Synology Firewall Geo Blocker Geolocation aktivieren?

[synuser12]

Hallo,

ist es eine gute Idee die Synology Firewall zu aktivieren?
Um dann den Geolocation Geoblocker in der Synology Firewall zu aktivieren?
Es geht mir nur darum, möglichst viele Tür zuzumachen.

Es soll WebDAV von aussen ohne VPN genutzt werden. (windows notebook)

Die Synology steht hinter einer Fritzbox.
Sonstige Synology Routerfunktionen werden nicht benötigt/sind nicht aktiviert.

In der Fritzbox werden dann diese Ports zur Synology weitergeleitet: (wobei http Port ggf. entfält)

Es wird ein Letz-Encrypt Zertifikat von Synology verwendet.

5000	TCP
5001	TCP
5005	TCP
5006	TCP
5015	TCP
80	TCP

 

[plang.pl]

Warum leitest du den Port 5000/5001 weiter, wenn du nur WebDAV nutzen willst?
Mach die Ports zu!
Ansonsten ja, ich würde Geoblocking nutzen. Zudem noch ein IP-Blockscript einsetzen:

 

[NSFH]

WebDav gehört zu den wellknown Ports die in jeder Scanliste stehen.
Von daher würde ich vorzugsweise nur einen Reverseproxy nutzen oder zumindest den Port für WebDav (HTTPS) in einen hohen 5-stelligen Bereich verlegen.
Unverschlüsselte Ports nach Aussen zu öffnen ist grob fahrlässig!

 

[synuser12]

wie sollen die iPhone unterwegs via webdav zugreifen?

Vorschlag: via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?
Ich kenne keine Webdav Funktion für Android oder iPhone.

 

[w00dcu11er]

Zum Beispiel in der App "Dateien" (vom iOS vorinstalliert) den Server anlegen mit https://webdav.example.com:5006 als Serveradresse samt deinen Credentials und schon kannst du via WebDAV darauf zugreifen.

(5006 - hier die Standardport, bitte sie nach außen hin ändern, da WebDAV ein gern gesehenes Attack-Ziel ist).

 

[Kachelkaiser]

Ich kenne keine Webdav Funktion für Android

schua mal, hier https://www.davx5.com/, das integriert sich auch in die Google Files app.

ansonsten verschiedene Apps ausprobieren.

 

[Laola1]

Meine Firewall sieht so aus, ziemlich einfach aber effektiv.
Ich komme im lokalen Netzwerk an alles dran,
Österreich und Deutschland auch,
Der Rest der Welt ist tot, sprich über 95% sind weg.

Ich habe 0-5 Admin-Loginversuche pro Monat von extern seit dieser Einstellung.

 

[Benares]

Bitte auch daran denken, dass fast alle Lets Encrypt Server in den USA stehen. Wer also irgendwelche LE-Zertifikate darüber anlegen/verlängern will, muss da noch etwas mehr zulassen. Bei LE gibt es eine Liste der Server.

 

[Laola1]

guter Einwand, werde ich beobachten, aktuell sind meine Zertifikate noch alle gültig

 

[Benares]

Zertifikate für quickconnect.to und synology.me brauchen keine geöffneten Ports, da läuft die Verlängerung anders als bei LE direkt.

 

[plang.pl]

via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?

Eben nicht. Kann man machen, aber das ist dann kein WebDAV. Du musst erstmal klar definieren, was du willst. Wenn du DS File und nicht WebDAV nutzen willst, kannst du der FileStation im Anmeldeportal einen separaten Port verpassen im hohen fünfstelligen Bereich. Den gibst du dann frei. Somit kommt man von extern "nur" auf die FileStation und nicht auf das Admin-Interface des DSM. Selbiges könntest du mit WebDAV tun (der WebDAV Server hat bereits per default nen anderen Port; den könnte man aber auch verlegen). Gehen tut beides. Und nichts erfordert das Exposen des DSM-Ports ins Netz

 

[NSFH]

Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!

 

[Laola1]

Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!

Du hast natürlich recht, es ist eher die Holzhammer Methode.
Aber ich entledige mich hiermit bereits 95% der möglichen Angreifer überhaupt,
es ist immer noch besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.

 

[w00dcu11er]

besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.

Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist.

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast?

 

[Laola1]

Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist.

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast?

Nanu, warum so persönlich?

Die DS hängt doch nicht offen an einem Modem, oder steht auf DMZ.
Sie befindet sich hinter einem Router ohne automatischen Freigaben, mit wenigen geöffneten Ports.

 

[NSFH]

?????
Laut deiner Firewall hängt deine DS hinter einem Router und hat alle Ports für D und A offen!
Sicherheit = Null, du hast nur Auslandszugriffe weitestgehend blockiert, keine Ports, keine IPs, Null!

 

[metalworker]

ich denke Laola1 meinte da er in seinem Router keinen Exposed Host auf die Synology eingerichtet hat .
Und dort nur die wichtigen Ports weitergeleitet hat .