Settings um Gerät mit wechselnder IP zuzulassen?

Kamikaze01

Benutzer
Mitglied seit
06. Dez 2020
Beiträge
201
Punkte für Reaktionen
40
Punkte
28
Hallo liebe Freunde von Synology :)

Meine DSM ist extern erreichbar.
Ich nutze jedoch zwingend HTTPS und keine Standard Ports. Bis jetzt gab es auch keinen einzigen Anmeldeversuch von irgendwelchen Bots oder dergleichen.

Soweit so gut.

Ich habe auch die Scharfschaltung bei 3 fehlerhafte Anmeldungen in 60 Min führt dies zum dauerhaften Ban der IP.
Mir ist aber klar, dass diese Hacker/Programme ihre IPs (und auch MAC Adressen) beliebig ändern können.

Ich würde nun gerne bewerkstelligen, dass nur bestimmte Geräte auf mein NAS zugreifen können.

Das lässt sich zwar mit einer Whitelist und bestimmten IPs bewerkstelligen.
Problem hierbei ist, dass zB mein Handy Provider mir ständig andere IPs gibt (den Range wollte er mir nicht beauskungten).

Meine konkrete Frage daher:
Gibt es eine Möglichkeit den Zugriff nur für bestimmte Geräte zuzulassen, auch wenn diese keine statische IP haben?

Vielen Dank :)
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Nein. So etwas löst man am besten über einen VPN-Zugang und den haben eben dann nur von Dir kontrollierte Clients.
 
Zuletzt bearbeitet:

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Ich glaube das würde schon gehen. Aber ich weiß nicht, ob es Updates überstehen würde :D
Da Synology einen Nginx nutzt, könnte man es bestimmt so konfigurieren, dass es mit MTLS arbeiten würde. Dann müsste man nur die Zertifikate überall importieren. Aber bis man das eingerichtet hat, hat man schon 50 mal Wiregaurd eingerichtet :D
 
  • Like
Reaktionen: Hagen2000

Kamikaze01

Benutzer
Mitglied seit
06. Dez 2020
Beiträge
201
Punkte für Reaktionen
40
Punkte
28
VPN hatte ich eine Zeit lang erfolgreich am Laufen.
Aber da ich auch gelegentlich vom Browser in der Firma auf mein NAS zugreifen möchte, wurde mir das mit der Zeit zu mühsam, jedes Mal via VPN auf meinen Router zu gehen, nur um dann die Ports vorübergehend zu öffnen...

Naja... ich denke, dann bleibe ich bei "normalen" TLS uns meinen unstandardisierten Ports :)
Wie gesagt... bis jetzt ohnehin alles ruhig und keine "Versuche" rein zu kommen.

Aber danke auf alle Fälle für die Auskunft.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
kannst doch acuh beides machen?
Machst für dein Handy ein VPN , und dann machst ne Portfreigabe die nur für die IPs deiner Firma gelten.
Die Firma wird ja ne Feste IP haben.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Und nutze nur den Port 443 und manage die Ports über Subdomains, Stichpunkt Anmeldeportal ->Proxyserver.
 

Anhänge

  • 1727161094643.png
    1727161094643.png
    180 KB · Aufrufe: 11
  • Like
Reaktionen: Kamikaze01

Kamikaze01

Benutzer
Mitglied seit
06. Dez 2020
Beiträge
201
Punkte für Reaktionen
40
Punkte
28
Ich habe folgende Dinge zu meiner Sicherheit eingestellt:
(vielleicht sollte man das in einem eigenen Beitrag für alle Neulinge einmal sauber auflisten und erklären?)

-) keine Standartports
-) ausschließlich HTTPS (erzwungen)
-) auch am Router nur eine einzige Port Weiterleitung auf den HTTPS Port.
-) admin und Gast Konto deaktiviert
-) 2FA für alle Konten der admin Gruppe
-) 3 fehlerhafte Anmeldungen innerhalb 60 Min führt zu dauerhaftem Ban der IP
-) Update der bekannten Blacklisten anhand eines Script (https://github.com/hasunwoo/synology-ip-blacklist/)
-) jeden gewünschten Service über einen eigenen reversed Proxy mit Zertifikat für die URL
-) Firewall am NAS erlaubt nur bestimmte Services und das nur aus meinem Land (Geoblocking)

habe ich wo Fehler?
Gibt es noch etwas um meine Türe noch dicker zu machen? :cool:

/edit: danke @metalworker Ich habe die Liste um das Geoblocking erweitert.
 
Zuletzt bearbeitet:

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Dazu würde ich noch nen Geoblock machen.

Ansonsten bist schon ganz gut dabei
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Wenn man weniger Besucher will, dann sollte man sich ein Wildcard Zertifikat verwenden. Wenn du für jeden Dienst ein eigenes Zertifikat beantragst, dann kann man unter https://crt.sh direkt die Domain finden. Wenn man das als Bot parsed, dann hat man eine gute Liste mit Diensten die man abklappern könnte. Vor allem wenn man dann noch sowas wie dienstname.example.de macht. Dann weiß man auch direkt was dahinter steckt und wo man den findet. Mit einem Wildcard Zertifikat geht das halt nicht, weil da sieht man nicht was existiert.
Und dazu noch Crowdsec nutzen, dann wird auch HTTP Probing direkt mit einem Ban versehen + die Liste der bekannten IPs ist direkt gebannt.
 
