Firewall instellingen Synology router - SRM 1.2.x

[Babylonia]

[ EDIT  -  september 2022 ]   Inmiddels met SRM 1.3.x die zijn intrede heeft gedaan, zijn er een aantal uitbreidingen in de Firewall.
                                           Die worden besproken bij een ander onderwerp m.b.t. functionaliteiten van de RT6600ax  < HIER >.

De achterliggende basisprincipes zijn hetzelfde.  Echter door de vele extra functies van SRM 1.3.x  -ook in de firewall zelf-
komt het verder af te staan tegenover SRM 1.2.x  en vooral ook zoals een firewall gebruikt in een Synology NAS.
De uitleg hier kan mogelijk dan (nog steeds) beter als leidraad dienen, voor tevens ook het begrip van firewall functies van een NAS.


Introductie:
In dit Synology "router" deel van het forum lees ik geregeld moeilijkheden die mensen tegenkomen bij het aanmaken van Firewall regels.
Omdat in de loop van de tijd het een en ander is aangepast door Synology, hier wat verdere uitleg op de stand van zaken nu.
De Firewall die in de Synology router wordt toegepast, is wat verder uitgebreid, dan die welke in een NAS is geïntegreerd.
Tevens worden soms net wat andere principes aangehouden, waardoor instellingen niet altijd duidelijk zijn
of mogelijk verwarrend als je de firewall van een NAS gewend bent of ermee vergelijkt.

Aanvullingen door Synology:
Sinds  SRM 1.2.x  heeft Synology "voor het gemak" nog een aantal aanpassingen doorgevoerd
om "geautomatiseerd" firewall regels toe te voegen, bij het instellen van port forwarders.
Die geautomatiseerde firewall regels gelden echter voor toegang vanuit "alle regio's / IP adressen uit de hele wereld".
M.b.t. veiligheid is dat vaak niet de keuze die de gebruiker zelf zou ambiëren in zijn instellingen.

De vervelende eigenschap van die geautomatiseerd toegevoegde firewall regels is dat je ze niet kunt aanpassen,
of in volgorde kunt veranderen. Om externe toegang tot slechts één, of enkele regio's' (of IP bereiken) te beperken,
zijn er gelukkig wel trucjes om de nadelen van die IMO slechte implementatie door Synology te omzeilen.
Die trucjes worden in de volgende uitleg verder uit de doeken gedaan, zodat je de Firewall kunt instellen zoals je het zelf het beste uitkomt.

Verschillen Firewall router vs. NAS:
Enkele principiële verschillen met de firewall zoals die in een NAS wordt gebruikt.
Voor de router is het op zichzelf niet nodig het eigen netwerk (of het gast netwerk) op te nemen in een firewall regel.
Bij een NAS doet men dat doorgaans juist wel. Om de basis tussen die apparaten zoveel mogelijk gelijk te houden,
pas ik die firewall regel voor het eigen netwerk echter ook toe op router niveau.
En gezien het aantal „hits“ heeft het eenmaal ingesteld, wel degelijk zijn functie.

Het verschil zit hem daarin, dat de firewall voor een NAS alleen inkomend verkeer regelt.
De Firewall voor de router zowel inkomend verkeer als uitgaand data-verkeer.

Nog een belangrijk verschil met de firewall in de router tegenover die in de NAS.
Voor apparaten in hetzelfde netwerk, is de toegang tot andere apparaten niet uit te sluiten op basis van firewall regels.
(Alle apparaten hebben connectie tot andere apparaten in het LAN, afgezien van de login-gegevens van die apparaten zelf).
Wel zijn er blokkades in te stellen voor andere (lokale) netwerken, bijv. bij een NAT achter NAT set-up,
en vanuit het tweede sub-net „terugkijken“ naar het eerste sub-net.

Houd verder in gedachte, dat regels van boven naar beneden worden afgewerkt.

IPv4 vs IPv6  -  tabblad "Service":
In de router wordt bij de firewall onderscheid gemaakt tussen IPv4 vs IPv6
(Bijv. Port Forwarding heeft bij IPv6 geen functie, dus zijn feitelijk niet van toepassing voor IPv6).
Omdat ikzelf nog helemaal geen gebruik maak van IPv6, stel ik alles in het gemeenschappelijk menu in (IPv4 + IPv6),
geen aparte instellingen voor de afzonderlijke secties. (Die worden automatisch aangevuld vanuit het gecombineerde menu).

