Hoe firewall instellen in de router.

[Babylonia]

Wat heb je gedaan en wat heb je niet zo ingesteld?

Bedenk dat als je de firewall in een achterliggende NAS "aan" hebt staan, dat je die firewall tevens meeneemt in een "Stealth test".
Dus het kan zijn dat bij "verkeerde" instellingen van de router, data op router niveau wordt doorgelaten, maar alsnog erna bij de NAS wordt tegengehouden.  Dat verschil is niet uit een stealth-test op te maken.

Wil je puur de firewall functies van de router op correcte werking testen, moet je de firewall van de NAS uitschakelen.
(En van andere apparaten waar je port forwarders voor hebt ingesteld en data naar toe wordt gestuurd).
De voorbeelden met "stealth-testen" op de vorige pagina zijn gedaan met de firewall van de NAS uitgeschakeld.
Het gaat in deze draad puur om de werking en resultaten van de firewall enkel die van de router alleen.

[Ben(V)]

Ik wil me niet met jullie topic bemoeien hoor, maar alleen even opmerken dat stealth testen helemaal niets zeggen.

Als je een willekeurige poort forward naar een device en op dat device draait helemaal niets dat reageert op een request naar die poort dan zal die stealth test weergeven dat die poort stealth is, maar hij staat echt geforward en je lan is dan dus wel kwetsbaar.

[Babylonia]

Dat is verder tevens afhankelijk van achterliggende functies van de router en of het daarin "goed" is geregeld.

Eerder bij oudere firmware van de Synology router, en toen nog met "versimpelde" functies van de firewall.
Rechtstreekse aansluiting van de Synology router aan de glasvezelaansluiting.
Poorten toen werden als actief "aanwezig" maar wel "closed" opgemerkt (= niet stealth), als de NAS erachter was uitgeschakeld !!
Zie eerdere reactie over dit onderwerp indertijd < HIER > het 2e plaatje.
(Was voor mij reden om de Synology router niet rechtstreeks te verbinden met internet).
Bij de latere firmware (vanaf versie 1.1.1) werkt het wel als zodanig, dat een stealth wordt gegeven, bij uitgeschakelde NAS.

Dezelfde test "toen" met de router van de ISP (een Experia Box V8), en de NAS uitgeschakeld
(en dus ook met port forwarders naar de NAS) gaf ook toen een stealth.

Bij een setup van twee routers achter elkaar, die van de ISP (Experia Box V8) en daarachter de Synology router.
Bijv. een DMZ naar een "leeg" IP-adres waar niets achter zit, in de 1e router,  + port forwarders naar de 2e router.
Wordt als "stealth" weergegeven voor alle niet gebruikte services van die "DMZ.  (Er hangt namelijk niets achter wat erop kan reageren).

Actieve VPN-poorten worden eveneens niet juist getest. Die geven een "stealth" ondanks functioneel.
Voor "normale" andere diensten die ik gebruik wordt de test wel juist uitgevoerd.

Dus je moet nog steeds wel goed je koppie erbij houden, met wat je doet.
Het gaat er mij om, om wel "actieve diensten" te gebruiken,  --dus in principe "kwetsbaar"--,  maar voor de buitenwereld toch zoveel mogelijk anoniem en onbekend te blijven, alsof ik niet besta.  Dat is de enige reden voor mij van die "stealth" test.

Als een test "vanuit Amerika" stealth geeft, geldt dat evenzeer voor een eerste test "van een potentiële hacker" vanuit een ander "buitenland".
Die gaat dan niet meer verder testen. Lijkt me namelijk wat onzinnig als die niets ontdekt en ogenschijnlijk "lege" aansluitingen treft, om dan toch een verbinding proberen op te zetten.

[Pippin]

Stealth bestaat niet, vals gevoel van veiligheid.

Een poort is open of dicht.

FF doorlezen:
https://www.wilderssecurity.com/threads/rant-grcs-shields-up-and-true-stealth-firewall-test-or-harmful-fud.216892/

[Babylonia]

Stealth bestaat niet, vals gevoel van veiligheid.

Dat zeg ik:

"Het gaat er mij om, om wel "actieve diensten" te gebruiken,  --dus in principe "kwetsbaar"--,  maar voor de buitenwereld toch zoveel mogelijk anoniem en onbekend te blijven, alsof ik niet besta.  Dat is de enige reden voor mij van die "stealth" test."

En lees dan ook nog eens de laatste alinea van mijn vorige reactie.

De instellingen zoals ik ze gebruik geven toch echt aanzienlijk minder "poort kloppertjes" aan mijn WAN-poort, dan zonder die verdergaande firewall instellingen. (Kan ik namelijk terugzien in de logfiles van mijn 1e router).  Dat is nu precies de bedoeling van die instellingen !!
Zie ook eerder beschreven effecten vanaf < HIER > en vervolgreacties.

[Pippin]

1. Poort is open, moge duidelijk zijn.
2. Poort is closed, betekent er werd direct een reply teruggestuurd met de boodschap "poort gesloten".
3. Poort is stealth, betekent er kwam geen reply.

Nu zou je denken door het zogenaamde stealth resultaat de poort dicht is.
Echter de reply blijft uit, er is dus een time-out. Die time-out is de indicatie dat de poort open is

[Pippin]

minder "poort kloppertjes"

Betekent niet dat er minder kloppers zijn maar misschien meer dat de logging het niet meer logt...

In pfSense zie ik ze gewoon voorbij komen hoor.
Verreweg de meeste zijn geautomatiseerde "poort kloppertjes" die geen snars geven of een poort open/gesloten/stealth is.

[Babylonia]

Nu zou je denken door het zogenaamde stealth resultaat de poort dicht is.

Nee, ik denk niet alleen dat het niet zo is, het is ook daadwerkelijk niet zo.
Ik heb die poorten namelijk zelf open gezet om services van buiten uit te kunnen benaderen !!

Alleen de firewall instellingen zorgen er in dat geval voor dat "buitenlandse" poort kloppertjes geen respons krijgen.
Die worden buiten gehouden, nog voordat ze bij de open poorten aankomen.
Daar is een firewall  --en dan met name die regio blocking instelling--  voor bedoeld !!

minder "poort kloppertjes"

Betekent niet dat er minder kloppers zijn maar misschien meer dat de logging het niet meer logt...

De Synology router logt het inderdaad niet.
Vandaar dat ik het heb over de 1e router, nog voordat het bij de 2e router, de Synology aankomt.
Die 1e router logt dat in mijn geval namelijk wel !!

Ik heb het gevoel dat je de achterliggende gedachte van die firewall instellingen in het geheel niet begrijpt, en wat de bedoeling ervan is?

[Pippin]

Feelings can be deceiving

Hoe dan ook, stealth biedt geen meerwaarde t.o.v. closed.
Het kan zelfs bepaalde applicaties ervan weerhouden goed te functioneren.

[Babylonia]

Stealth biedt wel degelijk meerwaarde tegenover "closed".
Bij "closed" weet een potentiële hacker dat er een functionele verbinding bestaat.
Zelfs welke poorten kritisch zijn. Kan daar dus gericht actie op ondernemen.
Dan gaat hij verder andere opties uitproberen om toch binnen te kunnen komen.

Bij "stealth" (alsof het is dat er überhaupt geen functionele verbinding bestaat) wordt er niet verder gekeken, en haakt een potentiële hacker af. Het is gewoon meetbaar.  Heeft dus niets met het "gevoel "te maken.
Sinds de verscherping van de firewall regels zijn er (in mijn 1e router) aanzienlijk minder "poortkloppertjes" gelogd.
(Over twee dagen zegge en schrijven één onbekend IP gelogd. En die werd in mijn geval doorgeleid naar een "leeg" DMZ IP adres).

[Pippin]

Laatste keer

Je lijkt het feit te negeren dat verreweg de meeste scans door bots gebeurt, b.v. elk uur, 3x per dag, 1x per dag, enz.
Komen gewoon elke dag terug hoor, dat ze niet gelogd worden, tja.....
Poorten doorsturen breekt sowieso al het fabeltje stealth, daar al eens aan gedacht?

Ik ping een IP waar niets te vinden is.
De respons die ik krijg is "ICMP Unreachable", zo heurt het.

Ik ping een IP die de pakketjes gewoon dropt, zogenaamd stealth, er volgt een time-out.
De time-out zegt mij dat daar wat is want geen er komt geen "ICMP Unreachable"
Dat kan een reden zijn om verder "onderzoek" te doen en misbruik te gaan maken van een eventuele service die er draait.

Men zou zich drukker moeten maken over of men er in komt of niet i.p.v. of men zichtbaar is want dat ben je toch wel.

Simpeler kan ik het niet maken want toveren met woorden is niet mijn sterkste kant

[Babylonia]

Filtering met blocking en verder dat je "onzichtbaar bent" (dat is namelijk het resultaat van die filtering met blocking + aanvullende instellingen), zonder enige respons terug is "hetzelfde" als de internet stekker eruit trekken.

Het resultaat van die scan is hetzelfde, het effect op een verbinding ook.  Of dat met bots gebeurt 1x per dag of elke 10 minuten maakt niet uit.
Die filtering en resultaat van een scan verandert er niet door. Ofwel "geen verbinding". Hoe hoog of laag dat je ook springt.
De instellingen zijn 24/7 actief. De kans op een hack (via die verscherpte firewall en router instellingen) is in ieder geval een stuk afgenomen.

Afgezien van eventuele veiligheidslekken waar ik nu niet in kan voorzien.
Maar dat is iets voor de heren ingenieurs van Synology, die dat geregeld weer bijstellen in nieuwe firmware.

Met mooie woorden heeft het allemaal niet te maken. Het zijn gewoon concrete zaken die de heren ingenieurs van Synology hebben bedacht en er als zodanig vorm aan hebben gegeven om daarmee de veiligheid van hun producten mee te verhogen. Maak er simpel gebruik van.

[spencer_830]

Beste Babylonia,

ik ben pas overgestapt van KPN naar Ziggo.
Net als op de Experiabox heb ik op het Ziggo modem een aantal poorten doorgestuurd naar mijn Synology router.
Alleen kan ik sinds de overstap naar Ziggo kan ik mijn Synology NAS niet meer bereiken via DDNS vanuit mijn eigen netwerk.
Als ik mijn telefoon overschakel van Wifi naar data is dit wel mogelijk.
Ook vanaf mijn werk kom ik gewoon op mijn NAS.

Als ik de optie " Wanneer IPv4 WAN-naar-LAN-verkeer met geen enkele regel overeenkomt" naar toestaan zet ipv weigeren kan ik weer mijn NAS bereiken vanuit mijn eigen WIFI netwerk.

Ik heb gezocht naar instellingen die nog naar KPN verwijzen, maar deze niet gevonden. Heb jij nog ideeën ?

[Babylonia]

Als ik de optie " Wanneer IPv4 WAN-naar-LAN-verkeer met geen enkele regel overeenkomt" naar toestaan zet ipv weigeren kan ik weer mijn NAS bereiken vanuit mijn eigen WIFI netwerk.

Het zou kunnen dat bij Ziggo de "loopback" functie om domeinen binnen het interne LAN te verwijzen niet goed functioneert??
Of de Firewall regels zijn niet compleet, vandaar dat het wordt doorgelaten met die laatste regel die je hebt veranderd.
Maar dat zou niet de juiste optie moeten zijn om in te zetten.  Niet veilig, want wat wordt er dan nog meer doorgelaten??

Kun je een schermafdruk van je complete Firewall regels weergeven + een beschrijving van evt. extra services die je hebt draaien,
en wat je van buiten als connectie wilt bereiken?

[spencer_830]

Hieronder zie je mijn firewall regels.

Als eerste staat mijn lokale gebruik. Hier laat ik alles toe van mijn lokale IP-adressen.
Op de 2e regel heb ik regio Nederland staan.
3e en 4e regel is om vanaf mijn werk thuis te kunnen inloggen op mijn NAS. Op het werk gaan we namelijk in London internet op.

Poort 25 en 993 gebruik ik voor mijn e-mail.
Poort 80 voor webmail en photo station
poort 6690 voor cloud station

ik gebruik verder geen services om van buitenaf te gebruiken