Betriebssysteme, Programme & Web

Synology: Mehr Sicherheit durch Geoblocking

Bei den vielen verschiedenen Apps und Services ist es in vielen Anwendungsfällen wahrscheinlich, dass deine Synology DiskStation aus dem Internet erreichbar ist. Im Idealfall beschränken sich die Zugriffsmöglichkeiten zwar auf wenige geöffnete Ports an deinem Router, jedoch bieten auch diese ein Einfallstor für allerlei bösartige Absichten. Dabei muss es sich nicht einmal um Personen handeln, auch Bots und ganze Botnetze suchen nach Schwachstellen und versuchen oftmals, per zufallsgenerierten Passwörtern in dein System einzudringen. Meist kommen die Angriffe immer wieder aus denselben Ländern, sodass du deine Firewall auf dem NAS durch sogenanntes Geoblocking verstärken kannst. Wir zeigen dir, wie du die IP-Bereiche einzelner Länder blockierst oder zulässt und dadurch deinen Netzwerkspeicher auf eine völlig neue Sicherheitsebene bringst.

Die Firewall ist dein Freund

Natürlich ist es einfacher, mit einer Standardkonfiguration darauf zu setzen, dass keine bösartigen Softwarepakete unbemerkt Ports auf deinem NAS öffnen und dadurch Angriffe von außen ermöglicht werden. Doch mehr Sicherheit erhältst du mit einer sauber konfigurierten Firewall, welche ein- und ausgehende Datenpakete reguliert. Deren Einrichtung ist zwar, gerade bei zahlreich vorhandenen Diensten, zeitaufwendig, letztendlich profitierst du aber davon.

Um mit der Geoblocking-Einrichtung zu beginnen, öffne die Systemsteuerung im Webinterface deiner DiskStation. Öffne den Punkt „Sicherheit“ und navigiere weiter zum Reiter „Firewall“. Sofern du hier noch keine Einstellungen vorgenommen hast, ist bei den meisten Modellen die Firewall nicht standardmäßig aktiv. Setze hierfür einen Haken bei „Firewall aktivieren“ und, wenn du über Aktivitäten informiert werden möchtest, einen weiteren Haken bei „Firewall Benachrichtigungen aktivieren“.

Geoblocking aktivieren

Nun ist es an der Zeit, entweder das Standardprofil der Firewall nach deinen Wünschen anzupassen oder ein eigenes zu erstellen. Sofern dein NAS an ein und demselben Netzwerkstandort bleibt, kommst du mit einem einzigen Profil gut klar. Mit dem Button „Regeln bearbeiten“ gelangst du zu den Details.

Sobald die Firewall auf dem Netzwerkspeicher aktiviert ist, sollte zwar zu erwarten sein, dass alle Zugriffe von außen verboten sind, doch erlaubt Synology alle Dienste, um die Nutzerfreundlichkeit zu erhöhen. Das bedeutet, dass du sowohl eine Regel für die erlaubten Dienste erstellen musst als auch im Anschluss eine für die blockierten. Klicke auf den Erstellen-Button, um zu beginnen.

Jetzt hast du die Wahl. Entweder du kennst die Ports aller benötigten Anwendungen, die auf deiner DiskStation laufen und von außen erreichbar sein müssen, oder du klickst dich durch die Liste installierter Anwendungen. Letztere Option ist deutlich weniger mühsam. Wähle also den Punkt „Wählen Sie aus der Liste der eingebauten Anwendungen aus“ und betätige den Auswählen-Button. In der nun erscheinenden Liste findest du alle Ports, die aktuell auf deinem NAS von diversen Softwarepaketen genutzt werden. Hier ist es wichtig, auf jeden Fall die Verwaltungsprogrammoberfläche zuzulassen, beziehungsweise einen Haken ins Aktiviert-Feld zu setzen. Ansonsten könnte es sein, dass du über das World Wide Web nicht mehr auf die Weboberfläche deines NAS gelangst. Alle weiteren Dienste sind nun dir überlassen, jedoch solltest du nur jene aktivieren, welche du auch nutzt.

Ein Klick auf OK schließt die Liste. Im nächsten Schritt kannst du wahlweise alle IP-Adressen zulassen, nur einen bestimmten Bereich oder aus bestimmten Ländern. Letzteres führt dich zum Geoblocking. Wähle also die Option „Ort“, klicke auf den Auswählen-Button und aktiviere in der folgenden Auflistung die Länder, aus denen du Zugriffe auf deine DiskStation erlauben möchtest. Die maximale Anzahl ist hier auf 15 Länder beschränkt, du kannst aber, wenn du noch mehr auswählen möchtest, einfach eine zweite Firewallregel erstellen, um weitere 15 Länder markieren zu können.

Bestätige deine Auswahl mit OK und stelle sicher, dass im Bereich Aktion „Zulassen“ gewählt ist. Ansonsten hättest du den umgekehrten Effekt. Ebenso kannst du auf diesem Weg beispielsweise den Zugriff aus bestimmten Ländern blockieren – zum Beispiel, wenn du unnatürlich vielen Anmeldeversuchen auf deiner Wordpress-Installation aus einem bestimmten Land konfrontiert bist.

Jetzt ist es an der Zeit, alle anderen Dienste, welche nicht nach draußen müssen, zu blockieren. Erstelle dafür eine neue Regel im selben Firewall-Profil.

Wähle wieder die Liste und klicke auf den Auswählen-Button. In diesem Fall musst du deine Auswahl von vorhin umkehren – also nur die Dienste wählen, die nicht aus dem WWW erreichbar sein sollen. Im Quell-IP-Feld wähle die Option „Alle“, da hier generell kein Zugriff stattfinden soll, egal, aus welchem Land. Im Aktionsfeld noch „Verweigern“ auswählen und mit OK bestätigen.

Bestätige das „Profil bearbeiten“-Fenster ebenfalls mit OK und klicke in der Systemsteuerung auf den Übernehmen-Button. Die Regeln sind ab jetzt aktiv und der Zugriff auf deine ausgewählten Services sollte nur noch von den markierten Ländern möglich sein.

Hilfe, ich habe mich ausgesperrt

So praktisch die Synology-Firewall ist, so viele Tücken können bei der Konfiguration passieren. Für den Fall, dass die Ports für die Weboberfläche gesperrt wurden, setzt sich die Firewall von DSM 6.2 wieder auf ihren Ursprungszustand zurück. Weitaus wahrscheinlicher ist aber, dass du durch aktiviertes Geoblocking entweder diverse Indexdienste, wie den Google-Crawler (sofern du eine Webseite hostest) oder dich selbst, wenn du mal auf Urlaub bist, aussperrst. Ebenso könnten Mitarbeiter im Außendienst oder Kunden aus dem Ausland betroffen sein. Solltest du in dringenden Fällen aus einem blockierten Land auf dein NAS zugreifen wollen, könntest du dich über einen VPN-Anbieter, welcher Serverstandorte in von dir zugelassenen Ländern unterhält, verbinden.

Was denkst du über das Thema? Hier geht es zu den Kommentaren!

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Berlin.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"