Onder  "Netwok Center" ---->  Security ----> 2e tab "Service" vindt je tevens automatisch aangemaakt instellingen.
Die kunnen eventueel wel aangepast worden, maar heb ze persoonlijk eerlijk gezegd nooit afwijkend ingesteld.
Met wat ikzelf wilde bereiken in het hoofdmenu van de Firewall, heb ik tot nog toe alles naar eigen wens kunnen aanpassen.
(Het maakt het ook minder overzichtelijk als men ook nog eens een keer in dat menu een en ander afwijkend gaat instellen).

Eerste „afwijkende“ basis instelling (zoals persoonlijk door mij toegepast) onder „Control Panel“:
Ik maak o.a. van de optie gebruik om via externe toegang direct te kunnen inloggen op de SRM gebruiksinterface.
Bij de basis-instellingen onder „Control Panel“ kun je een optie inschakelen om van remote access gebruik te kunnen maken.
Daarbij worden in de Firewall echter „niet aan te passen regels“ aangemaakt (vergelijkbaar zoals met Port Forwarders),
die toegang tot het SRM-beheer geven voor "alle regio’s“ in de hele wereld. Ik wil dat echter beperken tot enkel Nederland
(of de regio waar ik op vakantie ben). Hierbij is die functie gelukkig uit te schakelen.

Dus schakel daarbij die optie voor „Allow external access to SRM“ UIT.
En voeg bij de Firewall handmatig de eigen firewall regels toe, om toegang te verkrijgen tot SRM op regio-niveau.




Firewall - Firewall regels:

De navolgende beschrijvingen hebben betrekking op een afbeelding van de Firewall,
waarbij regels zijn gemarkeerd in gekleurde blokken en ingedeeld in secties.

Secties gemarkeerd als blauw A-B-C = firewall regels niet actief.
Kan onder bepaalde omstandigheden tijdelijk worden geactiveerd voor testen of toegang verlenen voor Synology Support (Taiwan).

D-E = beperkte toegang tot bepaalde regio's voor services op routerniveau (SRM)

F-G = Eigen gebruikte LAN en (VLAN) IP sub-netwerken.
          Zoals eerder bij de verschillen tussen router en NAS aangegeven, niet perse noodzakelijk.
          Maar omdat ze wel degelijk „hits“ krijgen, hebben ze eenmaal ingesteld, wel degelijk hun functionaliteit.

          Dat zit hem in de mogelijkheden van de firewall op router niveau dat het tevens ook "uitgaand" dataverkeer regelt.
          (Bijv. toestemming naar het internet toe, en naar (alle) andere LAN netwerken dan het "eigen LAN").


Secties  H - I - J      heeft betrekking tot Port Forwarding:

          Bij het maken van port forwarding regels (in ander menu),
          worden zoals eerder opgemerkt automatisch firewall regels toegevoegd
          = groen gemarkeerde regels "I" voor "ALLE" regio's.

          Om deze automatisch gebruikte functies te stoppen, voegt u een regel toe net boven die regels
          = regel J

          Sectie H:
          Boven die regel  J,  uw eigen aangemaakte regels
          om toegang te hebben tot services waar port forwarders actief zijn voor een kleinere regio,
          (of bijv. slechts enkele IP-bereiken) = sectie H


Sectie K:
K = In het verleden deed dit deel min of meer al wat regel  "J"  nu doet.
       Als u alle automatisch toegevoegde regels overslaat die door Synology nu zijn toegevoegd,
       was het niet nodig geweest dat te corrigeren met regel  "J".  Deze instellingen "K" deden feitelijk al hetzelfde.
       Alleen "K" is afgestemd op inkomend verkeer.     Regel "J" zowel inkomend als uitgaand data-verkeer.



Opmerking:
De manier waarop Synology deze automatische functies heeft geïmplementeerd, is IMO niet logisch.
Het is nu ingewikkelder geworden dan nodig was om onze eigen keuzes te kunnen maken.

Verder geldt deze uitleg uiteraard slechts als leidraad wat je voor jezelf zou kunnen instellen.
Situaties kunnen voor ieder verschillend zijn, en naar eigen behoefte worden ingevuld.


AANVULLING:  5 maart 2019

Met de eerdere vervelende eigenschap van die extra aan te maken automatische firewall regels,
benoemd in sectie  "I"  en een work-around om dat met een extra regel  "J"  te corrigeren,
is er kennelijk op veler verzoek van gebruikers vanaf firmware versie  SRM 1.2.1-7779
daar toch een extra optie voor gekomen, om dat uit te schakelen.

Dan vervalt die hele sectie  "I", en zou je regel  "J"  ook niet meer hoeven aan te maken.
Die regel  "J"  heeft echter nog steeds wel zijn functie. Dus helemaal de oude situatie van "vroeger" is het niet.
Daar komen we iets verder nog op terug.




Uitvinken + OK en die extra automatisch aangemaakte regels  "I"  zijn verdwenen:



En beter ook de algemene UPnP activatie uit te schakelen vanuit algemene internet / netwerk veiligheidsoverwegingen:




Regel  "J"  heeft nog steeds zijn functie:
(Het is dus nog steeds zinvol om die regel  "J"  aan het eind te gebruiken).
Ondanks de onderdelen bij sectie  "K"  allen op "deny" staan. Dat regelt echter alleen data-verkeer van buiten naar binnen.
Regel  "J"  heeft zowel betrekking op in- als uitgaand data-verkeer.  Een klein, maar niet onbelangrijk verschil.

Om dat aan te tonen gebruiken we de test website "Shields UP" (waarvan de server in USA is ondergebracht).
Klik dan verder op de knop in het midden "Proceed".

Je komt dan aan een webpagina waarbij het mogelijk is de eigen gebruikte poorten te testen waarvoor je port forwarders
en/of rechtstreekse services in de router hebt ingesteld voor externe connectie.
Bij regio blocking met alleen toegang voor "Nederland", zou bij een test alles als "Stealth" moeten worden aangemerkt.

Vul de actieve gebruikte poorten in, en klik op de knop "User Specified Custom Port Probe"




Indien je port forwarders hebt ingesteld voor een beperkte regio naar een achterliggend apparaat,
maar dat apparaat staat "UIT" (niet ingeschakeld), en men voert een "port scan" uit, zonder regel "J".
Krijgt men het volgende resultaat te zien voor de services van dat apparaat (in mijn geval een DS415+):




Laat men die regel  "J"  als laatste zelf aangemaakte regel wel staan, is het resultaat:




Belangrijk !!

Buiten de instellingen van Firewall regels zelf, instellingen waar nog extra rekening mee te houden / aan te passen.
Aanbevelingen van Synology (voor hun routers):   Snelstartgids voor beveiligingsmaatregelen.

Vergelijkbare aanbevelingen "voor een NAS":    Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren? 

NAS:   Specifieke situatie  beschreven  < HIER >  voor een NAS.  Maar geldt vergelijkbaar ook voor een Synology router.

Verwijzingen naar een aantal voorbeelden voor instellen Firewall regels voor "een NAS":
1.  < meest eenvoudige set-up zonder externe toegang >
2.  < voorbeeld 2 >     "Firewall regels eenvoudig beschreven:"
3.  < voorbeeld 3  met OpenVPN >
4.  < voorbeeld 4  met OpenVPN  +  NFS protocol t.b.v. "Kodi" >

(Evt. nog een extra regel tussenvoegen voor poort 80  m.b.t. een 3-maandelijkse  "Let's Encrypt" certificaat verlenging).

[Tim__]

Hmmm morgen eens uittesten. Hartelijk bedankt voor de uitgebreide uitleg hoor! Top

[Babylonia]

Mocht je nog vragen hebben, of specifieke situaties die nu niet aan bod zijn gekomen, hoor ik het wel.

[Tim__]

Hmm, alles gevolgd zoals uitgebreid door u beschreven maar het werkt nog steeds niet hoor.

[Babylonia]

Voorstel om met een TeamViewer sessie alles eens na te lopen?
Contact via persoonlijk bericht.

[Babylonia]

AANVULLING:
(Inmiddels  boven in de eerste reactie gezet. Staat alles bij elkaar):

Met de eerdere vervelende eigenschap van die extra aan te maken automatische firewall regels,
benoemd in sectie  "I",  is er kennelijk op veler verzoek van gebruikers vanaf firmware versie  SRM 1.2.1-7779
daar toch een extra optie voor gekomen, om dat uit te schakelen.  Dan vervalt die hele sectie I




Uitvinken + OK en die extra automatisch aangemaakte regels zijn verdwenen:

[Birdy]

Topic maar eens Sticky gemaakt.

[GerardR]

@Babylonia dank voor de snelle aanpassing.
Nog even een vraagje. Welke doelpoorten kan ik bij een buitenlandse reis het beste wel en niet openzetten? De bron IP wordt beperkt tot het land waar ik naar toe ga.

