Hallo zusammen,
beim Einrichten meiner DS215j beschäftige ich mich gerade mit dem Thema Sicherheit / Firewall und habe hierzu Fragen.
In der DSM-Hilfe sowie hier im Forum bin ich leider nicht fündig geworden, deshalb hier als neues Thema.
(zur Info: in den letzten Monaten habe ich mit der DS215j einige Tests durchgeführt, um sie näher kennenzulernen. Nun möchte ich sie bald "produktiv" einsetzen)
Situation:
Fragen:
Ich hoffe, meine Fragen sind verständlich.
Viele Grüße
tirunculus
beim Einrichten meiner DS215j beschäftige ich mich gerade mit dem Thema Sicherheit / Firewall und habe hierzu Fragen.
In der DSM-Hilfe sowie hier im Forum bin ich leider nicht fündig geworden, deshalb hier als neues Thema.
(zur Info: in den letzten Monaten habe ich mit der DS215j einige Tests durchgeführt, um sie näher kennenzulernen. Nun möchte ich sie bald "produktiv" einsetzen)
Situation:
- Internetzugang/Router
- FritzBox 7490
- keine Portfreigaben
- nur LAN, derzeit kein WLAN
- NAS
- DS215j mit 2 Festplatten im Nicht-RAID-Betrieb
- Volume 1 als zentraler Datenspeicher ("Netzwerkfestplatte") im LAN
- Volume 2 als Ziel für automatisierte Datensicherung
- an DS215j angeschlossene externe USB3-Platte als Ziel für zusätzliches, manuelles (und dann räumlich getrenntes) Backup
- rein privater Gebrauch
- keine Pakete installiert (außer Antivirus)
- kein externer Zugriff
- Netzwerkschnittstelle: nur LAN
- Firewall
Bislang habe ich die Firewall nicht eingerichtet, d. h. Zugriff ist standardmäßig sowohl für LAN als auch PPPoE erlaubt.
Ich könnte mir vorstellen, die Firewall wie folgt einzurichten:- PPPoE: komplett verweigern, indem ich folgendes einstelle:
- keine Regel einrichten
- "wenn keine Regel zutrifft": Zugriff verweigern - LAN: weitestgehend verweigern, indem ich folgendes einstelle:
- eine Regel einrichten mit Aktion "zulassen":
=> Ports: aus Liste auswählen: Port 5000
=> IP: spezifische IP - IP-Bereich 192.168.178.20 bis 192.168.178.29
- "wenn keine Regel zutrifft": Zugriff verweigern
- PPPoE: komplett verweigern, indem ich folgendes einstelle:
- Sicherheitsberater
Der Sicherheitsberater bringt bei Prüfung auf "privater/persönlicher Gebrauch" eine Meldung:- E-Mail-Benachrichtigung für neue DSM-Updates ist deaktiviert
- Der Standardwert der DSM-HTTP-Portnummer wurde nicht geändert
- Die automatische Umleitung von http zu HTTPS ist deaktiviert
Fragen:
- Firewall:
a) spricht etwas gegen die Einrichtung wie oben angegeben?
b) macht die Einrichtung der Firewall im DSM überhaupt Sinn, wenn in der Fritzbox keine Portfreigaben vorhanden sind?
(siehe aber auch die offtopic-Frage 3)
c) ist es korrekt, dass ich Port 5000 freigeben muss, um nicht Gefahr zu laufen, gar nicht mehr auf mein NAS zugreifen zu können? - Sicherheitsberater:
a) ich habe die automatische Aktualisierung des DSM zweimal wöchentlich eingeplant, so dass eine E-Mail-Benachrichtigung wohl nicht nötig ist?
b) falls ich automatische E-Mail-Benachrichtigungen einrichten möchte, müsste ich dann die geplanten Firewalleinstellungen lockern?
(ich würde den SMTP-Server meiner privaten Domain angeben)
c) Macht es Sinn, den Zugriff auf den DSM von Port 5000 wegzulegen auf einen anderen Port? Welchen Port sollte ich hier wählen?
d) Sollte ich https statt http verwenden (bewege mich in meinem privaten LAN; Gastzugang für Bekannte ist über das in der Fritzbox hinterlegte, separate Gäste-LAN)? - Portfreigabe Fritzbox (offtopic zum Verständnis) Obwohl in der Fritzbox keine Ports freigegeben sind, kann ich mit meinem PC über den Browser auf das Internet zugreifen. Sind da dann doch Ports offen?
Ich hoffe, meine Fragen sind verständlich.
Viele Grüße
tirunculus
