Firewall und Ports

[Matis]

Ich verstehe nicht warum das immer so kompliziert gelöst wird.
Folgender Vorschlag:

Im Router alles zu außer 443 und ggfls. einen geänderten Port für sftp.
Über den 443 können sämtlichen Applikationen, ob das Photo, Finder, .... die auf dem http-Protokoll bassieren sicher per reverse proxy verteilt werden.
Damit könnte Ihr alle Apps nutzen die ihr braucht.

Dann in der Syno-Firewall (wenn man sich nicht im Ausland aufhält oder dort Nutzer hat) alle ports für Deutschland aufmachen und alles andere zu!
Damit muß man nicht jedesmal bei einer App-Installation an die ports denken und hat es in der Syno schön übersichtlich.
Durch den Router kommt dann eh nur 443 durch und was nicht Deutschland ist fliegt in der Syno auf auf 443 raus.

Einfach und übersichtlich und als Nebeneffekt kann man seine Apps auch dort nutzen, wo z.B. eh alle ports außer 443 zu sind, z.B. in der Firma.

 

[NSFH]

Das ist kein Allheilmittel, weil es die Weiterleitung auf 443 nur zu einem Gerät ermöglicht! Das sollte man vielleicht immer dazu anmerken.
Die wirklich gute Lösung ist immer ein "vernünftiger" Router!

 

[NSFH]

@TE: Was du in 2. schreibst ist schlicht falsch, du hattest alle Informationen, hast sie nur nicht angewendet.
In deine Firewallregeln hattest du die richtige Dienste bereits erfasst (Sreenshot), nur alles bei der Quell-IP auf D stehen. Hättest du hier wie beschrieben die Quelle auf dein LAN gesetzt hätte es auch funktioniert.
Aber jetzt egal, scheinst jetzt ja eine eingermassen funktionierende Konfiguration zu haben.

 

[Matis]

Das ist kein Allheilmittel, weil es die Weiterleitung auf 443 nur zu einem Gerät ermöglicht! Das sollte man vielleicht immer dazu anmerken.
Die wirklich gute Lösung ist immer ein "vernünftiger" Router!

Das ist leider auch falsch. Ich hab reverse proxies zu ca. 12 verschiedenen Geräten konfiguriert, das ist gar keine Problem.
Das ist ja gerade der Witz, du kommst über die 443 auf die Syno und von dort über reverse proxy auf jede IP und jeden port den du willst.
Du braucht nur subdomains zu verwenden. xy.domain.de und hast einen ganz einfachen link zu jedem beliebigen Gerät, alles durch 443.

 

[NSFH]

über subdomains geht das, aber nicht jeder und vor allem keine Firma wird so arbeiten wollen.
Was die Performance angeht sehe ich da bei SoHo Geräten ebenfalls ein Problem. Es steht nicht für alle Dienste die gleiche Leistung zur Verfügung.
Hast du da schon mal Vergleichsmessungen angestellt?

 

[Matis]

... aber statt dessen lange links und offene ports. Das ist jetzt nicht dein Ernst?
Subdomains machen es im Gegenteil übersichtlicher und leichter zu adressieren.
Und bitte warum soll die Performance leiden? Weil die syno mit mehr Leistung als der Router den port zuordnet statt der Router, der nur durchleitet?
Da hättest Du ja jedesmal ein Problem wenn du www. benutzt, das ist auch nur eine subdomain.
Ich steh nicht so auf schweizer Käse im Router, letztliche muss das aber jeder so machen wie er will und kann. Das war nur ein Vorschlag.

 

[NSFH]

Versuche mal einer Firma klar zu machen, dass für verschiedene Serverzugriffe verschiedene Subdomains zu nutzen sind. Da schmeisst mich jeder raus.
Keep it simple, aber auf eine andere Art und Weise.
Um mit einem deiner Vorurteile hinsichtlich Schweizer Käse aufzuräumen: Es reicht EIN offener Port um einen Angriff zu fahren.
Da macht es absolut keinen Unterschied ob es 1 oder 5 Ports sind, wenn der Verarbeiter dahinter immer der Gleiche ist. Der Hack ändert sich nicht.
Im übrigen sollte man niemals einen Fileserver direkt ans Internet hängen, auch nicht per VPN. Das sind SoHo Basteleien und haben mit echter IT-Sicherheit nichts zu tun!
Du leitest jeglichen Internettraffic am Router und dessen Firewall vorbei direkt auf deinen Fileserver. Wer macht sowas und vor allem wer macht es, wenn wirklich sensible Daten im LAN gefahren werden?
Wir müssen jetzt keine Grundsatzdiskussion an dieser Stelle lostreten, nur wird hier etwas propagiert, was jeglicher Vernunft (bezogen auf IT-Sicherheit) widerspricht.

