Synology Synology NAS Ds218+ Internetverkehr komplett sperren bis auf Updates

Daniel Albert

Benutzer
Mitglied seit
18. Nov 2013
Beiträge
534
Punkte für Reaktionen
3
Punkte
33
Hallo, ich versende eine DS218+ nur für Backups aller Laptops und Computer. Die Updates werden nur erstellt wenn sich die Geräte auch im Netz befinden. Ich versende dafür Active Backup for Business. Nun würde ich gern den Internetzugang soweit begrenzen, dass nur due DSM Updates gefahren werden können mehr nicht. Ich möchte damit die Backups schützen. Macht das Sinn und wenn ja wie mache ich das ?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.832
Punkte für Reaktionen
3.770
Punkte
468
Nimm einfach das Default-Gateway bei den Netzwerkeinstellungen raus, und nimm es wieder rein, wenn was upgedatet werden soll.
Aber denk dran, dass du dann auch keine Mails bei evtl. Problemen mehr bekommst.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.670
Punkte für Reaktionen
5.841
Punkte
524
Nein, macht keinen Sinn, wie soll jemand auf deine DS kommen wenn der Router kein Port-forwarding eingerichtet, welches auf deine DS durchleitet?
 

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
Das Problem sind infiltrierte PC's, die eine Verbindung zu deiner DS herstellen. Theoretisch jeder PC, mit dem du im Netz unterwegs bist. Das WWW greift dich eher nicht an.

Wenn du es möglichst sauber haben willst, erlaubst du den Administrationszugang auf die DS nur einem Rechner, der nie ins Internet geht (z. B. einem mit tails von usb gebooteten Laptop).
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Wenn die zu sichernde DS ebenfalls mehrere LAN-Ports hat, wäre die Aufteilung des Heimnetzwerks in VLANs denkbar. Ein "Backup-VLAN" einrichten, das nur die zu sichernde DS, den Switch und die Backup-DS enthält.

Trotzdem muss man Nutzen und Nachteile abwiegen. Eine so abgeschottete DS bekommt nicht mal ein Zeitsignal (damit kann es auch Probleme geben, korrekte Codes für 2FA zu akzeptieren), kann sich keine Updates ziehen, kann nicht überwacht werden, kann bei Störungen keine Mails senden etc.

Wie oben schon beschrieben, kommt die Gefahr nicht direkt aus dem bösen, bösen großen Internet. Vielmehr wird ein lokaler Rechner übernommen (das kann ein PC sein, aber ebenso auch ein IoT-Gerät mit veralteter Firmware), und von dort das lokale Netzwerk infiltriert.

Wichtiger als totale Trennung ist aus meiner Sicht, dass die Backup-DS möglichst wenige Pakete ausführt, nur dann hoch gefahren wird, wenn ein Backup ansteht und danach wieder schlafen geht. Dazu aktuelles DSM, und Zugriffe im Normalfall nur mit Nicht-Admin-Usern. ABfB muss allerdings mit Admin-Rechten ausgeführt werden.
 
Mitglied seit
25. Mrz 2023
Beiträge
7
Punkte für Reaktionen
1
Punkte
9
Hi Daniel, das was du vor hast ist ein hyperverntilierendes Sicherheitskonstrukt.
Wie Synchotron schon sagte, solange deine DS nicht von aussen erreichbar ist kommt der Angriff immer von innen.
Es sei denn du bekommst ein gehacktes update vom Synology update Server. - aber da steckst nicht drin.

Wenn du dir die Arbeit machen willst dann würde ich folgendes vorschlagen.
1. Internetzugang der DS komplett sperren - am Besten per VLAN nur intern erreichbar machen. Somit kann selbst bei einem Hack die DS keine Daten unmittelbar ins Internet senden.
2. updates per Hand über Download und upload auf den Synology Server
3. einen eigenen Benutzernamen und Kennwort für ABB anlegen, der keinen Zugriff auf sonstige DS funtionen oder Shares hat.
4. Den Zugriff der Benutzer für ABB auf IP-Adressen oder MAC Adressen beschränken

Nun kommt aber der Kackpunkt.
Was passiert wenn du mit einem infizierten Rechner auf die Dateifreigaben der DS zugreifst oder auch der infizierte Rechner von sich aus Daten ins Internet sendet?
Ich denke hier ist der Punkt an dem du ansetzen solltest.
 

Daniel Albert

Benutzer
Mitglied seit
18. Nov 2013
Beiträge
534
Punkte für Reaktionen
3
Punkte
33
Guten Morgen, Danke für euren Input und Vorschlägen. Dann muss ich das Thema doch anders angehen. Es geht mir primäre um die Vermischung der Handys, Laptops und Rechner meiner Kinder. Ich weiß ja nicht was die im Internet machen. Ich habe alles von AVM. Daher muss ich mir eher Gedanken machen wie ich meine Firmengeräte im gleichen Netz gegen Probleme von den Geräten der Kinder abschotte. Wer eine Idee hat her damit
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Zum Beispiel indem du die Firewall des NAS so konfigurierst, dass nur bestimmte IP Adressen (deine Geräte) Zugriff haben
 
  • Like
Reaktionen: Daniel Albert

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
wie ich meine Firmengeräte im gleichen Netz gegen Probleme von den Geräten der Kinder abschotte.
Sinnvollerweise mit separaten Netzen.

Wahrscheinlich am einfachsten ginge es mit einem zusätzlichen Router (z. B. eine FritzBox) im Netz, die dir ein separates, und von den anderen Geräten nicht erreichbares Netz aufspannt.

Oder noch einfacher: Du sperrst die Kiddies aus ins Gastnetz.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Zwei Möglichkeiten:

Kinder ins Gastnetz der FB. Dann haben sie null Zugriff ins Heimnetzwerk. Du hast allerdings auch null Transparenz, was sie dort treiben.

Eigenes Firmennetzwerk in ein eigenes Netzwerk herausnehmen. Das kann ein zweiter Internetanschluss sein, oder ein VLAN, das völlig abgeschottet läuft, und nur seine Internetverbindung über den Router bezieht.
 
  • Like
Reaktionen: Daniel Albert
Mitglied seit
25. Mrz 2023
Beiträge
7
Punkte für Reaktionen
1
Punkte
9
zu den Zeiten als meine Kinder noch ungewiss waren :)
hatten die nen Filter, der im nachhinhein auch nicht brachte. AVM Kinderschutz.
Aus dieser Erfahrung heraus würde ich folgendes Empfehlen:
Degradiere die Fritzbox zum VoIP und Modem.
Setze nen vernüftigen Router und nen Switch hinter die Fritzbox der VLAN kann.

Ich nutze zb. den RT6600ax und als Repeater die WRX560. Da kannst die Kinder in ein eigenes Netzwerk sperren und wenn du es willst, dann können die nicht ins Hauptnetz und wenn dann evtl nur auf ABB usw zugreifen. Das kannst über die Firewall dann regeln.

So eine Installation Bedarf aber fundierte Netzwerkkenntnisse.
 
  • Like
Reaktionen: Daniel Albert

Daniel Albert

Benutzer
Mitglied seit
18. Nov 2013
Beiträge
534
Punkte für Reaktionen
3
Punkte
33
Zwei Möglichkeiten:

Kinder ins Gastnetz der FB. Dann haben sie null Zugriff ins Heimnetzwerk. Du hast allerdings auch null Transparenz, was sie dort treiben.

Eigenes Firmennetzwerk in ein eigenes Netzwerk herausnehmen. Das kann ein zweiter Internetanschluss sein, oder ein VLAN, das völlig abgeschottet läuft, und nur seine Internetverbindung über den Router bezieht.
Das war gestern auch mein Gedanke einfach alle ins Gastnetzwerk dann haben die keinen Zugriff auf die internen Geräte
 
  • Like
Reaktionen: Synchrotron

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Naja Firewall aktivieren in der Systemsteuerung. Dann pro PC, mit dem du zugreifen willst, eine Regel erstellen, die der IP alles erlaubt und darunter eine Regel mit "Deny all". Aber einfacher und besser ist wohl die Lösung mit dem Gastnetzwerk, sofern kein Zugriff auf irgendwelche Ressourcen Heimnetz gebraucht wird.

EDIT: Keine Angst mit der Firewall-Sache. Aussperren kannst du dich nicht. Die DS verhindert die Erstellung einer Regel, die die aktuelle Sizung blocken würde. Zudem kannst du die Firewall easy per einfachen Reset deaktivieren
 
Zuletzt bearbeitet:

Daniel Albert

Benutzer
Mitglied seit
18. Nov 2013
Beiträge
534
Punkte für Reaktionen
3
Punkte
33
Danke ich teste es mal aus und kombiniere beides. Bei der einen NAS greife ich halt au über das Internet zu per Webdav und die Datenbank von Keepass läuft drauf
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn die DS im Internet steht, macht die Firewall noch viel mehr Sinn. Ich hoffe, du hast die Portweiterleitungen auf dem Router manuell gemacht und nicht über die DS. Zudem generell aus Sicherheitsgründen in der Fritte die UPNP Freigabefunktion abschalten. Du kannst in der DS-Firewall zum Beispiel festlegen, dass von extern nur WebDAV reindarf (also nur dieser Port) und nix anderes
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Das Firmennetz ist doch einfach vom Heim und Gastnetz getrennt mit AVM Produkten. Entweder hänge ich das Firmenetz ins Gast-WLAN, oder, wenn ich das Gast WLAN noch anderweitig benutze, einen LAN-Port in ein Gast-LAN hängen (geht nicht bei allen AVM-Geräten).
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Das ist aus meiner Sicht aber auch eine eher rudimentäre Lösung. Die ganzen Einstellungen, die man im eigenen Netz sonst vornehmen kann, zum Beispiel die Verwendung festgelegter IP-Adressen, Aufteilung der Bandbreite am besten nach Zeitplan, geht im Gäste-Netz eben nicht. Ich bin für so etwas mittlerweile ein Freund von VLANs, die zwischen Privat, Beruf, IoT und Gast trennen können und da kommt die AVM-Hard- und Software an ihre Grenzen, das ist nicht die Klientel der Firma.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
@Monacum : Ist ja alles richtig. Der TE erwähnte das er Firmennetz und Handys der Kids trennen wollte und das er AVM-Produkte im Einsatz hat. Daher der eher einfache aber meines Erachtens pragmatische Ansatz.

Für diejenige die Geld, Wissen und Muße hat es "richtig" zu machen ist das keine wirkliche Lösung
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat