Routing Virtuelle Firewall (Sophos), DSM isolieren

[elevator]

Hallo Allerseits,

ich bin auf die kostenlose Sophos XG Firewall Lösung für Heimanwender aufmerksam geworden und habe mich gefragt ob es umsetzbar ist, die DS mittels einer solchen virtuellen Firewall logisch vom Netzwerk zu trennen und dadurch sicherer zu machen.

Um meine Gedanken auf Papier zu bringen bzw. diese einfacher darzustellen habe ich zwei Fotos angefertigt.

Zu der Hardware: Es handelt sich um eine Fritzbox 7490 und eine DS1515+ mit 4 LAN Anschlüssen.

Habe ich einen Denkfehler oder ist das so möglich? Bin auf diesem Gebiet kein Experte, von daher bin ich um jeden Gedankenaustausch dankbar

 

[X5_492_Neo]

Dürfte so eigentlich nicht wirklich was bringen wie auf dem Bild gezeigt, aus einem anderen Blickwinkel sieht man, das du ja direkt mit der Fritz verbunden bist, parallel dazu die VM! Du müsstest ausnahmslos über die VM gehn damit die Firewall aktiv wird! Und ob es dann klappt ist auch net sicher! Ausserdem, wen willst du im eigenen internen Netzwerk schützen und vor wem???

EDIT: Im schlimmsten Fall schliesst du dich selbst aus! Und dann kannst du garnichts mehr machen, da du nirgends ran kommst! Ausserdem: Die DS hat eine eigene Port Firewall, die noch gegen DDos- Aktiviert werden kann! Das wäre die einfachere Variante!


EDIT: du hast dsm 6 RC drauf und nutzt Virtuallbox? Fluppt das? Oder war das eine retorische Frage?

 

[tschortsch]

Prinzipiell ist deine verkabelung Falsch.
Es Darf nur ein kabel von der FB zur DS gehen. Der Port 1 ist dann per Bridge an die Sopohos VM gebunden. Die hat einen virtuellen Anschluß virtuellen Switch in VB für deinen weitern virtuellen Maschinen die ins internet wollen und einen weiterne Anschluß der an einen echten port gebrideg ist damti du dort einen echten Switch für dein LAN anschließen kannst.
Das heißt dann auch das du das WLAN der FB vergessen kannst und einen eigenen Access Point fürs lan brauchst.

Was du vor hast kann auf der DS mit Virtualbox nicht 100% sicher nachbauen da man nicht weiß wo die Firewall der DS ansetzt.
Du hängst ja im Prinzip die Netzwerkports der VM per Brücke auf deine echten LAN ports. Da man nicht 100% weiß wie der Virtuelle switch von VB läuft kann man auch nicht sagen wo sich der Host (DS) einhängt und sein LAN bekommt. Möglichweise kannst du den Host durch Firewalleinstellungen so sicher das man nicht aus dem WAN Netz an ihn ran kommt, könnte aber genauso bedeuten das man damit auch die verbindung zum virtuellen Switch von VB kappt. Mußt du ausprobieren!

 

[jahlives]

was ich noch anfügen möchte. Eine Firewall als VM auf dem phys Host, der geschützt werden soll halte ich für nicht so sinnvoll. Denn die Pakete gehen durch die Hardware und die Virtualisierungsschicht des phys Host. Ein entsprechender Bug in der Virtualisierungssoftware und man ist auf dem phys Host. Auch eine (D)DOS Attacke kann man so nicht sinnvoll abwehren. Denn der Link zwischen FB und Sophos VM würde trotzdem gesättigt, auch wenn die Sophos alle Pakete verwirft.
Für mich gehört so eine Firewall vorgelagert, auf ein anderes Gerät. Am besten auf den Gateway des Netzes

 

[Fusion]

@neo - ich denke es sind theoretische Fragen/Überlegungen, weil er ja sicher eine Antwort erwartet. (**Klugscheißer-Alarm**)

Aber wie ihr schon sagt, es kommt sehr darauf an, was hier vor was geschützt werden soll.
Wenn das lokale Netz besser isoliert werden soll darf die Firewall als einzige exklusiven Kontakt zur Fritzbox haben.

Eventuell wäre dann eine Firewall Distro wie IPFire, IPCop, M0n0wall oder ähnlich auf einen Mini-Rechner (Raspi, Cubi,... ) sinnvoll.

Das Load-Bancing (geht das ohne link aggregation?) ist in der eingezeichneten Form auch keines, wenn ich es richtig interpretiere.

 

[X5_492_Neo]

@Fusion Klar sind es überlegungen, aber es läßt sich ja auch umsetzen, ob es allerdings funktioniert ist die andere Frage! Einen Pi für sowas wäre wohl die bessere Variante. Hm, könnte ich vll auch mal umsetzen, hab noch einen rumliegen!

 

[Fusion]

@neo - ja klar. Ich war grad nur kurz auf dem Assi-Trip (theoretisch, rhetorisch).

Ich hatte früher mal schöne Netztrennung mit IPCop und Raspi, aber seit ich bei Kabel bin (wo ich den Raspi nicht mehr direkt ans Modem pflanzen kann, weil das jetzt ne Fritte ist und nicht mehr das Cisco, welches ich am Anfang hatte) habe ich es nicht mehr umgesetzt, weil ich ja außer der Fritte dann noch zusätzliche APs etc. brauchen würde. Das ist mir die Hardware/Strom/Zeit gerade nicht wert, auch wenn ich gerne bastel.

 

[elevator]

Wow vielen Dank für die zahlreichen Antworten

@X5_492_Neo Im Moment habe ich die Firewall auf meinem Mac mit Parallels am laufen, also kann ich dir zur VB auf dem DSM 6 noch nichts sagen.

@Fusion Load Balancing wird als erste Option angeboten für switch welche kein Link Agg. können. Bei mehreren gleichzeitigen zugriffen, erhoffe ich mir schon das es etwas bringt. Immerhin ist die Synology so mit 2 Gigabit LAN Anschlüssen am Netzwerk verbunden.

@tschortsch Ziel ist es die Synology von extern besser gegen Angriffe zu schützen. Also nicht falsch verstehen, ich sehe das als eine nette Beschäftigung und um etwas von der Materie zu lernen. Grundsätzlich würde ich der Firewall der Synology vertrauen. Wir reden hier ja meistens von Home-Konfigurationen.

Ich dachte das man die TCP/IP Pakete so routen kann, das es egal ist wie die Geräte physisch verkabelt sind. Dein Ansatz mit dem einen Kabel von der Fritzbox zur Synology und dann den zweiten LAN Port der Synology zum switch / AP für das weitere lokale LAN habe ich verstanden. Aber die können sich wie beschrieben mit der Fritzbox verbinden und auch den dem Subnet arbeiten. Die Idee war es erstmal die Synology sicherer vor dem Zugriff von Außen zu machen.

Das ganze gebastel mit der Virtuellen Maschine finde ich interessant, da man sich einen weiteren Verbraucher im Netz sparen kann. Aber wenn es technisch nicht möglich ist, die TCP/IP Pakete so zu routen das es Sinn ergibt, dann klappt das ganze natürlich nicht.

Verstehe ich das also richtig, das die Virtuelle firewall eigentlich nur für weitere Virtuelle Hosts gedacht ist???

 

[jahlives]

Routen geht grundsätzlich schon, aber nicht wenn sich alles im selben Subnetz befindet. Dann zieht kein Routing sondern der Gateway versucht das Ziel via ARP zu erreichen und stellt dann direkt zu. Mit Routing geht dein Vorhaben nur wenn die Zielserver (hinter der Sophos) in einem eigenen Subnetz sind (nicht dasselbe die der Router). Dann kannst du das Zielnetz an die IP der Sophos routen

 

[frankyst72]

@elevator: Meinst Du mit "Load Balancing" etwa "Adaptive Load Balancing", was mit DSM 5.2 als Feature ausgeliefert wurde? Dazu muss der Switch angeblich nichts besonderes können. Leider habe ich hier im Forum nie etwas konkretes dazu gelesen. Scheint keinen interessiert zu haben. Ich hatte es mal bei mir versucht (zwei LAN an den Switch), das hat aber bei mir zu extremen Verwirrungen der FritzBox geführt, so dass ich es wieder gelassen habe. Läuft es bei Dir problemlos?

