Hallo, ich versende eine DS218+ nur für Backups aller Laptops und Computer. Die Updates werden nur erstellt wenn sich die Geräte auch im Netz befinden. Ich versende dafür Active Backup for Business. Nun würde ich gern den Internetzugang soweit begrenzen, dass nur due DSM Updates gefahren werden können mehr nicht. Ich möchte damit die Backups schützen. Macht das Sinn und wenn ja wie mache ich das ?
Synology Synology NAS Ds218+ Internetverkehr komplett sperren bis auf Updates
- Ersteller Daniel Albert
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Nimm einfach das Default-Gateway bei den Netzwerkeinstellungen raus, und nimm es wieder rein, wenn was upgedatet werden soll.
Aber denk dran, dass du dann auch keine Mails bei evtl. Problemen mehr bekommst.
Aber denk dran, dass du dann auch keine Mails bei evtl. Problemen mehr bekommst.
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.496
- Reaktionspunkte
- 8.542
- Punkte
- 679
Nein, macht keinen Sinn, wie soll jemand auf deine DS kommen wenn der Router kein Port-forwarding eingerichtet, welches auf deine DS durchleitet?
Das Problem sind infiltrierte PC's, die eine Verbindung zu deiner DS herstellen. Theoretisch jeder PC, mit dem du im Netz unterwegs bist. Das WWW greift dich eher nicht an.
Wenn du es möglichst sauber haben willst, erlaubst du den Administrationszugang auf die DS nur einem Rechner, der nie ins Internet geht (z. B. einem mit tails von usb gebooteten Laptop).
Wenn du es möglichst sauber haben willst, erlaubst du den Administrationszugang auf die DS nur einem Rechner, der nie ins Internet geht (z. B. einem mit tails von usb gebooteten Laptop).
- Registriert
- 13. Juli 2019
- Beiträge
- 5.514
- Reaktionspunkte
- 2.443
- Punkte
- 259
Wenn die zu sichernde DS ebenfalls mehrere LAN-Ports hat, wäre die Aufteilung des Heimnetzwerks in VLANs denkbar. Ein "Backup-VLAN" einrichten, das nur die zu sichernde DS, den Switch und die Backup-DS enthält.
Trotzdem muss man Nutzen und Nachteile abwiegen. Eine so abgeschottete DS bekommt nicht mal ein Zeitsignal (damit kann es auch Probleme geben, korrekte Codes für 2FA zu akzeptieren), kann sich keine Updates ziehen, kann nicht überwacht werden, kann bei Störungen keine Mails senden etc.
Wie oben schon beschrieben, kommt die Gefahr nicht direkt aus dem bösen, bösen großen Internet. Vielmehr wird ein lokaler Rechner übernommen (das kann ein PC sein, aber ebenso auch ein IoT-Gerät mit veralteter Firmware), und von dort das lokale Netzwerk infiltriert.
Wichtiger als totale Trennung ist aus meiner Sicht, dass die Backup-DS möglichst wenige Pakete ausführt, nur dann hoch gefahren wird, wenn ein Backup ansteht und danach wieder schlafen geht. Dazu aktuelles DSM, und Zugriffe im Normalfall nur mit Nicht-Admin-Usern. ABfB muss allerdings mit Admin-Rechten ausgeführt werden.
Trotzdem muss man Nutzen und Nachteile abwiegen. Eine so abgeschottete DS bekommt nicht mal ein Zeitsignal (damit kann es auch Probleme geben, korrekte Codes für 2FA zu akzeptieren), kann sich keine Updates ziehen, kann nicht überwacht werden, kann bei Störungen keine Mails senden etc.
Wie oben schon beschrieben, kommt die Gefahr nicht direkt aus dem bösen, bösen großen Internet. Vielmehr wird ein lokaler Rechner übernommen (das kann ein PC sein, aber ebenso auch ein IoT-Gerät mit veralteter Firmware), und von dort das lokale Netzwerk infiltriert.
Wichtiger als totale Trennung ist aus meiner Sicht, dass die Backup-DS möglichst wenige Pakete ausführt, nur dann hoch gefahren wird, wenn ein Backup ansteht und danach wieder schlafen geht. Dazu aktuelles DSM, und Zugriffe im Normalfall nur mit Nicht-Admin-Usern. ABfB muss allerdings mit Admin-Rechten ausgeführt werden.
edv-kollmannsberger
Benutzer
- Registriert
- 25. März 2023
- Beiträge
- 7
- Reaktionspunkte
- 1
- Punkte
- 9
Hi Daniel, das was du vor hast ist ein hyperverntilierendes Sicherheitskonstrukt.
Wie Synchotron schon sagte, solange deine DS nicht von aussen erreichbar ist kommt der Angriff immer von innen.
Es sei denn du bekommst ein gehacktes update vom Synology update Server. - aber da steckst nicht drin.
Wenn du dir die Arbeit machen willst dann würde ich folgendes vorschlagen.
1. Internetzugang der DS komplett sperren - am Besten per VLAN nur intern erreichbar machen. Somit kann selbst bei einem Hack die DS keine Daten unmittelbar ins Internet senden.
2. updates per Hand über Download und upload auf den Synology Server
3. einen eigenen Benutzernamen und Kennwort für ABB anlegen, der keinen Zugriff auf sonstige DS funtionen oder Shares hat.
4. Den Zugriff der Benutzer für ABB auf IP-Adressen oder MAC Adressen beschränken
Nun kommt aber der Kackpunkt.
Was passiert wenn du mit einem infizierten Rechner auf die Dateifreigaben der DS zugreifst oder auch der infizierte Rechner von sich aus Daten ins Internet sendet?
Ich denke hier ist der Punkt an dem du ansetzen solltest.
Wie Synchotron schon sagte, solange deine DS nicht von aussen erreichbar ist kommt der Angriff immer von innen.
Es sei denn du bekommst ein gehacktes update vom Synology update Server. - aber da steckst nicht drin.
Wenn du dir die Arbeit machen willst dann würde ich folgendes vorschlagen.
1. Internetzugang der DS komplett sperren - am Besten per VLAN nur intern erreichbar machen. Somit kann selbst bei einem Hack die DS keine Daten unmittelbar ins Internet senden.
2. updates per Hand über Download und upload auf den Synology Server
3. einen eigenen Benutzernamen und Kennwort für ABB anlegen, der keinen Zugriff auf sonstige DS funtionen oder Shares hat.
4. Den Zugriff der Benutzer für ABB auf IP-Adressen oder MAC Adressen beschränken
Nun kommt aber der Kackpunkt.
Was passiert wenn du mit einem infizierten Rechner auf die Dateifreigaben der DS zugreifst oder auch der infizierte Rechner von sich aus Daten ins Internet sendet?
Ich denke hier ist der Punkt an dem du ansetzen solltest.
Guten Morgen, Danke für euren Input und Vorschlägen. Dann muss ich das Thema doch anders angehen. Es geht mir primäre um die Vermischung der Handys, Laptops und Rechner meiner Kinder. Ich weiß ja nicht was die im Internet machen. Ich habe alles von AVM. Daher muss ich mir eher Gedanken machen wie ich meine Firmengeräte im gleichen Netz gegen Probleme von den Geräten der Kinder abschotte. Wer eine Idee hat her damit
- Registriert
- 28. Okt. 2020
- Beiträge
- 15.769
- Reaktionspunkte
- 6.023
- Punkte
- 589
Zum Beispiel indem du die Firewall des NAS so konfigurierst, dass nur bestimmte IP Adressen (deine Geräte) Zugriff haben
Sinnvollerweise mit separaten Netzen.
Wahrscheinlich am einfachsten ginge es mit einem zusätzlichen Router (z. B. eine FritzBox) im Netz, die dir ein separates, und von den anderen Geräten nicht erreichbares Netz aufspannt.
Oder noch einfacher: Du sperrst die Kiddies aus ins Gastnetz.
Zuletzt bearbeitet:
Da ich in einer ähnlichen Situation bin, habe ich die Kinder einfach ins Gastnetz der FB "verbannt".
- Registriert
- 13. Juli 2019
- Beiträge
- 5.514
- Reaktionspunkte
- 2.443
- Punkte
- 259
Zwei Möglichkeiten:
Kinder ins Gastnetz der FB. Dann haben sie null Zugriff ins Heimnetzwerk. Du hast allerdings auch null Transparenz, was sie dort treiben.
Eigenes Firmennetzwerk in ein eigenes Netzwerk herausnehmen. Das kann ein zweiter Internetanschluss sein, oder ein VLAN, das völlig abgeschottet läuft, und nur seine Internetverbindung über den Router bezieht.
Kinder ins Gastnetz der FB. Dann haben sie null Zugriff ins Heimnetzwerk. Du hast allerdings auch null Transparenz, was sie dort treiben.
Eigenes Firmennetzwerk in ein eigenes Netzwerk herausnehmen. Das kann ein zweiter Internetanschluss sein, oder ein VLAN, das völlig abgeschottet läuft, und nur seine Internetverbindung über den Router bezieht.
edv-kollmannsberger
Benutzer
- Registriert
- 25. März 2023
- Beiträge
- 7
- Reaktionspunkte
- 1
- Punkte
- 9
zu den Zeiten als meine Kinder noch ungewiss waren 
hatten die nen Filter, der im nachhinhein auch nicht brachte. AVM Kinderschutz.
Aus dieser Erfahrung heraus würde ich folgendes Empfehlen:
Degradiere die Fritzbox zum VoIP und Modem.
Setze nen vernüftigen Router und nen Switch hinter die Fritzbox der VLAN kann.
Ich nutze zb. den RT6600ax und als Repeater die WRX560. Da kannst die Kinder in ein eigenes Netzwerk sperren und wenn du es willst, dann können die nicht ins Hauptnetz und wenn dann evtl nur auf ABB usw zugreifen. Das kannst über die Firewall dann regeln.
So eine Installation Bedarf aber fundierte Netzwerkkenntnisse.
hatten die nen Filter, der im nachhinhein auch nicht brachte. AVM Kinderschutz.
Aus dieser Erfahrung heraus würde ich folgendes Empfehlen:
Degradiere die Fritzbox zum VoIP und Modem.
Setze nen vernüftigen Router und nen Switch hinter die Fritzbox der VLAN kann.
Ich nutze zb. den RT6600ax und als Repeater die WRX560. Da kannst die Kinder in ein eigenes Netzwerk sperren und wenn du es willst, dann können die nicht ins Hauptnetz und wenn dann evtl nur auf ABB usw zugreifen. Das kannst über die Firewall dann regeln.
So eine Installation Bedarf aber fundierte Netzwerkkenntnisse.
Das war gestern auch mein Gedanke einfach alle ins Gastnetzwerk dann haben die keinen Zugriff auf die internen Geräte
- Registriert
- 28. Okt. 2020
- Beiträge
- 15.769
- Reaktionspunkte
- 6.023
- Punkte
- 589
Naja Firewall aktivieren in der Systemsteuerung. Dann pro PC, mit dem du zugreifen willst, eine Regel erstellen, die der IP alles erlaubt und darunter eine Regel mit "Deny all". Aber einfacher und besser ist wohl die Lösung mit dem Gastnetzwerk, sofern kein Zugriff auf irgendwelche Ressourcen Heimnetz gebraucht wird.
EDIT: Keine Angst mit der Firewall-Sache. Aussperren kannst du dich nicht. Die DS verhindert die Erstellung einer Regel, die die aktuelle Sizung blocken würde. Zudem kannst du die Firewall easy per einfachen Reset deaktivieren
Zuletzt bearbeitet:
Danke ich teste es mal aus und kombiniere beides. Bei der einen NAS greife ich halt au über das Internet zu per Webdav und die Datenbank von Keepass läuft drauf
- Registriert
- 28. Okt. 2020
- Beiträge
- 15.769
- Reaktionspunkte
- 6.023
- Punkte
- 589
Wenn die DS im Internet steht, macht die Firewall noch viel mehr Sinn. Ich hoffe, du hast die Portweiterleitungen auf dem Router manuell gemacht und nicht über die DS. Zudem generell aus Sicherheitsgründen in der Fritte die UPNP Freigabefunktion abschalten. Du kannst in der DS-Firewall zum Beispiel festlegen, dass von extern nur WebDAV reindarf (also nur dieser Port) und nix anderes
Das Firmennetz ist doch einfach vom Heim und Gastnetz getrennt mit AVM Produkten. Entweder hänge ich das Firmenetz ins Gast-WLAN, oder, wenn ich das Gast WLAN noch anderweitig benutze, einen LAN-Port in ein Gast-LAN hängen (geht nicht bei allen AVM-Geräten).
Das ist aus meiner Sicht aber auch eine eher rudimentäre Lösung. Die ganzen Einstellungen, die man im eigenen Netz sonst vornehmen kann, zum Beispiel die Verwendung festgelegter IP-Adressen, Aufteilung der Bandbreite am besten nach Zeitplan, geht im Gäste-Netz eben nicht. Ich bin für so etwas mittlerweile ein Freund von VLANs, die zwischen Privat, Beruf, IoT und Gast trennen können und da kommt die AVM-Hard- und Software an ihre Grenzen, das ist nicht die Klientel der Firma.
@Monacum : Ist ja alles richtig. Der TE erwähnte das er Firmennetz und Handys der Kids trennen wollte und das er AVM-Produkte im Einsatz hat. Daher der eher einfache aber meines Erachtens pragmatische Ansatz.
Für diejenige die Geld, Wissen und Muße hat es "richtig" zu machen ist das keine wirkliche Lösung
Für diejenige die Geld, Wissen und Muße hat es "richtig" zu machen ist das keine wirkliche Lösung
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
