Nur bestimmte MAC-Adressen zulassen!

[vogs]

Hallo!

Ist es irgendwie möglich, nur bestimmte MAC-Adressen den Zugriff auf meine Diskstation DS211j zu gewähren? Mit IP-Adressen funktiuniert es. MAC wären mir aber lieber (DHCP usw.).

mfg

 

[jahlives]

Was für einen Sinn gäbe das? Eine MAC-Adresse ist wesentlich schneller gefälscht als eine IP-Adresse

 

[vogs]

Naja die IP's können sich ja durch den DHCP verändern... Wenn dann jeden eine nicht freigegebene IP zugewiesen wird kann ich nicht mehr drauf zugreifen (ja klar fixe IP, will ich aber nicht).

mfg

 

[vogs]

Aus der Tatsache, dass niemand mehr antwortet schließe ich, dass es keine Möglichkeit gibt, den Zugang zur NAS über MAC-Adressen zu regeln.

mfg

 

[jahlives]

Du könntest es indirekt an der DS via MAC Adresse steuern:
Dazu reservierst du im dhcp deines Routers die jeweilige IP zur gewünschten MAC Adresse. Das sollte eigentlich fast jeder Router können. Dann kannst du im DSM in der Firewall Regeln für diese IPs erstellen.
Wichtig: Die DS kontrolliert die MAC Adresse zu einer IP nicht. Wenn also jemand vorgibt die IP deine Clients zu haben, dann ist er für deine DS dein Client.

 

[trevorreznik]

Aus der Tatsache, dass niemand mehr antwortet schließe ich, dass es keine Möglichkeit gibt, den Zugang zur NAS über MAC-Adressen zu regeln.

Da schließt du falsch Allerdings ist es nicht so ganz einfach. Was in das System rein und raus darf, wird auf der DS mit IPtables geregelt. Und dort kann man auch Mac-Adressen filtern. Ist nicht ganz einfach und ich habe selbst noch keine Mac-Regeln erstellt. Daher nur ein bisschen Hilfe zur Selbsthilfe: Anleitung IPtables

 

[jahlives]

Bist du sicher, dass iptables MAC Filter mitbringt?
Bringt es mit Gerade das gefunden (http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html). Ob es allerdings auf einer DS auch geht müsste man testen.

 

[trevorreznik]

Bist du sicher, dass iptables MAC Filter mitbringt?

Sicher bin ich nicht. Aber es gibt IPtables-Versionen, die das können. Schau mal in den Artikel. Da sind ein paar Beispiele drin. Ob's funktioniert auf der DS ... keine Ahnung.

 

[vogs]

Habe nen SpeedTouch Router (glaube das ist das billigste vom billigen... bekommt man halt von der TA mit). Habe nur die Einstellung "Auto-IP" gefunden? Ist das die richtige?

mfg

 

[thedude]

Es gäbe noch die Möglichkeit statisches DHCP einzurichten. Falls möglich auf dem Router, falls nicht dann auch auf der DS (Stichwort: dnsmasq). Dann bekommen die Clients immer die selbe IP und das filtern auf IP würde wieder möglich. Ist zwar nicht sicher, aber das ist der mac filter ja auch auch nicht.

cheers
dude

 

[jahlives]

Es gäbe noch die Möglichkeit statisches DHCP einzurichten. Falls möglich auf dem Router, falls nicht dann auch auf der DS (Stichwort: dnsmasq).

Das mit dnsmasq habe ich unterschlagen, aber sonst so ziemlich genau was ich hier

Du könntest es indirekt an der DS via MAC Adresse steuern:
Dazu reservierst du im dhcp deines Routers die jeweilige IP zur gewünschten MAC Adresse. Das sollte eigentlich fast jeder Router können. Dann kannst du im DSM in der Firewall Regeln für diese IPs erstellen.
Wichtig: Die DS kontrolliert die MAC Adresse zu einer IP nicht. Wenn also jemand vorgibt die IP deine Clients zu haben, dann ist er für deine DS dein Client.

meinte

Gruss

tobi

 

[vogs]

Was wäre dann eurer Meinung nach ne sichere Variante, um den Zugriff auf die DS zu regeln (Konten sind natürlich angelegt worden).

mfg

 

[jahlives]

Was wäre dann eurer Meinung nach ne sichere Variante, um den Zugriff auf die DS zu regeln (Konten sind natürlich angelegt worden).

mfg

Also wichtig, fast das Wichtigste wäre: Überleg dir genau welche Dienste du laufen lassen willst und welche davon aus dem Internet erreichbar sein sollen. Je weniger ist in Sachen Sicherheit mehr
Das Problem beim Ansatz via MAC ist es, dass du damit ein Problem bekommst sobald du ausserhalb deines LANs auf einen Dienst der DS zugreifen willst. Denn die MAC Adresse ist nur innerhalb deines LANs bekannt.
Besser wäre es da via Firewall auf IP-Basis Regeln zu setzen. Mit der Firewall im DSM geht schon einiges. Da kannst du dir ziemlich komplexe Regelsets aufbauen, um die Zugriffe zu steuern. Zusätzlich kannst du im DSM auch die AutoBlock Funktion aktivieren, die Logins über verschiedene Protokolle hinweg überwachen kann. Ist der Schwellenwert erreicht, wird der Client geblockt. Nicht vergessen darfst du natürlich, dass du auch "sichere" Passworte verwenden solltest. Je komplexer umso besser.
Zusätzlich kannst du Freigaben auf der DS und ihre Daten verschlüsseln

Sicherheit ist ziemlich vielschichtig und auch komplex und es ist immer möglich, dass trotzdem jemand einbricht (entweder via Web oder direkt in deine Wohung und DS klauen). Absolute Sicherheit gibt es leider nicht
Es ist immer eine Frage wieviel Aufwand du für ein Mehr an Sicherheit bereit bist zu leisten. Irgendwann lohnt es nicht mehr weil der Aufwand sehr schnell sehr gross werden kann

 

[itari]

Sind mittlerweile (DSM 3.1) mehr Kernel-Module für IPTables einkompiliert worden? Ich hatte in der Vergangeheit mächtig viele Probleme, da was Gescheites mit zu machen.

Itari

 

[jahlives]

Ich hatte in der Vergangeheit mächtig viele Probleme, da was Gescheites mit zu machen.

Du wolltest doch nur wieder was viel zu krasses machen
"Einfache" Basic Setups gehen damit auf jeden Fall. Ich habe jetzt nie was komplexes damit machen wollen, aber Chains&Co kann man relativ einfach via Script einfügen. Hatte so mal sshguard eingebunden und auch mein OpenVPN hat einige Regeln in iptables. Die Geschichte mit MAC Adresse habe ich nie probiert