Brannmur på Synology NAS - hva betyr egentlig aktivert, uten regler?

[Anterialis]

Hei,

først og fremst, jeg kan svært lite om internettsikkerhet, dessverre. Har en Synology NAS hvor jeg først nå har aktivert brannmur-funksjonaliteten. Det jeg dog ikke helt forstår er at jeg kan aktivere brannmuren (greit nok), men den er da helt uten regler. Hva gjør egentlig brannmuren da? 

Jeg kjører Synology Drive (skytjenesten), og kan da sette at e.g. tilkoblinger fra <land> er «denied» eller «allowed». Om jeg ikke setter denne regelen (altså brannmuren uten regler), er da tilkoblinger fra <land> allowed eller denied som utgangspunkt? 
 

Jeg må kanskje ta stilling til alle tjenestene/portene (allowed eller denied) om jeg skal ha en Brannmur som er aktiv?

EDIT: 
Forklart på en annen måte: Som bildet viser har jeg (dog unchecked her..) valgt å tillatte tilkoblinger til Synology Drive fra steder/IPer i Norge. Men hva er forskjellen på å ha denne regelen aktivert eller deaktivert? Hva skjer om jeg ikke skriver noe regel på Synology Drive, men har brannmuren aktivert?

Endret 28. mai 2021 av Anterialis

[Kikert]

Tatt fra hukommelsen så betyr "uten regler" at brannmuren opererer uten unntak. Regler er unntak du setter i brannmuren er unntak fra den vanlige driften som gjør at de reglene slipper gjennom uten sjekk. Regler i dette tilfellet er altså sikkerhetsrisikoer, men hvis du vet hva det er så er det selvfølgelig ingen risiko. Det er derfor man kjører full pupp sperring og heller har unntak, som her kalles regler.

[Anterialis]

Jeg tenkte også det, men hvorfor får jeg da «nekt» som regelvalg i det hele tatt? Dersom den i utgangspunktet nekter alt og jeg kun skal sette «tillat» der jeg ønsker det?

Endret 29. mai 2021 av Anterialis

[Kikert]

Jeg vet ikke hvordan den saken er konfigurert som standard, men du kan nekte ting som er tillatt som standard. Det er sjelden ting er 100% sperret som standard, de vanligste kommunikasjonsmetodene er alltid åpne.

[tingo]

Generelt: brannmurer har to varianter av standardinnstillinger:
1) åpen - "alt er tillatt", bruker må lage regler for å begrense tilgang
2) stengt - "ingenting er tillatt", bruker må lage regler for å gi tilgang.
(ja, det går an å mene at en variant er mer fornuftig enn den andre i dagens internett-verden)

kjenner ikke Synology godt, men det kan se ut som om "åpen" er standardinnstilling. Eksempel  fra https://miketabor.com/securing-synology-nas/

Endret 29. mai 2021 av tingo
fikset en fingrertrøbbel-lagring

[Svein M]

Du bør lage regler for hva som er tillatt. Dette virker slik at en begynner på toppen av listen og leter etter første regel som matcher.

Eksempel på oppsett med to regler:

Ports: (....); Protekoll: TCP; Kilder-IP: NORGE; Handling: Tillat

Ports: All; Protekoll: All; Kilder-IP: (internt nettverk adresser); Handling: Tillat

Ofte kan en velge en plass i brukergrensesnittet om hva som skal skje om ingen regler matcher. Velg da deny (Nekt) på alt som det ikke er regel på.

Alternativt kan siste regelen være: Ports: Alle; Protekoll: Alle; Kilder-IP: Alle; Handling: Nekt

 

Endret 30. mai 2021 av Svein M

[Anterialis]

Takk for svar.

Videre kan jeg velge regler for kategoriene «Alle grensesnitt», «LAN» og «PPoE» (tror jeg den siste het). Men hva er forskjellen på å lage port-regler på en intern IP range (192.168.1.x - 192.168.1.y) i «alle grensesnitt» vs. å lage samme reglene i kategorien «LAN»? 

[Svein M]

Jeg kjenner ikke så godt til dette, men jeg vil anta at "LAN" er for å sette opp regler som skal gjelde for enheter på det lokale nettverket. Og PPPoE er vel point to point protocol over ethernet, og da regler i forbindelse med slik bruk.

[Anterialis]

Ja det tenker jeg også, men hva er forskjellen på å sette opp regler for lokal ip (e.g. 192.168.1.10) under «alle grensesnitt» sammenlignet med å sette samme regelen under «LAN» ?

[Svein M]

Jeg tror det blir det samme.

[Anterialis]

Takk for svar. Ja virker litt sånn, men forstår ikke helt poenget med "LAN" da. Kanskje jeg kan legge LAN-relaterte regler under "LAN" for å rydde litt opp, jeg kommer ikke på andre årsaker...