[Babylonia]

Het gaat om de regio's (feitelijk WAN IP bereiken) waar je bij een buitenlandreis naar toe gaat, van waaruit je connectie legt.
Doelpoorten blijven gewoon dezelfde poorten die gekoppeld zijn aan de services die je wilt bereiken.

Wil je alleen VPN gebruiken, alleen die services die daar betrekking op hebben (bijv. poort 1194 voor OpenVPN).

[GerardR]

@Babylonia even een vraag. Ik hanteer de firewall instellingen zoals je hebt aangegeven. Ik constateer echter dat als ik "regel J" toepas ik via mijn VPN Plus verbinding op mijn router AC2600ac  (VPN - SSL) niet meer bij verschillende onderdelen op mijn server kom. Schakel ik regel "J" uit dan geen probleem. Weet jij een oorzaak?
Zie ook de bijlage.

[Babylonia]

Verschil met de door mij gebruikte instellingen is, dat ik de IP-bereiken van alle virtuele VPN sub-nets ook in de Firewall erbij heb staan.
Misschien dat dit het verschil maakt?

Die virtuele netwerken zijn bij mij benoemd bij sectie  "G"  en kun je o.a. vinden onder VPN Plus, onder het menu "Object".
(En daar evt. je eigen gekozen VPN IP bereiken opgeven / aanpassen).

[GerardR]

Virtuele IP's stonden er bij mij wel in, maar had ik bij het testen eruit gehaald.
Staan abusievelijk niet in het plaatje. Sorry.
Waar ik nu wel achter gekomen ben, is dat bij het verbinding maken een ip adres wordt gebruikt die buiten de (standaard) range valt in VPN plus.
Er staat bijvoorbeeld bij local vpn 10.1.5.0/24 of bij default 172.21.0.0/24.
Er wordt nu bij de verbinding een ip adres gekozen dat hoger ligt dan deze range. Ik begrijp niet waarom dat nu zo is.
Door in de firewall niet te stoppen bij 24 maar bij 154 lijkt het probleem opgelost.

[Babylonia]

Waar ik nu wel achter gekomen ben, is dat bij het verbinding maken een ip adres wordt gebruikt die buiten de (standaard) range valt in VPN plus.

Apart?
Kun je eens kijken of mogelijk je gast WiFi netwerk in een bereik zit wat overeenkomt met je virtuele VPN netwerk?
Of wordt hetzelfde virtuele netwerk voor een paar VPN protocollen gebruikt?
(Voor elk VPN protocol heb ikzelf een apart virtueel sub-net ingesteld. --->  Uitgegeven VPN IP adressen vallen altijd binnen het IP-bereik).

[GerardR]

Wifi Gast Netwerk heeft geen toegang tot lokale netwerk. Kan volgens mij geen probleem zijn. Krijgt IP adres binnen andere reeks
Ik gebruik alleen SSL VPN. Standaard client IP bereik in VPN plus (local VPN) is 10.1.5.0/24 De verbinding wordt gemaakt op …. 154

[Babylonia]

Standaard client IP bereik in VPN plus (local VPN) is 10.1.5.0/24 De verbinding wordt gemaakt op …. 154

Geen wonder dat ik je eerder beschreven ervaring "apart" vond?
Met dit voorbeeld wat het uitgegeven VPN IP-adres wordt, heb je een verkeerd idee van het IP sub-net bereik zelf.
In de schrijfwijze van een sub-net mask met zo'n "breukstreepje" (= prefix).
(In de plaats van een volledig uitgeschreven sub-net mask ----> 255.255.255.0  ).

Een IP subnet met een sub-net mask bereik van   10.1.5.0/24   loopt van IP   10.1.15.1   t/m IP   10.1.15.254   
(met IP   10.1.15.255   voor het broadcast IP adres).

Dus als er een IP adres wordt uitgegeven van   10.1.15.154   valt dat gewoon binnen het opgegeven IP sub-net bereik.

Vergelijk eens wat opgaven met de schrijfwijze van een sub-net  met zo'n "breukstreepje":
http://jodies.de/ipcalc?host=10.1.5.0&mask1=24&mask2=    Het opgegeven IP-bereik loopt van   "HostMin"   t/m   "HostMax"

http://www.subnet-calculator.com/     ---->   "Mask Bits" van 24     Vergelijk dan   "Host Address Range"
https://mxtoolbox.com/subnetcalculator.aspx
https://www.iplocation.net/subnet-calculator
https://www.tunnelsup.com/subnet-calculator