 

[jahlives]

Ich hatte es mal bei mir versucht (zwei LAN an den Switch), das hat aber bei mir zu extremen Verwirrungen der FritzBox geführt, so dass ich es wieder gelassen habe

was meinst du mit 2 LAN an den Switch? Zwei Interfaces der DS? Falls ja hast du dann auf beiden Interfaces dasselbe Subnetz gehabt? Falls ja dann kommt das selten gut, ohne entsprechende Massnahmen ;-) Denn dann hast du zweimal die selbe Subnetzroute auf zwei Interfaces. In so einem Fall brauchst du Policy Based Routing, um sicherzustellen, dass Antworten auf Anfragen über dasselbe Interface rausgehen wo auch die Anfrage reingekommen ist

 

[elevator]

Wäre das in diesem Fall nicht gegeben:

 

[elevator]

@elevator: Meinst Du mit "Load Balancing" etwa "Adaptive Load Balancing", was mit DSM 5.2 als Feature ausgeliefert wurde? Dazu muss der Switch angeblich nichts besonderes können. Leider habe ich hier im Forum nie etwas konkretes dazu gelesen. Scheint keinen interessiert zu haben. Ich hatte es mal bei mir versucht (zwei LAN an den Switch), das hat aber bei mir zu extremen Verwirrungen der FritzBox geführt, so dass ich es wieder gelassen habe. Läuft es bei Dir problemlos?

Ja genau das meine ich
Ich habe LAN1 und LAN2 im DSM zu einem Bond zusammen gefasst und dann beide mit der Fritzbox verbunden. Das klappt bei mir Problemlos.

 

[frankyst72]

@Jahlives

was meinst du mit 2 LAN an den Switch? Zwei Interfaces der DS? Falls ja hast du dann auf beiden Interfaces dasselbe Subnetz gehabt? Falls ja dann kommt das selten gut, ohne entsprechende Massnahmen ;-) Denn dann hast du zweimal die selbe Subnetzroute auf zwei Interfaces. In so einem Fall brauchst du Policy Based Routing, um sicherzustellen, dass Antworten auf Anfragen über dasselbe Interface rausgehen wo auch die Anfrage reingekommen ist

davon steht aber in der Hilfe nix drin -> https://www.synology.com/en-us/knowledgebase/DSM/help/DSM/AdminCenter/connection_network_linkaggr

Man muss halt den Bond definieren, das hatte ich nicht erwähnt.


@elevator, vielleicht muss ich es noch mal probieren Danke für die Rückmeldung.

 

[Fusion]

Zum Adaptive Load Balancing - https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_network_linkaggr
Steht leider Null, was sie da "optimiert" haben wollen.
Die Technik stammt ursprünglich von Intel und war primär gedacht Transfers zu beschleunigen wenn der Bond an verschiedenen Switches hängt.
Müßte man noch vertiefen, um zu sehen, ob das irgendwas bringt, am selben Switch (dafür ist ja eigentlich Link Aggreagation, LCAP da).

Das letzte Bild macht schon eher Sinn. Allerdings sehe ich noch nicht so den Vorteil zum Standard (so wenig wie möglich Dienste freigeben via Router), weil du alle erreichbaren Dienste ja auch durch die Sophos passieren lassen mußt, wenn du sie nutzen willst.
Und die Erreichbarkeit zu/von den anderen Geräten im lokalen Netz wird auch schwieriger werden.

 

[MMD*]

In so einem Fall brauchst du Policy Based Routing, um sicherzustellen, dass Antworten auf Anfragen über dasselbe Interface rausgehen wo auch die Anfrage reingekommen ist

Meinst Replay to ARP oder?

 

[elevator]

Das letzte Bild macht schon eher Sinn. Allerdings sehe ich noch nicht so den Vorteil zum Standard (so wenig wie möglich Dienste freigeben via Router), weil du alle erreichbaren Dienste ja auch durch die Sophos passieren lassen mußt, wenn du sie nutzen willst.
Und die Erreichbarkeit zu/von den anderen Geräten im lokalen Netz wird auch schwieriger werden.

Um zwischen den beiden Netzen kommunizieren zu können werde ich Routen definieren müssen, dass sollte doch aber keiner weiteren Probleme machen. Die Sophos wird deutlich sensibler sein, was den Zugriff von außen nach innen angeht.

Die benötigten Ports werden von der Fritzbox an die Sophos weiter geleitet und dann an die Synology.

 

[jahlives]

Meinst Replay to ARP oder?

es hat was mit "Enable Multiple Gateways" zu tun. Mache das aber immer via Konsole: http://www.synology-forum.de/entry.html?105-Policy-Based-Routing-aka-Source-Based-Routing