Hardware Firewall

[Stationary]

@blurrrr und @the other Vielen Dank für Eure Tipps!!!

Eine Frage hätte ich noch, Sophos UTM Home hatte ich mir schon mal angesehen, mir war nur nicht klar, wie ich damit zwei LANs hinter der Fritzbox aufspanne. Läßt Du das auf einer Zotac Box oder einem Intel NUC laufen?

 

[blurrrr]

Privat (und auch bei @rednag) läuft das auf einer ZBox (2 Interfaces). Mehrere Netze über 1 Interface halt via VLAN (muss der Switch dann auch können (managed)). Worauf man das laufen lässt, ist eigentlich relativ egal, theoretisch tut es auch "irgendein" alter Rechner (oder sogar eine VM). Ein normaler Rechner (bzw. ein grösseres Gehäuse mit Erweiterungssteckplätzen) hätte den Vorteil, dass man je nach Bedarf auch noch weitere Netzwerkkarten nachschieben kann (somit mehrere volle 1G-Ports). Alternativ gibt es auch kleinere Geräte, welche direkt mit mehreren (4+) NICs daher kommen. Die ZBox hat nur 2 Interfaces, davon 1 nach aussen (mit 2 VLANs für die 2 ISP-Router und somit 2 Leitungen), und 1 nach innen (da laufen irgendwie so +/- 10 VLANs drüber). Man muss sich aber eben der Tatsache bewusst sein, dass dann mehrere Netze über eine 1G-Schnittstelle gehen und somit die Bandbreite auch zwischen allen Netzen geteilt wird.

2 LANs hinter der Fritzbox wird so nicht drin sein (ausser Du nutzt das Gastnetz). Im Prinzip würde die Verteilung im (besten Fall aufgrund der Steuerungsmöglichkeiten) erst hinter der Firewall anfangen.

 

[NSFH]

@Stationary: Alle Draytek Router die mehr als einen WAN Eingang haben können jeden der Eingänge mit einem eigenen DDNS oder auch Mischbetrieb mit fester IP etc belegen.
Mit den Routern kannst du mehrere LAN betreiben und auch sehr einfach sichere Verbindungen zwischen den internen LANs herstellen wenn gewünscht.
Das Wichtigste ist aber, dass alle Portfreigaben über die Firewall laufen und nicht wie bei SoHo Routern einfach zur Ziel IP weiter geleitet werden.
Draytek Router bekommen übrigens kostenfreie DDNS Webadressen vom Hersteller.
Ich habe fast nur Vigor2960 im Einsatz und da klappt das problemlos.

 

[dexter983]

Mal ne andere Frage: Würde es eigentlich etwas bringen ein Security Gateway zwischen Router und SynoNAS zu klemmen?
So etwas wie ein Ubiquiti Unifi Security Gateway um die Syno im Heimnetz noch zusätzlich abzusichern?

 

[NSFH]

Lies #27
und als Schutz gegen Ransomware hilft absolut gar nichts, was in diesem Thread besprochen wurde.
Da rettet einen nur ein gut konstruiertes Backup-System aber keine wie auch immer geartete Firewall.

 

[dexter983]

#27 gelesen - Leider beantwortet dies meine Frage nicht.

Ich bin nicht der Netzwerker und verfüge über das nötige fortgeschrittene Wissen - Aber das Thema Firewall usw. ist derzeit für mich noch eine grosse Unbekannte.

Ist es rein theoretisch möglich zwischen Syno und Router noch ein Security Gateway reinzuklemmen für erhöhte Sicherheit?

 

[NSFH]

Klar geht das ist aber so nicht sinnvoll.
Eine kaskadierte Firewall könnte je nach Anwendungsfall sinnvoll sein, wenn sie nur die Verbindung zwischen Router und direktem Zugang zum Server betreffen würde. Heisst du hast aus dem Router eine durch VLAN getrennte, direkte Anbindung auf die Synology ohne Kontakt mit dem eigentlichen LAN.
Zwischen dem internen LAN und der Syno macht es keinen Sinn, da du die Syno mit der integrierten Firewall ausreichend schützt.
Für den Normalanwender halte ich das gar nicht für sinnvoll, noch dazu für jemanden, der keine Ahnung von der Materie hat. Da ist es schon schwierig genug das normale Firewallkonstrukt fehlerfrei zu betreiben.
Sinnvoll ist nur die SoHo Router egal von welchem Hersteller aus dem LAN raus zu schmeissen und durch ein Gerät zu ersetzen, welches nicht nur den eingehenden Verkehr in der Firewall analysiert und blockt sondern auch den Ausgehenden. Erst damit erzeugst du mehr Sicherheit.
Gegen Ransomware hilft das alles aber gar nicht.

Man sollte sich darüber im Klaren sein, dass geschätzte 99% aller erfolgreichen Angriffe von Innen erfolgen und nicht durch Knacken einer Firewall!

 

[dexter983]

Danke.
Mein NAS ist eigentlich nur durch Quickconnect von aussen erreichbar (wegen DS Photo App via iOS). Alles andere ist deaktiviert.

Durch die integrierte SW-FW der Syno habe ich soweit alles andere geblockt (inkl. GeoIP-Blocking). NAS wird eigentlich nur für Storage und Foto-Verwaltung verwendet. Alle anderen Anwedungen habe ich deinstalliert. Standard-Accounts sind deaktiviert und komplexe Passwörter sind gefordert. 2FA für Admin-Accounts. Ich denke viel mehr kann ich auf dem Syno nicht mehr machen. Habe mich jetzt nur noch gefragt ob ein zusätzliches Security-gateway für die weitere Netzsegmentierung noch zusätzlichen Schutz bringen würde.

Ich habe zudem seit längerem einen PIHole im Einsatz um den ausgehenden Verkehr soweit auf das nötigste zu beschränken. Blocke bereits seit längerem, 60-70% der Requests.

Aber danke für die Antwort - Damit weiss ich, dass ein Security Gateway oder auch ne HW-Firewall eigentlich nicht notwendig und sogar übertrieben wäre.

 

[blurrrr]

Aber das Thema Firewall usw. ist derzeit für mich noch eine grosse Unbekannte.

Muss man wissen... (halt jede/r für sich selbst). Solange man zumindestens erstmal um die Dinge "weiss" (und was sie im Stande sind zu leisten), ist man jedenfalls schon einen guten Meter weiter (bedeutet aber halt auch wieder: "einlesen" - hier wäre z.B. ein Einstiegspunkt: https://de.wikipedia.org/wiki/Firewall) ??

 

[NSFH]

Geo IP Blocking hilft bei QuickConnect nur bedingt, weil du nie weisst in welchem Land der Proxy steht, über den gerade deine Verbindung zu Synology läuft.

 

[frimp]

Also Zugriffe Photo-, Audio- und sonstwas-Station von aussen nur über VPN-Tunnel mit Readonly-Accounts und granularer Rechtevergabe.
Lokale Windowsrechner dürfen bei mir per SMB3 nur lesend zugreifen, schreibend nur nach Prüfung des Rechners durch den SysOp .
Diese „Firewall„ funktioniert neben netfilter am besten bislang…

Ansonsten setze ich nur Router mit quelloffener Software ein, z.B. Freshtomato auf Netgear-HW. Da sind eigentlich nur die Broadcom-WLAN-Treiber closed…

 

[Puppetmaster]

Also Zugriffe Photo-, Audio- und sonstwas-Station von aussen nur über VPN-Tunnel mit Readonly-Accounts und granularer Rechtevergabe.

Jo, kann man machen. Dann kann man aber auch gleich den Sinn solcher Dienste grundsätzlich in Frage stellen. Die Fotobücher für Oma und Opa liegen auch nicht im Banksafe. Einfacher, für den Unbedarften unkomplizierter Zugang, steht bei diesen Anwendungen im Vordergrund.
Dann doch lieber physische Trennung auf den Maschinen und im Heimnetz.

 

[frimp]

Naja, brauch ich eh nur für mich wenn ich unterwegens bin
Für echtes Sharing mit (vielen) anderen ist dann doch ein Clouddienst geeigneter…

 

[Puppetmaster]

Für echtes Sharing mit (vielen) anderen ist dann doch ein Clouddienst geeigneter…

Dem stimme ich nicht zu. Das unabhängige Sharing war für mich schon immer auch ein großes Argument pro DiskStation.

 

[NSFH]

Aber hier wollen alle die eierlegende Wollmilchsau und mit einer einzelnen DS alles erschlagen. Genau das ist der fatale Gedankenfehler!

 

[blurrrr]

+1 @NSFH - Trifft die Sache ziemlich genau... ??

 

[Puppetmaster]

Außer vielleicht

hier wollen alle

denn das pauschalisiert.
Weiter oben hatte ich auch schon geschrieben, dass man dann besser mehrere Maschinen und/oder Netze nutzt, wenn man im Grunde Zielkonflikte lösen muss.

 

[blurrrr]

Ich glaube es war auch eher die "breite Masse" als der "Einzelfall" gemeint ??

 

[NSFH]

so isses!