+-Serie Alle HTTP Verbindungen zu HTTPS

[one12]

Hallo Forum,

ich möchte gerne die DS so einstellen, dass alle HTTP Verbindungen automatisch zu HTTPS umgeleitet werden. Dies habe ich wie folgt aktiviert: Systemsteuerung->Netzwerk->DSM Einstellung

Vorher hatte ich ein "Lets Encrypt" Zertifikat erstellt. Dazu stand in der Anleitung, dass die Ports 80 und 443 auf die DS freigegeben werden sollen. Port 80 -> 80 und Port 443->443

Wenn ich nun meine DS über "ds.domain.de" aufrufe, dann passiert nichts. Es kommt zu einem Timeout. Das Gleiche auch wenn ich "https://ds.domain.de" aufrufe.
Ich habe nun in die Fritzbox folgende Portfreigaben deklariert: Port 80 -> 443 und Port 443->5001.
Wenn ich nun "ds.domain.de" aufrufe werde ich zu "https://ds.domain.de" umgeleitet.

Ich möchte nun gerne wissen, ob das alles so richtig eingestellt ist? Mir geht um das Verständnis. Um das Zertifikat zu erstellen sollten die Ports wie oben beschrieben freigegeben werden. Aber damit bin ich nicht auf DS gekommen.

Weitere Infos:
DS 216+
DSM 6 RC



Danke

 

[frankyst72]

normalerweise rufst Du Deine DS unter https://ds.domain.de:5001 auf. Die Portumleitungen "Port 80 -> 443 und Port 443->5001" sind falsch. Nur wenn Du auf Deiner DS eine Webseite hostest, solltest Du diese Seite über https://ds.domain.de erreichen können. Was Du braucht ist einen Portforwarding am Router von 5001 -> 5001.

Ob das mit dem Zertifikat geklappt hat, siehst Du daran, dass in der Browseradresszeile vorne ein geschlossenes (grünes) Schloss angezeigt wird. Auf das Schloss kannst Du auch klicken und Dir das Zertifikat anschauen.

Die "Ports 80 und 443" machst Du zur Erstellung und Erneuerung des Zertifikates auf, dazwischen können diese theoretisch geschlossen sein, was aber mühselig wäre das dauernd umzukonfigurieren. Das hat mit dem Zugriff auf die DS selbst nichts zu tun.

 

[one12]

Ist das was ich gemacht habe aus sicherheitstechnischer Sicht falsch? Weil funktionieren tut es ja.

ich werde trotzdem, wie von dir oben beschrieben, umstellen.

 

[frankyst72]

nee, nicht schlimm, das war nur etwas von hinten durch die Brust und Du hast mehr oder weniger durch Zufall das gewünschte Ergebnis erreicht. Kann man auch bewusst so machen. Wenn man z.B. in einem Firmennetz sitzt und dort der Port 5001 gesperrt ist, man aber trotzdem auf die DSM-Benutzeroberfläche will. Der Port 443 ist in allen Netzten immer freigegeben.Also geht man über Port 443 raus bis zum eigenen Router, der setzt die Kommunikation von 443 auf 5001 um. Ob man nun per https über den Port 443, oder 5001 (oder jeden anderen Port) kommuniziert ist Wolle.
Jeder Hacker weiß halt, was er hinter dem Port 443 zu erwarten hat (irgendein System mit https vermutlich). Auch wissen Hacker, dass sie wahrscheinlich standardmäßig hinter 5001 die Synology DSM-Oberfläche zu erwarten haben. Wenn ich als Hacker eine Schwachstelle der DSM-Oberfläche kenne, dann würde ich wahllos IPs+:5001 angreifen. Andere Ports würde ich nicht angreifen, weil es viel zu zeitaufwändig ist alle Ports durchzuprobieren pro IP (dauert schon ml gerne ein paar Minuten die durchzuprobieren), in der Hoffnung dahinter vielleicht eine DSM-Oberfläche zu finden. Deshalb kann man sich schon überlegen aus Sicherheitsgründen die DSM-Oberfläche über einen anderen Port (also nicht 5001) zugänglich zu machen. Wenn ich als Hacker gezielt eine Person/Firma angreifen möchte, dann mache ich mir aber den Aufwand alle Ports auszuprobieren (1 bis 65536).

 

[one12]

Ich danke dir vielmals für deine ausführliche Antwort. Hast mir weitergeholfen

 

[eintausendstel]

.... Wenn ich als Hacker eine Schwachstelle der DSM-Oberfläche kenne, dann würde ich wahllos IPs+:5001 angreifen. Andere Ports würde ich nicht angreifen, weil es viel zu zeitaufwändig ist alle Ports durchzuprobieren pro IP (dauert schon ml gerne ein paar Minuten die durchzuprobieren), in der Hoffnung dahinter vielleicht eine DSM-Oberfläche zu finden. Deshalb kann man sich schon überlegen aus Sicherheitsgründen die DSM-Oberfläche über einen anderen Port (also nicht 5001) zugänglich zu machen. Wenn ich als Hacker gezielt eine Person/Firma angreifen möchte, dann mache ich mir aber den Aufwand alle Ports auszuprobieren (1 bis 65536).

Hallo


sollte man also grundsätzlich den Port 5000 + 5001 tauschen gegen andere unbenutzte Ports? Wie macht ihr das hier im Forum?

Danke schonmal für die Antworten.

 

[frankyst72]

am besten die DSM Oberfläche gar nicht nach außen frei geben, wenn nicht notwendig, ein anderer Port ist keine schlechte Idee, ich habe es bei 5001 belassen
Das wichtigste ist dann gute Passwörter zu haben!

 

[eintausendstel]

Ja OK Wenns um Sicherheit im Internet geht ist es auch am sichersten dieses Internet gar nicht zu nutzen ... schon klar
Na ich schau mal ob zu meinem Mega-monster-hyper-passwort auch noch den ein oder anderen Port anpasse.

Danke