Hardware Firewall

[andronex]

Hallo,
habe heute sehr viel hier im Forum über die Sicherheit gelesen, vor allem in den Gehackt-Threads. Ich besitze seit einer Woche eine DS220+ und überlege nun diese zurückzuschicken und mir stattdessen eine DS220j zu holen, weil ich die Leistung der Plus-Version eigentlich garnicht richtig nutzen kann, damit meine ich z.B. Minecraftserver, Google-Photos ersatz und vielleicht sogar eine WordPress Installation. Nach der Lektüre hier im Forum ist all das ein Sicherheitsrisiko für meine Daten auf der Synology und vor allem wenn ein Port geöffnet wird(Minecraftserver) oder überhaupt die DS aus dem Internet erreichbar ist.
Würde eine Hardware- Firewall zwischen Router und NAS hier genügen um halbwegs sicher vor solchen Verschlüsselungshacks zu sein? Ich bin ein gut informierter Anwender der sich viel selbst angelesen und beigebracht hat, aber ich möchte hier zu Hause kein Firmennetzwerk aufbauen, mir geht es nur um etwas mehr Schutz vor solchen Angriffen die hier im Forum geschildert wurden und die Möglichkeit die vielfältigen Funktionen der Synology auch mit dem Smartphone unterwegs nutzen zu können.

 

[blurrrr]

Wenn Du keine Ahnung hast, nein.

 

[andronex]

Wenn Du keine Ahnung hast, nein.

?

 

[blurrrr]

Das war die Antwort auf:

Würde eine Hardware- Firewall zwischen Router und NAS hier genügen um halbwegs sicher vor solchen Verschlüsselungshacks zu sein?

EDIT: Lass mich das noch mit einem Beispiel zu einem aktuellen Thema erläutern:

Ich gebe Dir ein Drahtgestell (20cm breit, 10cm hoch), eine Nadel und 1m Garn und Deine Aufgabe ist jetzt: Näh daraus eine Corona-sichere Maske. Was meinst Du, wie "gut" das Ergebnis schützen wird?

Eine Hardware-Firewall ist "nichts", was man einfach irgendwo wie einen Staubfilter dazwischen klemmt und jut ist, sowas will entsprechend konfiguriert werden. Wenn man keine Ahnung hat, nutzt auch eine Hardware-Firewall so ziemlich garnichts. Wenn man "ein bisschen" Ahnung hat, nutzt sie auch nur "ein bisschen" (wenn überhaupt), etc. pp. Das ist auch schon alles, was ich damit sagen wollte

 

[andronex]

ok, also wenn ich die Ahnung hätte dann würde eine Hardware Firewall reichen?

 

[mayo007]

hiermit kannst du anfangen denke ich:
https://www.synology.com/de-de/know...ow_to_add_extra_security_to_your_Synology_NAS

 

[blurrrr]

"reichen" ist immer so ein dehnbarer Begriff... Denke, es wäre sinnvoller, wenn Du Dir erstmal den Link von @mayo007 zu Gemüte führst, das dürfte Dich schon etwas weiter bringen. Dazu hat das NAS auch noch eine entsprechende Firewall, welche sich nach Deinen Bedürfnissen konfigurieren lässt.

 

[rednag]

Ich habe nach viel lesen, recherchieren und quatschen einen kleinen Mini-PC gekauft und darauf Sophos UTM.
Die Einrichtung ist aber auch nicht "mal eben" gemacht.
Ich finde jeder sollte einen @blurrrr haben.

 

[andronex]

entschuldigung, ich glaube, ich habe mich missverständlich ausgedrückt. Den empfohlenen Artikel in der Knowledge Base habe ich als erstes gelesen, bevor die DS geliefert wurde.
Wie ich eingangs geschrieben habe, aufgrund der Threads,die ich gelesen habe kam ich zu der Erkenntnis, dass es eigentlich für einen nicht IT-Profi unmöglich ist so ein NAS mit Zugriff von draußen suffizient abzusichern. Daher kam die Frage mit der Hardware Firewall, ob sowas überhaupt reichen würde, natürlich richtig konfiguriert.

