Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Eine ernst gemeinte Frage:
Was bringt die Synology-eigene Firewall, wenn ich den Zugriff von außen ohnehin über meinen Router kontrolliere?
Wenn ich davon ausgehe / ausgehen muss, dass mein LAN kompromittiert ist, habe ich ohnehin ein dickes Problem.
Die DS Firewall kann zb Geo Blocking, auch wenn durch einen proxy trotzdem Zugriff möglich wäre. Aber eine geblockte IP aus einem gesperrten Land kommt erst gar nicht zum login Fenster. IP Sperre kann auch nicht jeder Router.
Zudem ist eine Firewall immer Pflicht, egal was der Router kann oder macht. Nach deiner Vorstellung bräuchte kein Netz eine FW, solang der Router ein paar Ports zu oder auf macht?
Es ist keine Schizophrenie einen Server so zuzumachen, dass er nur das kann, was er machen soll. Du leitest ja auch Ports direkt von Aussen via Router auf den Server, oder nicht?
Die automatische Blockierung nach fehlgeschlagenen Logins lässt sich unabhängig von der Nutzung der DS-eigenen "Firewall" aktivieren.
Ob es sinnvoll ist, im LAN ein- und ausgehende Ports der DS zu reglementieren, kann man meiner Meinung nach unterschiedlich bewerten. Zur Not könnte man ja die DS in das Gastnetz einer Fritzbox hängen.
Portfreigaben bzw. Portforwarding kann ich doch bei vielen Routern auch in Abhängigkeit von der Quelle konfigurieren (Geoblocking über länderspezifischen IP-Listen).
Es ist keine Schizophrenie einen Server so zuzumachen, dass er nur das kann, was er machen soll. Du leitest ja auch Ports direkt von Aussen via Router auf den Server, oder nicht?
Was wäre denn ein Szenario, wo es sinnvoll wäre, die DS mit Hilfe der internen Firewall weiter abzusichern? Ich kann mir - und das meine ich wirklich so - kein passendes Beispiel vorstellen. Die DS steht ja nicht "nackt" im Internet. Von außen sind über den Router doch ohnehin nur diejenigen Ports (ggf. via Portweiterleitung) offen, die tatsächlich benötigt werden Gesetzt den Fall, ein Unbefugter greift z.B. von außen auf den CalDAV-Server zu, weil er das Passwort im zweiten oder drittten Veruch richtig geraten hat. Dann hat er Zugriff auf den Kalender - nun gut. Aber wenn der Kalenderuser lediglich die Rechte für den Kalender und den CalDAV-Server hat, dann war es das doch schon.
Wenn ich deine Zugangsdaten habe brauche ich mit nmap keine 5 Minuten um alle deine offenen Ports zu finden. Hast du WebDav oder DSM offen bin ich auf deiner Syno. Die gesamte Pallette an Tools, die ich an Routern zum Hacken verwende nutze ich dann weeiter direkt an der Syno. Schön das die dann davon nichts merkt.
Grundsätzlich: Die meisten Internetanwender merken nie, wenn mal Eindringversuche stattgefunden haben weil das die Homerouter einfach nicht melden oder gar mitloggen.
Mein letzter Fall von einem 3-stündigen Penetrationsversuch auf einem von mir betreuten Router ist mal gerade 8 Tage her. Da wurde mit Flood und IP Spoofing versucht die Firewall zu überlasten. Hat man keine Logs und keine Alerts weiss man von nichts.
Und wenn du mir deinen Personalausweis gibst, kann ich dir auch deinen Namen sagen. ;-)
Ich denke das Wort Zugangsdaten ist hier falsch gewählt. Du meinst sicher die IP oder Domain?
nein, ich meinte den lezten Absatz in #24
Macht aber nix. Es ist falsch wenn alle meinen Penetrationsversuche würden über brute force und die Anmeldung laufen. Viel mehr wird versucht Fehler in der Fw eines Routers auszunutzen. Dafür benötige ich nur einen im Internet antwortenden Router und offene Ports, schon kann es los gehen.
Etwas spät aber trotzdem ein herzliches Dankeschön für Eure Hilfe. Printscreen soll ich posten? Nein, die wollt ihr nicht sehen! :-O ;-)
> Als erstes habe ich in der DS alle nicht benötigten Programme deinstalliert.
> Auf meinem Router habe ich alle Portweiterleitungen GELÖSCHT.
> Erst jetzt habe ich nur noch die benötigten Programme (u.A. VPN Server) auf der DS installiert.
> Nun und ganz ruhig habe ich die Portweiterleitungen auf dem Router definiert, die DS Firewall Regeln angepasst.
Nun scheint alles zu klappen, dem Ivan sollte mit einer .ru Adresse ein Besuch nun nicht mehr gelingen.
