Toggle sidebar

Gesucht: Ein How-to für das Absichern einer Diskstation

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
D

dennip

Gesperrt
Registriert
21. Feb. 2019
Beiträge
44
Reaktionspunkte
0
Punkte
6
Ich sehe, ihr habt angepinnte Threads zur Router- und Netzwerkkonfig.
Die ähneln sehr stark den Ergebnissen, die man bei Google bekommt:
Viele verstreute Tipps, teilweise auf alte DSMs bezogen. Etc.

Gibt es - evtl. auch versteckt in einem anderen Faden - einen Guide, der eine Diskstation von A-Z absichert?
Also auf maximale Sicherheit geht, und dann entscheidet man nach Bedarf, was man öffnet.

Viele Beiträge gehen davon aus, dass man Dienste der DS aus dem Internet erreichen möchte.
Konkret möchte ich meine DS nur aus meinem Netzwerk erreichen (und remote sichern, siehe anderer Thread).

Diesen Beitrag gerne löschen, falls störend.
 
Schon mal einen Blick ins Wiki geworfen (bspw. im Abschnitt 3.1)? Ansonsten gilt, dass jeder - sollte er Konkretes vermissen - gerne auch entsprechende Anleitungen im Wiki/Forum ergänzen darf. Bitte aber auch nicht vergessen, dass solche immer wieder nachgefragten "Schritt-für-Schritt-Anleitungen" recht komplex werden können, da einiges in den verschiedenen DSM-Versionen anders aussieht, und auch gepflegt werden muss!
 
Ich verstehe :)
Im Wiki geht es leider den anderen Weg: Sicherstellen des Zugriffs auf die DS via Internet. Daher der Thread.
 
Ist doch eigentlichg banal.
In der Firewall der Syno Freigabe einrichten für DSM zugriff Port 5001 und/oder wenn du HTTP willst auch 5000
Dann je nachdem was du nutzt, SMB oder AFP, die entsprechenden Ports zulassen (werden in der Firewall zb bei SMB als Windows Dateidienst bezeichnet)
In beiden Fällen Zugriff nur aus dem eigenen LAN (Subnet) erlauben.
Am Ende des Firewall Fensters den Haken setzen für alles andere blockieren.
Damit ist die Syno erst mal zu.
Solltest du dann noch andere Apps der Syno nutzen wollen müssen dann dafür die entsprechenden Ports nachgetragen werden.

Grundsätze:
1. Die Regeln werden beim Check immer von oben nach unten abgearbeitet. Ist oben was verboten kann es unten nicht mehr durch.
2. Nur Regeln erstellen die etwas explizit erlauben. Am Ende wird dann der grosse Rest verboten. Heisst: Einzelne Verbotsregeln aufzustellen ist falsch!
So klappt es dann auch mit der Firewall ;)
 
Dein "remote sichern" beinhaltet zunächst grundsätzlich das Sichern über's Internet, hätte also die Absicherung notwendig. Ansonsten heißt der Wiki-Abschnitt "Grundsätzliches zum Thema Netzwerksicherheit" - d.h. die maßgeblichen Teile, die sich auf der DS abspielen, gelten praktisch unverändert auch für den LAN-Zugriff (obwohl man im LAN ja durchaus von einem gewissen Vertrauensbereich ausgehen kann). Themen wie Portweiterleitungen usw. wären dann außen vor, doch das sollte ja genau Deinem Anspruch
dennip schrieb:
... einen Guide, der eine Diskstation von A-Z absichert? Also auf maximale Sicherheit geht, und dann entscheidet man nach Bedarf, was man öffnet.
Zum Vergrößern anklicken....
entsprechen...
 
Ich würde dir empfehlen für jede Portfreigabe/Dienst immer einen neuen Eintrag zu erstellen, dann wird es erheblich übersichtlicher und du kannst die einzelenen Dienste auch spezieller hinsichtlich erlaubter IP(-Range) steuern.
 
@NSFH danke, ja das habe ich nun gemacht. deutlich ordentlicher.

Frage: Wenn auf der DS ein VPN Server läuft, dann muss ich Freigaben für Zugriff aufs Webinterface dort freigeben, oder? (Der User kommt ja aus dem Interface VPN und nicht aus dem physikalischen Interface LAN, richtig?)
 
Wenn die Syno der VPN Server ist kommt der Nutzer über den Router und die weitergeleiteten Ports direkt auf die Syno. Das hat also mit dem Router und dessen Firewall nichts mehr zu tun.
Das ist der Grund, warum ich derartige Konstrukte nicht mag, die Syno hängt ungefiltert direkt am Web.
Du musst dann also in der Firewall der Syno Freischaltungen bzw Restriktionen einstellen.
 
NSFH schrieb:
..., die Syno hängt ungefiltert direkt am Web.
Zum Vergrößern anklicken....
Sorry, aber diese Formulierung ist ausgesprochen mißverständlich. Der Zugriff ist nicht ungefiltert, sondern erfordert eine Authentifizierung. Das ist nicht unsicherer als der Zugriff über einen VPN Tunnel, der am Router endet!
 
NSFH schrieb:
Wenn die Syno der VPN Server ist kommt der Nutzer über den Router und die weitergeleiteten Ports direkt auf die Syno. Das hat also mit dem Router und dessen Firewall nichts mehr zu tun.Du musst dann also in der Firewall der Syno Freischaltungen bzw Restriktionen einstellen.
Zum Vergrößern anklicken....

mir gings auch um die syno firewall einstellungen. die unterscheidet ja nach interface. LAN interface firewall einstellungen gebe ich für services wie backup etc frei. eben die, die ich nutze. der vpn nutzer soll nur das web interface nutzen dürfen (remote administration der syno). dann gebe ich in der syno firewall für VPN die das web dsm frei, richtig?
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten