Toggle sidebar

Synology Firewall

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
F

feron

Benutzer
Registriert
15. Okt. 2022
Beiträge
153
Reaktionspunkte
9
Punkte
18
Habt ihr eigentlich die Synology Firewall auch eingeschaltet? Ich habe eine Unifi USG und habe da, die Firewall eingeschaltet. Darum frage ich mich, ob ich die Firewall Synology überhaupt auch einschalten soll.
 
Ich hab sie aktiv. Weil ich mit anderen Personen zusammenlebe und den Zugriff aufs Admin UI für bestimmte IP Ranges blocke
 
feron schrieb:
Habt ihr eigentlich die Synology Firewall auch eingeschaltet?
Zum Vergrößern anklicken....
Nein :)
feron schrieb:
Ich habe eine Unifi USG und habe da, die Firewall eingeschaltet.
Zum Vergrößern anklicken....
Was heißt "eingeschaltet"? Mit einschalten ist es ja nicht getan, sondern Du musst sie auch individuell konfigurieren. :) Dazu müsste man erst einmal wissen was bei Dir im LAN so an Clients vorhanden, wie dann was konfiguriert ist, welche Zugriff möglich sind oder sein sollen, oder auch nicht usw.. "Firewall" ist nur ein allgemeiner Sammelbegriff und bezeichnet die unterschiedlichsten Möglich- und Fähigkeiten den WAN- und LAN-Verkehr zu beschränken und/oder zu filtern.

VG Jim
 
Jedes Gerät, welches auf irgendeine Art via Internet erreichbar ist sollte eine eigene Firewallabsicherung haben.
Das ist vollkommen unabhängig von verwendeten Geräten, Protokollen etc zu verstehen.
Hier auf eine Firewall zu verzichten ist grob fahrlässig!
Mehr muss man zu diesem Thema nicht sagen.
 
Mann könnte auch fragen was spricht dagegen sie nicht zu benutzen, selbst wenn sie auf der ersten Blick nur wenig sinnvoll erscheint ist es ja nicht so das dein System dadurch spürbar ausgebremst wird, mehr Strom braucht u.s.w.
 
NSFH schrieb:
Hier auf eine Firewall zu verzichten ist grob fahrlässig!
Zum Vergrößern anklicken....
Falls sich das auf mein "Nein" beziehen sollte: Ich habe nicht geschrieben das ich keine Firewall benutze, sondern das ich die Firewall-Funktion(en) von DSM nicht benutze. :)

Die Frage des TE war eigentlich auch ob er zusätzlich zu den USG Firewall-Funktionen auch noch die Firewall-Funktionen von DSM nutzen sollte/müsste.

VG Jim
 
Jim_OS schrieb:
Falls sich das auf mein "Nein" beziehen sollte: Ich habe nicht geschrieben das ich keine Firewall benutze, sondern das ich die Firewall-Funktion(en) von DSM nicht benutze. :)
.................
Zum Vergrößern anklicken....

Falls es deiner Aufmerksamkeit entgangen ist, finden fast alle erfolgreichen Angriffe auf Server nicht aus dem Internet durch überwinden der Router Firewall statt, sondern durch übernommene/infizierte PCs im LAN.
Und dann schützt man seinen Fileserver im LAN nicht? GROB FAHRLÄSSIG!
 
  • Like
Reaktionen: blurrrr und Synchrotron
Kann nur unterstützen, was @NSFH schreibt: Netzwerke werden "trojanisch" übernommen. Dabei sind Netzwerkserver immer das primäre Ziel, hier gibt es die Datenbestände, da liegen die Backups.

Also FWs einschalten, auch im eigenen Netz Dinge wie Anmeldesperre nach x Fehlversuchen aktivieren, und nicht jedes Paket installieren, nur weil es verfügbar ist. Alle installierten Pakete sollten dann per Firewall abgesichert werden.
 
Ich weiß zwar nicht wie Du darauf kommst das ich meinen Fileserver im LAN nicht schütze, nur weil ich die Firewall-Funktion(en) von DSM nicht nutze, aber egal. Meine Antwort ist immer noch die gleich wie in #3 geschrieben und das "Nein" bedeutet nicht das es für meinen Fileserver im LAN keine Firewall gibt.

Falls es Deiner Aufmerksamkeit entgangen ist hast Du Dir selber auch gerade irgendwie widersprochen.
NSFH schrieb:
Jedes Gerät, welches auf irgendeine Art via Internet erreichbar ist sollte eine eigene Firewallabsicherung haben.
Zum Vergrößern anklicken....
D.h. im Umkehrschluss: Wenn ein Gerät aus dem Internet nicht erreichbar ist braucht es keine eigene Firewallabsicherung.
NSFH schrieb:
nicht aus dem Internet durch überwinden der Router Firewall statt, sondern durch übernommene/infizierte PCs im LAN.
Zum Vergrößern anklicken....
Jetzt bist bei Servern im LAN die kompromittiert werden können und somit alle eine eigene Firewallabsicherung brauchen, obwohl sie aus dem Internet ggf. gar nicht erreichbar sind.

Ja ich weiß zwar was Du meinst, aber ich verstehe nicht was man in mein einfaches "Nein" so hineininterpretieren kann/möchte.

Aber bevor Du jetzt ggf. noch mit P-A-P-Strukturen ankommst klinge ich mich hier lieber aus. :) Es gibt im Internet genug Infos welche Sicherheitsstrukturen und -ebenen man wie aufbauen könnte und sollte. Ebenso finden sich genug Infos wie sinnvoll es ist bei sich im LAN zwei, oder ggf. auch noch mehr Firewalls einzusetzen.

VG Jim
 
Die Firewall für das gesamte Netzwerk (meist auf dem Router) schaut nur nach außen. Kommt von innen Traffic, merkt sie sich diese Anfrage nach außen. Kommt die Antwort, leitet die Firewall sie durch. Daher ist die FW transparent für Anfragen, die aus dem Netzwerk kommen.

Wird ein Gerät im Netzwerk von Malware übernommen, kommt deren Kontakt zum C&C-Server von innen, wird also nicht geblockt. Auch die Aktivitäten des "trojanischen" Geräts innerhalb des Netzwerks werden von der Netzwerkfirewall nicht geblockt - die liegen "hinter" ihr.

Und jetzt kommt die Firewall auf den Geräten ins Spiel. Die ist nur ein Baustein unter mehreren, um eine Ausbreitung zu stoppen, oder mindestens zu behindern. Auf der DS kann sie Zugriffsversuche unterbinden, die nicht legitimiert sind.

Klar kann das jeder halten, wie er will. Aber da hier auch andere mitlesen, ist meine Empfehlung, die DS-Firewall zu aktivieren. Muss man nicht, kann man aber, und sollte es m.E. auch. Dazu sind heute die Bedrohungsszenarien schon für "kleine" Heimnetzwerke zu umfangreich, um dieses Risiko zu ignorieren.

Als Beispiel, warum das so ist: Paria-Staaten wie Nordkorea setzen große Gruppen von Hackern ein, um Devisen zu "erwirtschaften". So ein Staatshacker kostet vielleicht 300€ im Monat - wenn der jeden Tag ein DS verschlüsselt und dafür einen Tausender kassiert, hat sich der Einsatz "gelohnt". Daher: Dicht machen, was geht, auch innerhalb des eigenen Netzwerks.
 
  • Like
Reaktionen: Rotbart
Finde ich vom Grundsatz her einen interessanten Ansatz @Synchrotron
Wie würde dann zum Beispiel die Regeln in deiner NAS-Firewall bezüglich SMB-Server bzw. Freigabe aussehen?
 
Synchrotron schrieb:
Auf der DS kann sie Zugriffsversuche unterbinden, die nicht legitimiert sind. Klar kann das jeder halten, wie er will.
Zum Vergrößern anklicken....
Also meine DS auf der Daten gespeichert werden ist nicht mit dem Internet verbunden und die Clients die darauf zugreifen auch nicht. Ebenso haben weder die DS, noch die Clients die darauf zugreifen können, eine Verbindung in mein LAN. Das ganze wird u.a. über eine OPNSense Firewall geregelt/gesteuert. Es macht also im meinen Fall wenig Sinn mit den DSM Firewallfunktionen irgendwelchen Traffic, oder irgendwelche Zugriffe von irgendwelchen Geräten aus dem WAN oder dem LAN blocken zu wollen, der gar nicht existiert. :LOL:

Ich habe in #3 die Frage ob ich die DSM Firewall aktiviert habe mit einem einfachen "Nein" incl. Smiley beantwortet, denn das entspricht den Tatsachen. Weiterhin habe ich den TE auch gefragt wie sein LAN überhaupt aufgebaut ist, welche Zugriffe existieren usw. Ohne diese Infos macht es wenig Sinn eine Aussage dazu zu treffen ob er die DSM Firewallfunktionen nutzen/aktivieren soll oder muss. Natürlich könnte man auch pauschal sagen: Schalt einfach alles ein was geht, denn viel hilft viel. Das hat aber mit einem geplanten Sicherheitskonzept in der Praxis nicht wirklich viel zu tun. Aber ok wie immer gilt: Das muss jeder für sich selber beurteilen. :)

Das NSFH dann meinte meinen Aufbau hier ggf. zu kennen und mein "Nein" irgendwie zu interpretieren oder bewerten zu müssen, ist eine andere Geschichte.

VG Jim
 
Die Diskussion gleitet in die reine Selbstverteidigung ab.
Wie du jetzt schreibst kommt keiner deiner PCs ins Internet, hast du keinen Mailclient und keinen Internetbrowser auf einem deiner PCs der Zugriff aufs Web hat. Auf der Syno laufen demnach auch keine Dienste, die ins Internet kommen und Updates realsierst du via USB-Stick.
Wer es glaubt wird seelig!

