Synology Firewall Geo Blocker Geolocation aktivieren?

synuser12

Benutzer
Mitglied seit
08. Apr 2015
Beiträge
68
Punkte für Reaktionen
2
Punkte
8
Hallo,

ist es eine gute Idee die Synology Firewall zu aktivieren?
Um dann den Geolocation Geoblocker in der Synology Firewall zu aktivieren?
Es geht mir nur darum, möglichst viele Tür zuzumachen.

Es soll WebDAV von aussen ohne VPN genutzt werden. (windows notebook)

Die Synology steht hinter einer Fritzbox.
Sonstige Synology Routerfunktionen werden nicht benötigt/sind nicht aktiviert.

In der Fritzbox werden dann diese Ports zur Synology weitergeleitet: (wobei http Port ggf. entfält)

Es wird ein Letz-Encrypt Zertifikat von Synology verwendet.

5000TCP
5001TCP
5005TCP
5006TCP
5015TCP
80TCP
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Warum leitest du den Port 5000/5001 weiter, wenn du nur WebDAV nutzen willst?
Mach die Ports zu!
Ansonsten ja, ich würde Geoblocking nutzen. Zudem noch ein IP-Blockscript einsetzen:
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
WebDav gehört zu den wellknown Ports die in jeder Scanliste stehen.
Von daher würde ich vorzugsweise nur einen Reverseproxy nutzen oder zumindest den Port für WebDav (HTTPS) in einen hohen 5-stelligen Bereich verlegen.
Unverschlüsselte Ports nach Aussen zu öffnen ist grob fahrlässig!
 

synuser12

Benutzer
Mitglied seit
08. Apr 2015
Beiträge
68
Punkte für Reaktionen
2
Punkte
8
wie sollen die iPhone unterwegs via webdav zugreifen?

Vorschlag: via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?
Ich kenne keine Webdav Funktion für Android oder iPhone.
 

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
863
Punkte für Reaktionen
298
Punkte
89
Zum Beispiel in der App "Dateien" (vom iOS vorinstalliert) den Server anlegen mit https://webdav.example.com:5006 als Serveradresse samt deinen Credentials und schon kannst du via WebDAV darauf zugreifen.

(5006 - hier die Standardport, bitte sie nach außen hin ändern, da WebDAV ein gern gesehenes Attack-Ziel ist).
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134

Laola1

Benutzer
Mitglied seit
21. Mrz 2018
Beiträge
286
Punkte für Reaktionen
170
Punkte
99
Meine Firewall sieht so aus, ziemlich einfach aber effektiv.
Ich komme im lokalen Netzwerk an alles dran,
Österreich und Deutschland auch,
Der Rest der Welt ist tot, sprich über 95% sind weg.

Ich habe 0-5 Admin-Loginversuche pro Monat von extern seit dieser Einstellung.

1713859145151.png
 
  • Like
Reaktionen: Kachelkaiser

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
Bitte auch daran denken, dass fast alle Lets Encrypt Server in den USA stehen. Wer also irgendwelche LE-Zertifikate darüber anlegen/verlängern will, muss da noch etwas mehr zulassen. Bei LE gibt es eine Liste der Server.
 
  • Like
Reaktionen: Benie

Laola1

Benutzer
Mitglied seit
21. Mrz 2018
Beiträge
286
Punkte für Reaktionen
170
Punkte
99
guter Einwand, werde ich beobachten, aktuell sind meine Zertifikate noch alle gültig

1713860245821.png
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
Zertifikate für quickconnect.to und synology.me brauchen keine geöffneten Ports, da läuft die Verlängerung anders als bei LE direkt.
 
  • Like
Reaktionen: Benie

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?
Eben nicht. Kann man machen, aber das ist dann kein WebDAV. Du musst erstmal klar definieren, was du willst. Wenn du DS File und nicht WebDAV nutzen willst, kannst du der FileStation im Anmeldeportal einen separaten Port verpassen im hohen fünfstelligen Bereich. Den gibst du dann frei. Somit kommt man von extern "nur" auf die FileStation und nicht auf das Admin-Interface des DSM. Selbiges könntest du mit WebDAV tun (der WebDAV Server hat bereits per default nen anderen Port; den könnte man aber auch verlegen). Gehen tut beides. Und nichts erfordert das Exposen des DSM-Ports ins Netz
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!
 

Laola1

Benutzer
Mitglied seit
21. Mrz 2018
Beiträge
286
Punkte für Reaktionen
170
Punkte
99
Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!
Du hast natürlich recht, es ist eher die Holzhammer Methode.
Aber ich entledige mich hiermit bereits 95% der möglichen Angreifer überhaupt,
es ist immer noch besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.
 

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
863
Punkte für Reaktionen
298
Punkte
89
besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.
Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist. :)

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast? :D
 

Laola1

Benutzer
Mitglied seit
21. Mrz 2018
Beiträge
286
Punkte für Reaktionen
170
Punkte
99
Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist. :)

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast? :D
Nanu, warum so persönlich?

Die DS hängt doch nicht offen an einem Modem, oder steht auf DMZ.
Sie befindet sich hinter einem Router ohne automatischen Freigaben, mit wenigen geöffneten Ports.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
?????
Laut deiner Firewall hängt deine DS hinter einem Router und hat alle Ports für D und A offen!
Sicherheit = Null, du hast nur Auslandszugriffe weitestgehend blockiert, keine Ports, keine IPs, Null!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.138
Punkte
194
ich denke Laola1 meinte da er in seinem Router keinen Exposed Host auf die Synology eingerichtet hat .
Und dort nur die wichtigen Ports weitergeleitet hat .
 
  • Like
Reaktionen: Laola1


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat