Firewall-Einstellung an DS213j

[Psyke]

Hallo zusammen,

da ich neu bin, zuerst einmal ein "Hallo" an alle hier.

Nach reiflicher Überlegung und Abwägung habe ich mir vor kurzen eine DS213j gekauft. Für mich ist dieser NAS vollkommend ausreichend. Nun kämpfe ich mich schon seit Tagen durch das Menü und richte mir alles ein was ich brauche.
Da die sicherheitsrelevanten Voreinstellung alle deaktiviert sind und ich lieber sicher sein möchte, habe ich nun alle wichtigen Einstellungen vorgenommen.

- Automatische Blockierung (5 Versuche innerhabl 5 Minuten)
- DoS Schutz aktivieren
- Zwei Benutzergruppen (Admin und Gäste)

Hoffe, dass ich nichts vergessen habe.
Leider hänge ich derzeit an den Firewall und Qos Einstellungen.

Bin mir da nicht so sicher, ob ich alles richtig eingestellt habe und Frage deshalb lieber noch einmal nach. Zuerst aber, wozu benutze ich den NAS. (sagt man eigentlich der, die oder das NAS? Eigentlich der Network Attached Storage...)
Primär nutze ich den NAS als Ablage für alle Dateien um diese auf meinen Fernseher per DLNA anzuschauen. Musik, Filme, Bilder etc.
Des Weiteren nutze ich die Downloadstation.
Aktuell DSM-Version: 4.3-3776-2
Windows 7 Pro 64bit

Nun habe ich in der Systemsteuerung - Firewall und QoS folgende Regeln/Ports freigegeben:



Passt das soweit alles? Habe zum Teil schon ein wenig gegoogelt doch mit den meisten Definitionen der Anwendungen kann ich leider nichts direkt anfangen.

Zu einem späteren Zeitpunkt besteht noch Interesse, von meinem Smartphone (HTC) auf den NAS zugreifen zu können. Von überall her. Aber das kommt noch.
Vielen Dank für jegliche Hilfe.

Grüße

Psyke

 

[Frogman]

Nun ja, im Prinzip benötigst Du für Dein jetziges Szenario die DS-eigene Firewall nicht wirklich. Der Router, den Du ja wahrscheinlich integriert in Deinem Modem betreibst, schottet Dein LAN hinreichend gegenüber unaufgeforderten Zugriffen von außen ab (erst, wenn Du Portweiterleitungen zur DS einrichtest, gelangen Zugriffe bis dorthin - doch wenn das verschlüsselte Ports sind, bestehen auch dafür keine großen Bedenken). Die Frage ist, ob Du lokal im LAN Geräten nicht vertraust und damit den Zugriff einschränken willst. Oftmals sind lokale Firewalls mit falschen Einstellungen verantwortlich für Verbindungsprobleme.

 

[Psyke]

Hi Frogman,

danke für die Informationen und Hilfe.
In meinem Speedport 723V ist die Firewall aktiv. Aber der vertraue ich nicht wirklich. Ebenso habe ich noch ein WLAN aktiviert und da WLAN-Verbindungen in meinen Augen nicht wirklich sicher sind, egal welche Verschlüsselung, bin ich da ein wenig vorsichtig.
Aber wenn Du meinst, dass ich keine Firewall benötige bis ich die Portweiterleitung zur DS einrichte... Mhhh, dann brauch ich die eigentlich nicht...

 

[Frogman]

Du kannst Deinen Anschluß ja auch mal mit einem Portscan testen (zB. hier). Dann siehst Du sehr schnell, ob und welche Ports offen sind. Die Frage stellt sich auch, warum Du - wenn Du der Firewall des Routers nicht vertraust - dann aber der Firewall der DS vertraust?
WLAN ist, solange es WPA-verschlüsselt ist, schon noch als sicher zu betrachten, besser ist noch WPA2. WEP ist definitiv unsicher. Solange man eine WLAN-Verbindung nicht benötigt, kann man WLAN natürlich auch immer deaktivieren - dann ist es zu 100% sicher.

 

[Psyke]

Hi Frogman,

Portscan durchgeführt... Ergebnis siehe Bild:



Warum ich der Firewall des Routers nicht vertraue? Ist mir nicht sicher genug. Natürlich müsste ich um vollkommen "SICHER" zu sein kein Internet wählen. Aber die Frage ist natürlich berechtigt warum ich der DS Firewall traue und nicht der des Routers.
Beschreiben würde ich es folgendermaßen. Vertrauen würde ich der Technik nie 100%ig. Falls jemand in mein Netzwerk eindringen möchte, bekommt er das auch hin. Egal was ich mit meinen Mittel versuchen würde. Aber genug davon, denn dass würde den Rahmen in diesem Post sprengen.

Zum WLAN. Zum gegenwärtigen Zeitpunkt benutze ich WPA2 und nur weil ich mit meinem Handy ins Internet möchte. Sonst wäre dies schon längst deaktiviert. Und WPA2 ist noch, im Vergleich zu anderen Verschlüsselungsmethoden, das Sicherste. Doch für diverse Tools ist dies auch kein Problem mehr. Lange Rede kurzer Sinn. Werde die Firewall in der DS aktiviert lassen. Sollte es Probleme geben werde ich diese aber wieder deaktivieren. Lieber ein Hinderniss zu viel als wenn es nachher Probleme gibt.

 

[raymond]

Ich habe es nun ganz einfach gemacht: Synology vorgeschlagen die Firewall als Paket im Paketzentrum anzubieten. Damit aktiviert sich die Firewall nicht mehr zufällig oder macht beim Upgrade irgendwelche Probleme und Benutzer mit wenig bis gar keine Netzwerkkenntnisse klicken da nicht einfach rum und aktivieren irgendwas, was sie in Wirklichkeit gar nicht brauchen.

 

[fpo4711]

Hallo,

wenn das der Portscan von ausserhalb ist, dann würde ich aber schleunigst ein paar Sachen schliessen. Du stehst da ziemlich offen da.

Gruß Frank

 

[raymond]

Wenn du den Speedports nicht traust: dann nimm beispielsweise DrayTek http://cms.draytek.de/produkte.html

 

[Psyke]

Hi zusammen,

aha Ok, ports schließen. Welche Ports sind denn zwingend notwendig? Ok, der 80 Port, sonst komm ich nicht mehr ins Internet.

@ raymond:

Die DrayTek Router sind schon teuer. Wobei wenn man die mit Fritzboxen vergleicht, ist es ja ähnlich.
Angedacht war es schon mal, dass ich mir irgendwann (nächstes Jahr) ein Gigabit Netzwerk anschaffe. Da wäre dann ein neuer Router PRIO 1 gewesen.

 

[Frogman]

...Und WPA2 ist noch, im Vergleich zu anderen Verschlüsselungsmethoden, das Sicherste. Doch für diverse Tools ist dies auch kein Problem mehr. ...

Du verwechselst das jetzt aber nicht mit der Schwäche der WPS-Kommunikation? WPA2 hat bisher nur eine Anfälligkeit im Rahmen des ARP-Spoofing - dafür muss der Angreifer aber bereits regulärer Teilnehmer Deines WLANs sein.

 

[fpo4711]

aha Ok, ports schließen. Welche Ports sind denn zwingend notwendig? Ok, der 80 Port, sonst komm ich nicht mehr ins Internet.

Die Frage ist erst einmal - Sind das die Ports die nach aussen auf deinem Router offen sind? Dann würde ich da einen ganzen Sack voll schliessen. Und nach draussen kommst Du, sofern Du das nicht einschränkst immer. Aus Sicherheitsgründen solltest Du immer dein Zugang von aussen sperren. Den hierrüber wirst Du angegriffen. Die Ports die offen sein sollten sind abhängig auf was Du von extern zugreifen willst. Welche Dienste.

Sollten das die Ports deiner DS sein so wäre das wohl, in Abhängigkeit deiner Anwendungen korrekt.

Gruß Frank

 

[Frogman]

Ähm, nur mal so als Hinweis - "grün" bzw. gefiltert heißt hier, dass der Port zu ist, rot wäre offen (hier zum nachlesen).

 

[fpo4711]

Ähm, nur mal so als Hinweis - "grün" bzw. gefiltert heißt hier, dass der Port zu ist, rot wäre offen (hier zum nachlesen).

Ups, hab das genau anders herrum gesehen und das wäre dann schon fahrlässig gewesen. Sorry für die Verwirrung

Gruß Frank

 

[Psyke]

Hi Frogman,

nein, der Angreifer muss nur in der Nähe Deines WLAN-Netzwerkes sein und die keyliste muss lang genug sein. Sollte ein Standard Passwort aus normalen Wörtern verwendet werden, ist dies eine Sache von ein paar Minuten. Diverse Tools gibts im Netz. Aber das ist ja hier nicht Bestandteil der Frage. Um ehrlich zu sein, hab ich keine Ahnung wie man Ports in diesem Speedport sperrt. Muss mich da einlesen.



Nun könnte ich ja alle wichtigen Port auf einen gesperrten Umleiten oder? Aber direkt sperren kann ich ja nicht...

 

[raymond]

Hi zusammen,

aha Ok, ports schließen. Welche Ports sind denn zwingend notwendig? Ok, der 80 Port, sonst komm ich nicht mehr ins Internet.

@ raymond:

Die DrayTek Router sind schon teuer. Wobei wenn man die mit Fritzboxen vergleicht, ist es ja ähnlich.
Angedacht war es schon mal, dass ich mir irgendwann (nächstes Jahr) ein Gigabit Netzwerk anschaffe. Da wäre dann ein neuer Router PRIO 1 gewesen.

Ja klar sind die teuer. Meistens ist es so, dass gutes halt teurer ist als schlechtes

Achso ich wage mal eine Prognose, dass min. 90% der Home-User keine Firewall auf der NAS brauchen. Und selbst Firewall auf dem End-Client (Smartphone, Tablet, PC, Notebook ... alles via WLAN) nicht, sofern diese am Router aktiviert und richtig konfiguriert ist.

 

[Psyke]

jetzt hab ich schon Panik bekommen... Puhhh... Öhm wer lesen kann ist klar im Vorteil.
Na dann ist ja alles im grünen Bereich. Vielen Dank Frogman

@ raymond:

Ja, Qualität hat Ihren Preis. Da stimme ich Dir voll und ganz zu. Aber das teuerste muss nicht immer das beste sein denn inwieweit nutze ich ein qualitativ höherwertiges Produkt, welches den Preis rechtfertigt.
Brauche ich einen Router, der 200 Euro kostet obwohl ich nur ein paar Ports sperren möchte? Reicht da nicht ein Router für 100 Euronen aus? Muss jeder für sich entscheiden.

 

[Frogman]

Hi Frogman,

nein, der Angreifer muss nur in der Nähe Deines WLAN-Netzwerkes sein und die keyliste muss lang genug sein. Sollte ein Standard Passwort aus normalen Wörtern verwendet werden, ist dies eine Sache von ein paar Minuten. ...

Naja, Bruteforce würde ich jetzt nicht als kompromittierend einstufen... und klar, wer tatsächlich Passworte verwendet, die man in Wörterbüchern findet...
Hier kannst Du mal etwas zu entsprechenden Attacken auf WPA2 mit PSK lesen - bei Einsatz von Groß-/Kleinbuchstaben, Zahlen und den zugelassenen Sonderzeichen reichen schon 10-15 Zeichen für eine beruhigende Sicherheit, alles größer 20 beruhigt dann auch extrem nervöse Zeitgenossen (und wer will, nutzt die vollen 63 Zeichen). Oder Du nimmst stattdessen einen RADIUS-Server

 

[Psyke]

Ja, stimmt. Passwortlänge bringt ebenso Schutz mit. Aber viele nutzen ein Standard PW weil die einfach zu faul sind, etwas kompliziertes einzugeben. Oder es auch nicht wissen.
Werde mir den Bericht durchlesen. Danke Frogman.