Ziel: diese Anleitung soll dir zeigen, wie du die Firewall deines Synology NAS einrichten kannst, um den Zugriff auf Netzwerk-Ports bzw. zugehörige Anwendungen auf deinem NAS mit Regeln abzusichern.
Was du hast: etwas Vorwissen zum Thema Netzwerke sowie ein Synology NAS mit vollständig installiertem DSM (DiskStationManager). Dein NAS ist bereits in deinem Heimnetzwerk integriert und der Zugriff, etwa von deinem PC aus, funktioniert bereits. Außerdem ist es (aus diversen Gründen) sehr empfehlenswert, wenn du den Geräten in deinem Heimnetzwerk eine feste IP-Adresse zuordnest. Wie das zum Beispiel mit einer Fritzbox funktioniert, erklärt dir diese Anleitung: Fritzbox – feste IP-Adressen zuweisen.
Was du willst: durch eigene erstellte Regeln wird der Zugriff von definierten IP-Adressen auf die DSM-Anmeldeseite und installierte Anwendungen erlaubt oder verboten. Dabei kannst du deinen Geräten (PC, Notebook, Smartphone usw.) abhängig von ihrer IP-Adresse den Zugriff und die Nutzung dieser Dienste und Anwendungen gestatten oder verbieten.
Ein Synology NAS ist eine wunderbare Ergänzung deines Heimnetzes. Ein NAS (Network-Attached-Storage) bietet dir einen zentralen Speicherplatz für deine Daten, welche über dein Netzwerk erreichbar sind und von anderen Geräten im Heimnetzwerk genutzt werden können. Außerdem kannst du durch zu installierende Pakete bestimmte Anwendungen und Dienste nutzen.
Die Synology Firewall erlaubt oder verbietet, dass ein solcher Dienst genutzt werden kann. Kurz und laienhaft gesagt: Anwendungen und Dienste nutzen für die Kommunikation mit dem zugreifenden Gerät neben der benötigten IP-Adresse sogenannte Netzwerkports. Die Firewall kontrolliert eingehende Anfragen an diese Ports und – je nach Regel – gibt den Zugriff frei oder eben nicht.
Ein Auflistung der standardmäßig vergebenen Ports und zugehörenden Dienste und Anwendungen für dein Synology NAS findest du hier: https://kb.synology.com/de-de/DSM/tutorial/What_network_ports_are_used_by_Synology_services.
In den folgenden Arbeitsschritten zeigt dir diese Anleitung, wie du die Firewall deines Synology NAS aktivierst, ein eigenes Profil anlegst und dieses mit eigenen Regeln füllst, welche den Zugriff auf dein NAS und die installierten Anwendungen und Dienste steuern.
Zunächst meldest du dich mit Administrator-Rechten an deinem NAS an. Dann rufst du über Einstellungen > Sicherheit > Reiter „Firewall“ die Einstellungsseite für die Firewall auf.
Hier aktivierst du durch Setzen des Hakens die Firewall, damit du in den nächsten Schritten deine Konfiguration durchführen kannst.
Das Auswahlmenü bietet zunächst nur die Auswahl der Firewall-Profile „custom“ und „default“ an. Du fügst jetzt ein eigenes Profil hinzu durch einen Klick auf „Firewall-Profil verwalten“.
Es öffnet sich ein neues Fenster, in welchem du die vorhandenen Profile aufgelistet bekommst.
Hier wählst du „Erstellen“ aus und wirst zu der folgenden Ansicht geleitet.
Zunächst vergibst du jetzt einen aussagekräftigen Namen des neuen Firewall-Profils. Dann wählst du aus, für welche Schnittstelle das neue Profil gelten soll, hier wählst du „LAN“ aus, um zu definieren, dass Anfragen, welche über den LAN Eingang deines NAS eingehen, kontrolliert werden sollen. Möchtest du ein Firewall-Profil für andere Schnittstellen erstellen, kannst du diese hier auswählen, das weitere Vorgehen erfolgt dann analog dieser Anleitung. Mit einem Klick auf die Schaltfläche „Erstellen“ fügst du schließlich Regeln für dein neues Firewall-Profil hinzu.
Im folgenden Fenster kannst du deine neue Firewall-Regel definieren.
Zunächst legst du im neuen Fenster fest, für welche Anwendungen / Dienste deines Synology NAS die Firewall-Regel gelten soll. Du kannst angeben, dass nur bestimmte Netzwerkports bzw. zugehörende Anwendungen durch die Firewall überwacht werden sollen, oder aber generell alle vorhandenen Anwendungen überwacht werden oder auch keine.
Auch kannst du hier angeben, ob die Regel für alle zugreifenden Geräte (also alle IP-Adressen), nur für bestimmte Quell-IPs oder für kein Gerät gelten soll. Schließlich wird hier auch eingestellt, ob du eine „Zulassen“ oder eine „Verweigern“ Regel anlegen möchtest.
Im Detail:
1) Ports: mit der Auswahl von „Aus einer Liste integrierter Anwendungen auswählen“ und einem anschließenden Klick auf „Auswählen“ öffnet sich ein Fenster mit der Auflistung der momentan auf deinem NAS integrierten Dienste mit Angabe der jeweiligen genutzten Netzwerkports. Durch Setzen der Haken bestimmst du, dass die Firewall-Regel für diese Anwendung(en) gelten soll. Nach erfolgter Auswahl bestätigst du mit Klick auf „OK“.
Du kannst hier auch weitere Anwendungen und Dienste bzw. Netzwerkprotokolle angeben. Mit der Auswahl von „Benutzerdefiniert“ öffnet sich dieses Fenster:
Hier solltest du allerdings auch wissen, was du tust! Zunächst gibst du an, ob die Angaben für das Ziel (worauf zugegriffen wird) oder die Quelle (von wo aus zugegriffen wird) gelten. Wähle dann das Netzwerkprotokoll (TCP, UDP, ICMP, usw.) aus, trage den Port oder (bei mehreren genutzten Ports) den Portbereich ein und bestätige mit „OK“.
2) Quell-IP: mit der Auswahl von „Spezifische IP“ und einem Klick auf „Auswählen“ öffnet sich diese Ansicht:
Hier kannst du entweder eine einzelne IP-Adresse angeben, für welche die Firewall-Regel gelten soll, ein Subnetz oder aber einen ganzen IP-Adressbereich. Es ist auch möglich, dass du „Ort“ wählst. Hier kannst dann den Zugriff von länderbezogenen IP-Adressen steuern. So kannst du etwa nur den Zugriff mit IPs der Länderzuordnung Deutschland erlauben. Diese Einstellung bietet sich an, sollte dein NAS direkt aus dem Internet erreichbar sein. Mit einem Klick auf „OK“ bestätigst du diese Angaben.
3) je nach deinen Bedürfnissen gibst du nun im letzten Schritt an, den Zugriff zuzulassen oder zu verweigern. Stell sicher, dass der Haken bei „Aktiviert“ gesetzt ist, damit die Regel greift.
In der Übersicht zum Firewall-Profil erscheint die eben angelegte Regel jetzt. Du kannst die Reihenfolge der angelegten Regeln verändern: hierzu navigierst du den Mauszeiger auf die drei waagerechten Striche links neben der Regel, hältst die linke Maustaste gedrückt und kannst nun die Regel nach oben / unten verschieben. Außerdem bietet es sich an, dein Regelwerk nicht zu umfassend zu gestalten. So behältst du eine bessere Übersicht und vermeidest versehentliche Fehlkonfigurationen.
Beachte dazu auch das Hintergrundwissen zur Systematik von Firewall-Regeln im nächsten Abschnitt!
Mit einem Klick auf die Schaltfläche „OK“ werden die Einstellungen gespeichert. Um diese auch zu aktivieren, musst du im folgenden Fenster die Schaltfläche „Übernehmen“ betätigen. Dein NAS lädt die neuen Regeln ins System und nach einigen Sekunden werden die Änderungen übernommen.
Hintergrundwissen zur Systematik der Firewall-Regeln: die Nutzung der Firewall deines Synology NAS ist eine praktische Sache und erhöht die Sicherheit deiner Daten im Heimnetz. Allerdings kannst du dich bei fehlerhafter Konfiguration auch vollständig von deinem NAS aussperren und die Nutzung einzelner Dienste verhindern. Damit du dich selber nicht aus Versehen aussperrst, sind ein paar Grundsätze einzuhalten.
- Firewall-Regeln werden immer in einer Reihenfolge (von oben nach unten) abgearbeitet. Die oberst Regel wird also zuerst befragt (gilt diese Regel?)
- sobald eine Regel zutrifft (z.B. Zugriff auf die Anmeldemaske des NAS von dem Smartphone mit der Quell-IP 192.168.55.5 ist VERBOTEN), wird die zugehörende Aktion ausgelöst („first match wins“). Die erste zutreffende Regel gewinnt, es werden dann keine folgenden Regeln mehr bearbeitet. Das bedeutet: hast du in der obersten Regel den Zugriff von der IP 192.168.55.5 verboten und in einer später folgenden Regel den Zugriff von allen IPs erlaubt, so wird dein Gerät mit der IP 192.168.55.5 nicht auf die Anmeldemaske zugreifen können, denn diese Regel trifft als erstes zu, die folgenden werden nicht weiter berücksichtigt.
- Mit der Einstellung „Wenn keine Regel zutrifft…“ kannst du die Regelsammlung etwas begrenzen und übersichtlicher gestalten: ein Vorschlag wäre, dass du im oberen Teil ausschließlich Regeln anlegst, die den Zugriff nach deinen Bedürfnissen erlauben. Im unteren Teil der Ansicht stellst du dann ein, dass jeder Zugriff verboten wird, wenn keine vorherige Regel zutreffend ist.
Erste Hilfe bei versehentlichem eigenen Aussperren von deinem NAS: sollte es dir trotz aller Vorsicht passieren, dass du dein Regelwerk für die Firewall falsch konfiguriert hast und du dich nicht mehr auf deinem NAS anmelden kannst, so hilft dir ein sogenannter „kleiner Reset“ des NAS. Dabei bleiben deine Daten auf dem NAS erhalten (ein Backup deiner Daten bietet sich jedoch trotzdem immer an!), es werden aber u.a. die Einstellungen der Firewall deaktiviert, so dass du dich wieder anmelden kannst, um deinen Fehler in der Firewall-Konfiguration zu beheben. Nähere Informationen zum „kleine Reset“ findest du hier: https://kb.synology.com/de-de/DSM/tutorial/How_to_reset_my_Synology_NAS_7.
Anfänger Tipp: richte dir für das Gerät, von dem aus dein NAS verwaltet wird (etwa dein PC mit der festen IP-Adresse 192.168.55.2) als erstes eine Regel ein, die (für den Anfang) folgendermaßen gilt:
Ports = Alle
Quell-IP = IP.von.deinem.Gerät (z.B. 192.168.55.2)
Aktion = Zulassen
Stell sicher, dass diese Regel ganz oben steht, damit vermeidest du, dass du dich selber vom Zugriff auf dein NAS aussperrst! Später kannst du diese dann etwas feiner justieren, je nach deinen Bedürfnissen.
Die wesentlichen Einstellungen zur Nutzung der Firewall deines Synology NAS hast du nun kennengelernt. Bei Fragen, Anmerkungen und konstruktiver Kritik zum Thema kannst du dich gerne im Forenbereich (an-)melden!
---
Vielen Dank an den User the other für diese Anleitung!