Hardware Firewall

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.948
Punkte für Reaktionen
1.267
Punkte
194
@blurrrr und @the other Vielen Dank für Eure Tipps!!!

Eine Frage hätte ich noch, Sophos UTM Home hatte ich mir schon mal angesehen, mir war nur nicht klar, wie ich damit zwei LANs hinter der Fritzbox aufspanne. Läßt Du das auf einer Zotac Box oder einem Intel NUC laufen?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Privat (und auch bei @rednag) läuft das auf einer ZBox (2 Interfaces). Mehrere Netze über 1 Interface halt via VLAN (muss der Switch dann auch können (managed)). Worauf man das laufen lässt, ist eigentlich relativ egal, theoretisch tut es auch "irgendein" alter Rechner (oder sogar eine VM). Ein normaler Rechner (bzw. ein grösseres Gehäuse mit Erweiterungssteckplätzen) hätte den Vorteil, dass man je nach Bedarf auch noch weitere Netzwerkkarten nachschieben kann (somit mehrere volle 1G-Ports). Alternativ gibt es auch kleinere Geräte, welche direkt mit mehreren (4+) NICs daher kommen. Die ZBox hat nur 2 Interfaces, davon 1 nach aussen (mit 2 VLANs für die 2 ISP-Router und somit 2 Leitungen), und 1 nach innen (da laufen irgendwie so +/- 10 VLANs drüber). Man muss sich aber eben der Tatsache bewusst sein, dass dann mehrere Netze über eine 1G-Schnittstelle gehen und somit die Bandbreite auch zwischen allen Netzen geteilt wird.

2 LANs hinter der Fritzbox wird so nicht drin sein (ausser Du nutzt das Gastnetz). Im Prinzip würde die Verteilung im (besten Fall aufgrund der Steuerungsmöglichkeiten) erst hinter der Firewall anfangen.
 
  • Like
Reaktionen: rednag und Stationary

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
@Stationary: Alle Draytek Router die mehr als einen WAN Eingang haben können jeden der Eingänge mit einem eigenen DDNS oder auch Mischbetrieb mit fester IP etc belegen.
Mit den Routern kannst du mehrere LAN betreiben und auch sehr einfach sichere Verbindungen zwischen den internen LANs herstellen wenn gewünscht.
Das Wichtigste ist aber, dass alle Portfreigaben über die Firewall laufen und nicht wie bei SoHo Routern einfach zur Ziel IP weiter geleitet werden.
Draytek Router bekommen übrigens kostenfreie DDNS Webadressen vom Hersteller.
Ich habe fast nur Vigor2960 im Einsatz und da klappt das problemlos.
 
  • Like
Reaktionen: Stationary

dexter983

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Mal ne andere Frage: Würde es eigentlich etwas bringen ein Security Gateway zwischen Router und SynoNAS zu klemmen?
So etwas wie ein Ubiquiti Unifi Security Gateway um die Syno im Heimnetz noch zusätzlich abzusichern?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Lies #27
und als Schutz gegen Ransomware hilft absolut gar nichts, was in diesem Thread besprochen wurde.
Da rettet einen nur ein gut konstruiertes Backup-System aber keine wie auch immer geartete Firewall.
 

dexter983

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
#27 gelesen - Leider beantwortet dies meine Frage nicht.

Ich bin nicht der Netzwerker und verfüge über das nötige fortgeschrittene Wissen - Aber das Thema Firewall usw. ist derzeit für mich noch eine grosse Unbekannte.

Ist es rein theoretisch möglich zwischen Syno und Router noch ein Security Gateway reinzuklemmen für erhöhte Sicherheit?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Klar geht das ist aber so nicht sinnvoll.
Eine kaskadierte Firewall könnte je nach Anwendungsfall sinnvoll sein, wenn sie nur die Verbindung zwischen Router und direktem Zugang zum Server betreffen würde. Heisst du hast aus dem Router eine durch VLAN getrennte, direkte Anbindung auf die Synology ohne Kontakt mit dem eigentlichen LAN.
Zwischen dem internen LAN und der Syno macht es keinen Sinn, da du die Syno mit der integrierten Firewall ausreichend schützt.
Für den Normalanwender halte ich das gar nicht für sinnvoll, noch dazu für jemanden, der keine Ahnung von der Materie hat. Da ist es schon schwierig genug das normale Firewallkonstrukt fehlerfrei zu betreiben.
Sinnvoll ist nur die SoHo Router egal von welchem Hersteller aus dem LAN raus zu schmeissen und durch ein Gerät zu ersetzen, welches nicht nur den eingehenden Verkehr in der Firewall analysiert und blockt sondern auch den Ausgehenden. Erst damit erzeugst du mehr Sicherheit.
Gegen Ransomware hilft das alles aber gar nicht.

Man sollte sich darüber im Klaren sein, dass geschätzte 99% aller erfolgreichen Angriffe von Innen erfolgen und nicht durch Knacken einer Firewall!
 
  • Like
Reaktionen: blurrrr

dexter983

Benutzer
Mitglied seit
01. Jan 2021
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Danke.
Mein NAS ist eigentlich nur durch Quickconnect von aussen erreichbar (wegen DS Photo App via iOS). Alles andere ist deaktiviert.

Durch die integrierte SW-FW der Syno habe ich soweit alles andere geblockt (inkl. GeoIP-Blocking). NAS wird eigentlich nur für Storage und Foto-Verwaltung verwendet. Alle anderen Anwedungen habe ich deinstalliert. Standard-Accounts sind deaktiviert und komplexe Passwörter sind gefordert. 2FA für Admin-Accounts. Ich denke viel mehr kann ich auf dem Syno nicht mehr machen. Habe mich jetzt nur noch gefragt ob ein zusätzliches Security-gateway für die weitere Netzsegmentierung noch zusätzlichen Schutz bringen würde.

Ich habe zudem seit längerem einen PIHole im Einsatz um den ausgehenden Verkehr soweit auf das nötigste zu beschränken. Blocke bereits seit längerem, 60-70% der Requests.

Aber danke für die Antwort - Damit weiss ich, dass ein Security Gateway oder auch ne HW-Firewall eigentlich nicht notwendig und sogar übertrieben wäre.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Aber das Thema Firewall usw. ist derzeit für mich noch eine grosse Unbekannte.
Muss man wissen... (halt jede/r für sich selbst). Solange man zumindestens erstmal um die Dinge "weiss" (und was sie im Stande sind zu leisten), ist man jedenfalls schon einen guten Meter weiter (bedeutet aber halt auch wieder: "einlesen" - hier wäre z.B. ein Einstiegspunkt: https://de.wikipedia.org/wiki/Firewall) ??
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Geo IP Blocking hilft bei QuickConnect nur bedingt, weil du nie weisst in welchem Land der Proxy steht, über den gerade deine Verbindung zu Synology läuft.
 
  • Like
Reaktionen: blurrrr

frimp

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
225
Punkte für Reaktionen
37
Punkte
34
Also Zugriffe Photo-, Audio- und sonstwas-Station von aussen nur über VPN-Tunnel mit Readonly-Accounts und granularer Rechtevergabe.
Lokale Windowsrechner dürfen bei mir per SMB3 nur lesend zugreifen, schreibend nur nach Prüfung des Rechners durch den SysOp ;).
Diese „Firewall„ funktioniert neben netfilter am besten bislang…

Ansonsten setze ich nur Router mit quelloffener Software ein, z.B. Freshtomato auf Netgear-HW. Da sind eigentlich nur die Broadcom-WLAN-Treiber closed…
 
  • Like
Reaktionen: blurrrr

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Also Zugriffe Photo-, Audio- und sonstwas-Station von aussen nur über VPN-Tunnel mit Readonly-Accounts und granularer Rechtevergabe.
Jo, kann man machen. Dann kann man aber auch gleich den Sinn solcher Dienste grundsätzlich in Frage stellen. Die Fotobücher für Oma und Opa liegen auch nicht im Banksafe. Einfacher, für den Unbedarften unkomplizierter Zugang, steht bei diesen Anwendungen im Vordergrund.
Dann doch lieber physische Trennung auf den Maschinen und im Heimnetz.
 
Zuletzt bearbeitet:

frimp

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
225
Punkte für Reaktionen
37
Punkte
34
Naja, brauch ich eh nur für mich wenn ich unterwegens bin ;)
Für echtes Sharing mit (vielen) anderen ist dann doch ein Clouddienst geeigneter…
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Für echtes Sharing mit (vielen) anderen ist dann doch ein Clouddienst geeigneter…
Dem stimme ich nicht zu. Das unabhängige Sharing war für mich schon immer auch ein großes Argument pro DiskStation.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Aber hier wollen alle die eierlegende Wollmilchsau und mit einer einzelnen DS alles erschlagen. Genau das ist der fatale Gedankenfehler!
 
  • Like
Reaktionen: the other und blurrrr

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Außer vielleicht


denn das pauschalisiert.
Weiter oben hatte ich auch schon geschrieben, dass man dann besser mehrere Maschinen und/oder Netze nutzt, wenn man im Grunde Zielkonflikte lösen muss.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich glaube es war auch eher die "breite Masse" als der "Einzelfall" gemeint ??
 
  • Like
Reaktionen: NSFH

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
so isses!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat