Seite auswählen

Synology DSM 6.2 Tutorial – Mehr Sicherheit durch GeoIP

Synology DSM 6.2 Tutorial – Mehr Sicherheit durch GeoIP

Wer auf seine DiskStation auch vom Internet zugreifen kann, ist gut daran beraten, sich ein paar Gedanken über Sicherheit zu machen. Neben TLS-Verbindungen und guten Passwörtern ist ein weiteres Bindeglied eine Firewall, die den erlaubten Datenverkehr regulieren kann. Heute wollen wir im speziellen auf ein Feature der DSM-Firewall eingehen, nämlich der GeoIP-Erkennung.

Anhand der öffentlichen IP-Adresse kann recht gut ermittelt werden in welcher Stadt oder in welcher Region ich mich gerade befinde. Ausprobieren könnt ihr das zum Beispiel auf dieser Seite. Die Anwendung der dahinter liegenden Technik ist sehr verbreitet. So begrenzen häufig Fernsehanstalten ihren Livestream auf bestimmte Länder, um nicht gegen ein Copyright zu verstoßen.

Anzeige*

Üblicherweise ruft man seine DiskStation nur aus seinem Heimatland auf und allenfalls noch von einem Zweit- oder  Drittland, wenn man sich auf Reisen befindet. Warum sollte man sich also die Funktion dieser GeoIP nicht zu nutze machen und den Traffic nicht auf diese Länder beschränken? Oder im Umkehrschluss den Zugriff von bestimmten gefährdeten Ländern verbieten. Und genau das sehen wir uns jetzt an.

Die Firewall finden wir in der Systemsteuerung im Bereich Sicherheit.

Wir wählen hier den Reiter „Firewall“ aus. Ist im Bereich „Allgemein“ (1) die Firewall noch nicht aktiviert, muss dies spätestens jetzt erfolgen. Eine aktive Firewall ist zwingend erforderlich, damit wir auch mit dem Tutorial weiter machen und die Zugriffsfilterung anhand der GeoIP konfigurieren können.

Ob man nun bei jedem Vorkommen auch benachrichtigt werden möchte, ist euch überlassen. Um ein Gefühl für die Firewall zu bekommen ist es für den Anfang empfehlenswert, die Benachrichtigungen zu aktivieren, damit man einen Überblick erhält, wann denn überhaupt von der Firewall blockiert wird.
Im Bereich „Firewall-Profil“ (2) kann man sich mehrere Profile anlegen, in welchem jeweils die unterschiedlichsten Regeln hinterlegt werden können.

Das „default“-Profil (3) ist standardmäßig immer vorhanden. Eigens angelegte Profile erhalten den Standardnamen „custom“, können aber auch mit einem sprechenderen Namen umbenannt werden. Über die Schaltflächenleiste im Dropdown-Menü können wir dann noch zusätzliche Profile anlegen, bestehende löschen oder umbenennen bzw. vorhandenes kopieren, wenn der überwiegende Teil der Regeln übernommen werden soll. Für die nachfolgenden Einstellungen wählen wir das für uns passende Profil, markieren es und klicken anschließend auf die Schaltfläche „Auswählen“. Über den Button „Regeln bearbeiten“ kann das Profil angepasst werden. An dieser Stelle ist zu beachten, dass immer nur ein Profil aktiviert werden kann.

Im nächsten Schritt wählen wir nun unser Profil „GeoIP“. Anschließend klicken wir auf [Regeln bearbeiten] (1). Es öffnet sich nun ein weiteres Fenster in dem alle Regeln eines Profils aufgelistet werden. Unser Testgerät ist noch frisch eingerichtet, daher ist der Screenshot leer. Bei euch können möglicherweise bereits ein paar Regeln angelegt sein.

Wir legen nun eine neue Regel an und klicken hierzu auf den [Erstellen]-Button (2). Im Fenster „Firewall-Regeln erstellen“ wählen wir im Bereich „Quell-IP“ die Option „Ort“ (3) und klicken anschließend auf [Auswählen] (4), worauf sich eine Länderliste (5) öffnet.

Spätestens an dieser Stelle müssen wir uns nun entscheiden, was wir wollen:

  • entweder wir sperren bestimmte Länder, sodass von diesen nicht auf die Synology DiskStation zugegriffen werden kann
  • oder wir aktivieren nur bestimmte Länder, von denen aus auf unser NAS zugegriffen werden kann.

Den Ländern ist bereits ihr GeoIP-Bereich zugeordnet, sodass wir es einfach haben und lediglich das entsprechende Land auswählen müssen.

Für unser Tutorial entscheiden wir uns für den zweiten Punkt und setzen – da wir uns in Grenznähe zu Frankreich und der Schweiz befinden – bei diesen Ländern jeweils den Haken. Natürlich kann man die Liste durchscrollen. Einfacher geht es aber, wenn man den Ländernamen im Suchfeld (5a) eintippt und dann den Haken setzt. Sind alle Ländernamen aktiviert, bestätigen wir abschließend mit [OK] (6). Damit der Zugriff von diesen Ländern auch funktioniert, müssen wir als Aktion (7) noch “Zulassen” aktivieren, sofern dies nicht schon ausgewählt ist. Mit einem Klick auf [OK] (8) wird die Firewall-Regel gespeichert und erscheint daraufhin im Fenster „Profil bearbeiten ‚GeoIP‘“ in der Übersicht.

Egal, ob ihr nun eine White- oder Blackliste mit Ländern erstellt, innerhalb einer Regel können lediglich 15 Länder gleichzeitig ausgewählt werden. Sollen mehr Länder und damit GeoIP-Bereiche berechtigt bzw. blockiert werden, muss dies in mehreren Regeln erfolgen. Hier könnte man das Ganze z. B. so ordnen, dass in einer Regel immer die Länder eines Kontinents aufgelistet und anschließend mit einer entsprechenden Aktion versehen werden.

Was genau macht diese Regel nun? Wird die DiskStation von außerhalb aufgerufen, reagiert die Firewall und startet erst einmal eine Überprüfung der IP-Adresse. Stammt diese IP-Adresse nun weder aus dem GeoIP-Bereich von Deutschland, Frankreich oder der Schweiz, wird die Anfrage abgewiesen und der eigentliche Inhalt der DiskStation nicht geladen. Potentielle Angreifer werden somit ausgesperrt.

Eines dürfen wir an dieser Stelle natürlich nicht vergessen: Wollen wir nach Italien in Urlaub, müssen wir vor Reiseantritt die Firewallregeln anpassen und unser Urlaubsland zu der Liste der berechtigten Länder hinzufügen. Sollten wir diese Anpassung versehentlich vergessen, haben wir von unserem Urlaubsort aus keinen Zugriff auf unsere DiskStation, da der GeoIP-Bereich von Italien auf unserem Synology NAS nicht freigegeben ist. Selbstverständlich gibt es noch den Work-Around, über ein VPN bzw. einen Proxyserver das NAS aufzurufen und die Einstellung damit nachträglich noch zu ändern. Man ist also nicht ganz verloren und ausgesperrt.

Wird die DiskStation im Geschäftsbereich eingesetzt und die Mitarbeiter brauchen bei Geschäftsreisen überall auf der Welt Zugriff auf bestimmte Daten, ist es hingegen sinnvoller, wenn eine sog. Blacklist mit Ländern erstellt wird, von deren GeoIP-Adressenbereich auf keinen Fall auf das NAS zugegriffen werden darf. Hier wählen wir dann in der Länderliste alle „Orte“ aus, die wir blockieren wollen und wählen im Fenster „Firewall-Regeln erstellen“ (7) statt „zulassen“ jetzt „verweigern“ aus.

Anzeige*

Neue Regeln werden immer am Ende unten aufgeführt. Die Einträge werden „im Ernstfall“, also wenn eine Anfrage von außerhalb an die Synology DiskStation gestellt wird, von oben nach unten abgearbeitet. Daher ist es ganz entscheidend, wo eine Regel steht. Außerdem muss darauf geachtet werden, dass sich zwei Einträge nicht gegenseitig torpedieren. Sobald eine passende Regel gefunden ist, wird diese angewendet und die weiter unten stehenden Einträge werden dann gar nicht erst verarbeitet. Aus diesen Gründen ist es ratsam die Verweigerung ganz an den Anfang zu stellen. Wer aus einem unautorisierten Land kommt, der hat einfach nichts auf der DiskStation zu suchen. Punkt!

Soll die Reihenfolge des Regelwerks geändert werden muss nicht jede einzelne Regel gelöscht und in der entsprechenden Reihenfolge wieder neu erstellt werden. Links von der Spalte „Aktiviert“ gibt es bei jeder Regel drei aufeinandergestapelte dünne Striche. Diese kann man anklicken und die entsprechende Regel jeweils nach oben oder nach unten bewegen. Lässt man den Mauszeiger wieder los, wird diese dann genau an dieser Stelle neu einsortiert.

Abschließend sollten wir noch einen Blick auf eine weitere Einstellung werfen, die etwas versteckt ist. Und zwar betrifft es das Verhalten der Firewall, “Wenn keine Regel zutrifft”.

Standardmäßig wird bei bei DSM 6.2 alles erlaubt, sofern keine Regel zutreffen sollte, damit neue User keine Probleme mit nicht funktionierenden Diensten haben. Sobald man seine Firewall aber ernsthaft betreiben möchte, sollte jedoch mit der umgekehrten Denkweise die Einstellungen anpassen, genauso, wie die Herangehensweise im professionellen IT-Umfeld auch üblich ist: Es wird alles verboten, sofern keine explizite Erlaubnis dafür erteilt wurde.

Um diese Einstellung nun anpassen zu können, müssen wir rechts oben bei „Alle Schnittstellen“ einen Eintrag auswählen. Je nach Modell kann dieses Dropdown-Menü u. U. anders als hier auf dem Screenshot aussehen.

Sobald wir nun einen Eintrag auswählen – hier im Beispiel LAN – wird am unteren Fensterrand die Einstellung sichtbar. Wir wählen hier „Zugriff verweigern“. Dies führen wir bei jedem Eintrag durch.

Ist alles eingestellt, speichern wir die Einstellungen mit einem Klick auf [OK]. Nun kann es passieren, dass folgende Fehlermeldung erscheint:

Ihr Computer wurde durch die neue Firewall-Konfiguration blockiert. Die Firewall-Konfiguration wurde auf den vorherigen Zustand zurückgesetzt. Stellen Sie sicher, dass ihr Computer nicht durch eine Regel blockiert wird, und versuchen Sie es erneut.

Fehlermeldung, dass der Computer durch eine neue Firewall-Konfiguration blockiert wird. Die Firewall-Konfiguration wurde auf den vorherigen Zustand zurückgesetzt.

Diese Meldung hat einen einfachen Ursprung. Ihr sperrt euch mit dem geänderten Firewallprofil aktuell aus. Damit dies aber nicht passiert und ihr somit den Zugriff auf eure DiskStation verliert, hat Synology hier eine Sicherheitsfunktion eingebaut und setzt die von euch getätigten Einstellungen außer Kraft. Wir müssen also noch eine weitere Regel erstellen, um uns zukünftig nicht auszusperren.

Hierzu klicken wir auf [Erstellen]. Im neuen Fenster unter “Ports” wählen wir dann den zweiten Punkt “Wählen Sie aus der Liste der eingebauten Anwendungen aus” und klicken auf [Auswählen]. In dem weiteren Fenster, was sich nun öffnet, setzen wir den Haken bei “Verwaltungsprogrammoberfläche” mit dem Port 5001 “DSM (HTTPS)” und bestätigen anschließend mit [OK]. Bewegt ihr euch ausschließlich in eurem Heimnetz und habt die DiskStation nicht an das Internet angebunden, könnt ihr auch den Punkt eins weiter oben mit Port 5000 für eine HTTP-Verbindung wählen. Als Aktion selektieren wir “Zulassen” und bestätigen erneut mit [OK].

Vorgehen, um uns mit der Firewall-Konfiguration nicht auszusperren

Die Regelübersicht in unserem Beispiel schaut nun wie folgt aus.

Die Verwaltungsprogrammoberfläche muss immer zugelassen sein, damit wir weiterhin auf unsere DiskStation Zugriff haben.

Bestätigen wir auch hier wieder mit [OK], erhalten wir zum Abschluss die Meldung

Die Firewall-Einstellungen wurden erfolgreich gespeichert.

die wir abermals mit [OK] bestätigen.

Nach erneuter Anpassung der Firewall-Regeln lässt sich das Profil ohne Probleme speichern und unsere ergänzten Regeln sind gültig

Eure angepassten Einstellungen zum Schutz mit der GeoIP sind nun erfolgreich im System hinterlegt. Versucht nun jemand aus einem Land, welches nicht auf eurer “weißen Liste” steht, auf eure DiskStation zuzugreifen, wird ihm der Zugang verwehrt.

Natürlich dürfen wir eines nicht vergessen. Wer sich unbedingt Zugriff auf ein System erschleichen möchte, der findet immer neue Mittel und Wege. Weiter oben haben wir es als Workaround beschrieben. Die Absicherung der Synology DiskStation kann durch Verwendung von VPN- oder Proxydiensten umgangen werden. Denn durch ein VPN oder Proxy kann der Angreifer seine wahre IP verschleiern und erhält u. U. eine IP-Adresse, die aus einem in der Firewall als sicher hinterlegten Land stammt. Die Firewall erkennt somit die „drohende Gefahr“ nicht mehr und leitet die Anfrage ganz normal zur DiskStation weiter.

Dennoch ist es sinnvoll, sein NAS abzusichern und sich mit der Möglichkeit und der Funktionalität der Firewall auseinanderzusetzen. Wenn nun alle in diesem. Tutorial beschriebenen Einstellungen vorgenommen wurden ist unser NAS also schon wieder ein Stück sicherer geworden.

Synology NAS zu Hammerpreis!


Anzeige*

Aktuelle Angebote!

Bei den zeitlich limitierten Schnäppchen findest Du jede Menge nützliche Gadgets. Über den Shop-Button gelangst Du zur Übersicht.

Entdecke gadgetChecks.de!

Reviews

Angebote

News

Bildquelle: Titelbild Mockup (Freemockupworld)

*Transparenz!

= externe Links /// + Banner = Partner-Links - Wenn Du über diese einkaufst unterstützt du uns mit einer kleinen Provision, bei unverändertem Preis. Übersicht aller Partnerprogramme /// Preise gelten zum Zeitpunkt der Veröffentlichung - Informationen & Disclaimer  /// ** = Ecovacs Tracking-Link

Euer Wunsch-Gadget bei uns im Test

Damit ihr beim nächsten Gadget-Shopping keine böse Überraschung erfahrt, könnt ihr uns eure geplante Anschaffung mitteilen, wir versuchen dann ein Review für Euch durchzuführen. Bitte habt dafür Verständnis, dass das Gerät hierfür meist von mehreren Lesern genannt werden muss.