Synology DRIVE, Forwarding 6690 via MyFritz - Zusatznutzen Firewall?

Status
Für weitere Antworten geschlossen.

curt

Benutzer
Mitglied seit
17. Jan 2013
Beiträge
216
Punkte für Reaktionen
31
Punkte
28
Hallo zusammen,

ich habe, recht klein und schlank,
ein Synology Drive auf dem NAS laufen,
Zugriff via Extra Benutzer inkl. komplexem Passwort (Standard Admin ist deaktiviert, der andere Admin hat auch ein komplexes PW).
- http wird zu https...auch eingestellt.
- Der DoS Schutz und die Blockierung von IPs nach X Versuchen sind aktiviert

Der Zugriff außerhalb des LANs wird ueber den MyFritz Dienst als DDNS an der Fritzbox und eine 6690 https Portfreigabe an den DRIVE Ordner realisiert ( https://nasname.blablabla.?myfritz.?net:6690/Drive )
Das klappt auch ganz prima via Windows Drive Client, wenn ich mit meinem Notebook unterwegs bin bzw von einem PC in einem anderen Ort.

Ich nutze keine Freigaben INNERHALB des Synology Drive, daher sollte der 6690 ausreichen, soweit ich verstanden habe.

Weitere Freigaben oder Einsatzzwecke die einen Zugriff von Aussen brauchen sind nicht vorhanden.


Nun stellt sich fuer mich die Frage, ob es Sinn macht die Synology Firewall ebenfalls zu aktivieren?
(Ich habe nichts dagegen, aber was ich nicht brauche, muss ich nicht pflegen und daher versuche ich das hier mal zu beleuchten).

Da ich auch eine Regel einstellen wuerde, die 6690 erlaubt, komme ich doch im Grunde aufs Gleiche zum jetzigen Stand raus, oder?

Ich koennte ggf. noch die Geo IP als kleinen Pluspunkt sehen.

Ich bin auf eure Kommentare gespannt.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Immer wenn du irgendwas auf machst, würde ich in jedem Fall die Syno-Firewall aktivieren.

Und zwar in der Grundeinstellung so, dass für den belegten LAN-Zugang erst alles auf „verboten“ gesetzt wird, sowie die Filter wie DDoS, IP-Sperre, Passwort-Vorgabe etc. scharf gestellt sind. Anschließend sehr restriktiv die Ausnahmen freigeben. Sinn der Sache ist, dass alles, was durch den offenen Port reinkommt, sich in der scharfen Firewall fängt. Ist die inaktiv, ist der offene Port ein Zugang in dein Heimnetzwerk, der nicht weiter abgesichert ist.

Das ist wie eine Pforte in der Stadtmauer - wer drin ist, ist drin, außer es gibt weitere Kontrollmechanismen.
 

curt

Benutzer
Mitglied seit
17. Jan 2013
Beiträge
216
Punkte für Reaktionen
31
Punkte
28
Erstmal vielen Dank für deine Antwort.
Ich habe jetzt die Firewall eingeschaltet, weil es im Grunde ja kein Act ist. Natürlich verstehe ich auch deinen bildhaften Vergleich.

Mich würde das Risiko aber technich doch genauer interessieren.
Wenn ich exakt 1 Port über Portforwarding auf DAS eine NAS weiterreiche, nur dieses Gerät, dieser Port,
wie kann es zu einem seitlich oder zusätzlichen Angriffsrisiko kommen?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Die entscheidende Frage ist nicht, ob es einer, 10 oder 100 durchgeleitete Ports sind. Wobei weniger immer besser ist, weil die äußere Firewall (die des Routers) die wichtigste ist. Sieht die aus wie ein Schweizer Käse, macht es das dahinter liegende System interessant, weil es so aussieht, wie wenn dort viele Dienste betrieben werden (oder mit der Sicherheit geschludert wird).

Also nur auf machen, was du tatsächlich betreiben musst / willst, und erst dann, wenn dahinter bereits alles aufgestellt ist.

Die nächste Frage ist, was am Ziel einer Weiterleitung damit passiert.

Wenn dort z.B. ein gut eingerichteter VPN-Server an einem Port wartet, dann fragt der die Zugangsdaten ab, und stoppt alles andere.

Wenn dort aber nichts wartet, dann kann der Angreifer ins Netz durchbrechen, ebenso (mit etwas mehr Wissen) wenn es eine veraltete, anfällige Applikation gibt, die die Anfrage zwar annimmt, aber ausgehebelt werden kann.

Gegen ein Unterlaufen schützt die Syno-Firewall, weil die für alles, was nicht als Ausnahme definiert ist, diese Anfragen abfängt und stoppt. Daher Grundeinstellung der Firewall (je LAN-Zugang einzeln): ALLES stoppen. Und dann werden je Applikation, die man dort betreibt, selektiv Anfragen zugelassen. Für die gängigen Pakete ist das sehr komfortabel: Man wählt das betreffende Paket und läßt die Syno die Ausnahmen in die Firewall-Regeln eintragen.

Jetzt musst du nur noch dafür sorgen, die freigegebenen Pakete immer schön aktuell zu halten. Und bitte gleich - bei einem aktuellen Linux-Exploit hat es zwischen Bekanntwerden der Schwachstelle und ersten gezielten Angriffen auf Server gerade mal 3 Wochen gedauert.

Dann noch die verschiedenen anderen Möglichkeiten der DS nutzen, wie IP-Sperren, GEO-Sperren, DDoS -Schutz, Erzwingen von starken Passwörtern von allen Usern etc. Jedes davon kann ausgehebelt werden, aber oft nur dann, wenn die anderen Sperren nicht gesetzt sind.

Ganz sicher bist du nie, aber wenn ein Ziel zu „hart“ wirkt, versucht man es eher woanders.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat