[ EDIT - september 2022 ] Inmiddels met
SRM 1.3.x die zijn intrede heeft gedaan, zijn er een aantal uitbreidingen in de Firewall.
Die worden besproken bij een ander onderwerp m.b.t. functionaliteiten van de RT6600ax
< HIER >.
De achterliggende basisprincipes zijn hetzelfde. Echter door de vele extra functies van SRM 1.3.x
-ook in de firewall zelf-komt het verder af te staan tegenover SRM 1.2.x en vooral ook zoals een firewall gebruikt in een Synology NAS.
De uitleg hier kan mogelijk dan (nog steeds) beter als leidraad dienen, voor tevens ook het begrip van firewall functies van een NAS.
Onderaan deze eerste reactie - specifieke verwijzingen naar voorbeelden van Firewall regels
voor een NAS.
Introductie:In dit Synology
"router" deel van het forum lees ik geregeld moeilijkheden die mensen tegenkomen bij het aanmaken van Firewall regels.
Omdat in de loop van de tijd het een en ander is aangepast door Synology, hier wat verdere uitleg op de stand van zaken nu.
De Firewall die in de Synology router wordt toegepast, is wat verder uitgebreid, dan die welke in een NAS is geïntegreerd.
Tevens worden soms net wat andere principes aangehouden, waardoor instellingen niet altijd duidelijk zijn
of mogelijk verwarrend als je de firewall van een NAS gewend bent of ermee vergelijkt.
Aanvullingen door Synology:Sinds SRM 1.2.x heeft Synology "voor het gemak" nog een aantal aanpassingen doorgevoerd
om "geautomatiseerd" firewall regels toe te voegen, bij het instellen van port forwarders.
Die geautomatiseerde firewall regels gelden echter voor toegang vanuit
"alle regio's / IP adressen uit de hele wereld".
M.b.t. veiligheid is dat vaak niet de keuze die de gebruiker zelf zou ambiëren in zijn instellingen.
De vervelende eigenschap van die geautomatiseerd toegevoegde firewall regels is dat je ze niet kunt aanpassen,
of in volgorde kunt veranderen. Om externe toegang tot slechts één, of enkele regio's' (of IP bereiken) te beperken,
zijn er gelukkig wel trucjes om de nadelen van die IMO slechte implementatie door Synology te omzeilen.
Die trucjes worden in de volgende uitleg verder uit de doeken gedaan, zodat je de Firewall kunt instellen zoals je het zelf het beste uitkomt.
Verschillen Firewall router vs. NAS:Enkele principiële verschillen met de firewall zoals die in een NAS wordt gebruikt.
Voor de router is het op zichzelf niet nodig het eigen netwerk (of het gast netwerk) op te nemen in een firewall regel.
Bij een NAS doet men dat doorgaans juist wel. Om de basis tussen die apparaten zoveel mogelijk gelijk te houden,
pas ik die firewall regel voor het eigen netwerk echter ook toe op router niveau.
En gezien het aantal „hits“ heeft het eenmaal ingesteld, wel degelijk zijn functie.
Het verschil zit hem daarin, dat de firewall voor een NAS alleen
inkomend verkeer regelt.
De Firewall voor de router zowel
inkomend verkeer als
uitgaand data-verkeer.
Nog een belangrijk verschil met de firewall in de router tegenover die in de NAS.
Voor apparaten in
hetzelfde netwerk, is de toegang tot andere apparaten niet uit te sluiten op basis van firewall regels.
(Alle apparaten hebben connectie tot andere apparaten in het LAN, afgezien van de login-gegevens van die apparaten zelf).
Wel zijn er blokkades in te stellen voor
andere (lokale) netwerken, bijv. bij een NAT achter NAT set-up,
en vanuit het tweede sub-net „terugkijken“ naar het eerste sub-net.
Houd verder in gedachte, dat regels van boven naar beneden worden afgewerkt.
IPv4 vs IPv6 - tabblad "Service":In de router wordt bij de firewall onderscheid gemaakt tussen IPv4 vs IPv6
(Bijv. Port Forwarding heeft bij IPv6 geen functie, dus zijn feitelijk niet van toepassing voor IPv6).
Omdat ikzelf nog helemaal geen gebruik maak van IPv6, stel ik alles in het gemeenschappelijk menu in (IPv4 + IPv6),
geen aparte instellingen voor de afzonderlijke secties. (Die worden automatisch aangevuld vanuit het gecombineerde menu).
Onder
"Netwok Center" ----> Security ----> 2e tab
"Service" vindt je tevens automatisch aangemaakt instellingen.
Die kunnen eventueel wel aangepast worden, maar heb ze persoonlijk eerlijk gezegd nooit afwijkend ingesteld.
Met wat ikzelf wilde bereiken in het hoofdmenu van de Firewall, heb ik tot nog toe alles naar eigen wens kunnen aanpassen.
(Het maakt het ook minder overzichtelijk als men ook nog eens een keer in dat menu een en ander afwijkend gaat instellen).
Eerste „afwijkende“ basis instelling (zoals persoonlijk door mij toegepast) onder „Control Panel“:Ik maak o.a. van de optie gebruik om via externe toegang direct te kunnen inloggen op de SRM gebruiksinterface.
Bij de basis-instellingen onder
„Control Panel“ kun je een optie inschakelen om van remote access gebruik te kunnen maken.
Daarbij worden in de Firewall echter „niet aan te passen regels“ aangemaakt (vergelijkbaar zoals met Port Forwarders),
die toegang tot het SRM-beheer geven voor "alle regio’s“ in de hele wereld. Ik wil dat echter beperken tot enkel Nederland
(of de regio waar ik op vakantie ben). Hierbij is die functie gelukkig uit te schakelen.
Dus schakel daarbij die optie voor
„Allow external access to SRM“ UIT.
En voeg bij de Firewall
handmatig de eigen firewall regels toe, om toegang te verkrijgen tot SRM op regio-niveau.
Firewall - Firewall regels:De navolgende beschrijvingen hebben betrekking op een afbeelding van de Firewall,
waarbij regels zijn gemarkeerd in gekleurde blokken en ingedeeld in secties.
Secties gemarkeerd als
blauw A-B-C = firewall regels niet actief.Kan onder bepaalde omstandigheden tijdelijk worden geactiveerd voor testen of toegang verlenen voor Synology Support (Taiwan).
D-E = beperkte toegang tot bepaalde regio's voor services op routerniveau (SRM)
F-G = Eigen gebruikte LAN en (VLAN) IP sub-netwerken.
Zoals eerder bij de verschillen tussen router en NAS aangegeven, niet perse noodzakelijk.
Maar omdat ze wel degelijk „hits“ krijgen, hebben ze eenmaal ingesteld, wel degelijk hun functionaliteit.
Dat zit hem in de mogelijkheden van de firewall op router niveau dat het tevens ook "uitgaand" dataverkeer regelt.
(Bijv. toestemming naar het internet toe, en naar (alle)
andere LAN netwerken dan het "eigen LAN").
Secties H - I - J heeft betrekking tot Port Forwarding: Bij het maken van port forwarding regels (in ander menu),
worden zoals eerder opgemerkt automatisch firewall regels toegevoegd
= groen gemarkeerde regels "I" voor "ALLE" regio's. Om deze automatisch gebruikte functies te stoppen, voegt u een regel toe net boven die regels
= regel J Sectie H: Boven die regel
J, uw eigen aangemaakte regels
om toegang te hebben tot services waar port forwarders actief zijn voor een kleinere regio,
(of bijv. slechts enkele IP-bereiken)
= sectie HSectie K:K = In het verleden deed dit deel min of meer al wat regel
"J" nu doet.
Als u alle automatisch toegevoegde regels overslaat die door Synology nu zijn toegevoegd,
was het niet nodig geweest dat te corrigeren met regel
"J". Deze instellingen
"K" deden feitelijk al hetzelfde.
Alleen
"K" is afgestemd op inkomend verkeer. Regel
"J" zowel inkomend als
uitgaand data-verkeer.
Opmerking:De manier waarop Synology deze automatische functies heeft geïmplementeerd, is IMO niet logisch.
Het is nu ingewikkelder geworden dan nodig was om onze eigen keuzes te kunnen maken.
Verder geldt deze uitleg uiteraard slechts als leidraad wat je voor jezelf zou kunnen instellen.
Situaties kunnen voor ieder verschillend zijn, en naar eigen behoefte worden ingevuld.
AANVULLING: 5 maart 2019Met de eerdere vervelende eigenschap van die extra aan te maken automatische firewall regels,
benoemd in sectie
"I" en een work-around om dat met een extra regel
"J" te corrigeren,
is er kennelijk op veler verzoek van gebruikers vanaf firmware versie
SRM 1.2.1-7779daar toch een extra optie voor gekomen,
om dat uit te schakelen.Dan vervalt die hele sectie
"I", en zou je regel
"J" ook niet meer hoeven aan te maken.
Die regel
"J" heeft echter nog steeds wel zijn functie. Dus helemaal de oude situatie van "vroeger" is het niet.
Daar komen we iets verder nog op terug.
Uitvinken + OK en die extra automatisch aangemaakte regels
"I" zijn verdwenen:
En beter ook de algemene UPnP activatie uit te schakelen vanuit algemene internet / netwerk veiligheidsoverwegingen:
Regel "J" heeft nog steeds zijn functie:(Het is dus nog steeds zinvol om die regel
"J" aan het eind te gebruiken).
Ondanks de onderdelen bij sectie
"K" allen op
"deny" staan. Dat regelt echter alleen data-verkeer
van buiten naar binnen.
Regel
"J" heeft zowel betrekking op
in- als uitgaand data-verkeer. Een klein, maar niet onbelangrijk verschil.
Om dat aan te tonen gebruiken we de test website
"Shields UP" (waarvan de server in USA is ondergebracht).
Klik dan verder op de knop in het midden
"Proceed".
Je komt dan aan een webpagina waarbij het mogelijk is de eigen gebruikte poorten te testen waarvoor je port forwarders
en/of rechtstreekse services in de router hebt ingesteld voor externe connectie.
Bij regio blocking met alleen toegang voor
"Nederland", zou bij een test alles als
"Stealth" moeten worden aangemerkt.
Vul de actieve gebruikte poorten in, en klik op de knop
"User Specified Custom Port Probe"Indien je port forwarders hebt ingesteld voor een beperkte regio naar een achterliggend apparaat,
maar dat apparaat staat
"UIT" (niet ingeschakeld), en men voert een "port scan" uit,
zonder regel
"J".
Krijgt men het volgende resultaat te zien voor de services van dat apparaat (in mijn geval een DS415+):
Laat men die regel
"J" als laatste zelf aangemaakte regel wel staan, is het resultaat:
Belangrijk !!Buiten de instellingen van Firewall regels zelf, instellingen waar nog extra rekening mee te houden / aan te passen.
Aanbevelingen van Synology (voor hun routers):
Snelstartgids voor beveiligingsmaatregelen.Vergelijkbare aanbevelingen
"voor een NAS":
Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren? NAS: Specifieke situatie beschreven
< HIER > voor een NAS. Maar geldt vergelijkbaar ook voor een Synology router.
Verwijzingen naar een aantal voorbeelden voor instellen Firewall regels voor
"een NAS":
1. < meest eenvoudige set-up zonder externe toegang >2. < voorbeeld 2 > "Firewall regels eenvoudig beschreven:"3. < voorbeeld 3 met OpenVPN >4. < voorbeeld 4 met OpenVPN + NFS protocol t.b.v. "Kodi" >(Evt. nog een extra regel tussenvoegen voor poort 80 m.b.t. een 3-maandelijkse "Let's Encrypt" certificaat verlenging).