Settings um Gerät mit wechselnder IP zuzulassen?

[Kamikaze01]

Hallo liebe Freunde von Synology

Meine DSM ist extern erreichbar.
Ich nutze jedoch zwingend HTTPS und keine Standard Ports. Bis jetzt gab es auch keinen einzigen Anmeldeversuch von irgendwelchen Bots oder dergleichen.

Soweit so gut.

Ich habe auch die Scharfschaltung bei 3 fehlerhafte Anmeldungen in 60 Min führt dies zum dauerhaften Ban der IP.
Mir ist aber klar, dass diese Hacker/Programme ihre IPs (und auch MAC Adressen) beliebig ändern können.

Ich würde nun gerne bewerkstelligen, dass nur bestimmte Geräte auf mein NAS zugreifen können.

Das lässt sich zwar mit einer Whitelist und bestimmten IPs bewerkstelligen.
Problem hierbei ist, dass zB mein Handy Provider mir ständig andere IPs gibt (den Range wollte er mir nicht beauskungten).

Meine konkrete Frage daher:
Gibt es eine Möglichkeit den Zugriff nur für bestimmte Geräte zuzulassen, auch wenn diese keine statische IP haben?

Vielen Dank

 

[Hagen2000]

Nein. So etwas löst man am besten über einen VPN-Zugang und den haben eben dann nur von Dir kontrollierte Clients.

 

[Hellraiser123]

Ich glaube das würde schon gehen. Aber ich weiß nicht, ob es Updates überstehen würde
Da Synology einen Nginx nutzt, könnte man es bestimmt so konfigurieren, dass es mit MTLS arbeiten würde. Dann müsste man nur die Zertifikate überall importieren. Aber bis man das eingerichtet hat, hat man schon 50 mal Wiregaurd eingerichtet

 

[Kamikaze01]

VPN hatte ich eine Zeit lang erfolgreich am Laufen.
Aber da ich auch gelegentlich vom Browser in der Firma auf mein NAS zugreifen möchte, wurde mir das mit der Zeit zu mühsam, jedes Mal via VPN auf meinen Router zu gehen, nur um dann die Ports vorübergehend zu öffnen...

Naja... ich denke, dann bleibe ich bei "normalen" TLS uns meinen unstandardisierten Ports
Wie gesagt... bis jetzt ohnehin alles ruhig und keine "Versuche" rein zu kommen.

Aber danke auf alle Fälle für die Auskunft.

 

[metalworker]

kannst doch acuh beides machen?
Machst für dein Handy ein VPN , und dann machst ne Portfreigabe die nur für die IPs deiner Firma gelten.
Die Firma wird ja ne Feste IP haben.

 

[ctrlaltdelete]

Und nutze nur den Port 443 und manage die Ports über Subdomains, Stichpunkt Anmeldeportal ->Proxyserver.

 

[Kamikaze01]

Ich habe folgende Dinge zu meiner Sicherheit eingestellt:
(vielleicht sollte man das in einem eigenen Beitrag für alle Neulinge einmal sauber auflisten und erklären?)

-) keine Standartports
-) ausschließlich HTTPS (erzwungen)
-) auch am Router nur eine einzige Port Weiterleitung auf den HTTPS Port.
-) admin und Gast Konto deaktiviert
-) 2FA für alle Konten der admin Gruppe
-) 3 fehlerhafte Anmeldungen innerhalb 60 Min führt zu dauerhaftem Ban der IP
-) Update der bekannten Blacklisten anhand eines Script (https://github.com/hasunwoo/synology-ip-blacklist/)
-) jeden gewünschten Service über einen eigenen reversed Proxy mit Zertifikat für die URL
-) Firewall am NAS erlaubt nur bestimmte Services und das nur aus meinem Land (Geoblocking)

habe ich wo Fehler?
Gibt es noch etwas um meine Türe noch dicker zu machen?

/edit: danke @metalworker Ich habe die Liste um das Geoblocking erweitert.

 

[metalworker]

Dazu würde ich noch nen Geoblock machen.

Ansonsten bist schon ganz gut dabei

 

[Hellraiser123]

Wenn man weniger Besucher will, dann sollte man sich ein Wildcard Zertifikat verwenden. Wenn du für jeden Dienst ein eigenes Zertifikat beantragst, dann kann man unter https://crt.sh direkt die Domain finden. Wenn man das als Bot parsed, dann hat man eine gute Liste mit Diensten die man abklappern könnte. Vor allem wenn man dann noch sowas wie dienstname.example.de macht. Dann weiß man auch direkt was dahinter steckt und wo man den findet. Mit einem Wildcard Zertifikat geht das halt nicht, weil da sieht man nicht was existiert.
Und dazu noch Crowdsec nutzen, dann wird auch HTTP Probing direkt mit einem Ban versehen + die Liste der bekannten IPs ist direkt gebannt.

 

[Hagen2000]

Eingangs hattest Du ja noch die Frage nach den IP-Adressen deines Mobilfunkproviders aufgeworfen. Aber das skaliert meines Erachtens nicht, denn was machst Du im Ausland, wenn Du aufgrund von Roaming in irgendeinem fremden Netz bist? Oder im WLAN bei Freunden / eines Hotels? Ganz zu schweigen davon, falls Du den Zugriff auch mal über IPv6 lösen willst bzw. musst.