 

[Puppetmaster]

Ich kann mich täuschen, aber, auch wenn ich mich wiederhole, es geht hier vorrangig um SoHo- wenn nicht sogar "nur" um Heimanwendung. Warum dann immer Lösungen aus den professionellen Umfeld ins Feld geworfen werden verstehe ich nicht. Da sind wir dann evtl. auch im falschen Forum hier.

 

[diver68]

Würde es nich Sinn machen (da Threads wie dieser ja immer wieder mal aufpoppen) wenn jemand, der vermeintlich wirklich weiss wie man eine FW für den SoHo Bereich auf der DS einrichtet, einen screenshot von seiner (anonymisierten) Konfiguration posten könnte und vielleicht eine kurze Erklärung dazu? Auch ich würde mich darüber freuen, auch wenn ich der Meinung bin dass meine Konf passt.

Gruß

 

[diver68]

Ich kann ja mal anfangen.
Das Erste ist das LAN
Das Zweite ist der OpenVPN-Bereich (nötig?)
Der Rest sollte selbst erklärend sein.

 

[NSFH]

Hier geht es nur um Heimanwendungen?
In dem Moment wo hier jemand schreibt er setzt Synology für privat und oder Firma ein ist das für dich trotzdem nur Heimanwendung? Und solche Fälle gibt es hier nicht?
Und wieso wird etwas besser, nur weil es im SoHo Bereich verwendet wird? Hat nicht jeder Privatmensch das gleiche Anrecht auf max Sicherheit im Internet bzw um die Kenntnis desselben?
Nur weil Lösungen wie VPN auf einem Fileserver angeboten werden muss man sie doch nicht gut heissen, oder? Synology schreibt auch n icht, dass man File- und VPN-Server gleichzeitig nutzen soll, sondern bietet nur vorkonfektionierte Lösungen an. Der Heimanwender durchlöchert dieses System dann, wenn er aus einem Gerät eine eierlegende Wollmilchsau macht.
Jeder Betreiber eines Routers hat die Möglichkeit sein Heimnetz abzusichern. Wenn einem dann 300€ zu teuer ist ist ihm auch seine Privatsphäre nichts wert. Das macht aber solche Lösungen wie VPN auf einem Fileserver nicht zur Lösung und vor allem sollte man hier niemandem vorgaukeln, dass derartige Konstrukte "sicher" sind.
Hier unbedarften Forumsmitgliedern etwas als sicher zu verkaufen was es aber nicht ist halte ich für schlimmer als ab und an mal darauf hinzuweisen wo Schwachpunkte in derartigen Konstrukten zu finden sind.
Ich will hier niemandem zu nahe treten, aber wenn hier IT-Sicherheit nur auf SoHo Niveau abgehandelt wird sollte man schon ab und an anmerken dürfen, dass dies nicht der Weisheit letzter Schluss ist.
Damit ist von meiner Seite alles dazu gesagt und werde ich ggf. an anderer Stelle durchaus wiederholen, insbesondere dann, wenn es um die hier nicht vorkommende, gewerbliche Nutzung geht.

 

[Puppetmaster]

Vielleicht liest Du den Thread noch einmal von Beginn und entscheidest dann nochmal, ob wir von einer professionellen Lösung, oder doch nur der Heimanwendung ausgehen dürfen.

Deine Lösungen sind sicher nicht falsch, würde ich mir jetzt nicht anmaßen, das zu behaupten ich halte sie hier nur für deplatziert. Zumal ich dieses Schema nun schon einige Male hier beobachten konnte. Die Vorschläge zur Lösung scheinen mir einfach oft nicht zum "Problem" zu passen.

 

[NSFH]

Hallo PM, mit "hier" habe ich das Forum gemeint, du den Thread, insofern gebe ich dir Recht, dass dein "hier" nur auf Privatanwendung zu beziehen ist.

@TE: Ich glaube du solltest dich mal wirklich hinsetzen und auf Papier nacheinander aufschreiben was du alles in der Firewall freigeben möchtest.
Einfach logisch denken mit dem Wissen, dass die Regeln nacheinander abgearbeitet werden, bis die Firewall eine Erlaubnis findet. Alle Regeln danach werden nicht mehr beachtet. Gibt es keinen Treffer wird am Ende alles blockiert, kein Durchgang.

DSM soll immer im eigenen LAN gehen, also nur auf diesen Dienst und dessen Ports sowie diese Quelle beschränken.
In der letzten Regel schreibst du alle Ports, alle Dienste, alle Quellen verweigern. Das ist zu dem Haken weiter unten doppelt gemoppelt und kann raus.
Würdest du dir mal eigene Gedanken über jeden einzelnen Punkt machen den du einträgst würdest du selber darauf kommen was sinnvoll ist und was nicht, glaube ich zumindest.
Es nützt nichts dir hier was vorzubeten, wenn du anschliessend nicht verstanden hast wie das System funktioniert.

 

[HSV-Steph]

???

Jetzt wirfst Du glaube ich meine alten Screenshots mit meiner aktuellen Konfiguration, wie in Post #20 geschildert, durcheinander. Hier mal ein aktueller Screenshot. Die 3 Ports mit "Deutschland-Freigabe" (3XXXX, 443, 5006) sind im Router weitergeleitet.

 

[NSFH]

Das sieht besser aus!
Jetzt solltest du nur noch dem WebDav-Port nach Aussen (nur im Router) eine andere Portnummer geben, denn das ist einer der meist gescannten Ports im Web.
Wenn möglich solltest du auch Port 80 überall entfernen und statt dessen ausnahmslos mit 443 oder dem verschlüsselten Pendant der App arbeiten wie zB statt 5000 nur 5001 nutzen da diese Verbindung verschlüsselt ist, insbesondere dann, wenn der Zugriff von Aussen erlaubt ist.

 

[Matis]

.... ach welch Überraschung und am Ende sind wir dann bei NUR 443 und haben uns endlich durch den unnötigen Durcheinander der Regeln durchgewühlt.

 

[HSV-Steph]

Das sieht besser aus!

Danke!

Jetzt solltest du nur noch dem WebDav-Port nach Aussen (nur im Router) eine andere Portnummer geben, denn das ist einer der meist gescannten Ports im Web.

Ok, guter Tip, mach ich!

Wenn möglich solltest du auch Port 80 überall entfernen und statt dessen ausnahmslos mit 443 oder dem verschlüsselten Pendant der App arbeiten wie zB statt 5000 nur 5001 nutzen da diese Verbindung verschlüsselt ist, insbesondere dann, wenn der Zugriff von Aussen erlaubt ist.

Ich hatte diese Ports auch komplett weg und den App-Zugriff (DS-Photo usw.) genau wie von Dir geschildert am Laufen. Aber dann kam mein Thread-Hauptproblem, der Browser- und Finderzugriff über "diskstation.local" funktionierte nicht. Das geht nun wieder, seit ich die Ports 80 und 5000 intern durch die Firewall lasse.

Von außen ist ja weder 80 noch 5000 zu erreichen (im Router dicht, in der Firewall auf mein Netz beschränkt)...

.... und am Ende sind wir dann bei NUR 443 ...

Nein, sind wir nicht...

 

[NSFH]

@Matis: Ich bin bisher noch nicht mal im entferntesten auf die Idee gekommen einen Proxyserver im lokalen LAN direkt aus dem Web erreichbar zu machen.
Genau das tust du, in dem du im Router den 443 ungefiltert auf den Proxy der Syno weiterleitest.
Ich habe mir dieses Konstrukt nochmal durch den Kopf gehen lassen und sage jetzt: Worst Case was man machen kann.
Wenn man für das lokale LAN einen Proxy verwenden möchte, muss dieser aus Sicherheitsgründen in der DMZ stehen, da ein Proxy keinerlei Schutzfunktionen beinhaltet. Dummer Weise läuft dieser Dienst dann auch noch auf dem schützenswertesten Gerät, deinem File-Server.
Ich empfehle dir dringenst dich mal mit dem Aufbau eines sicheren LANs in der Kombination Router, Firewall, Proxy und DMZ vertraut zu machen und dann deine Empfehlung den ungefilterten 443 auf der Syno für alle Dienste zu nutzen noch mal zu überdenken! Ich kann da mit meinem Wissensstand nur dringenst von abraten!
Dein Konstrukt funktioniert, aber dann brauchst du einen einfachen Proxy in der DMZ. Ein Minirechner wäre ausreichend oder ein Router, der derartige Funktionen mitbringt. So ein Router kann dann aber auch SSLVPN womit das Konstrukt schon wieder überflüssig wird.
Hier geht es nicht darum was machbar ist sondern darum was sicher ist!