzwerk gut auskennt und auch in 3 Monaten noch weiß, was man gemacht hat und dann mal eben schnell einem neuen Netbook für die Terrasse alle notwendigen Anwendungen freischalten kann. Die Erfahrung alleine hier im Board zeigt halt, dass viele mit der Firewall nicht wirklich umgehen können, und sich diverse male selber schon Anwendungen oder sonstige Zugriffe selber gesperrt haben!
Ich will da auch nicht weiter drauf eingehen, weil es für alles ein Für und Wider gibt, und jeder ein anderes Verständnis von Sicherheit hat.


Auf eine Sache möchte ich nur gerne noch eingehen, weil ich sie für genauso wichtig halte wie du:

• Die Änderung der Sicherheitseinstellungen des Routers per UPnP!

Die sollte eh jeder, der ein wenig Wert auf seine Sicherheit legt deaktivieren!
Ich jedenfalls habe das von je her deaktiviert, weil ich für die Sicherheit in meinem Netz verantwortlich bin, und nicht irgendeine Hard- oder Software, die meint, sich irgendwas freigeben zu müssen. Das ist für mich eines der größten Sicherheitsrisiken in einem Heimnetz! Mit ein Grund, warum ich die "EZ-Internet"-Option des DSM nicht nur für unnötig, sondern sogar für gefährlich halte!

 

[Zottelhias]

Also um mal Konkret zu werden!

Wie Konfiguriere ich die Firewall richtig?

Ich habe 5 Benutzer, jeder soll auf der DS alles nutzen können. Das habe ich in den Gruppenrechten so eingestellt.
Nicht jeder soll auf die Loginseite kommen, sondern und eben nur die 5 User die an der DS einen Account haben.
Das ganze ohne das ich mich aussperre (admin)!
Wie funktioniert das?


Grüße

Zottelhias

 

[jahlives]

Ich glaub du hast den Unterschied zwischen Applikation und Protokoll noch nicht ganz verstanden Benutzer gibt es eigentlich auf Protokollebene ned. Die gibts nur auf Ebene der Applikation. Und die Rechte der applikationen haste ja bereits eingestellt. Auf Protokollebene (Firewall) kannst du nur etwas machen wenn die Computer dieser User über fixe IPs verfügt. Denn bei einer Firewall Regel gibst du normalerweise eine Quell-IP und einen Ziel-Port vor. Auf diese Kombi legst du dann eine Aktion (z.B. verbieten oder erlauben). Zum Zeitpunkt wo auf Protokollebene diese Regel ausgewertet wird, kennst du den User der Anwendung noch nicht. Die Firewall kann also nicht feststellen ob wirklich dein User X kommt, sie sieht nur eine IP und einen Port