Security Setup, Firewall, Blockierung etc.

[mcm57]

Hi
Zuerst mal die Frage in welches Subforum Security Threads eigentlcih gehören. So richtig passend scheint kein Subforum zu sein - daher mein Post mal hier.

Ich hätte einige Fragen zur Abhärtung der Synology die hier sicher benatworter werden können. Falls das schon wo steht (- mit Suche hab ich nix Treffendes gefunden -) bitte nur um Link. Danke.

a) Login Fehler
Kann ich eine Mail / App Nachricht erhalten wenn sich jemand einlogged und/oder wenn ein Login schief geht?

b) Blockierung
Die Blockierung von IP Addressen bei Loginfehlern verstehe ich ja - glaub ich zumindest: Loginversuche von IP w.x.y.z führen im Fehlerfall dazu dass jeder weiter Loginversuch von w.x.y.z blockiert werden - egal auf welchen Account.
Was mir aber unklar ist was denn nun der Kontoschutz ist. Insbesondere was der unterschied zwischen Vertrauenswürdigen Clients und nicht Vertrauenswürdigen Clients ist. Ich gehe davon aus, dass hier das Konto user1 gesperrt wird. Einloggen mit anderem Account aber ginge. ABer wo stell ich ein welcher Cleint nurn Vertrauenswürdig ist und welcher nicht ?

c) Firewall
Wenn ich in der Firewall Zugriffe sperre besteh immer die Möglichkeit, dass ich mich vollständig aussperre; dass ich auch vom lokalen Netzwerk aus keine Verbindung mehr aufbauen kann. Welche Möglichkeit gibt es die zu resetten ohne die gesammte DS platt zu machen. Löscht ein "Knöpfchenreset" die Firewall? Oder ... ?

Danke für Infos
McM

 

[blurrrr]

Du sprichst von einem NAS und Privatleuten.... Vergiss also den ganzen Rest

a) jo, siehe DSM Benachrichtungen (da gibts sogar eine ganze Menge)
b) Authorisierungen von Clients werden (je nachdem, nutze den Kram nicht) meist mit einer zusätzlichen Software vereinbart, welche dann mit zusätzlichem Passwort und/oder Zertifikat daher kommt, etc. Möglichkeiten gibt es da viele, grundsätzlich geht es in erster Linie den Client als "vertrauenswürdig" einzustufen. (somit könnte man z.B. auch erfolgreiche Logins von nicht authorisierten Clients direkt ablehnen (obwohl sie korrekt wären)).
c) Der einfache Reset, setzt meine ich auch die FW zurück. Aber damit es nicht so weit kommt, 1. Regel: immer Du selbst

 

[mcm57]

> ad a) jo, siehe DSM Benachrichtungen (da gibts sogar eine ganze Menge)

Sorry, wenn ich nochmals nachfrage. Entweder hat mir jemand auf meinen NAS (DS1019) den Eintrag gestohlen oder ich bin blind
Unter Systemsteuerung - Benachrichtigung - erweitert habe ich keine passenden Eintrag gefunden. Ich habe daher in der Kopfzeile bei Mail, Mobil und CMS das Häckchen aktiviert (= alle Elemente aktivieren). Nur - wenn ich mich versuche mit beliebigen unsinnigen Daten am GUI anzumelden bekomm ich keine Mail, keine APP Nachricht ... (Ich bekomm aber tonnen von Meldungen von Backuptasks, Disktests, ... - mailing funktioniert also)
Kann irgendwer konkret bestätigen dass beim Versuch mit falschne Daten einzuloggen eine Mail kommt?

> ad b)
Sorry, ich versteh hier Bahnhof. Was ist mit Cleint eigentlich gemeint? Ein konkreter PC mit SMB? Ein Browsertyp ? Eine App wie HyperBackup ?

> ad c)
Tja - das man eine Top Rule macht die einem selbst Zugriff gibt ist klar. Aber auch bei der kann man sich vertippen . Daher die Frage ob es einen Noteingang gibt mit dem man (in Verbindung mit physikalischem Zugriff) wieder an der Syste ran kann. Wär halt beruhigend.

McM

 

[NSFH]

Man kann sich nicht mehr aussperren. Die Syno verweigert derartige Einstellungen.
Von daher teste es selber aus was du mit der Firewall erreichen willst.

 

[blurrrr]

Man kann sich nicht mehr aussperren.

Oh, ..."schade"... War denen wohl das Support-Aufkommen zu hoch...?

@ a) Wäre schon blöd, wenn Du Dich aussperrst, aber eine Mail kannst Du bei gesperrter IP schon bekommen. Musst es halt erstmal schaffen Dich auszusperren (ggf. von aussen mit dem Handy und dann auch erstmal die Schwelle knacken ).

@ b) "Client" ist jedwede Art von Zugriffsgerät (PC, Handy, Tablet, was auch immer)... Der "Server" stellt die Dienste bereit, der "Client" greift auf diese Dienste zu

@ c) Vertippen sollte man bei sich bei Firewall-Regeln generell nicht... Gibt halt ein etabliertes Konzept dafür, welches hier auch schon etliche male erwähnt wurde:

a) Erste: Anti-Lockout-Rule (erlaube Dir selbst den Zugriff)
b) .... (Deine gewünschten Regeln
c) Letzte: Cleanup-Rule (verbiete alles)

Regelsets werden von oben nach unten abgearbeitet... Somit ist Dir jederzeit der Zugriff gewährt, danach greifen Deine gewünschten Regeln und alles was vorher nicht explizit erlaubt wurde, wird mit der letzten Regel weggefegt. Die Syno handhabt das alles ein wenig anders (auch mit den Auswahlbuttons unter den eigentlichen Regeln) und wie @NSFH schon sagte, kann man sich wohl nicht mehr selbst aussperren (was ich persönlich ja schon etwas komisch finde), von daher ist das o.g. Konstrukt eher als "allgemeingültig" zu deklarieren