Im übrigen habe ich mir nirgendwo widersprochen. Das was du vorgibst zu haben, nämlich ein LAN ohne jeglichen Internetzugang ist die einzige Ausnahme wo ich sagen würde keine Firewall erforderlich. Das dürfte auf geschätzt 0,01% aller LANs zutreffen, mit dir dann 0,02%.
Ich brauche den Aufbau deines LANs nicht kennen, es geht nur um eine Aussage die du getroffen hast: Keine Firewall für die Syno zu haben.
 
NSFH schrieb:
Wie du jetzt schreibst kommt keiner deiner PCs ins Internet, hast du keinen Mailclient und keinen Internetbrowser auf einem deiner PCs der Zugriff aufs Web hat. Auf der Syno laufen demnach auch keine Dienste, die ins Internet kommen und Updates realsierst du via USB-Stick.
Zum Vergrößern anklicken....
Habe ich irgendwo geschrieben das keiner meiner PCs einen Internet-Zugang hat? Ich arbeite einfach mit unterschiedlichen LAN-Bereichen und ja die DS in dem LAN-Bereich und auch die Clients die in dem LAN-Bereich sind, haben keinen Zugriff auf das Internet. Dieser LAN-Bereich ist kompl. von den zwei anderen LAN-Bereichen die es hier noch gibt getrennt, sodass deren Clients - welche dann auch Internet-Zugang haben - keinen Zugriff darauf haben. Das es unterschiedliche LAN-Bereiche gibt, von denen einzelne eben keinen Internet-Zugang haben, scheint dann wohl sehr ungewöhnlich zu sein. :)

Mal abgesehen davon: Das es auch noch andere Möglichkeiten gibt den Zugriff auf die DS im LAN per Firewall-Funktionen zu reglementieren, ohne dafür die DSM-Firewallfunktionen zu nutzen, dürfte wohl klar sein. Aber ja, man kann auch zwei, drei oder X Firewalls nacheinander schalten und walten lassen.

Damit ist meine "Selbstverteidigung" dann endgültig beendet. :LOL:

VG Jim
 
Zuletzt bearbeitet:
Ist auch besser so, so einen verquirlten Kram versteht keiner, muss man ja auch nicht.
Jeder ist seines eigenen Glückes Schmied.

Also können wir uns dann doch darauf einigen, dass es sinnvoll ist seinen Fileserver via Firewall zu schützen, sobald das ihm zugehörige LAN egal wie eine Verbindung zum Internet hat. Nur darum geht es hier.
 
Ja sofern hinter dem via noch das Wörtchen "einer" steht. :D

VG Jim
 
Nö! Wenn schon dann "eigener" und damit beende ich für mich diese krude, überflüssige Diskussion.
 
Nun ja, ich wage mal eine kleine Anmerkung zu dem Thread: Mir hat er dahingehend geholfen, dass ich mir auf meinen DS mal wieder die Sicherheitseinstellungen angeschaut habe. Dabei ist mir aufgefallen, dass ich unter "Schutz" -> "DoS-Schutz (Denial-of-Service) die Netzwerkschnittstelle bei meiner DS1621xs+ nicht ändern konnte. Hier verwende ich eine E10G21-F2 SFP+ 10GbE Netzwerkkarte im PCIe Slot als Netzzugang und folglich müsste hier "LAN 4" statt "LAN 1" eingetragen werden. Wähle ich LAN 4 aus und klicke auf "Übernehmen" erscheint die Meldung "Es wurden keine Einstellungen geändert" und "LAN 4" wird nicht gespeichert. Hat noch jemand das Problem? Ein Bug im DSM?

Insofern hatte eure Diskussion also zumindest für mich schon einen Nutzen, da ich auf dieses Problem aufmerksam wurde.
 
  • Like
Reaktionen: Benie
Grad mal bei mir geschaut. Ja, die Umschaltung ist etwas merkwürdig. Wenn man den LAN-Port ändert, dann muss man auch das Kreuzchen "DoS Schutz aktivieren" nochmal setzen. Dann wird die Änderung auch übernommen. Hinterher ist aber das Kreuzchen evtl. wieder weg und man muss es nochmal setzen. Aber letztendlich schafft man es dann irgendwie schon, das auf auf LAN5 zu ändern.
Ich frag mich aber schon, wieso es für sowas die Angabe eines bestimmten LAN-Ports überhaupt braucht. :unsure:
 
  • Like
Reaktionen: Phoenix1000
Ah, es scheint so zu sein, dass bei einem Neuaufruf "standardmäßig" "LAN 1" und die entsprechende Einstellung für das Häkchen angezeigt wird. Das kann man dann für jedes LAN setzen oder nicht. Das funktioniert - also doch kein Bug.
@Benares: Danke für Deinen Hinweis. Und mir ist auch unklar, warum man den DoS-Schutz pro Port differenziert auswählen kann.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten