A tűzfal.
A tűzfal beállítása az eszközvédelem szempontjából fontos, bár a hálózaton található router lehet az első védvonal, annak tűzfal szolgáltatásai sok esetben kevés lehetőséget nyújtanak. Az eszköz távoli eléréséhez portokat kell nyitni az alkalmazások, szolgáltatások megfelelő használatához. Fontos, hogy mindig csak a szükséges portok legyenek a NAS felé megnyitva. A NAS tűzfalszabályainak segítségével lehet befolyásolni a további hozzáférés különböző szintjeit.
Az előző cikkben ismertetve lettek azok a biztonsági szempontok, melyek a megelőzésben segítenek. A tűzfal megfelelő beállításaival módunkban áll tovább növelni az eszköz és adataink védelmét.
Tűzfal beállítások Synology DSM7-ben.
A tűzfalszabályok beállítása az egyik legfontosabb feladat. A megfelelően konfigurált tűzfallal gyakorlatilag 0-ra lehet csökkenteni a NAS irányába érkező támadásokat. Az alábbi leírás segítségével az otthoni felhasználók eszközük védelmét, biztonságát tovább tudják növelni. (A beállítások sorrendje fontos, ha követed a leírást, akkor figyelj annak sorrendjére.)
Az itt leírtak nem kőbe vésettek, tovább lehet finomítani az igényeknek megfelelően.
A beállítások elvégzéséhez lépj a Vezérlőpult – Biztonság – Tűzfal lapra, és engedélyezd a tűzfalat.
A tűzfalprofilnál található default (Alapértelmezett) profil mellett válaszd a szabályok szerkesztését. Ha egyedi profilt szeretnél létrehozni kattints a listában a Tűzfalprofil kezelésére. Hozz létre egy új profilt, vagy klónozással másolhatod és átnevezheted a meglévőt.
Tűzfal szabályok szerkesztése, beállítása
Helyi hálózat engedélyezése (1. szabály).
A saját alhálózat adatait a Vezérlőpult – Hálózat – Általános lapon tudod megnézni. A beállítást ennek megfelelően kell elvégezni.
Beállítás:
Portok: Összes
Forrás IP: Különleges IP – Alhálózat
Tevékenység: Engedélyez, Engedélyezve
Szabály áttekintése: Összes port (3.) a teljes (otthoni) alhálózaton (4, 5) engedélyezve (6). A szabály engedélyezése (bekapcsolása) (7)
Ország engedélyezése (2. szabály).
Amennyiben nem használod az eszközödet külföldről ezzel a szabállyal engedélyezd a magyarországi hozzáférést.
Beállítás:
Portok : Összes
Forrás IP: Hely – Magyarország
Tevékenység: Engedélyez, Engedélyezve
Szabály áttekintése: Az összes port (2) Magyarországról (3,4) engedélyezve (5) a szabály bekapcsolása (6) .
Összes ország tiltása (3. szabály).
Ezzel a szabállyal tudod az összes országot tiltani.
Beállítás:
Portok: Összes
Forrás IP: Összes
Tevékenység: Tilt, Engedélyezve
Szabály áttekintése: Az összes port (2) összes IP (3) tiltása (4) a szabály bekapcsolása (5) .
További beállítások
Fontos a szabályok sorrendisége. A lista tetején kell lennie az engedélyező az alján a tiltó szabályoknak. A tűzfal a listában meghatározott szabályok sorrendje alapján fog engedni, vagy tiltani.
Ha külföldről szeretnéd elérni az eszközödet nyaralás ideje alatt módosíthatod a 2. szabályt hozzáadva azt az országot amit engedélyezni szeretnél.
Amennyiben nem dinamikus, hanem statikus IP címed van a szolgáltatótól akkor az első szabályt követően készíts egy engedélyező szabályt a fix IP címedre.
A 2. szabály módosításával lehetőség van meghatározni, hogy távolról mely alkalmazások érhetők el. Az összes port engedélyezése mindenre lehetőséget ad az engedélyezett országból. Célszerű csak azokat a portokat engedélyezni amire valóban szükség van. Egy másik tiltó szabállyal amely az engedélyező után következik (alatta van) pedig minden más portot lehet tiltani.
A tűzfalszabályok sorrendje húzással módosítható a lista elején levő jelre kattintva.
Weboldalakat üzemeltetsz az eszközödön a 3. szabályt kell módosítani. Ebben az esetben a Választás a beépített alkalmazások listájából a 80, és 443-as port kivételével jelölj ki mindent. Ezzel a beállítással az eszközödön üzemeltetett weboldalak a világ minden részéről elérhetővé válnak.
Utószó:
Különböző fórumokon gyakran lehet olvasni, hogy nem szabad semmilyen portot kinyitni, engedélyezni mert nem biztonságos. Sok esetben a VPN kapcsolatot jelölik meg mint a legbiztonságosabb kapcsolódási forma. A VPN valóban egy biztonságos kapcsolódási lehetőség (ha nem PPTP VPN), de elvesznek olyan lehetőségek amelyek pont az eszköz rugalmas használatát teszik lehetővé.
A synology komoly energiát fektet az eszközei fejlesztésébe nem csak hardveresen, hanem szoftveresen is. NAS-t azért vesznek általában az emberek, mert adatokhoz szeretnének hozzáférni bárhonnan. A megfelelő védelem beállításával a rosszindulatú támadások kivédhetők.
Az alábbi linkeken további információt találsz a témában:
- Biztonsági megoldások.
https://www.synology.com/hu-hu/dsm/overview/security - Hasznos tippek a fájlok védelmére.
https://www.synology.com/hu-hu/dsm/solution/data_protection - Biztonsági mentés és adatvédelem.
https://www.synology.com/hu-hu/dsm/solution/data_backup