Gesucht: Ein How-to für das Absichern einer Diskstation

[dennip]

Ich sehe, ihr habt angepinnte Threads zur Router- und Netzwerkkonfig.
Die ähneln sehr stark den Ergebnissen, die man bei Google bekommt:
Viele verstreute Tipps, teilweise auf alte DSMs bezogen. Etc.

Gibt es - evtl. auch versteckt in einem anderen Faden - einen Guide, der eine Diskstation von A-Z absichert?
Also auf maximale Sicherheit geht, und dann entscheidet man nach Bedarf, was man öffnet.

Viele Beiträge gehen davon aus, dass man Dienste der DS aus dem Internet erreichen möchte.
Konkret möchte ich meine DS nur aus meinem Netzwerk erreichen (und remote sichern, siehe anderer Thread).

Diesen Beitrag gerne löschen, falls störend.

 

[Frogman]

Schon mal einen Blick ins Wiki geworfen (bspw. im Abschnitt 3.1)? Ansonsten gilt, dass jeder - sollte er Konkretes vermissen - gerne auch entsprechende Anleitungen im Wiki/Forum ergänzen darf. Bitte aber auch nicht vergessen, dass solche immer wieder nachgefragten "Schritt-für-Schritt-Anleitungen" recht komplex werden können, da einiges in den verschiedenen DSM-Versionen anders aussieht, und auch gepflegt werden muss!

 

[dennip]

Ich verstehe
Im Wiki geht es leider den anderen Weg: Sicherstellen des Zugriffs auf die DS via Internet. Daher der Thread.

 

[NSFH]

Ist doch eigentlichg banal.
In der Firewall der Syno Freigabe einrichten für DSM zugriff Port 5001 und/oder wenn du HTTP willst auch 5000
Dann je nachdem was du nutzt, SMB oder AFP, die entsprechenden Ports zulassen (werden in der Firewall zb bei SMB als Windows Dateidienst bezeichnet)
In beiden Fällen Zugriff nur aus dem eigenen LAN (Subnet) erlauben.
Am Ende des Firewall Fensters den Haken setzen für alles andere blockieren.
Damit ist die Syno erst mal zu.
Solltest du dann noch andere Apps der Syno nutzen wollen müssen dann dafür die entsprechenden Ports nachgetragen werden.

Grundsätze:
1. Die Regeln werden beim Check immer von oben nach unten abgearbeitet. Ist oben was verboten kann es unten nicht mehr durch.
2. Nur Regeln erstellen die etwas explizit erlauben. Am Ende wird dann der grosse Rest verboten. Heisst: Einzelne Verbotsregeln aufzustellen ist falsch!
So klappt es dann auch mit der Firewall

 

[Frogman]

Dein "remote sichern" beinhaltet zunächst grundsätzlich das Sichern über's Internet, hätte also die Absicherung notwendig. Ansonsten heißt der Wiki-Abschnitt "Grundsätzliches zum Thema Netzwerksicherheit" - d.h. die maßgeblichen Teile, die sich auf der DS abspielen, gelten praktisch unverändert auch für den LAN-Zugriff (obwohl man im LAN ja durchaus von einem gewissen Vertrauensbereich ausgehen kann). Themen wie Portweiterleitungen usw. wären dann außen vor, doch das sollte ja genau Deinem Anspruch

... einen Guide, der eine Diskstation von A-Z absichert? Also auf maximale Sicherheit geht, und dann entscheidet man nach Bedarf, was man öffnet.

entsprechen...

 

[dennip]

Ich danke Euch !

 

[dennip]

so sieht das jetzt bei mir aus:

 

[NSFH]

Ich würde dir empfehlen für jede Portfreigabe/Dienst immer einen neuen Eintrag zu erstellen, dann wird es erheblich übersichtlicher und du kannst die einzelenen Dienste auch spezieller hinsichtlich erlaubter IP(-Range) steuern.

 

[dennip]

@NSFH danke, ja das habe ich nun gemacht. deutlich ordentlicher.

Frage: Wenn auf der DS ein VPN Server läuft, dann muss ich Freigaben für Zugriff aufs Webinterface dort freigeben, oder? (Der User kommt ja aus dem Interface VPN und nicht aus dem physikalischen Interface LAN, richtig?)

 

[NSFH]

Wenn die Syno der VPN Server ist kommt der Nutzer über den Router und die weitergeleiteten Ports direkt auf die Syno. Das hat also mit dem Router und dessen Firewall nichts mehr zu tun.
Das ist der Grund, warum ich derartige Konstrukte nicht mag, die Syno hängt ungefiltert direkt am Web.
Du musst dann also in der Firewall der Syno Freischaltungen bzw Restriktionen einstellen.

 

[Frogman]

..., die Syno hängt ungefiltert direkt am Web.

Sorry, aber diese Formulierung ist ausgesprochen mißverständlich. Der Zugriff ist nicht ungefiltert, sondern erfordert eine Authentifizierung. Das ist nicht unsicherer als der Zugriff über einen VPN Tunnel, der am Router endet!

 

[dennip]

Wenn die Syno der VPN Server ist kommt der Nutzer über den Router und die weitergeleiteten Ports direkt auf die Syno. Das hat also mit dem Router und dessen Firewall nichts mehr zu tun.Du musst dann also in der Firewall der Syno Freischaltungen bzw Restriktionen einstellen.

mir gings auch um die syno firewall einstellungen. die unterscheidet ja nach interface. LAN interface firewall einstellungen gebe ich für services wie backup etc frei. eben die, die ich nutze. der vpn nutzer soll nur das web interface nutzen dürfen (remote administration der syno). dann gebe ich in der syno firewall für VPN die das web dsm frei, richtig?