Betriebssysteme, Programme & Web

Synology: Mehr Sicherheit durch Geoblocking

Bei den vielen verschiedenen Apps und Services ist es in vielen Anwendungsfällen wahrscheinlich, dass deine Synology DiskStation aus dem Internet erreichbar ist. Im Idealfall beschränken sich die Zugriffsmöglichkeiten zwar auf wenige geöffnete Ports an deinem Router, jedoch bieten auch diese ein Einfallstor für allerlei bösartige Absichten. Dabei muss es sich nicht einmal um Personen handeln, auch Bots und ganze Botnetze suchen nach Schwachstellen und versuchen oftmals, per zufallsgenerierten Passwörtern in dein System einzudringen. Meist kommen die Angriffe immer wieder aus denselben Ländern, sodass du deine Firewall auf dem NAS durch sogenanntes Geoblocking verstärken kannst. Wir zeigen dir, wie du die IP-Bereiche einzelner Länder blockierst oder zulässt und dadurch deinen Netzwerkspeicher auf eine völlig neue Sicherheitsebene bringst.

Die Firewall ist dein Freund

Natürlich ist es einfacher, mit einer Standardkonfiguration darauf zu setzen, dass keine bösartigen Softwarepakete unbemerkt Ports auf deinem NAS öffnen und dadurch Angriffe von außen ermöglicht werden. Doch mehr Sicherheit erhältst du mit einer sauber konfigurierten Firewall, welche ein- und ausgehende Datenpakete reguliert. Deren Einrichtung ist zwar, gerade bei zahlreich vorhandenen Diensten, zeitaufwendig, letztendlich profitierst du aber davon.

Um mit der Geoblocking-Einrichtung zu beginnen, öffne die Systemsteuerung im Webinterface deiner DiskStation. Öffne den Punkt „Sicherheit“ und navigiere weiter zum Reiter „Firewall“. Sofern du hier noch keine Einstellungen vorgenommen hast, ist bei den meisten Modellen die Firewall nicht standardmäßig aktiv. Setze hierfür einen Haken bei „Firewall aktivieren“ und, wenn du über Aktivitäten informiert werden möchtest, einen weiteren Haken bei „Firewall Benachrichtigungen aktivieren“.

Geoblocking aktivieren

Nun ist es an der Zeit, entweder das Standardprofil der Firewall nach deinen Wünschen anzupassen oder ein eigenes zu erstellen. Sofern dein NAS an ein und demselben Netzwerkstandort bleibt, kommst du mit einem einzigen Profil gut klar. Mit dem Button „Regeln bearbeiten“ gelangst du zu den Details.

Sobald die Firewall auf dem Netzwerkspeicher aktiviert ist, sollte zwar zu erwarten sein, dass alle Zugriffe von außen verboten sind, doch erlaubt Synology alle Dienste, um die Nutzerfreundlichkeit zu erhöhen. Das bedeutet, dass du sowohl eine Regel für die erlaubten Dienste erstellen musst als auch im Anschluss eine für die blockierten. Klicke auf den Erstellen-Button, um zu beginnen.

Jetzt hast du die Wahl. Entweder du kennst die Ports aller benötigten Anwendungen, die auf deiner DiskStation laufen und von außen erreichbar sein müssen, oder du klickst dich durch die Liste installierter Anwendungen. Letztere Option ist deutlich weniger mühsam. Wähle also den Punkt „Wählen Sie aus der Liste der eingebauten Anwendungen aus“ und betätige den Auswählen-Button. In der nun erscheinenden Liste findest du alle Ports, die aktuell auf deinem NAS von diversen Softwarepaketen genutzt werden. Hier ist es wichtig, auf jeden Fall die Verwaltungsprogrammoberfläche zuzulassen, beziehungsweise einen Haken ins Aktiviert-Feld zu setzen. Ansonsten könnte es sein, dass du über das World Wide Web nicht mehr auf die Weboberfläche deines NAS gelangst. Alle weiteren Dienste sind nun dir überlassen, jedoch solltest du nur jene aktivieren, welche du auch nutzt.

Ein Klick auf OK schließt die Liste. Im nächsten Schritt kannst du wahlweise alle IP-Adressen zulassen, nur einen bestimmten Bereich oder aus bestimmten Ländern. Letzteres führt dich zum Geoblocking. Wähle also die Option „Ort“, klicke auf den Auswählen-Button und aktiviere in der folgenden Auflistung die Länder, aus denen du Zugriffe auf deine DiskStation erlauben möchtest. Die maximale Anzahl ist hier auf 15 Länder beschränkt, du kannst aber, wenn du noch mehr auswählen möchtest, einfach eine zweite Firewallregel erstellen, um weitere 15 Länder markieren zu können.

Bestätige deine Auswahl mit OK und stelle sicher, dass im Bereich Aktion „Zulassen“ gewählt ist. Ansonsten hättest du den umgekehrten Effekt. Ebenso kannst du auf diesem Weg beispielsweise den Zugriff aus bestimmten Ländern blockieren – zum Beispiel, wenn du unnatürlich vielen Anmeldeversuchen auf deiner Wordpress-Installation aus einem bestimmten Land konfrontiert bist.

Jetzt ist es an der Zeit, alle anderen Dienste, welche nicht nach draußen müssen, zu blockieren. Erstelle dafür eine neue Regel im selben Firewall-Profil.

Wähle wieder die Liste und klicke auf den Auswählen-Button. In diesem Fall musst du deine Auswahl von vorhin umkehren – also nur die Dienste wählen, die nicht aus dem WWW erreichbar sein sollen. Im Quell-IP-Feld wähle die Option „Alle“, da hier generell kein Zugriff stattfinden soll, egal, aus welchem Land. Im Aktionsfeld noch „Verweigern“ auswählen und mit OK bestätigen.

Bestätige das „Profil bearbeiten“-Fenster ebenfalls mit OK und klicke in der Systemsteuerung auf den Übernehmen-Button. Die Regeln sind ab jetzt aktiv und der Zugriff auf deine ausgewählten Services sollte nur noch von den markierten Ländern möglich sein.

Hilfe, ich habe mich ausgesperrt

So praktisch die Synology-Firewall ist, so viele Tücken können bei der Konfiguration passieren. Für den Fall, dass die Ports für die Weboberfläche gesperrt wurden, setzt sich die Firewall von DSM 6.2 wieder auf ihren Ursprungszustand zurück. Weitaus wahrscheinlicher ist aber, dass du durch aktiviertes Geoblocking entweder diverse Indexdienste, wie den Google-Crawler (sofern du eine Webseite hostest) oder dich selbst, wenn du mal auf Urlaub bist, aussperrst. Ebenso könnten Mitarbeiter im Außendienst oder Kunden aus dem Ausland betroffen sein. Solltest du in dringenden Fällen aus einem blockierten Land auf dein NAS zugreifen wollen, könntest du dich über einen VPN-Anbieter, welcher Serverstandorte in von dir zugelassenen Ländern unterhält, verbinden.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Neue Antworten laden...

k
kenny12

Neues Mitglied

1 Beiträge 0 Likes

Hey Simon.

Ich denke du hast einen Fehler in deiner Anleitung bzw vl nicht gut beschrieben. Beim letzten Punkt meinst du dass man die "In diesem Fall musst du deine Auswahl von vorhin umkehren". Nur wenn ich bei der "deny" regel die Anwendungen Verwaltungsprogrammoberfläche 5000/5001 nicht anhacke, dann gibt es ja laut deiner Anleitung keine Regel die den Zugang von zb Russland zur Verwaltungsprogrammoberfläche verbietet. Da Synology ja nach dem Prinzip "falls nichts zutrifft erlauben wir es" arbeitet. Natürlich kann man dass bei den Schnittstellen ändern dann wird alles verweigert außer man hat dafür eine Regel erstellt.

Dh die ersten beiden Regeln sind korrekt beschrieben aber bei der letzten Regel muss man alle Anwendungen auswählen und wenn man dann von DE die LoginPage ansurft greift die erste Regel und es wird erlaubt und die letzte Regel betrachtet er dann gar nicht mehr.

Bitte bessere mich aus falls ich falsch liege.

Antworten Like

Zum Ausklappen klicken...
Avatar of Simon
Simon

Administrator

5,391 Beiträge 3,932 Likes

Hey @kenny12,

Synology handhabt das in der aktuellen Version üblicherweise so, dass Ports ohne Regeln blockiert werden, daher muss man nicht alle auswählen.

Viele Grüße
Simon

Antworten Like

Schaltfläche "Zurück zum Anfang"