DSM 7.0 Welche Dienste sind absolut nötig für Firewall?

[MarSche]

Moin

Ich habe drei NAS
Da ich auf die NAS ausschließlich über VPN von unterwegs zugreife, wenn es mal nötig ist. Möchte ich diese so ziemlich nach außen sperren.
Ich benötige jedoch für die Prüfung der Updates noch Zugang und auf einer NAS betreibe ich Surveilence Station und brauche da die Pushs.
Jetzt frage ich mich, welcher Dienst ist für die Updatesuche zuständig, den ich in der Firewall hinterlegen muss?
Zudem stelle ich mir die Frage, was ist überhaupt das aller Nötigste was freigeben werden muss, um die NAS sauber laufen zu lassen?

Man bekommt ja noch Meldungen per Mail, also auch Mail muss freigegeben werden. Ist das nun die Freigabe WebStation und Webmail oder muss ich da wieder SMTP und POP freigeben?

Wenn ich die Videostation ausschließlich Zuhause am TV nutze, benötige ich doch die Freigabe in der Firewall nicht oder doch? Ich lade auch keine Metadateien als Info für Filme.

Wäre das eine plausible Regelerstellung oder ist dort für mein Vorhaben zu viel zugelassen was nicht benötigt würde?
Zudem frage ich mich ob die ersten beiden Regeln Sinn machen. Ich kannte von DSM es noch so, dass man erst alles sperrte und dann explizit freigegeben hat. Das hat sich unter DSM 7 mit der Firewall etwas geändert und ich habe es so versucht.

Danke vorab

 

[the other]

Moinsen,
dran denken, dass die Firewall auf dem NAS nur die EINGEHENDEN Pakete stoppt.
- Da du idR beim Thema update die Verbindung startest "HALLO, GIBT ES NEUE UPDATES??"-----"NÖ", ist initial also ein AUSGEHENDES PAKET vorliegend. Daher brauchst du dahingehend nix eintragen.
- was meinst du mit

Man bekommt ja noch Meldungen per Mail, also auch Mail muss freigegeben werden

Die Mails, die du vom NAS bekommst? Auch hier: wenn es dir nur darum geht, dann sind das ebenfalls Pakete, die das NAS verlassen, da greift also ebenfalls die Firewall nicht.

Und auch dran denken: wenn du per VPN aufs NAS gehen willst, dann muss auch dieser IP Adressraum erlaubt werden...

 

[MarSche]

Hallo the Other

Danke für deine Antwort.
Wie ich das verstehe, brauche ich also gar keine Firewallregeln machen, wenn ich nicht von außen drauf will.
Ich gehe über das MyFritz VPN auf die FritzBox per VPN und bin somit im Heimnetz, starte dann entweder mit direkter IP Eingabe aus dem Heimnetz den NAS oder mit DS Photo App, die dann ja auch denkt sie ist im Heimnetz.
Das klappt auch alles wunderbar.

Ich mache mir halt Gedanken, ob ich irgendwas machen muss an der NAS, damit niemand leichtfertig von aussen auf die NAS kommt, weil ich Familienfotos- und Videos dort abspeichere und das doch sehr privat ist.

Ja mit den Mail meine ich die Benachrichtigung der NAS an mein Mailkonto bei Problemen ect.

Also muss ich jetzt nicht eine Oberregel einstellen, dass alle gesperrt ist und ich dann nach und nach wieder alles was nötig ist freigeben?

Wie sieht das dann bei der NAS mit Surveilence Station aus? Dort werden ja auch Pushs an die Mobile App DS Cam bei Erkennung geschickt. Muss ich da etwas explizit in der Firewall machen oder gilt auch hier das Gleiche wie oben und es ist erstmal alles zu, es sei denn ich möchte per https von außen drauf und mache die Ports im Router auf, dann gilt Firewallregel erstellen?


Aber zum Verständins: Wäre diese Regel so zu verstehen, dass ich nun nur mit meiner IP Range aus dem Heimnetz Zugriff habe, dann mit der nächsten Regel alles andere Sperre, und nun den NTP Dienst Zugriff erlaube?

 

[Guckweg]

ch gehe über das MyFritz VPN auf die FritzBox per VPN und bin somit im Heimnetz

wenn die FB nichts durchlässt, dann bist du "sicher" - dann brauchst du auf der DS nix weiteres einzustellen
ich hatte anfänglich so verstanden, dass du die DS auch daran hindern willst, dass die nach Außen kommuniziert ????

 

[the other]

Moinsen,
nö, so kann man das nun leider auch nicht verkürzt sagen.
Die Firewall des NAS unterscheidet da erstmal nicht ob der Zugriff aus dem LAN oder aus dem WAN erfolgt.
Die externen Zugriffe werden idR durch deinen NAT Router (bei IPv4) geblockt (außer du hast eine Portweiterleitung oder Portfreigabe erstellt). Da du ja nur per VPN zugreifen willst, muss im Router, wie @Guckweg schrieb, nur der Port fürs VPN Protokoll weitergeleitet werden (es sei denn dein VPN Server ist der Router).
Die Firewall des NAS "schützt" den LAN Port. Alles was da REIN kommt, wird dann eben nach den angelegten Regeln inspiziert.
Also:
Du willst vom PC mit der IP 192.168.178.2 zugreifen per http auf die Anmeldeseite...also musst du entweder generell alles erlauben (doof), oder aber zB eine Regel anlegen: IP.von.deinem.PC darf http nutzen. Kommt dann ein solches Paket von dieser Quelle, dann ok. Kommt aber ein solches Paket von einer anderen IP-Quelle, dann blockt die FW.

Da heute die meisten Angriffe aus dem eigenen LAN erfolgen, würde ich IMMER dazu raten, die Firewall zu aktivieren und fein zu justieren.
Also denk immer so, wie die Pakete kommen (also IN das NAS rein kommen). Diese Richtung musst du sichern (die andere kannst du mit der FW des NAS nicht abdecken).

Der Zugriff von ganz außen (also aus dem Internet) sollte eigentlich bereits durch deinen Router gesichert sein...

 

[MarSche]

Die DS soll zumindest nichts dummes nach draußen senden, was z.B. die Video Station und Photos und Musik angeht, weil evtl. keine explizite Regel vorhanden.
Eigentlich brauch die DS nur die Benachrichtigungen senden können und Updates ziehen, Für anderes wird sie eigentlich gar nicht im Internet benötigt. Ausser die NAS mit Surveilence die NTP benötigt.

 

[MarSche]

Moinsen,
nö, so kann man das nun leider auch nicht verkürzt sagen.
Die Firewall des NAS unterscheidet da erstmal nicht ob der Zugriff aus dem LAN oder aus dem WAN erfolgt.
Die externen Zugriffe werden idR durch deinen NAT Router (bei IPv4) geblockt (außer du hast eine Portweiterleitung oder Portfreigabe erstellt). Da du ja nur per VPN zugreifen willst, muss im Router, wie @Guckweg schrieb, nur der Port fürs VPN Protokoll weitergeleitet werden (es sei denn dein VPN Server ist der Router).
Die Firewall des NAS "schützt" den LAN Port. Alles was da REIN kommt, wird dann eben nach den angelegten Regeln inspiziert.
Also:
Du willst vom PC mit der IP 192.168.178.2 zugreifen per http auf die Anmeldeseite...also musst du entweder generell alles erlauben (doof), oder aber zB eine Regel anlegen: IP.von.deinem.PC darf http nutzen. Kommt dann ein solches Paket von dieser Quelle, dann ok. Kommt aber ein solches Paket von einer anderen IP-Quelle, dann blockt die FW.

Da heute die meisten Angriffe aus dem eigenen LAN erfolgen, würde ich IMMER dazu raten, die Firewall zu aktivieren und fein zu justieren.
Also denk immer so, wie die Pakete kommen (also IN das NAS rein kommen). Diese Richtung musst du sichern (die andere kannst du mit der FW des NAS nicht abdecken).