 

[blurrrr]

@andronex Mal so ganz ehrlich und unter uns: Keine Hardware der Welt schützt vor Dummheit (nicht umsonst erwischt es z.B. ebenso den Bundestag, Sony, Lufthansa, etc. - die haben sicherlich Millionen für "Hardware" versenkt, nur damit 1 User kommt und alles wieder zunichte macht ). Vertrau lieber auf die Logik und Deinen Verstand, als irgendwelche Dinge, welche wiederum auch Fehler haben können (Bugs sind ja auch nicht sooo selten). Mach halt keinen Blödsinn (wie so manch einer hier, wo dann die Heimautomatisierung ohne Kennwort nach aussen freigegeben wurde z.B.), klick nicht auf irgendwelche Dinge die Du nicht kennst, öffne keine komischen Anhänge in Mails, etc. pp. usw. und sofort. Alles nichts neues und schützt - nach wie vor - noch immer am besten. Auch öfter mal kritisch hinterfragen (nein, Dein Chef wird Dir sicherlich NICHT seine neusten Urlaubsbilder schicken...) schadet ebenso wenig. Damit ist der Drops eigentlich schon gelutscht. Zugriff von aussen (wenn möglich) im besten Fall nur via VPN und jut ist.

 

[THDev]

Super lösung: am besten keine ports außer vpn nach außen freigeben.

Frag dich: MUSS dienst xyz wirklich von außen ohne vpn erreichbar sein? Meistens ist die antwort nein.

 

[andronex]

@blurrrr , bin da ganz bei dir, deswegen mach ich mir ja schon im Vorfeld viele Gedanken, bevor das NAS überhaupt mit richtigen Platten bestückt wird, jetzt übe und teste ich alles mit einer alten HDD. Eigentlich schade, meine Tochter hat sich schon auf den eigenen Minecraftserver gefreut, aber wenn ich das NAS als Datenspeicher im Hausnetz nutzen will, dann darf ich keinen Port nach draußen dafür öffnen, bleibe bei dem Zugriff durch ein VPN.

 

[THDev]

Wenn deine tochter bei dir zuhause wohnt ist das doch kein problem im eigenen LAN.

 

[andronex]

Ja, es geht aber natürlich um das Zusammenspielen mit Freunden die nicht im LAN sind sondern bei sich zu Hause.

 

[blurrrr]

5er im Monat für einen vServer irgendwo, der hat dann auch direkt eine statische IP und die Probleme sind ausser Haus und haben "nix" mit dem internen Datenspeicher zu tun

 

[andronex]

ja, das ist in dem Fall die bessere Wahl

 

[the other]

Moinsen,
also ein Klassiker.
Meine 2 cent dazu wären: lass es. Ich finde es immer sehr betrüblich, wenn Menschen das Gerät, auf dem ihre (wichtigsten?) Daten aufbewahrt werden, noch zusätzlich mit so nem Dienst ins www stellen. Da hilft einfach so auch keine hardware firewall. Zum Glück gehörst du zu den (leider) wenigen Menschen, die VORHER nachdenken und sogar fremde um Rat fragen.
Und VPN ist da auch fehl am Platz für.
Ich würde also raten, zunächst die beiden Anwendungsfälle physisch zu trennen: NAS für NAS, ggf. n RaspberryPi für den Minecraftserver (reicht aus idR). Dann stellst sich allerdings noch die Frage, ob DIR das so sicher genug vorkommt: ein Gerät steht mittenin deinem Netz und ist (permanent) von außen erreichbar. Ich selber: auf keinen Fall. Du: deine individuelle Situation eben.
Willst du das auch nicht so gern: neben der physischen Trennung der Geräte (Fileserver vs Minecraftserver) kannst du zB als recht einfachen Schritt rangehen und auch die Netzwerke trennen. Dafür benötigst du aber extra hardware (Fritzbox als einfachste Lösung > siehe Routerkaskade > siehe aber auch Problem mit doppeltem NAT; bessere Router, um eine DMZ für den Minexraftserver einzurichten oder VLANs oder STOP! Du siehst, ab jetzt wird es komplexer und man sollte dann die basics ke(ö)nnen. Alles machbar, aber nicht out of the box mit Schleife drum.

edit: wieder zu langsam gewesen.... @blurrrr hat ja noch ne Alternative.

 

[Stationary]

Zum Minecraftserver zwei Hinweise: erstens mußt Du die Ports nicht nach außen aufmachen, sondern kannst den Server im LAN halten. Mache ich auch so. Dafür müssen die Freunde dann eben VPN einschalten, um zu uns ins LAN zu kommen. Ein wenig Vertrauen in die Freunde Deiner Tochter brauchst Du dann allerdings. Hängt aber auch davon ab, ob Du einen Bedrock-Server anbieten willst, oder einen Java-Server. Läuft beides hervorragend in Docker. Der Java-Server könnte allerdings auf einer 220+ etwas laggen. Mit einer 720+ läuft der definitiv besser. Ich habe beide Server auf meiner 720+ installiert, nach außen offen sind da keine Ports. Den Java-Server habe ich mittlerweile allerdings wieder abgeschaltet und lasse den auf einem Raspberry Pi 4 8GB laufen.
Wenn Du Tipps zu Minecraft-Servern für Deine Tochter willst, schick‘ mir einfach mal eine Privatnachricht. Da das eher kein Synology-Problem ist, können wir das getrennt besprechen.

Was den Umtausch der 220+ in eine 220j angeht, so würde ich die + behalten. Ist einfach das bessere Gerät.

Jetzt bekomme ich bestimmt „Schimpfe“, weil ich zwei Freunde/innen meines Sohnes über VPN hereinlasse...?

 

[the other]

OT:
@blurrrr: das wäre noch ein Argument (Totschlag) für die Diskussion im Brainstorming Thread....eigenes NAS mit 2fa und VPN abriegeln für die engste Familie/Freunde. Alle ohne VPN zu erreichenden Angebote auslagern.

 

[Tommes]

Rutscht mal grad rüber @blurrrr und @the other... *räusper*

Aus eigener (leidvoller) Erfahrung kann ich blurrrr‘s Aussage nur unterstreichen. Wenn du von Netzwerken, den ganzen Protokollen, NAT, statisches Routing, dem ISO/OSI Schichtmodell, VLANs sowie vielen weiteren Dingen keine Ahnung hast, dann hast du zwei Möglichkeiten. Entweder du investierst sehr viel Zeit und nimmst diverse Rückschläge in Kauf um am Ende ein System auf die Beine zu stellen, von dem du nicht wirklich behaupten kannst, das du an alles gedacht hast. Oder du lässt es.

Glaub mir, ich habe des Öfteren hier mit @blurrrr und @the other darüber philosophiert und die beiden Jungs haben echt Ahnung von dem was sie tun... aber für mich kam am Ende die Erkenntnis, das dieses Thema eine Nummer zu groß für mich ist und das sich der Kosten/Nutzen Faktor das am Ende nicht rechnet. Jedenfalls nicht bei mir. Von daher...

Ich bin jetzt wieder - back to the roots - bei meinem PiHole und PiVPN. Dazu läuft einer DS216+ in einem Docker Container ein Minecraft Server der über zwei Ports ins Internet zeigt. Meine DS218+ (also mein Haupt-NAS) habe ich weitestgehend verriegelt und verrammelt, um möglichen Angreifern von innen oder außen das Leben zu erschweren. Feierabend. Das war‘s.

Und wenn jetzt wieder einer anfängt zu bellen von wegen geöffneten Ports und so... wer sich den Zirkus mit einer DMZ antun will um einen Minecraft Server ins Netz zu stellen, dann bitte. Ich habe mittlerweile ein relativ gutes Gefühl, die beiden Ports auch ohne weitere Sicherheitsmaßnahmen auf das böse Internet loszulassen Und falls es mich dann doch mal erwischt, dann werde ich auch das überleben... wozu gibt es schließlich gut durchdachte Backup Strategien.

Tommes