Synology ds923+ und virtuelle Firewall

[spaceball]

Vieles ist durchaus eine Glaubensfrage.

Und das sind ja nur vorschläge und denkanstöße .

Mir selbst würden sich die Fußnägel hochkringeln wenn ich die Firewall auf meinem NAS laufen hätte.
Ich hab aber auch getrennte VLANS und nehme da die Sicherheit sehr ernst.

Wenn du aber für das entspannter siehst ist das deswegen nicht falsch.



Ist wie bei vielen in der eine IT eine abschätzung von Kosten , Geld und Komfort

Mich stört einfach, wenn "Leute" nur argumentieren mit "ich würde das nicht tun".
Ich habe beruflich sehr viel mit großen, virtualisierten Umgebungen zu tun. Es ist doch primär eine Sache der Absicherung virtueller und physischer Komponenten zueinander. Wenn Last nicht das Thema ist und wenn ausgeschlossen werden kann, dass man von einer virtuellen Umgebung auf die zugrundeliegende Physik ausbrechen kann, spielen Unterscheidung von Prod zu Test Umgebung oder auch Priorität der einzelnen Komponenten bezogen auf die gesamte Umgebung eine viel entscheidendere Rolle.
Bisher konnte mir -außer den Argumenten der zu betrachtenden Systemlast und der "sicheren Transportwege" (Netzwerk)- hier niemand wirklich Argumente nennen, warum man das nicht machen darf (oder sollte). Es geht hier also viel zu schnell um persönliche Geschmäcker, Vorlieben voreingenommene Meinungen, diese drei Faktoren helfen mir aber nicht, das sachlich und unter Wahrung des tatsächlichen Anwendungsfalls zu bewerten. Es geht hier ja letztendlich um eine Umsetzung im Privathaushalt, Und ja, natürlich spielt Stabilität da eine Rolle, aber im Vordergrund stand die Vorgabe, möglichst mit vorhandenen Komponenten eine technische Lösung zu finden. Und ich wollte anfangs nicht zwingend wieder einen weiteren Verbraucher in der Steckdose haben.

 

[metalworker]

Warum stört dich das denn ?
Ist doch normal das nicht alle da gleiche Anforderungen haben und auch andere wege gehen.

Und ausgeschlossen werden kann es leider nicht das man da ausbrechen kann.
Im Privaten bereich ist da sicher die Gefahr eher niedrig das sich da nen Angreifer so viel mühe macht.


Und dir wurde ja auch gesagt das es mit dem VMM und dem "durchreichen" von den Ports kniffelig werden kann.


Aber was genau willst denn da nun ?
Wenn es dir darum geht um zu testen wo die Grenzen sind, dann probiere es doch aus.

 

[Jim_OS]

Wenn dann aber jemand schreibt, dass aufgrund der Anschaffung eines NUC PC's "das Kind ja schon wieder in den Brunnen gefallen ist", dann doch wohl nur, weil ich nicht seine persönliche Vorliebe für eine Firewall-Bodenblech getroffen habe. Das finde ich wenig hilfreich und am Thema vorbei.

Da ich das ja geschrieben habe: Du hast aber schon mitbekommen das ich @metalworker zitiert habe und seinen Vorschlag lieber einen Mini PC mit 4 NICs zu kaufen. Da Du allerdings geschrieben hattest das Du bereits einen NUC bestellt hast, habe ich dann @metalworker geschrieben das das Kind vermutlich schon in den Brunnen gefallen ist. Was ist daran falsch? Außerdem habe ich geschrieben das ich auch erst einen NUC hatte und den dann durch einen Fujitsu SFF-PC ersetzt habe, eben weil ich 4 NICs haben wollte. Was ist daran falsch? D.h. ich habe lediglich darauf hingewiesen das man in einen NUC keine 4 NICs einbauen kann und dieser Umstand könnte für andere User ggf. und evtl. hilfreich sein, wenn es darum geht z.B. eine Basis für eine Hardware-Firewall, oder auch z.B. Proxmox zu finden. Was Du wo und wie installierst und was Du ggf. für persönliche Vorlieben hast, ist mir im Prinzip vollkommen egal. Ich habe mit keinem Wort in Frage gestellt was Du wo und wie installieren willst und/oder ob eine Virtualisierung einer Firewall irgendwelche Vor- oder Nachteile hat.

VG Jim

 

[Ronny1978]

Wenn ich ein NAS habe und das bei weitem mit seinen Aufgaben nicht ausgelastet ist, spricht absolut nichts dagegen die Hardware mit Virtualisierten Umgebungen und ein paar Docker-Containern zusätzlich zu betrauen

Auslastung und Sicherheit haben aber nicht unbedingt was mit einer einander zu tun, Es ist auch nur ein gut gemeinter Rat. Die DS kann das unter Umständen schon. Aber wenn die Firewall nicht korrekt konfiguriert ist, kommt man evtl. auch ganz "ungebetenen" Besuch, der dann vielleicht auch Zugriff auf das NAS hat.

Entscheiden musst du es natürlich selbst. Es ist auch was anderen ob man Container/VMs wie Unifi, Linux, Nextcloud usw. mal probiert oder eine Firewall. Aber noch einmal: Entscheiden muss du selbst. Bedenke bitte auch auch, dass kleine MiniPC meist auch stromsparende sind, wie wenn die DS "immer" auf Anschlag läuft. Die Festplatten bekommen durch die VM (Logs) auch Dauerbeschuss von der Firewall und das Netzwerk wird auch bedeutend höher ausgelastet sind, so das dann evtl. Anwendungen wie HA, Unifi, Nextcloud, sind dann "hinten" anstellen müssen. Nur auch hier noch einmal als Punkt zum Bedenken.

Ein Mini PC ist darauf ausgerichtet und macht NICHTS anderes als "Firewall". Wir meinen es nur gut.

 

[spaceball]

Danke, mit dieser Antwort kann ich sehr gut umgehen

 

[stulpinger]

Danke, mit dieser Antwort kann ich sehr gut umgehen

Gefällt mir, hatte auf meinen Synos wirklich fast alles am Laufen, inzwischen zum Datenhafen "degradiert"
hatte auch Syno-Router im Einsatz, ganz ok, inzwischen opnSense nach dem Modem, Geo-Blocking aktiviert und es war/ist Ruhe bzgl. irgendwelchen Zugriffsversuchen, und ja in Österreich ist es etwas ruhiger, als in D bzgl. "xxx" hat versucht sich anzumelden

LG C

 

[Ronny1978]

inzwischen opnSense nach dem Modem, Geo-Blocking aktiviert und es war/ist Ruhe bzgl. irgendwelchen Zugriffsversuchen

. Habe ich genauso + Crowdsec statt Suricata, weil das Suricata Modul auf der OpnSense immer wieder zu Problemen geführt hat.