  • Like
Reaktionen: ctrlaltdelete

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Eingangs hattest Du ja noch die Frage nach den IP-Adressen deines Mobilfunkproviders aufgeworfen. Aber das skaliert meines Erachtens nicht, denn was machst Du im Ausland, wenn Du aufgrund von Roaming in irgendeinem fremden Netz bist? Oder im WLAN bei Freunden / eines Hotels? Ganz zu schweigen davon, falls Du den Zugriff auch mal über IPv6 lösen willst bzw. musst.

VPN und auch MTLS erfordern jeweils die Installation einer Software bzw. eines Zertifikats auf dem Endgerät (Browser), das Du benutzen möchtest. Das dürfte bei fremden Geräten oder Firmengeräten schwierig werden, denn in der Regel wird Dir das der Eigentümer nicht gestatten.

Den VPN-Tunnel nur zu benutzen, um das Port-Forwarding auf dem Router bei Bedarf ein- und auszuschalten halte ich für sehr aufwändig (ich denke, dass ist die Vorgehensweise, die Du in #4 beschrieben hattest bzw. @metalworker in #5 angeregt hatte).

Dein Maßnahmenkatalog erscheint mir schon ganz ausgeklügelt.
 
  • Like
Reaktionen: Kamikaze01

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
@Hellraiser123 Was ist crowdsec, bzw. wie nutze ich das auf einer DS?
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Crowdsec ist eine Software die von allen Leute die es einsetzen die Daten auswerten. Also von den Besuchern. Du installierst es bei dir und kannst bestimmte Regeln aktivieren worauf es achten soll. Wenn ich jetzt z.B. bei mir HTTP Probing verbiete und ein Bot kommt vorbei (der noch nicht von anderen gemeldet wurde) dann wird das erkannt und die IP wird gebannt. Wenn du es bei dir auch installiert hast und der selbe Bot kommt zu dir, dann ist er bei dir direkt gebannt. Quasi wie Fail2Ban, nur dass es nicht nur auf Logins reagiert sondern man auf alles mögliche prüfen kann. Es gibt da auch so genannte Bouncer, das ist etwas was du zusätzlich installieren musst. Also zum Beispiel für Nginx, der setzt dann diese Bans um. Oder es gibt auch einen Bouncer der die Bans mit Iptables umsetzt, oder einen für Caddy usw.
Wie man das mit der DS umsetzt.... Gute Frage. Da es ein Nginx ist müsste es funktionieren, aber ob es ein Update übersteht weiß ich nicht. Ich nutze das mit Caddy als Reverse Proxy. Crowdsec gibt es als Docker Container https://hub.docker.com/r/crowdsecurity/crowdsec, das würde auf der DS ohne Probleme laufen. Aber wo man welche Config in DS genau anpassen muss weiß ich nicht. Ich nutze und habe auch nie wirklich den Reverse Proxy der DS benutzt, weil er mir zu eingeschränkt ist.
 
  • Love
Reaktionen: ctrlaltdelete

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194

Kamikaze01

Benutzer
Mitglied seit
06. Dez 2020
Beiträge
201
Punkte für Reaktionen
40
Punkte
28
Stell dir eine "echte" Hardware-Firewall hin.
auch ne Überlegung wert...
ich habe noch einen alten Raspberry Pi4 rumliegen. Vielleicht spiele ich mich mal ein bisschen damit.
Was genau wäre der "Benefit" davon? Was ist an der Hardware-Firewall besser/sicherer als an der Software-Firewall?
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Auf einem Raspi kannst du leider kein pfSense oder openSense installieren.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Sehr gerne. Ich bin nur leider kein guter Erklärbär :D Da frag ich mich immer, ob es verständlich ist was probier zu erklären :)
Und wegen Caddy. Ich kann es nur empfehlen. Caddy ist in paar Minuten installiert und eingerichtet. Um Zertifikate kümmert er sich auch selber. Also muss man da sich nie wieder drum kümmern und man hat eine viel schlankere und leserlichere Config. Mein Caddyfile liegt in einem Git Repo und beim Push wird die config automatisch an meine zwei Caddyserver verteilt.
 
  • Like
Reaktionen: ctrlaltdelete

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
auch ne Überlegung wert...
ich habe noch einen alten Raspberry Pi4 rumliegen. Vielleicht spiele ich mich mal ein bisschen damit.
Was genau wäre der "Benefit" davon? Was ist an der Hardware-Firewall besser/sicherer als an der Software-Firewall?

Hänge dich mal nicht an dem Wort Hardwarefirewall auf .
Software ist das alles .

Gemeint ist damit in der Regel eine einzele Büchse . Die auch wirklich nur Firewall spielt ( und so nen kleinzeug wie DHCP , DNS ,, Proxy , VPN )
Mit nem Raspi kommst da nicht weit.
2 Lan Ports sollten es mindestens sein.
 
  • Like
Reaktionen: Kamikaze01

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
@Hellraiser123 ich nutze noch den Synology Proxy und acme.sh für die Certs. Ich hatte mal proxy nginx manager ausprobiert, den fand ich so semi toll.
Wie gesagt ein schönes Projekt für Weihnachten, aber dann auf einem Thin Client mit Proxmox, meine Conatiner und VMs werden umziehen, obwohl meine DS920+ echt top performt mit 30 Containern, Ubuntu VM (nur VMS) und Win2022Server, allerdings ist der RAM immer zu 60-70% ausgelastet, habe ja leider nur 20 GB.
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Bei mir läuft Caddy in einer VM mit crowdsec zusammen ohne Docker. Auch auf einem thin Client. Eine zweite Instanz läuft auf einem anderen thin Client, falls mal der Hauptserver neu starten muss oder Wartung ansteht
 
  • Love
Reaktionen: ctrlaltdelete


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat