Welche Firewall ?

    Hallo Zusammen,


    ich möchte primär über VPN auf die NAS zugreifen.

    Nun möchte ich aber auch den Webserver extern nutzen und ggf. auch einen einzigen Ordner " Bilder" von außen freigeben.

    QNAPcloud ist klar,das mache ich nicht also muss neben VPN eine richtige Firewall auf oder vor die NAS.


    Kann ich auf der TS-453D in dem VM Container einfach eine Firewall VM aufsetzen, diese einer LAN schnittstelle (DMZ) zuordnen und den Traffic intern entsprechend den virtuellen Netzwerkschnittstellen routen oder muss/sollte die Firewall BOX außen stehen ?

    Welche Softwarelösungen intern oder extern würdet ihr empfehlen ?

    Eventuellbastle ich auch selbst einen Bananapi oder ein Minipc mit 2 LAN Ports und mache das opensource drauf. Eine fertige Box macht ja auch nix anderes.


    Zur Auswahl stehen:

    Hat jemand Empfehlungen ?

    Darüber gibt es sogar schon einen Thread ;): Firewall.


    Ich würde zu pfSense oder Sophos tendieren, wobei ich letztere nur vom hören-sagen kenne.


    Gruss

    Danke für den Link. Die virtuelle Frage, also die Softwarefirewall direkt auf die NAS als eigene VM zu implementieren ist keine gute Lösung oder ?

    Kurz und knapp: Nein!


    Gruss


    Edit: Ja! Denn "Nein" würde würde der Frage nach bedeuten es ist eine gute Lösung. Also nicht kurz und knapp: es ist keine gute Lösung!

    VPN auf einer echten Firewall ist das Mittel der Wahl.

    Zur Not täte es auch eine Fritte mit VPN, aber die ist bei weitem einer echten Firewall unterlegen.

    Sophos ist schön bunt und kann viel, wenn du mit 50 Geräte auskommst.

    Ist aber ein wenig eigen was die Einstellungen angeht und kann einem daher schon mal ein wenig zu Verzweiflung treiben, bei komplexeren Sachen.

    Aber es ist auch nur eine Firewall, wer die Grundlagen NAT, TCP/IP, Subnetting usw. drauf hat, kommt damit schon klar.


    Nett ist der Proxy, einfach Zertifikat auf die Clients und los gehts, mit IPS/IDS.


    Aber, wenn du dann mal Seiten erwischt, die nicht sauber mit den default Filter Einstellungen laufen, dann fängt das ganze Drama an.


    Ich bin mit 2 Netgate unterwegs, inkl. PfblockerNG und da sind inzwischen ca. 500k Domains auf der Blockliste und damit hast du kaum noch Probleme mit bösen Zeugs, denn es ist einfach nicht mehr erreichbar.

    Ob das jetzt Werbung, Tracking, Phishing oder gar böse Seite auf die böser Code verbinden will um das ganz gemeine Zeugs nach zu laden, das landet sehr schnell auf so einer Liste.

    Musst halt nur die passenden finden und hiterlegen.


    Das SG-1100 ist mit den 1GB Ram halt limitiert, das SG-2100 ist mit 4GB so gut aufgestellt, das du auch sehr große Blocklisten sauber laden kannst.



    Firewall gehört als Hardware Appliance ins Rack, das ist jedenfalls die Meinung eines Netzwerkes.


    Zum testen und spielen ist aber eine VM sehr gut, die kannst auch richtig über verhunzen. Einfach Snapshot wieder laden und alles ist gut.


    Was den Webserver vom NAS angeht, den würde ich nicht freigeben, wenn dann in einem Docker was aufsetzen und das freigeben.

    Die Tage gab es wieder eine schöne Liste mit CVEs von QNAP die alle die eigenen Apps betroffen haben.


    Wenn du die so ins Netz stellst, ist das knacken von deinem NAS nur eine Frage der Zeit.

    Klar kannst du dich durch Geoblocking usw. schon brauchbar absichern, aber die Dinger würde ich nicht mals mit einer Ironport davor freigeben!

    pfSense wäre auch meine Empfehlung.

    Ich kenne nichts Besseres im Freeware-Bereich.

    Dann aber auf dezidierter Hardware installieren.

    Ich komme im großen und ganzen mit der Sophos UTM gut klar.

    Aber es gibt halt nicht "DIE" Firewall.

    Wie schon vor 1,5 Jahren gesagt: eine Firewall auf dem NAS ist die schlechteste Lösung!

    1. Router

    2. Dedizierte Hardware

    3. Siehe 1 oder 2 ^^

    17. Firewall auf dem NAS!


    Das wäre in etwa die empfohlene Reihenfolge wo eine Firewall sein sollte.


    Gruss