VPN und auch MTLS erfordern jeweils die Installation einer Software bzw. eines Zertifikats auf dem Endgerät (Browser), das Du benutzen möchtest. Das dürfte bei fremden Geräten oder Firmengeräten schwierig werden, denn in der Regel wird Dir das der Eigentümer nicht gestatten.

Den VPN-Tunnel nur zu benutzen, um das Port-Forwarding auf dem Router bei Bedarf ein- und auszuschalten halte ich für sehr aufwändig (ich denke, dass ist die Vorgehensweise, die Du in #4 beschrieben hattest bzw. @metalworker in #5 angeregt hatte).

Dein Maßnahmenkatalog erscheint mir schon ganz ausgeklügelt.

 

[ctrlaltdelete]

@Hellraiser123 Was ist crowdsec, bzw. wie nutze ich das auf einer DS?

 

[Hellraiser123]

Crowdsec ist eine Software die von allen Leute die es einsetzen die Daten auswerten. Also von den Besuchern. Du installierst es bei dir und kannst bestimmte Regeln aktivieren worauf es achten soll. Wenn ich jetzt z.B. bei mir HTTP Probing verbiete und ein Bot kommt vorbei (der noch nicht von anderen gemeldet wurde) dann wird das erkannt und die IP wird gebannt. Wenn du es bei dir auch installiert hast und der selbe Bot kommt zu dir, dann ist er bei dir direkt gebannt. Quasi wie Fail2Ban, nur dass es nicht nur auf Logins reagiert sondern man auf alles mögliche prüfen kann. Es gibt da auch so genannte Bouncer, das ist etwas was du zusätzlich installieren musst. Also zum Beispiel für Nginx, der setzt dann diese Bans um. Oder es gibt auch einen Bouncer der die Bans mit Iptables umsetzt, oder einen für Caddy usw.
Wie man das mit der DS umsetzt.... Gute Frage. Da es ein Nginx ist müsste es funktionieren, aber ob es ein Update übersteht weiß ich nicht. Ich nutze das mit Caddy als Reverse Proxy. Crowdsec gibt es als Docker Container https://hub.docker.com/r/crowdsecurity/crowdsec, das würde auf der DS ohne Probleme laufen. Aber wo man welche Config in DS genau anpassen muss weiß ich nicht. Ich nutze und habe auch nie wirklich den Reverse Proxy der DS benutzt, weil er mir zu eingeschränkt ist.

 

[Ulfhednir]

Gibt es noch etwas um meine Türe noch dicker zu machen?

Stell dir eine "echte" Hardware-Firewall hin.

 

[Kamikaze01]

Stell dir eine "echte" Hardware-Firewall hin.

auch ne Überlegung wert...
ich habe noch einen alten Raspberry Pi4 rumliegen. Vielleicht spiele ich mich mal ein bisschen damit.
Was genau wäre der "Benefit" davon? Was ist an der Hardware-Firewall besser/sicherer als an der Software-Firewall?

 

[Hellraiser123]

Auf einem Raspi kannst du leider kein pfSense oder openSense installieren.

 

[ctrlaltdelete]

Caddy als Reverse Proxy

Und schon wieder eine neue Baustelle, aber zu Weihnachten. Vielen herzlichen Dank für deine ausführliche Erläuterung, echt perfekt und verständlich!

 

[Hellraiser123]

Sehr gerne. Ich bin nur leider kein guter Erklärbär Da frag ich mich immer, ob es verständlich ist was probier zu erklären
Und wegen Caddy. Ich kann es nur empfehlen. Caddy ist in paar Minuten installiert und eingerichtet. Um Zertifikate kümmert er sich auch selber. Also muss man da sich nie wieder drum kümmern und man hat eine viel schlankere und leserlichere Config. Mein Caddyfile liegt in einem Git Repo und beim Push wird die config automatisch an meine zwei Caddyserver verteilt.

 

[metalworker]

auch ne Überlegung wert...
ich habe noch einen alten Raspberry Pi4 rumliegen. Vielleicht spiele ich mich mal ein bisschen damit.
Was genau wäre der "Benefit" davon? Was ist an der Hardware-Firewall besser/sicherer als an der Software-Firewall?

Hänge dich mal nicht an dem Wort Hardwarefirewall auf .
Software ist das alles .

Gemeint ist damit in der Regel eine einzele Büchse . Die auch wirklich nur Firewall spielt ( und so nen kleinzeug wie DHCP , DNS ,, Proxy , VPN )
Mit nem Raspi kommst da nicht weit.
2 Lan Ports sollten es mindestens sein.

 

[ctrlaltdelete]

@Hellraiser123 ich nutze noch den Synology Proxy und acme.sh für die Certs. Ich hatte mal proxy nginx manager ausprobiert, den fand ich so semi toll.
Wie gesagt ein schönes Projekt für Weihnachten, aber dann auf einem Thin Client mit Proxmox, meine Conatiner und VMs werden umziehen, obwohl meine DS920+ echt top performt mit 30 Containern, Ubuntu VM (nur VMS) und Win2022Server, allerdings ist der RAM immer zu 60-70% ausgelastet, habe ja leider nur 20 GB.

 

[Hellraiser123]

Bei mir läuft Caddy in einer VM mit crowdsec zusammen ohne Docker. Auch auf einem thin Client. Eine zweite Instanz läuft auf einem anderen thin Client, falls mal der Hauptserver neu starten muss oder Wartung ansteht