@Werner schrieb:
Ist jetzt ein wenig OT, aber dass jemand die Firewall einer Swisscom Internetbox nicht einfach auf der Standardeinstellung “Strikt” belässt, sondern auf individuell umschaltet und dann alternativ mit eigenen Regeln füttert, halte ich wirklich für äusserst selten.
Deshalb würde es mich interessieren, was hat Dich dazu bewegt, wo siehst Du die Vorteile und/oder Nachteile davon und ist es allenfalls möglich, dass Du zum besseren Verständnis mal ein paar Beispiele von Deinen individuellen Regeln hier aufführst?
Hoi Werner,
Klar, der Otto-Normalverbraucher wird sowas nicht benötigen.
Ich habe eine NAS, auf welche ich auch von ausserhalb zugreife. Für diverse Apps möchte ich dazu auch nicht immer mit einem VPN verbinden müssen, z.B. die Video/Photos App oder diverse Sync/Backup Applikationen. Ebenso nutze ich den OpenVPN Server welcher bessere Sicherheit bietet (längere keys, keys mit Passwortschutz, CA) für diesen müssen aber die relevanten Ports offen sein. Im Prinzip verfolge ich eine Strikte Firewall Policy aber mit genau definierten Ausnahmen.
Weitere Sicherheitsmassnahmen:
- die Firewall auf der NAS selbst ist auch aktiv, bei welcher ich die nötigen Zugriffs-Regeln definiert habe, zusätzlich aber noch mit Geo-Filter (reduziert auf Schweiz bzw. das Land wo ich gerade Ferien mache), seither ist Schluss mit Hackerangriffen aus Russland und China.
- 2FA für alle User.
- Für Verwaltungsaufgaben mit einem Admin User nutze ich die VPN Verbindung.
- Dann habe ich noch eine zweite NAS, welche geografisch 100km entfernt steht, welche als Backup-Ziel für die wichtigen Daten und Fotos dient (dieses Backup läuft z.B. auch über OpenVPN).
Vorteil: Komfortabler Zugriff auf oft genutzte Daten/Apps
Nachteil: Geringfügig reduzierte Sicherheit.
Ich überlege immer auch wieder, ob ich quickconnect von Synology nutzen soll, da es sich hier um eine Outbound Verbindung handelt. Allerdings muss man dann immer über die Server von Synology gehen um sich in diese Outbound Verbindung als Inbound “zu tunneln” und diese quickconnect Server werden vermutlich dauernd von Hackern angegriffen.