Toggle sidebar

Security Setup, Firewall, Blockierung etc.

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

mcm57

Benutzer
Registriert
26. Nov. 2011
Beiträge
51
Reaktionspunkte
11
Punkte
8
Hi
Zuerst mal die Frage in welches Subforum Security Threads eigentlcih gehören. So richtig passend scheint kein Subforum zu sein - daher mein Post mal hier.

Ich hätte einige Fragen zur Abhärtung der Synology die hier sicher benatworter werden können. Falls das schon wo steht (- mit Suche hab ich nix Treffendes gefunden -) bitte nur um Link. Danke.

a) Login Fehler
Kann ich eine Mail / App Nachricht erhalten wenn sich jemand einlogged und/oder wenn ein Login schief geht?

b) Blockierung
Die Blockierung von IP Addressen bei Loginfehlern verstehe ich ja - glaub ich zumindest: Loginversuche von IP w.x.y.z führen im Fehlerfall dazu dass jeder weiter Loginversuch von w.x.y.z blockiert werden - egal auf welchen Account.
Was mir aber unklar ist was denn nun der Kontoschutz ist. Insbesondere was der unterschied zwischen Vertrauenswürdigen Clients und nicht Vertrauenswürdigen Clients ist. Ich gehe davon aus, dass hier das Konto user1 gesperrt wird. Einloggen mit anderem Account aber ginge. ABer wo stell ich ein welcher Cleint nurn Vertrauenswürdig ist und welcher nicht ?

c) Firewall
Wenn ich in der Firewall Zugriffe sperre besteh immer die Möglichkeit, dass ich mich vollständig aussperre; dass ich auch vom lokalen Netzwerk aus keine Verbindung mehr aufbauen kann. Welche Möglichkeit gibt es die zu resetten ohne die gesammte DS platt zu machen. Löscht ein "Knöpfchenreset" die Firewall? Oder ... ?

Danke für Infos
McM
 
Du sprichst von einem NAS und Privatleuten.... Vergiss also den ganzen Rest :P

a) jo, siehe DSM Benachrichtungen (da gibts sogar eine ganze Menge) :)
b) Authorisierungen von Clients werden (je nachdem, nutze den Kram nicht) meist mit einer zusätzlichen Software vereinbart, welche dann mit zusätzlichem Passwort und/oder Zertifikat daher kommt, etc. Möglichkeiten gibt es da viele, grundsätzlich geht es in erster Linie den Client als "vertrauenswürdig" einzustufen. (somit könnte man z.B. auch erfolgreiche Logins von nicht authorisierten Clients direkt ablehnen (obwohl sie korrekt wären)).
c) Der einfache Reset, setzt meine ich auch die FW zurück. Aber damit es nicht so weit kommt, 1. Regel: immer Du selbst ;)
 
> ad a) jo, siehe DSM Benachrichtungen (da gibts sogar eine ganze Menge)

Sorry, wenn ich nochmals nachfrage. Entweder hat mir jemand auf meinen NAS (DS1019) den Eintrag gestohlen oder ich bin blind :-)
Unter Systemsteuerung - Benachrichtigung - erweitert habe ich keine passenden Eintrag gefunden. Ich habe daher in der Kopfzeile bei Mail, Mobil und CMS das Häckchen aktiviert (= alle Elemente aktivieren). Nur - wenn ich mich versuche mit beliebigen unsinnigen Daten am GUI anzumelden bekomm ich keine Mail, keine APP Nachricht ... (Ich bekomm aber tonnen von Meldungen von Backuptasks, Disktests, ... - mailing funktioniert also)
Kann irgendwer konkret bestätigen dass beim Versuch mit falschne Daten einzuloggen eine Mail kommt?

> ad b)
Sorry, ich versteh hier Bahnhof. Was ist mit Cleint eigentlich gemeint? Ein konkreter PC mit SMB? Ein Browsertyp ? Eine App wie HyperBackup ?

> ad c)
Tja - das man eine Top Rule macht die einem selbst Zugriff gibt ist klar. Aber auch bei der kann man sich vertippen :-). Daher die Frage ob es einen Noteingang gibt mit dem man (in Verbindung mit physikalischem Zugriff) wieder an der Syste ran kann. Wär halt beruhigend.

McM
 
Zuletzt bearbeitet von einem Moderator:
Man kann sich nicht mehr aussperren. Die Syno verweigert derartige Einstellungen.
Von daher teste es selber aus was du mit der Firewall erreichen willst.
 
NSFH schrieb:
Man kann sich nicht mehr aussperren.
Zum Vergrößern anklicken....

Oh, ..."schade"... War denen wohl das Support-Aufkommen zu hoch...?

@ a) Wäre schon blöd, wenn Du Dich aussperrst, aber eine Mail kannst Du bei gesperrter IP schon bekommen. Musst es halt erstmal schaffen Dich auszusperren (ggf. von aussen mit dem Handy und dann auch erstmal die Schwelle knacken ;)).

@ b) "Client" ist jedwede Art von Zugriffsgerät (PC, Handy, Tablet, was auch immer)... Der "Server" stellt die Dienste bereit, der "Client" greift auf diese Dienste zu :)

@ c) Vertippen sollte man bei sich bei Firewall-Regeln generell nicht... Gibt halt ein etabliertes Konzept dafür, welches hier auch schon etliche male erwähnt wurde:

a) Erste: Anti-Lockout-Rule (erlaube Dir selbst den Zugriff)
b) .... (Deine gewünschten Regeln
c) Letzte: Cleanup-Rule (verbiete alles)

Regelsets werden von oben nach unten abgearbeitet... Somit ist Dir jederzeit der Zugriff gewährt, danach greifen Deine gewünschten Regeln und alles was vorher nicht explizit erlaubt wurde, wird mit der letzten Regel weggefegt. Die Syno handhabt das alles ein wenig anders (auch mit den Auswahlbuttons unter den eigentlichen Regeln) und wie @NSFH schon sagte, kann man sich wohl nicht mehr selbst aussperren (was ich persönlich ja schon etwas komisch finde), von daher ist das o.g. Konstrukt eher als "allgemeingültig" zu deklarieren :)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten