Konfiguration der DS Firewall

[Ganer]

Ich glaube, wir haben aneinander vorbei geschrieben: Ursprünglich wollte ich in der Firewall meine gesamte interne IP-Range (1-255) freigeben. Aufgrund deiner und auch der Hinweis der anderen bezüglich Gefahren insbesondere durch IoT-Geräte, werde ich jetzt nur bestimmten Geräten Zugriff auf die DS gestatten: Natürlich allen Fritzboxen, der 2. DS, meinem Laptop (Win10), 2 TVs (1x Android; 1x Tizen) , 2 AVRs (beide Denon), einem SAT-Receiver (Linux) und 2 Handys (beide Samsung Android). Ferner auch meinem Netzwerkdrucker Kyocera 5526, da ich von diesem auch direkt auf die DS scannen können möchte (hier kann ich ggf. die Sicherheit erhöhen, wenn ich für den Drucker einen eigenen Benutzer einrichte und diesem nur Zugriff auf das Scan-Verzeichnis erlaube).

Für diese Gerät will ich dann die IP-Range von 1-40 (ggf. auch 50), aus dem DHCP rausnehmen und feste IPs zuweisen (aktuell ist nur der Bereich 1-20 aus dem DHCP rausgenommen, da wird es mit dem Platz ein wenig eng). In der Firewall wird dann auch nur diesem IP-Range Durchlass gewährt.

Alle anderen Geräte, also Spüler, Heizkessel, Playstations, Amazon Echos, u.s.w. wandern in den IP-Bereich 51 und höher und werden weiterhin vom DHCP der Fritzbox verwaltet

 

[NSFH]

Ins IOT gehören die Smartgeräte, NICHT Drucker und Scanner!
Also ich würde IOT und auch Cams in ein eigenes Nw-Segment stellen, schon weil die entstehenden Cloud Zugriffe für mich vollkommen intransparent sind. Verwaltung und Kontrolle dann via WLAN mit Tablet oder Smartphone.

 

[Ganer]

Ins IOT gehören die Smartgeräte

O.k. Allerdings ist es für mich kein Option, die beiden TVs und AVRs nicht auf die DS zugreifen zu lassen. Wie gesagt soll sie eben primär als Medienserver dienen

 

[Gulliver]

TVs und AVRs [...] auf die DS zugreifen

Wenn das von der Firewall auf bestimmten Ports zugelassen wird und auf der DS hierfür ein in seinen Rechten auf das wesentliche beschränkter User genutzt wird, sollte das möglich sein. Ich habe derzeit die IP-Cam im WLAN des Routers (noch nicht optimal, da die Cam frei ins Netz telefonieren kann) und die Surveillance Station hinter der OPNSense greift raus und holt die Datenströme ab. Aber die Cam kann ihrerseits nicht auf die DS zugreifen.

NICHT Drucker und Scanner!

Ok, thx. Dachte wegen evtl nicht aktueller Software wäre das besser.

 

[Ganer]

Wenn das von der Firewall auf bestimmten Ports zugelassen wird

Meine Idee für die Firewall-Konfiguration war ja folgende:

a) Zunächst für jeden Dienst, den ich aktuell nutze (oder in Zukunft evtl. mal nutzen werde) eine eigene "Zugriff erlauben"-Regel zu erstellen
b) Den Zugriff intern nur für IP-Range 1-50 (= außerhalb des DHCP-Bereichs) zu erlauben. In diesem Bereich befinden sich dann u.a. die beiden Smart-TVs und die beiden AVRs, aber keine anderen IoT-Gerät wie z.B. Spüler, Heizkessel, Amazon Echos u.s.w.
c) Den Zugriff von außen nur aus Deutschland zulassen
d) Nur die Regeln aktvieren, die zur Zeit auch benötigt werden, d.h. intern für alle Dienste, welche ich aktuell nutze und extern nur für Port 443 (Reverse Proxy) und ggf. 6690 (falls ich ich Synology Drive Server nutzen möchte - da bin ich mir noch nicht sicher)
e) Jeder Zugriff, der nicht explizit erlaubt wird, ist verboten

und auf der DS hierfür ein in seinen Rechten auf das wesentliche beschränkter User genutzt wird

Das wäre bzw. ist dann das nächste, womit ich mich beschäftigen will: Welche Nutzer mit welchen Rechten lege ich wofür an. Hier habe ich noch keine gute Idee, weil ich mich damit bisher damit noch nicht so richtig auseinandergesetzt habe. Auf meiner alte DS gab es nur den Standard-Admin-Nutzer (der auch nicht umbenannt war), über den ich alle Zugriff habe laufen lassen (ich weiß - bitte mich nicht steinigen. Da will ich mich ja verbessern).

Ich hoffe, dass mir diesbezüglich dann hier auch nochmal geholfen wird.

 

[Ganer]

Ich habe noch ein andres Problem, was nicht unbedingt hierhin gehört, aber vielleicht weiß ja jemand, wie ich es lösen kann:

Ich habe gestern in meiner Fritzbox den nicht von DHCP verwalteten Adressbereich von 192.168.178.20 auf 192.168.178.50 erhöht. Allen Gerät, die Zugriff auf die DS erhalten sollen, soll in diesem Bereich eine fest IP (über die Fritzbox-Heimnetz-Verwaltung) zugewiesen werden. Alle übrige Geräte, die sich noch in diesem IP-Bereich befanden, habe ich neu gestartet und sie erhielten dann über DHCP IPs >50. Soweit - so gut.

Als ich dann aber versucht habe, einem Gerät eine fest IP <51 zuzuweisen, wurde das mit dem Hinweis verweigert, die IP sei von einem anderen Gerät belegt. Nach etwas ausprobieren habe ich herausgefunden, das die Adressen noch für die zuvor dort angemeldeten Geräte reserviert sind und entsprechend durch diese blockiert werden, auch wenn diese tatsächlich mit einer IP >50 verbunden sind.

Beispiel: Gerät A war über DHCP die Adresse 192.168.178.25 zugewiesen. Nach Begrenzung des DHCP-Bereich auf >50 und Neustart des Gerätes wird ihm die IP 192.168.178.65 zugewiesen. Nun will ich Gerät B über die Heimnetz-Verwaltung der Fritzbox die Adresse 192.168.178.25 fest zuweisen. Dies wird verweigert mit dem Hinweis, dass die Adresse durch ein anderes Gerät belegt sei. Hierbei handelt es sich um Gerät A, denn wenn ich Gerät A seine "alte" IP 192.168.178.25 fest zuweise, gelingt dies problemlos. Die bisher genutzte IP ist also immer noch für diese Gerät reserviert, wird aber in der Heimnetzverwaltung nicht als diesem Gerät zugewiesen angezeigt (logisch: das Gerät verbindet sich ja jetzt über 192.168.178.65)

Weiß jemand, wie ich die Reservierungen im Bereich 20 - 50 aufheben kann, damit ich dort neue Gerät fest zuweisen kann?

 

[Gulliver]

Reservierungen im Bereich 20 - 50 aufheben

Evtl geht's, wenn du den DHCP-Bereich nochmal 'aufmachst', die alten Zuweisungen löscht und dann wieder reservierst.
Kann auch helfen, den Router neu zu starten, um die bestehenden Zuweisungen zu beenden (Leasetime).

Den Zugriff intern nur für IP-Range 1-50 (= außerhalb des DHCP-Bereichs) zu erlauben

Das machst du ja dann in der Firewall der DS. Ich hatte die des Routers gemeint. Im übrigen LAN können die IOTs sich aber austoben. Du müsstest jedes einzelne Gerät mittels eigener Firewall absichern - was umständlich ist und auch nicht bei jedem Gerät geht. Ob sie Datenpakete auswerten können, die nicht für sie bestimmt sind, weiß ich nicht. Falls ja, hätte man Spione an Bord. Die IOTs in ein anderes Netz packen wäre einfacher zu verwalten.

 

[NSFH]

Wegen blockierter IP in der Fritz: Es kann sein, dass die freigewordene IP gleich wieder von einem anderen gerät gekapert wurde.
Ich würde für den Wechsel den Bereich, den du frei machen willst temporär aus dem DHCP Zugriff entfernen. Dann sicher stellen, dass die Geräte die neuen IP Ranges haben und dann die alten Reservierungen löschen und DHCP wieder komplett öffnen für den vorgesehenen Bereich.

Wegen Rechteverwaltung, da kannst nicht grossartig was machen. Admin und User mehr geht nicht. Guests solltest du nie zulassen.
Was allerdings geht ist die Nutzung von Apps je User einzuschränken,
Es ist übrigens immer besser mit Gruppen zu arbeiten und nur Gruppen für die Rechteverwaltung zu nutzen. Willst du dann mal rechte entziehen oder zugestehen tauscht du nur Namen in den Gruppen aus, musst aber nichts mehr konfigurieren.

 

[Ganer]

vtl geht's, wenn du den DHCP-Bereich nochmal 'aufmachst', die alten Zuweisungen löscht und dann wieder reservierst.
Kann auch helfen, den Router neu zu starten, um die bestehenden Zuweisungen zu beenden (Leasetime).

Die beiden Gedanken hatte ich auch schon. Ich werd's mal ausprobieren, wenn ich wieder zuhause bin und berichten

Die IOTs in ein anderes Netz packen wäre einfacher zu verwalten.

Du meinst über Änderung an der Sub-Netz-Maske einen komplett neuen Bereich, z.B. 192.168.179.1 - 254 aufmachen? Aber das würde dann ja nur Sinn machen, wenn ich 192-168.178.1-254 komplett aus dem DHCP rausnehme und 192.168.179.1-254 - sagen wir mal - komplett von DHCP zuweisen lasse. Kann man das in einer Fritzbox denn so konfigurieren? Oder habe ich das jetzt komplett falsch verstanden?

 

[Ganer]

Wegen Rechteverwaltung, da kannst nicht grossartig was machen. Admin und User mehr geht nicht.

Ich würde mich sehr freuen, falls du mir auch da behilflich sein könntest. Ich würde dann die nächste Tage einfach mal schreiben, welche Arten der Nutzung durch welche Personen / Gerät mir vorschwebt.

Ich darf im Moment nur nicht zu schnell machen. Ich betrete im Moment Bereiche der Netzwerk- und Serverkonfiguration (und versuche natürlich zu verstehen, was wie funktioniert), da hätten mir noch vor 3 Woche nur Fragezeichen über dem Kopf gestanden.

 

[NSFH]

Wenn du eine Fritz hast, dann verlege doch IOT in das Gastnetzwerk.

 

[Gulliver]

IOT in das Gastnetzwerk.

Dann kann man aus dem LAN aber nicht drauf zugreifen.

Kann man das in einer Fritzbox denn so konfigurieren? Oder habe ich das jetzt komplett falsch verstanden?

Mit einer Fritzbox allein geht das nicht. Ich hab' mich da nicht klar ausgedrückt: In das Netz der ersten FB hatte ich eine zweite gestellt, die ein weiteres Netz aufspannt und mittels Firewall gegen Zugriff aus dem ersten abschottet.


WWW --- FB1 (192.168.1.0/24) “IOT" --- FB2 (192.168.10.0/24) "Privat" (DS, PC)

Gefallen hat mir das auf Dauer nicht, ist ja doch gefrickelt (aber sicherer, als die IOTs im selben Netz zu halten). Wenn du dich da jetzt ohnehin reinfuchst, wäre es besser, das Geld nur einmal auszugeben für eine Firewall oder einen 'ordentlichen' Router, wie @NSFH beschrieben hat.

