DSM 6.x und darunter Router Portforwarding + DSM Firewall?

[northC]

Hallo,

ich habe in meinem Router die Ports die ich für meine Diskstation Dienste benötige freigegeben. Jetzt stellt sich mir die Frage ob ich zusätzlich noch die DSM Firewall der Diskstation konfigurieren soll? Dabei mache ich ja eigentlich auch nichts anderes als Ports durchzuleiten. Ist das nicht dann doppelt gemoppelt oder gibts andere Vorteile warum ich die Firewall nutzen sollte?

Gruß

 

[Tommes]

Hi !

Mit der Konfiguration der Portweiterleitungen in deinem Router hast du ja nichts anderes getan, als der Firewall zu sagen, was sie tun soll! Mag sein, das manche das anders sehen, aber die Firewall der DS brauchst du nur, wenn du sie direkt ins Internet hängst, ansonsten würd ich sie deaktiviert lassen! Außer du willst in deinem eigenen LAN noch Regeln aufstellen!

Tommes!

 

[virtubit]

Die automatische IP Blockierung aktivieren würde ich in diesem Fall noch sinnvoll finden

 

[hardtech]

Die automatische IP Blockierung aktivieren würde ich in diesem Fall noch sinnvoll finden

kannst du kurz beschreiben, warum das sinnvoll ist?

 

[Tommes]

Hi!

Hier gibt es eine kurze Info zum Thema...

http://www.synology.com/tutorials/how_to_protect_your_Synology.php?lang=deu#t4

Tommes

 

[jahlives]

imho solltest du die Firewall auf der DS auch aktivieren. Sonst hast du einen SinglePointOfFailure an der Routerfirewall. wenn also die mal abkackt und einfach alles durchleitet steht deine DS ohne Hosen da

 

[virtubit]

Z.B. wird die Brute-Force-Methode damit erheblich erschwert... Zitat Wiki: "stärkt den Schutz der DiskStation vor unberechtigtem Zugriff". Ich habe 1 Versuch in 50'000 Minuten eingestellt. Ich vertippe mich _nie_ im Passwort

 

[Tommes]

imho solltest du die Firewall auf der DS auch aktivieren. Sonst hast du einen SinglePointOfFailure an der Routerfirewall. wenn also die mal abkackt und einfach alles durchleitet steht deine DS ohne Hosen da

Ich glaub, ich hab da noch ein wenig Erklärungsbedarf und brauch wohl noch den Schupps in die richtige Richtung.

Ist die DS denn, nur mit aktivierter "automatischer Blockierung" und einem starken Passwort vorrausgesetzt, so angreifbar, das ich noch die Firewall der DS (in meinem eigenen LAN) aktivieren sollte, wenn sie an einer Routerfirewall hängt? Wie wahrscheinlich ist es, das jemand die Routerfirewall überlistet oder das diese mal ausfällt?

Nehmen wir an, die Routerfirewall fällt, dann muß derjenige doch erstmal die Zugangsdaten der DS aushebeln, richtig? Oder kann ich über irgendeinen Port einfach so durch die DS spazieren? Wenn ja, dann würde ich mir echt Gedanken machen, meine DS zu verticken!

Ich sage ja nicht, das du unrecht hast, aber ich denke, das dieser Schutz etwas übertrieben ist. Das ist natürlich etwas anderes, wenn die DS direkt mit dem Internet verbunden ist und nicht durch eine Routerfirewall geschützt wird.

Tommes!

 

[jahlives]

völlig klar ein starkes PW ist das Wichtigste, Autoblock ist sicher auch eine gute Idee.
Bei Routern ist imho die Sache, dass sie die Protokolle der Anwendungen nicht verstehen können. Sie leiten also stur einfach Ports weiter. Dafür gibt es zwar Application Firewalls, aber auch die bekommen ein Problem wenn end-to-end verschlüsselter Traffic durch sie hindurchgeht. So können auch teuere Geräte z.B. nicht in eine OVPN-Verbindung hineinsehen und müssen es einfach durchleiten. Für einen Router ist das einfach OVPN-Taffic, eine lokale Firewall auf dem OVPN-Server kann jedoch auch sehen was darin verpackt ist z.B. http oder smb.
Für mich braucht es immer beides: Firewalls an Netzwerkgrenzen (Router), aber auch lokale Firewalls.

 

[Tommes]

...Für einen Router ist das einfach OVPN-Taffic, eine lokale Firewall auf dem OVPN-Server kann jedoch auch sehen was darin verpackt ist z.B. http oder smb.

Oh, das wusste ich garnicht. Das wirft gleich ein anderes Licht auf das Ganze. Hätte eigentlich gedacht das die Server-Firewall auch nur durchlässt und nichts weiteres kontrolliert! Von diesem Standpunkt aus betrachtet macht das für mich schon wesentlich mehr Sinn, wenngleich ich wohl auch weiterhin mit deaktivierter DS-Firewall auskommen werde. Jedem das Seine.

Danke jedenfalls für deine Erklärung, Jahlives!

Ich seh schon, ich muss mich mal in Zukunft in diese Dinge tiefer einlesen.

Tommes

 

[jahlives]

von sich aus kontrolliert auch die lokale Firewall nichts ;-) Aber mit einem Regelsatz in der FW kannst du recht detailliert steuern was erlaubt ist und was nicht. Heute werden immer mehr end-to-end verschlüsselte Verbindungen eingesetzt und bei denen hat ein Router nichts zu sehen, auch der teuerste Gateway den es für Geld zu kaufen gibt ned ;-) Nur wenn eine lokale Firewall auf dem System läuft, welches die verschlüsselte Verbindung terminiert, kannst du solche Datenströme kontrollieren.
Ein weiterer Vorteil einer lokalen Firewall wäre noch, dass diese kontrollieren kann welcher Prozess ein ausgehendes Datenpaket generiert hat. So kannst du z.B. wenn du einen Mailserver hast nur dem Mailserveruser erlauben auf Port 25 ausgehend zu verbinden.

gruss

tobi

 

[ubuntulinux]

Nur wenn eine lokale Firewall auf dem System läuft, welches die verschlüsselte Verbindung terminiert, kannst du solche Datenströme kontrollieren.

Das merkt man aber relativ schnell bei SSL Errors, bzw OpenVPN lässt eine Verbindung soweit ich weiss nicht mehr zu.

@tobi: Sovil zum Thema offline