Port Sicherheitsfrage

[jestpa]

Bitte steinigt mich nicht, aber ich habe eine Frage zur Sicherheit der NAS.

Ich benötige ab und wann von außen bestimmte Dienste. Auf der 214+ ist die Firewall entsprechend konfiguriert und aktiviert. Die entsprechenden, benötigten Ports am Router sind weitergeleitet.
Da ich bestimmte Dienste nur ab und wann benötige, habe ich mich gefragt ob es reicht, Portweiterleitung sowie Firewalleintrag "Aktiv" zu lassen und nur den
Dienst jeweils zu deaktivieren, wenn ich ihn nicht benötige bzw. dann zu aktivieren, wenn ich ihn benötige. Alles andere ist eine ständige Aktiviererei (An/Ausklicken) über die DSM-Webseite.

Wie seht ihr das aus der Sicherheitsperspektive?
Wenn z.B: Port 22 zwar weitergeleitet wird, aber nicht anspricht, dann kann doch auch nichts passieren, oder?

Sorry und Danke!

 

[raymond]

Generell gilt: so wenig wie möglich Ports von außen zugänglich machen und die URL (meistens eine DDNS-Adresse) nicht groß verbreiten. Ansonsten: http://www.synology-wiki.de/index.php/Grundsätzliches_zum_Thema_Netzwerksicherheit

Vorallem Automatische IP-Blockierung und gutes Passwort empfinde ich als sehr wichtig.

 

[picard_1983]

Richtig und wenn du Ports weiterleitest, dann am besten individuelle Ports. Wie zum Beispiel bei deinem Port 22. Im ROuter sollte also stehen: 12345 an 22.

Denke dir einen Port aus der an den Port 22 in deinem internen Netzwerk weitergeleitet ist. Die Ports werden kaum bzw. seltener gescannt.

 

[hopeless]

Dem von raymond möchte ich nur hinzufügen, das die Firewall auf dem Nas nur notwendig ist, wenn du Angriffe aus deinem eigenen Netz erwartest.
Normalerweise ist es sinnvoll, die Zugriffsmöglichkeiten an einer Stelle zu steuern und das ist in deinem Fall wohl eher die Portfreigabe in deinem Router. Wenn du die Ports ständig offen lässt, ist die Gefahr groß mal zu vergessen den Dienst dahinter zu beenden, oder dieser wird aus versehen mal gestartet.

Hier ist noch einmal eine Verständliche Erklärung zu Firewalls und Paketfilter:

http://www.pcwelt.de/ratgeber/Paketfilter_vs_Firewall_-_Netzverkehr_im_Detail-Sicherheit-8597542.html

 

[jahlives]

Richtig und wenn du Ports weiterleitest, dann am besten individuelle Ports. Wie zum Beispiel bei deinem Port 22. Im ROuter sollte also stehen: 12345 an 22.

das nennt sich Security through Obscurity und hat in dem Sinn nichts mit "echter" Sicherheit zu tun wie es ein "gutes" Passwort schafft. So ist ein schwaches SSH Passwort auf Port 12345 um Welten unsicherer als ein gutes Passwort auf SSH Port 22

 

[Matthieu]

@jahlives: Hilft aber mitunter gegen nervige Scans welche die Festplatten hochfahren
Ich nutze hohe Ports momentan recht erfolgreich zusammen mit dem WoL-Feature der Fritte um bei Bedarf auf die Daten zu kommen und doch etwas Energie zu sparen.

MfG Matthieu

PS: Sorry, war etwas OT

 

[jestpa]

Ja super, danke euch, damit habt ihr mir schon sehr geholfen!

Also würde das zusammengefasst heissen:

1. NAS Firewall deaktivieren. Im eigenen Netzt würde nur ich selbst mich angreifen...das mache ich eher seltener
2. Portweiterleitungen (hohe willkürliche Ports) auf bestehende NAS Ports einrichten.

Wenn ich euch richtig verstehe, dann lasst ihr die NAS Ports im Standard und regelt die Weiterleitungen über den Router, korrekt?
Nur SSH oder auch FTP/FTPS usw.?

Liebe Grüße
jens

 

[jahlives]

bevor du überhaupt daran denkst 2) zu machen: VIEL wichtiger ist ein sicheres Passwort wie von raymond geschrieben

1. sicheres Passwort
2. Autoblock aktivieren
3. Firewall deaktivieren (wobei ich sie aktiviert lassen würde)
4. gaanz viele andere Sachen
9999999. Portweiterleitungen (hohe willkürliche Ports) auf bestehende NAS Ports einrichten.

 

[jestpa]

OK - Check! Also mit SSH werde ich das auf alle Fälle jetzt erst mal machen, der wird nämlich echt sehr oft gescannt.

Aber mit dem höhergesetzten Port bzw. der Weiterleitung lasst ihr SSH dann dauerhaft aktiviert, ja?

 

[whitbread]

Mag sein, dass ich ein wenig paranoid bin, aber aktuell scheinen Angriffe vermehrt eben nicht nur mehr von sog. Script-Kiddies zu kommen...
Also ich würde die Firewall der NAS aktiviert lassen und nur Zugriffe aus DE erlauben.
Ich bin erst wieder online, seitdem ich meinen Consumer-Router durch nen professionell konfigurierbaren Router ersetzt habe. Dort habe ich Regeln für Port- Scanning, DoS und fehlerhafte Passworteingaben konfiguriert, ebenso wie eine blacklist bekannter Angriffs-IP's. Wesentlich daran finde ich, dass Du siehst, was passiert!
Statt mehrere Ports offen zu halten würde ich lediglich VPN-Zugriff erlauben - das ist für mich die sicherste Lösung ohne Einschränkung der Funktionalität, es sei denn ich bin hinter einer Firmen-Firewall o.ä.