Sicherheit bei Zugriff aus dem Internet - Nutzung originärer Ports kritisch?

[schoeli]

Guten Abend!

Mich würde interessieren, ob es unkritisch ist, originäre Ports, die selbstverständlich verschlüsselt sind, wie z. B. 5001 oder 443 zu nutzen. Oder sollte man aus Sicherheitsgründen eher „untypische“ wählen? Ich greife oft aus dem Internet auf die DS zu und muss in den Forenbeiträgen öfters lesen, dass man besser eigene Ports wählt.

Ebenso fällt mir gerade ein, dass oftmals empfohlen wird, das vom System erstellte Konto „admin“ aus Sicherheitsgründen zu deaktivieren.

Wie seht ihr das?

 

[Nomad]

Bekommst du rotierende IP Adressen in regelmäßigen Abständen? Dann könnte es sich lohnen die wohlbekannten Ports zu meiden.

Bei festen IP Adressen gab es nur einige Tage Ruhe. Dann hatten sie sich auf den neuen Port eingeschossen.

Bekannte Benutzernamen wegzunehmen dürfte auch ein Teil der Angriffe schon ins Leere laufen lassen.

 

[schoeli]

Habe eine feste IP. Obgleich ich relativ viele (verschlüsselte) Ports geöffnet habe, halten sich die Angriffe eigentlich im Rahmen. Pro Monat werden da ca 10-15 Adressen gesperrt.. Denke darüber nach, mehr über VPN zu machen...

 

[Nomad]

Ich denke VPN ist immer eine gute Idee. So schwierig zu konfigurieren ist es ja auch nicht mehr.

Ich lasse immer nur SSH und OpenVPN offen.

 

[schoeli]

Danke für die Rückmeldung. OpenVPN soll mittlerweile übrigens unsicher sein, da bereits geknackt..

Gemeint war hier PPTP. Im weiteren Verlauf des Threads klärt sich das auf. --thedude

 

[Tommes]

Hi

Frag 10 Leute nach ihrer Meinung und du bekommst mindestens 11 Antworten. Hier wäre meine.

Ich persönlich würde, wenn überhaupt, meine DS und somit meine persönlichen Daten nur über VPN erreichbar machen. Ist das nicht gewollt oder möglich, dann kann man sicherlich damit anfangen über SSL verschlüsselte Verbindungen zu diskutieren, wobei auch hier für mich der Port 5001 ein absolutes NoGo wäre, diesen weiterzuleiten. Wenn man hingegen nur den Port 443 weiterleitet und man somit primär erstmal keinen Zugriff auf den DSM oder dessen Dienste (Filestation, Videostation, Notestation etc.) hat, braucht man sich auch erstmal nicht um das deaktivieren von Benutzerkonten, wie dem des admin im DSM zu kümmern, außer... ja außer man will z.B. noch den Port 22 weiterleiten. Hierfür bräuchte man wiederum das admin Konto um brauchbare Aktionen auf der Konsole zu tätigen. Also, was tun? Den admin deaktivieren, Port 22 doch nicht weiterleiten, einen RSA-Key verwenden, oder oder oder.

Für mich macht es eigentlich nur Sinn schützenswertes von nicht schützendwertes konsequent zu trennen und somit entweder ausschließlich per VPN auf sein privates Netzwerk zugreift oder man über eine Hardware Firewall oder Router-Kaskade nachdenken sollte.

Ja ich weiß, ich bin leicht paranoid was das angeht, aber du wolltest eine Meinung. Das wäre meine.

Tommes

 

[schoeli]

Hallo Tommes.

Vielen Dank für deine umfangreich dargelegte Meinung. Ich bin grundsätzlich ebenfalls eher sehr sicherheitsorientiert und habe ja daher auch über das Thema VPN nachgedacht. Allerdings fehlt es mir da noch an Verständnis:

1. Bislang logge ich mich bei meiner DS ein über https://meinedomain.de:5001. Wenn ich den Port 5001 nicht mehr weiterleite (weder in der Fritte noch im DSM) sondern lediglich den des VPN-Dienstes (den der DS), wie komme ich dann an das Webinterface des DSM?Wie muss ich da konfigurieren? Vom „Verständnis“ her würde ich das so sehen, dass ich mich bei Nutzung von VPN um heimischen LAN befinde und daher sämtliche Ports (bis auf den für VPN) nicht mehr nutze. Aber was gebe ich dann in den Browser ein (ohne der zusätzlichen Angabe des Ports)?

2. Kann ich aus dem Internet tatsächlich auf alle Dienste und Apps zugreifen, wenn ich lediglich VPN nutze und lediglich diesen einen Port weiterleite?

3. Ich habe verschiedene Nutzer, die vordergründig die PhotoStation und das „Drive“ nutzen. Wenn ich das richtig verstehe, müssten diese dann bei der Nutzung der entsprechenden Apps auf Mac/iPhone vorher stets erst eine VPN Verbindung herstellen, korrekt?

Ich hoffe, ich habe mich halbwegs verständlich ausgedrückt..??

P. S. Glaube, ich habe einen Denkfehler gehabt:
Die Dienste sind so oder so über die Ports erreichbar und die Ports müssen folglich, um die Dienste anzusprechen, auch stets eintragen werden. Die Portweiterleitung ist nur für das Erreichen von „außen“..

 

[Tommes]

So wie ich dich verstehe, verwendest du den VPN-Server der DS, richtig? Bei Verwendung des VPN-Servers der DS musst du die entsprechenden Ports für die VPN-Verbindung in der FritzBox weiterleiten. Verwendest du das VPN der FritzBox, brauchst du garnichts weiterleiten.

Ich verwende das FritzBox eigene VPN, daher bin ich nicht ganz drin im Thema. Beim Zugriff per Fritz-VPN bewegst du dich eigentlich wie in deinem lokalen Netzwerk auch. Du siehst also dein komplettes LAN. Beim VPN-Server des DSM‘s siehst du hingegen nur deine DS (korrigiert mich bitte, wenn ich falsch liege) und nicht den Rest deines LAN’s. Da ich den VPN-Server des DSM vor langer Zeit nur kurz getestet habe, kann ich nicht mehr dazu sagen.

Tommes

 

[schoeli]

Danke dir. Muss ich am Wochenende ausprobieren. Denke aber, ich hab’s jetzt kapiert (siehe mein P.S. aus meinem letzten Thread..

Melde mich nochmal, sobald ich es ausprobiert habe.

Einen schönen Abend noch

P. S. Sorry, ja, ich nutze das VPN der DS...

 

[jensi71]

Hi schoeli!

Ist genau wie Tommes es schreibt: ich nutz auch das VPN meiner FritzBox. Hab dann mit meinem Android-Handy eine VPN Verbindung zur Box hergestellt. Das verhält sich dann so, als bist Du mit deinem Smartfon in Deinem WLAN drin. Oder auch mittels PC/LAPTOP: Du stellst (egal von woher, musst nur Internet haben) eine Netzwerkverbindung zu Deiner Box her, und Du kommst an die DS dran als wärest Du in Deinem Heimnetz. Ist bloss bisl langsamer.

Ich finde es auch die Ideale Lösung, denn so kannst Du auch aus der Ferne andere Geräte in Deinem Netzwerk administrieren.

 

[NSFH]

Im Internet findest du Seiten, in den hunderte Synos aufgelistet sind, die mit festen IPs laufen. Einfach zu identifizieren über die von den meisten genutzten Standardports.
Daher ist deine Frage klar mit ja zu beantworten, es ist besser andere Ports zu nutzen. WebDav 5006 ist zB sicher einer der meist gescannten Ports und darüber erhhalte ich mit meinem Scantool auch gleich die Info welcher Server dahinter steht.

VPN ist nicht "geknackt" und nach wie vor die sicherste Methode für den Zugriff via Web auf das eigene LAN. Es gibt mehrere Protokolle für VPN. Die ersten/alten Varianten sind tatsächlich angreifbar. Die sicherste Methode ist IPSEC IKE V2 mit Zertifikaten. Nur scheitern da bereits viele bei der Einrichtung. Ein guter Mittelweg ist die AVM Methode mit dem Presharedkey. Die hat vor allem den Vorteil recht einfach einzurichten zu sein, wenn man eine Fritz sein eigen nennt.
Ist daher auch von mir die klare Empfehlung.
https://avm.de/service/vpn/tipps-tr...-shrew-soft-vpn-client-einrichten-windows-10/

 

[Nomad]

Ich habe die Fritzboxen und VPN sehr gerne genutzt aber AVM scheint diesen Markt nicht mehr beackern zu wollen.

Zum einen macht sie sich nicht mehr die Mühe ihren VPN Client für Windows 7 auf Windows 10 lauffähig zu machen. Zum anderen ist die Hardware zu schwach für Verschlüsselung. In Zeiten von DSL fiel das nicht auf aber bei VDSL und Kabel wundert man sich warum man auf eine unsichtbare Wand bei etwa 5 bis 6 MBIT/s stößt obwohl deutlich mehr Bandbreite da ist. Selbst wenn AVM die Hardware aufbohren sollte, 40 MBIT/s für Vectoring wird ein zu großer Sprung sein, um sie ohne signifikante Erhöhung des Stromverbrauchs hinzubekommen. Das Gehäuse ist bereits jetzt schon riesig wegen Kühlung und aktive Kühlung sehe ich nicht.

Ich fand es sehr schade aber so bin ich auf ein DS216j gewechselt der bei mir mehr oder weniger nur für VPN da ist.

Wenn man die Nutzer zu VPN bewegen/zwingen kann würde ich alles hinter VPN verstecken. So braucht man nur eine "Tür" zu bewachen statt viele Türen.

 

[blinddark]

Für Fritz VPN gibt es eine Beta-Version für Windows 10, aber einen extra Clienten zum Verbindungsaufbau zu nutzen finde ich nicht mehr Zeitgemäß. Ich nutze Hier L2TP auf meiner 918+ und komme damit gut hin. Hier noch der Link zur beta:
https://avm.de/fritz-labor/betaversion-fritzfernzugang-vpn-fuer-windows-10-64-bit/uebersicht/

Was ja auch noch geht, die Anwendungen über den Reverse-Proxy mit Sub-Domains über Port 443 oder einen anderen SSL-Port freigeben. So müssen auch nicht massig Ports geöffnet werden.

 

[BavariaR]

Nutze ab und an VPN Unlimited auf meinem Tablet oder Smartphone um mich vor zu neugierigen Blicken in Public WLAN zu schützen oder um mir eine Deutsche IP addresse zu besorgen für SKY Streaming... ist natürlich nicht das gleiche wie VPN Fritz oder VPN auf die Syno.

Ich wollte nur anmerken dass mir bei VPN Nutzung grundsätzlich der Gedanke kommt Bandbreitenbegrenzung wegen zu hohen CPU Anforderungen (Dattendurchsatz für alle Applikationen muß dann drüber), dann auf Mobile wie gut der Client mit IP wechsel zurecht kommt, "Roaming" von Mobile nach WLAN hotspot, dann Enterprise BYOD umgebung etc... wenn dann der VPN client ständig hängt und ich manuell nachhacken muss um sicher zu stellen dass die Verbindung steht dann langweilt mich das, es geht ja dann gleich gar nichts mehr.

Wenn ich jetzt HTTPS auf die Syno zugreife mit den einzelnen APPs auf Photostation, Surveillance Station, File Station etc... wo seht Ihr da das große Sicherheitsrisiko gegenüber VPN über IPSec. Nutzt Synology HTTPS über TLS oder SSL?

Da IPSEC auf Level 3 agiert und TLS / SSL auf Ebene 5 des OSI layers ist ein gravierender Unterschied der dass bei VPN alles durch den selben Tunnel läuft (was bei Mobile Applikationen auf ein Nachteil sein kann) und bei SSL / TLS jede APP seinen eigenen Verschlüsselungspfad hat

 

[schoeli]

Vielen Dank! Werde ich probieren..

 

[schoeli]

Hallo Tommes.

Habe es probiert. Auch, wenn ich VPN über die DS aufbaue, kann ich auf mein Heimnetzwerk (FritzBox etc.) zugreifen..

 

[laserdesign]

OpenVPN soll mittlerweile übrigens unsicher sein, da bereits geknackt..

wo hast du das denn her, kannst du deine Behauptung mal mit einem Link belegen??

Oder verbreitest du aus Unwissenheit solche Sachen??

 

[schoeli]

Sorry. Du hast natürlich Recht. Ich meine PPTP. Das ist einfach zu googeln. Dennoch: Ein Kommentar wie „Oder verbreitest du aus Unwissenheit solche Sachen?“ solltest du dir grundsätzlich lieber sparen. Ist einfach unfreundlich. Dennoch Danke für den Hinweis, sodass ich das klarstellen konnte.

 

[laserdesign]

und ich finde deine unqualifizierte Behauptung, openVPN wäre unsicher und bereits geknackt worden, einfach imageschädigend.
Deshalb auch meine Frage, ob du es belegen kannst oder nur mal so aus Unwissenheit hier ins Forum bläst.

Unfreundlich wollte ich hier nicht auftreten, sondern ärgerlich über diesen Blödsinn.

Sorry. Du hast natürlich Recht. Ich meine PPTP.

Damit ist diese Angelegenheit für mich erledigt.

 

[schoeli]

Der Ton macht die Musik. Lernst du aber sicher noch..