WebStation: Wirkt Ländersperre (Geo-IP) auch dort?

[flopster]

Ein Hallo an alle Sicherheitsfreunde!

Betrifft: WebStation / WebServer mit synology-DDNS

Ich hatte einige Zugriffsversuche (vielleicht sogar erfolgreiche?!) aus dem Iran und China endeckt.
Darauf hin habe ich alle möglichen Dienste der DS abgeschaltet und weitere Ports geschlossen. (Bis auf WebStation und NAS-Funktion läuft da nichts mehr)

Weiterhin habe ich die Firewall so konfiguriert, dass nur Anfragen aus Deutschland und USA (wg. DDNS) erlaubt sind. (Geo-IP)

Meine Frage: Wirkt der Geo-IP-Filtert der Firewall nur bei Anfragen an die DS internen Dienste (wie Verwaltung, Filestaton etc.), oder wirkt der Filter auch beim WebServer/WebStation (Apache)?

Oder müsste ich da den Apche selbst, zusätzlich absichern?

Gruß Sven

 

[Matis]

... ich hab auch alles außer D zugemacht, wirkt auch auf die Webseiten.
Seither habe ich Ruhe, keine Angriffsversuche mehr.
Alles läuft ins Leere, jeder Zugriff und jeder ping, wenn die IP nicht paßt.

 

[Krocko]

Wie gehe ich da am besten vor? Ich kann ja in einervregel maximal 15 Länder blocken. Erstelle ich da einfach so viele Regeln, bis ich alle unerwünschten Länder ausgesperrt habe?

 

[Puppetmaster]

Wieviele Länder willst du denn zulassen?

 

[mördock]

Drehe mal Deine Gedanken um. Warum alle Länder die man aussperren möchte in Regeln packen? Pack doch einfach alle Länder die zu zulassen möchtest in eine Regel und verbiete im Gegenzug alle anderen Länder.

Hier eine immer gern genommene Anleitung. http://www.synology-forum.de/showthread.html?68348-Firewalleinstellungen-für-LAN-und-GeoIP&highlight=firewall

 

[Krocko]

Ich würde gerne insgesamt 5 Länder freigeben wollen. Ich habe in den Firewall-Regeln, unter LAN die Freigabe der 5 Länder und meiner lokalen ip Adressen eingerichtet. Die Option "alles andere blockieren" ausgewählt. Trotzdem stehen im Log noch Zugriffsversuche aus Indien, Pakistan usw. via FTP.
@mördock: Genau nach dieser Anleitung bin ich vorgegangen. Aber trotzdem stehen im Log IP‘s, welche eigentlich gesperrt sein sollten.

 

[mördock]

Unter "Alle Schnittstellen" ist aber nichts angehakt, oder? Ich hatte mal das Problem das sich nach einem Paketupdate unter "Alle Schnittstellen" diverse Anwendungen einen Freifahrtschein eingetragen haben.

 

[Krocko]

Danke für den Tipp. Genau da waren diverse Freigaben. Habe diese nun gelöscht.

 

[Flanders]

@ mördock leider ist der Link kaputt.
Interessiert mich auch. Ich habe noch keine Möglichkeit gefunden, nur erlaubte Länder einzutragen. M.E. gehen nur alle gesperrte!

Firewall-Regelketten funktionieren ja so, dass von oben nach unten alle Regeln abgearbeitet werden.
Die erste Regel, die auf das Paket zutrifft, gilt. Der Rest wird ignoriert!

Daher würde ich an Position 1-XX (man kann ja immer nur 15 Regionen sperren) je eine Sperrregel setzen.
Dann die erlaubten Ports als Zulassen.
Wenn keine Regel trifft, sperren.

Wie es mit einer Positivliste gehen sollte, würde mich auch interessieren...

Hier ist es meinesachtens FALSCH gelöst und würde fataler Weise alles Freigeben:
http://www.synology-forum.de/showth...eren-Alles-außer-Deutschland-sperren-aber-wie

Greets

Flanders

 

[Fusion]

@Flanders - Wieso sollte das falsch sein?
IPs aus dem lokalen Netz und Deutschland erlaubt und alles andere wird geblockt.

Edit:
Bezogen auf den Post #2 im verlinkten Thread.

 

[Flanders]

Ich kann den Link nicht öffnen!


Weil meines Erachtens NICHT alle Regeln ausgeführt/beachtet werden!
Die werden der Reihe nach abgearbeitet!
Daher ist die Reihenfolge elementar wichtig!
Von Oben nach Unten.

Die erste Regel, deren Parameter zutreffen, wird ausgeführt, DER REST DER FIREWALLREGELN WIRD DANN IGNORIERT!

In meinem Link würde die also zuerst geprüft, ob es ein erlaubter Port ist... wenn ja, hat die Regel getroffen und geht auf ZULASSEN, fertig! Damit dürfen ALLE Länder!
Trifft diese Rgel nicht (also kein erlaubter Port), dann prüft er die zweite Regel, die fragt, kommt er aus Deutschland?
Trifft die Regel, wird sie ausgeführt --> ALLOW (also ALLES erlaubt, keine Porteinschränkung für Quellips aus Deutschland)
Trifft die Regel nicht, erst dann geht er in DENY

Also Ziel verfehlt!

Siehe https://de.wikipedia.org/wiki/Firewall-Regelwerk
Abschnitt Grundlagen!


und hier: http://www.synology-forum.de/showthread.html?76526-GeoIP-funktioniert-nicht-!&highlight=geoip

Greets

Flanders

 

[Fusion]

Sorry, hatte erst später gesehen auf was du abzielst und nur das erste Bild angeschaut.
Deshalb meine nachträgliche Einschränkung auf Post #2.
Bei Post #3 ist die Reihenfolge falsch bzw funktioniert so nicht.

 

[Flanders]

Hast Du einen funktionierenden Link zu einer Positiv-Länderliste?
Ich wüsste nicht, wie ich es lösen sollte?!

Ich bekomme es nur mit einer Negativliste hin.

Tipp:
Übrigens, wer Let´s Encrypt-Zertifikate nutzt, sollte die entsprechenden Server oder die USA freigeben, sonst wird es nichts, mit der Zertifikatsaktualisierung!

Und um dem Tread-Ersteller noch zu Antworten, da die Firewall meiner Meinung nach ALLE Eingänge und Ausgänge regelt, sind ALLE Dienste davon betroffen.


Greets

Byte

 

[Fusion]

Nein, hab grad auch keine Lösung.

Entweder eine effektive Geo-Sperre ODER nach Diensten.
Beides zusammen geht nicht mit dem vorhandenen Regelwerk bzw. habe ich gedanklich die gleichen Schlüsse wie du.

Man braucht eine Länderverbotsregel, die weiter oben in der Liste steht, sonst hebelt man sich mit jeder Dienstfreigabe in der Liste eine Ländererlaubnisregel aus bzw. macht sie wirkungslos bevor das Deny All am Ende greift.

 

[Matis]

Bitte wo ist denn Euer Problem??

Alle Schnittstelle-Regel nehmen. Dort als letzte Regel alle verweigern.
Dann kannst Du jedes Land vorher als positiv-Regel einfügen, was Du eben grade im Urlaub brauchst.
Natürlich auch dein LAN-Netz nicht vergessen und z.b. die IP von Docker Containern.
Ganz einfach.


Natürlich sind im Router alle nicht gewollten Ports zu! Bei mir alles außer 443, und dann geht's per Reverse-Proxy weiter.
Damit kann gar nichts passieren und Ihr habt intern so gut wie keinen Verwaltungsaufwand!

Der erste Eintrag ist mein Docker, der zweite das LAN, der dritte mein Arbeitgeber (im Ausland) damit ich auf mein Syste kommen und dann eben nur die Länder die ich brauche, wenn ich unterwegs bin.
Diese kann man, sollte man es vergessen haben, sogar per VPN noch nachträglich einstellen.
Alles andere bleibt draußen. Seit nur noch D offen ist (meistens) habe ich totale Ruhe vor Angreifern.

 

[Flanders]

Das Problem ist, dass wir zusätzlich noch eine Port Filterung haben wollen, also nur bestimmte Ports freigeben wollen.
Das geht bei deiner Auflistung nicht.

Greets

Flanders

 

[Fusion]

@Matis - kein Problem mit deinen Regeln. Aber du hast auch keine positiv/zulassen "Port-Filter" Regel definiert.
Wenn du das getan hättest könnte jemand aus Timbuktu auf diese Ports zugreifen bzw. die Regel hätte ein Match und weitere Regeln würden nicht geprüft und auch deine Alles verweigern am Ende wäre ausgehebelt.

Das meinte ich mit entweder effektive Länder-Sperre oder effektive Dienste-Sperre.

Nachtrag:
Da ich eh schon vor der Diskstation nur selektiv überhaupt zulasse, dass etwas zur DS durchkommt, ist eine effektive Länder-Sperre eigentlich ausreichend

 

[Matis]

... das ist genau die Antwort! Ports bereits im Router dicht machen und nur die gewollten durchlassen.
Am besten nur 443, mit revers proxy kannst Du dann intern über Sub-Domains an jeden Dienst weiterleiten. Das funzt hervorragend.
Wer nicht aus einem gewünschten Land kommt hat gar keine ports und wer aus einem gewünschten Land kommt, die die im Router offen sind.

Und let's encrypt erlaubt so viele Sub-Domains, dass Du die nie alle verbrauchen kannst. Ansonsten gibts über einen zweiten Eintrag nochmals so viele.

 

[Fusion]

Also vielleicht noch grundsätzlicher in der Überlegung.

Braucht man denn die Firewall als Dienste-Filter bzw. macht das überhaupt Sinn?
Schließlich will man die angebotenen Dienste ja nutzen.
Also sperrt man unliebsame Länder aus.
Dienste die nicht laufen / angeboten werden sind auch nicht erreichbar, auch nicht aus "guten" Ländern.
Und die aus "guten" Ländern will ich ja normal auch benutzen.

Höchstens wenn die DS komplett offen am Internet hängen würde, aber wo kein Dienst läuft brauch ich eigentlich auch nichts sperren.

Und dass ich einen Dienst im LAN sperren wollte, der aber via Internet erreichbar sein soll, auch unwahrscheinlich.

mmmh. Noch mehr drüber nachdenken.

 

[Flanders]

Ist das lokale Netz nur bedingt sicher, da Büro, auch nicht optimal.

Daher, einige Deny regeln für verbotene Länder. Dann allow für erlaubte Ports, fertig
Gundregel deny.

Damit alles erreicht. Zugegeben, etwas Arbeit, läuft aber...