Der Zugriff von ganz außen (also aus dem Internet) sollte eigentlich bereits durch deinen Router gesichert sein...

Genau, der Router ist mein VPN, deshalb brauche ich da wohl nichts mit Weiterleitungen zu machen.

 

[the other]

Moinsen,
wie gesagt: die Firewall des NAS kann die AUSGEHENDEN Pakete nicht abfangen. Sie fängt nur das ab, was von AUßERHALB des NAS IN DAS NAS REIN kommt und nicht erlaubt wurde.
Wenn du einem plappernden Gerät im Heimnetz die Geschwätzigkeit (zB smart TVs und so ein Krempel) verbieten willst, dann musst du eh andere Geschütze auffahren. Aber darum geht es hier ja nicht unbedingt.
Von alleine macht dein NAS das aber auch nicht...
Dein NAS ist (hoffentlich) auch nicht "im Internet" sondern maximal in deinem Heimnetzwerk. Aktivierst du jetzt einen Dienst, der dir ein Protokoll senden soll, dann wird das gemacht und da greifen dann keine Regeln. Das passiert.
Du musst also lediglich überlegen:
welche Dienste brauche ich auf dem NAS? Welche Clients (welche IPs) sollen auf diese Dienste zugreifen dürfen? Dafür dann Regeln anlegen. Alles andere dann verbieten. Dabei wichtig: die Regeln werden von OBEN nach UNTEN abgearbeitet, trifft eine Regel zu, dann ist der Prozess zu Ende.
Warum wichtig?
Wenn du ganz oben als 1. Regel einträgst: DENY ALL und erst danach einträgst, dass dein PC mit der IP 192.168.178.2 per http und https aufs NAS zugreifen darf, tja...dann ist es Essig denn du hast dich ausgesperrt (First Match wins = hier = DENY ALL). Also erstmal alles eintragen, was INS NAS rein dürfen soll, dann erst sagen "wenn keine Regel zutrifft, verbieten" und fertig...

 

[the other]

Moinsen,
wenn du dich per VPN auf die Fritzbox schaltest...welche IP bekommt dein Client dann? Eine aus dem Transfernetz oder eine aus dem eigenen LAN?

 

[MarSche]

Der Client, also das Handy bekommt dann eine virtuelle Heimnetzadresse im Router. Das Smartphone selber hat aber weiterhin die IP des Providers.

Das mit der Firewall, von oben nach unten habe ich bemerkt, deshalb war in meiner Beispielregel mein Heimnetz auch ganz oben und danach die Regel ALLES andere zu verbieten.
Bedeutet das dann nach Alles verbieten die Regel darunter NTP gar nicht mehr greift und die darüber müsste?

 

[the other]

Moinsen,
oft ist es so:
Heimnetz IP Bereich zb 192.168.178.0/24
VPN Tunnelnetz IP Bereich zB 10.0.0.0/24
Mobilfunkentzbereich zb 89.154.12.0/24

Wenn du dich also einwählst per VPN und eine IP aus dem Tunnelnetz bekommst, dann greifst du unter dieser zu und daher muss das dann ebenfalls erlaubt werden...

Und ja: idR ist das genau so...du setzt an 2. Stelle DENY ALL, dann ist alles danach eben egal. Wird eh verboten...
Besser als da dann diese Regel einzufügen wäre imho:
1. du wählst das LAN Interface aus in den Firewall Einstellungen (dein screenshot hat "alle Schnittstellen")
2. du erlaubst die Dienste für die jeweiligen IPs
3. du wählst global dann (recht weit unten im Firewallprofilfenster) "wenn keine Regel zutrifft, alles verbieten"

Damit solltest du dann glücklich werden. Als erstes würde ich immer eintragen, wer zugreifen darf (also als Schrotladung erst mal IP.von.deinem.PC allow ALL, mindestens aber http und https, damit du dich noch einloggen kannst auf die Anmeldeseite). Dann nach und nach anpassen und feiner justieren. Oben eben immer darauf achten, dass du dich nicht aussperrst...

 

[the other]

Moinsen,
also hier jeweils:

 

[MarSche]

Sehr nett von Dir und Danke für deine Mühe.
Leider ist das unter DSM 7 nicht mehr so mit "Wenn keine Regel zutrifft" Deshalb macht es mich ja so wuschig. Kannst Du auf meinen Screenshot sehen.
Aber gut, dann ist der Weg eben erst ist alles so zuzulassen, wie benötigt und und ganz unten die Regel Deny ALL, dann passt es ja auch. Die NAS ist hinterm Router und nicht im Internet. Trotzdem will ich die Firewall sicher machen. Gibt mir ein besseres Gefühl.

Ich habe mein Heimnetz auf 192.168.1.x geändert, mochte die 192.168.178.x von AVM nicht.

 

[the other]

Moinsen,
ähh...mein screenshot ist auch DSM 7?
Edit: ahhh, ja, du musst dafür afaik eben die Schnittstelle anpassen auf LAN, nicht Alle Schnittstellen...
Und ich hoffe, dass du die IP nicht auf

192.168.1

geändert hast...

Verdammt: das .x nicht gesehen...
Aber Spass muss bei der trockenen Materie eh sein.

 

[MarSche]

Ahh, jop, jetzt habe ich das Feld auch wieder
Alles nicht so einfach

 

[the other]

Moinsen,
wem sagst du das?

 

[MarSche]

Dann sollte das so jetzt gehen.
1. Zugriff aus Heimnetz erlaubt in meinem DHCP Bereich. ALLES
Was nicht aus dem IP Bereich kommt ist gesperrt.


2. Nur Zugriffe aus Deutschland alles andere gesperrt.

3. NTP Dienst Zugriff auf das Internet UDP erlaubt alle IP.
Trifft Port nicht zu nicht erlaubt.

 

[MarSche]

Auch seltsam:

Die App DS CAM für Surveilence bekommt eine Push Benachrichtigung, wenn was gemeldet wird, auch im mobilen Netz aber die App DS Finder nicht. Die kann ich nicht mal mit der NAS koppeln, habe zum Test soga rmal Quick Connect eingerichtet. Aber gekoppelt geht trotzdem nicht für Push per DS Finder. Zum Haare raufen

 

[the other]

Moinsen,
mit dem Punkt 3. hadere ich noch....
Es geht (und da bist du nicht der einzige, der das durcheinander wirft) nicht um den Dienstzugriff AUF das Internet. Das geht eh. Es geht um den Zugriff auf das NAS.
Wenn du also einen Zeitserver mit dem NTP Dienst im eigenen Netzwerk hast und dieser soll auch dem NAS die Stunde schlagen, dann muss da die IP des NTP Servers rein mit dem Dienst NTP im UDP Protokoll.
Wenn dein NAS aber nur nach der Uhrzeit fragen soll, irgendwen, irgendwo...dann macht es das. Da ist ja die Anfrage AUSGEHEND. Die Antwort kommt dann eh rein....
Nur wenn eben von extern (also außerhalb deines NAS) was einfach so mitgeteilt wird, dann wird das ohne Regel geblockt...
Okay?

 

[the other]

Moinsen,

Die App DS CAM für Surveilence bekommt eine Push Benachrichtigung, wenn was gemeldet wird,

nicht seltsam, denn das Paket geht ja vom NAS RAUS an die APP. Also ausgehendes Paket, also egal für die Firewall des NAS.

Der DS FInder dagegen macht genau was?
Genau, er ermöglicht per APP den Zugriff aufs NAS, sendet also Pakete INS NAS. Eingehende Pakete werden aber gefiltert mit den Regeln der FW, also geht es ohne Regel eben NICHT.


Ja, verrückter SchAIß, ich weiß (wow, ein Gedicht, das wollt ich nicht)...