Synology IPFire mit SRM ersetzen?

[Syn3312]

Hallo zusammen,

ich bin gerade am überlegen, ob ich mir einen Synology Router zulegen soll. Bin aber was die Security-Funktionalitäten und vor allem deren Alltagsnutzung nicht sicher, ob das was wird. Deswegen würde ich mich über kurze Antworten und Kommentare von Nutzern freuen .

Derzeit nutze ich IPFire (Open Source Firewall Distribution). Diese Router/Firewall bietet ein paar sehr tolle Funktionen, die ich bei einem Wechsel nicht vermissen möchte. Allerdings möchte ich gerne von IPFire weg, da ich nicht mehr so viel Zeit mit Open Source und dem damit leider einhergehenden herumfrickeln verbringen will. Da ich aber auch eine Synology NAS besitze, kommt ein Router von Synology gut in Frage.

IPFire bietet unter anderem:
- Intrusion Detection and Prevention (beides auf SRM verfügbar, aber beta und wohl langsam)
- Stateful-Packet-Inspection-Firewall mit bspw. Geo-basierten Filtern (SPI ja, geo nein)
- Webproxy (kann darüber nichts für SRM finden)
- Web Virenscanner SquidClamAV (kann darüber nichts für SRM finden)
- URL Filter mit vielen vorgegebenen Listen unterschiedlicher Anbieter + eige Listen (SquidGuard) (kann darüber nichts für SRM finden)

Und natürlich auch die grundsätzlichen Fragen:
- was meint ihr, wie es zukünftig mit den Synology Routern aussehen wird? Ist das ein Produkt, das Synology weiterhin lange verkaufen und entwickeln wird?
- Sollte man noch warten, bis bspw. SRM 2.0 erscheint?!
- Ist der Verzicht auf (etwas oder viel) Sicherheit im Gegensatz zu IPFire vertretbar?

Was meint ihr?

 

[Pootch]

Hi.
Denke das kommt immer drauf an, wie sicher du deine Daten, etc.. haben möchtest. An IPFire kommt der Synology Router sicherlich nicht ran. Weder in Sachen Sicherheit noch Performance. Für den Heimgebrauch reicht es aber grundsätzlich aus. Das IDS kannst du eigentlich vergessen, weil ein vernünftiges IDS einfach massiv Performance benötigt. Das IDS am Synology Router ist reines Marketing.
Ich würde dir, wenn du es brauchst, eher zu einer Sophos UTM oder ähnliches raten. Die Vorgänger Versionen gibt es für günstiges Geld, gebraucht. Man kann das ganze auch in einer VM laufen lassen. Die Basis Feature sind dabei sogar kostenlos.

 

[Manticoreer]

Hi, Also ich kenne IPfire nicht, vielleicht aber schonmal davon gelesen oder so, was du aber wissen solltest ist, Synology Geräte sind im Prinzip Geräte die man kauft, hinstellt, und sie funktionieren in der Regel! Also alles ohne viel Tamtam, quasi Apple-like bis zu einem gewissen Punkt! So, und dein IPfire ist eine Open Source Firewall Distribution! Das allein zielt eigentlich schon in eine ganz andere Richtung finde zumindest ich! Ich kann verstehen das man vom herumfrickeln weg will, aber ob du da mit Synology glücklich wirst??? Ich bezweifle es etwas. Klar, Synology hat im Vergleich zu Otto-normal-Verbraucher mehr zu bieten, aber an etwas wie IPfire wirds wohl nie ran kommen! Ausserdem lassen sich Synology Geräte teilweise nur "ein"geschränkt nutzen, weil Synology vorgibt was sie akzeptieren, und was nicht! (Thema phpVirtualbox z.B.)

 

[rednag]

@Manticoreer,

vielleicht hat der TE ja geheime NSL, TTIP oder andere Dokumente welche die nationale Sicherheit gefährden würden.

Quatsch beiseite.
Ach ich habe keinen Router von Syno. Momentan ist mein Router die einzige Hürde zum lokalen Netzwerk.
Hier stelle ich mir aber in naher Zukunft ein extra Gerät mit OPNsense hin. Meiner Meinung nach gehört Sicherheitssoftware auf ein dediziertes Gerät und nicht auf Router oder NASen.

