Idee für Firewall Regeln sollen IPV6 ID filtern

[abgespacet]

Guten abend,

bin am überlegen(eine Idee) für meine Synology NAS die Firewall Regeln für meinen SSH-Server die Firewall-Regeln zu verschärfen. Nutzen tue ich fast ausschließlich IPV6, daher habe ich die Überlegung nur spezielle ID's durchzulassen. Um dies verständlicher rüber zu bringen:

Der CLIENT soll sich per SSH beim NAS anmelden. Dieser lässt die Kommunikation für Port 22 und der IPV6-ID "::23fe:5f:2e:78" durch. Der PREFIX der IPV6 ist hier also irrelevant. Der CLIENT besitzt die IPV6 "2a00:27ea:3:17ef:23fe:5f:2e:78", daher wird es von der Firewall der NAS durchgelassen.

Funktioniert meine Idee?

Grüße und schönen Abend

 

[Barungar]

Ich kenne die Firewall auf der Syno nicht. Aber in Bezug auf IPv6 beherrschen nicht alle Firewalls eine Regelbildung auf der Basis der InterfaceID. Wenn Deine Firewall Regeln auf Basis der InterfaceID erlaubt, dann klappt Deine Idee sehr wahrscheinlich.

Wobei es nur eine gewisse Sicherheit bringt, weil sich jeder beliebige IPv6-Nutzer schließlich genau diese spezielle InterfaceID auch zuweisen könnte.

 

[abgespacet]

Aber das wäre, dann schon aufwendiger.

Gibt es denn was den PREFIX angeht die Möglichkeit nur meine Regionen reinzunehmen?

Oder sogar Firewall-Regeln nach ID und PREFIX zu erstellen.

 

[abgespacet]

WIe kann ich in den Firewall Regeln mein IPV6 Subnetz mittels sich ändernder PREFIX angeben?

 

[Barungar]

Geoblocking (also das Einschränken des Prefix auf Deine Region) hängt auch von den Möglichkeiten Deiner Firewall ab, ob sie diese Funktion bietet. So etwas manuell umzusetzen, ist dann schon schwieriger, weil man dann ja "alle" potenziellen Prefixe Deiner Region kennen müsste.

Was willst Du denn genau bezwecken?
Ist der SSH-Port der Syno von "außen" (aus dem Internet) erreichbar?
Oder möchtest Du in Deinem LAN nur bestimmten Geräten erlauben eine SSH-Verbindung zur Syno aufzubauen?

WIe kann ich in den Firewall Regeln mein IPV6 Subnetz mittels sich ändernder PREFIX angeben?

Das hängt von der Firewall ab, manche Firewalls definieren "Aliase" für das jeweils gültige Prefix.

 

[abgespacet]

Mein SSH ist von Außen erreichbar aufgrund von Borg-Backup. Daher versuche ich jetzt alles zu verschärfen. Die Firewall gehört dazu. VPN kommt vielleicht auch noch. Aber erstmal will ich nur die Firewall sicher bekommen.

Mein NAS ist ein Synology 723+ mit OS 7.2

In meiner Firewall gibt es die folgende Regel:
RETURN tcp -- anywhere anywhere -m geoip --source-country LAND1,LAND2 multiport dports PORTS

 

[Barungar]

Kommt dieses "Borg-Backup" denn nicht von einer statischen IPv6 oder zumindest aus einem rechtklar definierten Subnetz?

 

[abgespacet]

Nein, da ich DualStack Lite nutze ist IPV4 schon mal dynamisch und IPV6 ist auch nicht fest. Also das PREFIX variiert und die ID scheint fest zu sein.

Vor dem Neustart meines Routers:

wlp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.59 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 2a00:1f:dc00:5f01:1262:6993:d134:df76 prefixlen 64 scopeid 0x0<global>
inet6 fe80::9c1:1b98:7bb:b383 prefixlen 64 scopeid 0x20<link>
ether 34:e1:2d:61:ba:d9 txqueuelen 1000 (Ethernet)
RX packets 12462766 bytes 14705384253 (13.6 GiB)
RX errors 0 dropped 207508 overruns 0 frame 0
TX packets 8702163 bytes 4974788785 (4.6 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Nach dem Neustart:

wlp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.59 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 2a00:1f:dc00:1801:172c:8d11:2f1d:6ad8 prefixlen 64 scopeid 0x0<global>
inet6 fe80::9c1:1b98:7bb:b383 prefixlen 64 scopeid 0x20<link>
ether 34:e1:2d:61:ba:d9 txqueuelen 1000 (Ethernet)
RX packets 12773740 bytes 15093689836 (14.0 GiB)
RX errors 0 dropped 213529 overruns 0 frame 0
TX packets 8860169 bytes 4999417680 (4.6 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Selbst die IPV6 ID hat sich geändert.

 

[Barungar]

Ich versteh es noch nicht... Du sagst "SSH ist von außen erreichbar wegen Borg-Backup"... daher ging ich davon aus, dass das ein Backup-Server/Dienst im Internet ist. Was ist das denn, wenn es kein Backup-Dienst ist mit statischer IPv6?

Aber es ist richtig, dass das Backup von "extern" gestartet wird, also nicht die Syno ist der aktive Part der auf "Borg-Backup schreibt" sondern das "Borg-Backup holt aktiv an der Syno ab", richtig? Weil wenn es nicht so wäre, bräuchtest Du auch keine SSH-Freigabe.

Die dynamischen IPv6 bzw. das DS-Lite trifft auf Dein LAN und die Syno zu; aber das Borg-Backup ist doch außerhalb Deines LANs, oder etwa nicht? Weil Du doch eine SSH-Freigabe nach außen hast...

 

[blurrrr]

Ich werf einfach mal ganz pauschal ein "nein" in den Raum in Bezug auf den Threadtitel, da es anscheinend keine festen Bezüge gibt und die Syno-Firewall nichts mit FQDNs anfangen kann. Alternativ kann man natürlich hingehen und alle paar Minuten eine Namensauflösung auf die Gegenstelle vornehmen (DynDNS) und dann über die Shell auf der Syno die Firewall-Regel ändern und so, aber.... schön ist halt definitiv anders, VPN wäre da wohl eher das Mittel der Wahl.

Ansonsten.... Weitermachen!

P.S.: Nein, so ist es nicht gemeint

 

[the other]

Moinsen,
die Firewall der Synology NAS Modelle...
...unterstützt Geo Blocking (bei den Regeln "Ort" wählen, dann das eintragen, was erlaubt ist, Rest DENY)
...unterstützt meines Wissens nach nicht, dass nur die Interface ID benutzt wird

Ich sehe es wie @blurrrr: VPN nutzen.
Im eigenen LAN gebe ich für die Syno Firewall die ULAs an, sonst nix. Zugriff von extern NUR via VPN. Damit kommen eben (weil der Rest verboten = keine Regel > DENY) nur die Geräte mit erlaubter IPv6 als ULA rein, der Rest bleibt draußen. Das ist dann aber eben für den direkten Zugriff (ohne VPN) nicht umsetzbar bei dynamischer IPv6.

Manche Geräte bieten die Einstellung, dass das Interface ID fix bleibt, andere nicht > mussu schauen, was dein Router kann.
Bei mir jedenfalls ändert sich der Interface ID Teil nicht. Auch zu beachten: viele Geräte bilden eine komplett dynamische IPv6 (Schutz vor Tracking heißt es) UND eine mit unverändertem Interface ID Teil.

Also: meine Empfehlung geht dahin, wenig Freigaben zu machen, mehr mit VPN zu arbeiten und dann alles EINMAL einzurichten...mit GUA, ULA und link locale IPv6 Adresse. Intern werden dann die ULAs oder link locales genutzt, Ende.

 

[abgespacet]

Ich hatte ja gehofft, dass es Module gibt für IPTABLES. Aber ich hatte auch schon drüber nachgedacht eine Aufgabe mit Cron bzw. dem Aufgabenplaner zu erstellen, der dann die IPV6 Adressen in Text-Dateien speichert und dann im nächsten Schritt eine Iptables-Regel manuell hinzugefügt wird. Dies würde aber nur mein Problem des lokalen Netzwerks lösen, aber nicht das Problem mit externen Clients.

 

[the other]

Moinsen,
für die rein INTERNEN Clients kannst du mit ULA oder link locale Adressen doch fein arbeiten (je nachdem, ob diverse Subnetze / VLANs vorhanden sind). Daher verstehe ich vermutlich dein Problem nicht wirklich.
Ich habe in der Syno Firewall einfach (wie bereits gesagt) die diversen ULA der Geräte eingetragen (für intern) und das funktioniert auch.
Die global gültigen Adressen sind hier kein Thema, weil einfach so nicht benötigt (und eh dynamische Präfixe).
Ich verstehe auch deinen Netzaufbau noch nicht, wie mir schwant: ich dachte du redest über die einfache Synology Firewall...als Router die Fritzbox? Weitere Firewall vorhanden?

 

[abgespacet]

Was ich auch interessant fände wäre eine Begrenzung der externen Benutzer auf bestimmte Kommandos. Soweit ich gelesen habe, kann man in der "authorized_keys" die Befehle, die der Benutzer nutzt, begrenzen. Und das die Admin-Benutzer sich nur lokal einloggen dürfen.

 

[abgespacet]

Moinsen,
für die rein INTERNEN Clients kannst du mit ULA oder link locale Adressen doch fein arbeiten (je nachdem, ob diverse Subnetze / VLANs vorhanden sind). Daher verstehe ich vermutlich dein Problem nicht wirklich.
Ich habe in der Syno Firewall einfach (wie bereits gesagt) die diversen ULA der Geräte eingetragen (für intern) und das funktioniert auch.
Die global gültigen Adressen sind hier kein Thema, weil einfach so nicht benötigt (und eh dynamische Präfixe).
Ich verstehe auch deinen Netzaufbau noch nicht, wie mir schwant: ich dachte du redest über die einfache Synology Firewall...als Router die Fritzbox? Weitere Firewall vorhanden?

Genau ich habe eine Fritzbox als Router/Gateway zum Internet. In diesem lokalen Netzwerk befindet sich ein Syno NAS für die Datensicherung. Auf den Syno NAS, verbinden sich Clients aus dem Internet wie auch aus dem lokalen Netzwerk.

 

[the other]

Moinsen,
ich selber finde, dass die Synology NAS Geräte da nur ein abgespecktes ssh Instrumentarium bieten...so ist es AFAIK nur für admin Nutzer*innen möglich, sich per ssh aufzuschalten. Es gab da früher mal einen workaraound, damit das auch "normale" Benutzer*innen können / dürfen, der ist aber meines Wissens in den aktuellen DSM Versionen nicht mehr anzuwenden. Problem ist ja auch: selbst wenn es klappt, keine Garantie, dass es nach einem Reboot oder neuer Version (Update) immer noch tut.

Ob da viel individuelle Handarbeit nutzt wage ich daher zu bezweifeln.
Ich würde es daher (wie bereits oben empfohlen) gänzlich anders lösen. Keine Ahnung (das unterscheidet sich ja absolut), ob du wirklich unbedingt von extern zur Datensicherung auf dein NAS im LAN zugreifen musst, ich selber habe diese Notwendigkeit nicht, daher kann ich dir da auch leider nicht weiterhelfen.
Hier eben alles via VPN und damit sind viele deiner angesprochenen Probleme direkt vermieden...

Frage noch: IPTABLES??? Wenn du die Fritzbox nutzt und die Firewall des NAS...wofür dann doch gleich die Angaben für IPTABLES? Die Firewall des NAS bietet durchaus einige Möglichkeiten, ist aber meiner Meinung nach eben auch reduziert und bietet somit nicht alle Optionen, die ein reines LINUX bietet (weil ja durch Synology angepasst, beschränkt, kastriert).
Ohne also zu wissen, was du wirklich brauchst, wie deine Prozesse und Strukturen sind...Glaskugel. Für mich hört es sich aktuell viel zu kompliziert an.
externer Client > VPN zum eigenen (!) VPN Server im LAN > Zugang zum LAN...dort dann mit IPv4 oder aber ULA (oder link locale) arbeiten...das dann in der Syno Firewall eingepflegt > Fertig. Damit gelingt es hier und ich muss nicht alles doppelt und dreifach einrichten.
Aber wie gesagt: das funktioniert für meine Bedürfnisse gut. Das hilft dir aber nicht, wenn deine Bedürfnisse gänzlich anders liegen.

 

[abgespacet]

Das mit der ULA finde ich gut. Werde ich mir überlegen. Aber VPN mit Passwörtern ist glaube ich unsicherer, als wenn ich SSH mit aktuellen Keys verwende. Nur gefühlt, wissen tue ich es nicht.

Über den Aufgabenplaner von der Syno kann ich ja auch die Konfigs bearbeiten. Ohne das die Änderungen verloren gehen. Und gesichert werden sie dann auch noch.

 

[blurrrr]

Aber VPN mit Passwörtern ist glaube ich unsicherer, als wenn ich SSH mit aktuellen Keys verwende.

Hast Du falsch verstanden, denn: "sowohl als auch". Verbindung ins Zielnetz via VPN, danach via SSH mittels Key weiter.

 

[abgespacet]

Hast Du falsch verstanden, denn: "sowohl als auch". Verbindung ins Zielnetz via VPN, danach via SSH mittels Key weiter.

Das stimmt natürlich. Aber die Angreifer hätten dann Zugang zu meinem lokalen Netzwerk.

Ich habe aber gerade was anderes Interessantes gelesen. Man kann beim SSHD auch sowas in dieser Art angeben:

Match Host *
........DenyUsers admin
Match Host 192.168.178.2
........AllowUsers admin

Was haltet Ihr davon? Dies würde mein SSH Server nochmal sicherer machen, was den admin Login angeht. Ich muss nur schauen, dass ich wieder einen Cronjob erstelle, der diese Zeilen in die ssh_config einträgt.

Oder in der .ssh/authorized_keys:

from="192.168.1.*,192.168.2.*" ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABA...etc...mnMo7n1DD useralias

Klasse Ideen --> https://unix.stackexchange.com/questions/406245/limit-ssh-access-to-specific-clients-by-ip-address

 

[abgespacet]

Gibt es denn die Möglichkeit die MAC-Adresse anzugeben?
Irgendeine Identifikationsmöglichkeit, die dem VPN stand hält?