 

[Ganer]

Wenn du dich da jetzt ohnehin reinfuchst, wäre es besser, das Geld nur einmal auszugeben für eine Firewall oder einen 'ordentlichen' Router, wie @NSFH beschrieben hat.

Ich weiß nicht, ob das für meine Bedürfnisse nicht doch etwas übertrieben wäre. Rückfrage: Durch die Firewall wäre meine Syno doch gegen kapern abgesichter. Was könnte denn dann - selbst wenn ein IoT-Gerät sich was einfängt - im Zweifel sonst noch passieren?

 

[plang.pl]

In meinen Augen gehören IoT Geräte nicht ins Nutznetz auch privat nicht. Wenn da eines eine Sicherheitslücke hat (was eher in Richtung wahrscheinlich als ausgeschlossen geht auf Dauer), kann das Gerät alle Geräte im Heimnetz kompromittieren.

 

[Ganer]

kann das Gerät alle Geräte im Heimnetz kompromittieren

Kannst du bitte nochmal erklären bzw. definieren, was kompromitieren in diesem Zusammenhang konkret bedeutet? Bei der DS ist es mir ja klar - die könnte gekapert werden und dann sind die Daten darauf weg oder verschlüsselt. Aber was könnte mit den übrigen Geräten den im Zweifel passieren? Ich meine eine Geschirrspülmaschine oder einen Echo zu kapern hat doch keinen Mehrwert für einen Hacker, oder?

Bitte nicht falsch verstehen: Ich nehme eure Hinweis / Warnungen ernst. Da brauche ich ja nur auf die Anzahl eurer Beiträge hier im Forum zu schauen. Und es erscheint mir absolut plausibel, dass z.B. bei einem Geschirrspüler nicht übermäßig auf die Netzwerk-Sicherheit geachtet wird - das ist für den Hersteller vor allem ein Marketing-Gimmick ohne großen Nutzen für den Verbraucher. Da wird der Hersteller dann auch keine großen Ressourcen für aufwenden.

Aber wenn ich für die IoT-Geräte ein eigenes Netz aufbaue, würde das enorm viel Zeit und auch ziemlich viel Geld kosten. Ich habe ja nicht grundlos 7 Fritzen am laufen. Die sind in unserem Einfamilienhaus Über LAN-Verkabelung als Switches bzw. APs über 3 Etagen verteilt, damit überall ein guter LAN-Zugang bzw. eine gute WLAN-Abdeckung vorhanden ist. Wenn ich ein zweites Netz aufbau, bräuchte ich ja nochmal 7 Boxen (ca. 1.500 €). Oder habe ich das falsch verstanden?

 

[plang.pl]

keinen Mehrwert für einen Hacker, oder?

Doch. Er kann ein Botnetz bauen. Gut, davor schützt das Gastnetz wenig. Aber er kann Zero Day Exploits auf andere Geräte starten.

 

[Ganer]

Aber er kann Zero Day Exploits auf andere Geräte starten.

O.k., aber nochmal die Rückfrage: Die Synology wäre doch dann trotzdem durch ihre Firewall geschützte, oder?

Und sollte ich mir ein 2. Netz aufbauen wollen, dann bräuchte ich doch nochmal 7 WLAN-Router bzw. Access-Points - richtig?

 

[plang.pl]

Nein, wäre sie nicht. Wenn es mal wieder nen Zero Day Exploit zum Beispiel in Samba gibt, sind ALLE Geräte infiziert, die per SMB erreichbar sind.
Und die Fritten haben doch alle ein Gastnetz, oder nicht?

 

[Ganer]

Und die Fritten haben doch alle ein Gastnetz, oder nicht?

Du meinst IoT ins Gastnetz verlegen?

 

[plang.pl]

Ja. So habe ich es bei mir