 

[Manticoreer]

Oder er hat Kekse! Kekse die die CIA gefährden würde! So, das habt ihr jetz davon! Jetzt ist der Gaul endgültig durch gegangen.... was solltest du denn haben, das die haben wollen, das du zusätzliche Hardware brauchst? Nur mal so, am sichersten bist du, wenn du offline bist

 

[tschortsch]

Sorry das ich jetz den Thread kurz Kaper -
rednag dein Posteingang ist voll und ich kann dir nicht antowrten

 

[Manticoreer]

rednag dein Posteingang ist voll und ich kann dir nicht antowrten

Typisch rednag! hihi

 

[jahlives]

Meiner Meinung nach gehört Sicherheitssoftware auf ein dediziertes Gerät und nicht auf Router oder NASen.

Bei aufs NAS gehört das nicht bin ich bei Dir, aber wieso nicht auf den Router? OpenSense auf einer dedizierten Box ist ja auch ein Router, oder?

 

[rednag]

@jahlives,

ja, Du hast damit natürlich Recht. Es gibt durchaus nette Router mit Firewall.
Ich meinte aber hauptsächlich so Experimente mit Freetz oder solchen Spielchen. Bevor ich mir so ein Gerät zusammenschuster nimm ich lieber ewwas mehr Geld in die Hand und kaufe mir eine Hardware-FW für den Heimgebrauch. Wo wir schon beim Thema sind: Hat wer Tipps?

 

[Manticoreer]

Ja: deinen Posteingang löschen!

 

[rednag]

@Manticoreer.

Das ist Off-Topic und gehört nicht hier her.
Aber es wurden bereits ältere Nachrichten gelöscht.

 

[Manticoreer]

Ich setze nur tschortsch's Wille um!

 

[4bob]

eine Hardware-FW für den Heimgebrauch. Wo wir schon beim Thema sind: Hat wer Tipps?

Eine Empfehlung wäre das bei Profis beliebte APU.1D4 System Board
Unterstützt werden gängigen Größen wie: OPNsense, pfSense, IPFire, OpenWRT aber auch Sophos UTM

Und wenn das nicht ausreicht dann kannst den APU.1D4 mit etwas Fleißarbeit auch überreden als ESXi Hypervisor zu agieren und alle 5 Distros einrichten

Günstigere FW-HW würde mir spontan noch die Zotac ZBOX einfallen meine hat 2 NIC‘s.
Für weniger potente Internetanschlüsse reichen auch 100Mbit Interface.

Bob

 

[jahlives]

Die APUs kann ich aus eigener guter Erfahrung nur empfehlen

 

[rednag]

Man möge mir meine Unwissenheit verzeihen, daß ist aber Neuland für mich.
Gibts da nix fertiges? So von Rathiopharm oder so?
Das Board hat aber nur 3 x LAN. Würde das in der Reihenfolge so gehören:
Internet -> Router -> Firewall -> Switch -> Clients?

 

[4bob]

Es gibt auch fertige HW Appliance, alles eine Preisfrage
Die Aufteilung ist ein Ports fürs WAN (Internet) dann einer fürs LAN (Switch mit allen Clients)
und eine DMZ; deine DS415+ beispielsweise

 

[rednag]

Also habe ich doch richtig vermutet. Kann man mir da irgendwer eine Hardeware-FW für den Heimgebrauch empfehlen?
Will ungern so ein Board ganz alleine in der Gegend rumliegen haben. Anderseits könnte man da OPNsense installieren.

 

[4bob]

Du findest im Internet Anbieter von OPNsense Komplettsystemen, empfehlen kann ich dir keinen.
Das APU Board muss ja nicht blank rumliegen, wird bei Amazon auch mit passendem Case verkauft

 

[Manticoreer]

is so ne Zotac Zbox nicht mit Kanonen auf Spatzen geschossen???? Also einfach von der Hardware her.....

 

[4bob]

Würde ich jetzt nicht sagen, Leistung kann es nie genug geben

Ich habs bzgl. Kostenfaktor erwähnt ca. 150€ vs 200€ auch das installieren ist einfacher als beim APU Boards. Dann kommt der kleine CI323 Nano im Leerlauf auf 6Watt wie meine Fritzbox 7490 und ich bin mir sicher das APU Board wird nicht weniger verbrauchen - Einzige Nachteil nur 2 Interface, das reicht aber in den meisten Fällen.