Sichere Konfiguration mit Reverse Proxy

[dieternet]

Hallo alle,

Ich bin neu hier und hoffe ihr könnt mir weiterhelfen. Ich habe mich hier im Forum durch verschiedene Threads gelesen um meine Synology DS220j mit DSM 7.0 aufzusetzen, bin mir aber bzgl. dem Netzwerk Setup noch etwas unsicher, ob ich das alles richtig umgesetzt habe.

Die DS soll für folgende Use Cases nutzbar sein:

• Zugriff auf Shared Folder über Windows Explorer aus dem LAN
• Zugriff auf File Station und Photos web app aus dem Internet, ohne Portnummer in die URL eingeben zu müssen
• Photos App über das Internet
• DS File App über das Internet

Zusätzlich würde ich in der Zukunft gerne noch folgendes einrichten, habe ich aber aktuell noch nicht umgesetzt:

• Zugriff auf Shared Folder per Windows Explorer über VPN

Das Netzwerk habe ich wie folgt konfiguriert:

1. DDNS Support auf der Synology eingerichtet



2. Eigene Domain registriert, CNAME Records eingeichtet mit Sub "xxx" und Value "zzz.diskstation.me"

3. Router Port 80 und 443 geöffnet

4. Zertifikat für Sub auf der eigenen Domaine erstellt und als Default gesetzt

5. Router Port 80 geschlossen



6. Reverse Proxy von Source 443 auf Destination 5999 (custom DSM https Port)



7. Firewall PPPoe und VPN access denied

8. Firewall LAN access wie folgt konfigueriert:

Ein Computer aus dem LAN soll Zugang haben
Aus dem Internet kommende Anfragen mit deutscher IP, die auf DS File und Photo App zugreifen wollen, sollen Zugang haben.

Meine Fragen:

1. Habe ich in dem oben aufgeführten Setup etwas übersehen und Sicherheitslücken offen gelassen? Als Benchmark sehe ich hier den Zugang über QuickConnect, den ich mit diesem Setup ablösen möchte.
2. Ist die Nutzung eines Reverse Proxy per se unsicherer, als die Eingabe des Ports in der URL?

Fehlt noch etwa an wichtigen Infos, die ich oben hätte posten sollen?

 

[NSFH]

Der ReverseProxy ist schon besser als zu viele geöffnete Ports, vorausgesetzt du nutzt nur HTTPS.
Aber wenn du VPN einrichtest würde ich nur dieses nutzen, dann ist alles zu!
VPN server auf einer Syno ist dann aber auch nicht das gelbe vom Ei, schliesslich steht dann dein Fileserver mit einem Bein im Internet. Sowas macht man nicht. VPN gehört auf ein eigenes Device oder wird durch den Router übernommen!

 

[ctrlaltdelete]

Sieht gut aus, aber wie @NSFH sagt, VPN auf dem Router ist sicherer.

 

[dieternet]

Danke euch beiden für die Rückmeldung. Mit VPN (auf dem Router) würden die DS File und Photos Apps nur funktionieren, wenn der User im VPN eingeloggt ist, richtig?

 

[ctrlaltdelete]

Yes

 

[latti]

Nachdem ich mich die letzten Wochen etwas in das Thema eingelesen habe, wird die Einrichtung des Reverse Proxys in meinem Use Case wahrscheinlicher und denke hier im Beitrag des OPs ein gutes Konfigurationsbeispiel gefunden zu haben.
Soweit habe ich die Funktion eines Reverse Proxy verstanden. Ein offener Port für alle möglichen Anwendungen.

Fragen bezüglich Sicherheit (ELI5):

• Hätte ich bspw. die Ports 5000/5001 direkt offen und weitergeleitet, so würde ein Portsniffer dann direkt melden "Hey, hier schlummert eine Syno, try to hack me!"?
• Was meldet ein Portsniffer, wenn er über einen Reverse Proxy stolpert? Es fehlt ihm ja bspw. die subdomain um über die Reverse Regel weitergeleitet zu werden und Anwendungen zu entdecken. Daher, meldet er nix oder was käme da zum Vorschein? Bzw. was weckt allenfalls das Interesse eines Angreifers?

 

[Benares]

Und was ist jetzt deine Frage?

 

[latti]

Ich möchte verstehen, wie sich in der konkreten Anwendung des Reverse Proxy die Sicherheit erhöht. Ich habe ja immer noch einen Port offen, sende aber den Traffic nicht direkt zur Anwendung.
Wie ich verstanden habe, werden Port Sniffer verwendet, um überhaupt mögliche Ziele zu identifizieren. Entsprechend die beiden Fragen von oben:

Fragen bezüglich Sicherheit (ELI5):

• Hätte ich bspw. die Ports 5000/5001 direkt offen und weitergeleitet, so würde ein Portsniffer dann direkt melden "Hey, hier schlummert eine Syno, try to hack me!"?
• Was meldet ein Portsniffer, wenn er über einen Reverse Proxy stolpert? Es fehlt ihm ja bspw. die subdomain um über die Reverse Regel weitergeleitet zu werden und Anwendungen zu entdecken. Daher, meldet er nix oder was käme da zum Vorschein? Bzw. was weckt allenfalls das Interesse eines Angreifers?

Edit (Die Antwort ging zu schnell raus):

1. Was sieht ein PortSniffer beim normalen Port Forwarding?
2. Was sieht ein Portsniffer bei einem Reverse Proxy?

Hoffe jetzt mein Anliegen etwas verständlicher formuliert zu haben. Umsetzen sollte ich das ganze können, nur möchte ich es noch etwas besser verstehen.

 

[Benares]

Wenn du beispielsweise nur Port 443 auf deine DS weiterleitest und bei https://example.com nur eine unverfängliche Seite erscheint, weiß ein "Port Sniffer" nur, dass da wohl ein Web-Server läuft, kann aber nicht viel machen. Erst mit https://irgendwas.example,com käme er über den Reverse Proxy auf die wirklich kritischen Seiten, aber das "irgendwas" kennt er ja nicht. Das ist einfach ein kleiner Pseudo-Schutz.

 

[maxblank]

Hier mal einige allgemeine Infos dazu:

https://blog.adn.de/cloud/reverse-p...ger-baustein-in-der-it-sicherheitsarchitektur

https://www.ionos.de/digitalguide/server/knowhow/was-ist-ein-reverse-proxy/

 

[latti]

Wenn du beispielsweise nur Port 443 auf deine DS weiterleitest und bei https://example.com nur eine unverfängliche Seite erscheint, weiß ein "Port Sniffer" nur, dass da wohl ein Web-Server läuft, kann aber nicht viel machen.

Ja genau, danke für deine Antwort. Dann wäre es unter Umständen sogar schlau via Webstation eine Platzhalterseite zu erstellen? Sonst würde der Port ja allenfalls verdächtig aussehen, wenn keine Anwendungen antwortet oder eine 40x/50x-Meldung kommen würde.
Bei einer normalen Webseite, würde der Angreifer wohl weiterziehen, wenn er mich nicht konkret im Visier hat, sondern nur allgemein noch potentiellen Zielen sucht?

Erst mit https://irgendwas.example,com käme er über den Reverse Proxy auf die wirklich kritischen Seiten, aber das "irgendwas" kennt er ja nicht. Das ist einfach ein kleiner Pseudo-Schutz.

Dieser Pseudoschutz interessiert mich zusätzlich. Wenn einem Angreifer diese Subdomain ausfindig machen wollte, müsste er wohl einfach brute-force mässig alles durchprobieren. also wäre synology.example.com eher einfacher zu finden als 89asdf66qwerty77asdf.example.com? Oder gibt es da weitere Methoden neben der Raterei?

 

[plang.pl]

Naja, er muss ja die Domain und die Subdomain "ausfindig machen". Also Brute-Force mit FQDNs. Das macht aber kein Portscanner. Der Portscanner sieht nur, dass da Port 443 offen ist und ein nginx lauscht. Das dürfte die meisten direkt weiterziehen lassen

 

[Benares]

Dann wäre es unter Umständen sogar schlau via Webstation eine Platzhalterseite zu erstellen?

Kannst du machen. Bei mir ist das einfach die Demo-Seite der Webstation, da könnte man natürlich auch sehen, dass das eine Syno ist. Aber die kann man ja leicht austauschen.
Aber ich halte prinzipiell keine Ports offen, höchstens mal zu Testzwecken. Alles andere per VPN.

 

[latti]

Der Portscanner sieht nur, dass da Port 443 offen ist und ein nginx lauscht. ...Das dürfte die meisten direkt weiterziehen lassen

Das ist genau das, was ich mir auch in etwa zusammengereimt habe mit meinem Neuwissen, Gut zu hören, dass die Profis dies auch so einschätzen.

Kannst du machen. Bei mir ist das einfach die Demo-Seite der Webstation, da könnte man natürlich auch sehen, dass das eine Syno ist. Aber die kann man ja leicht austauschen.
Aber ich halte prinzipiell keine Ports offen, höchstens mal zu Testzwecken. Alles andere per VPN.

Würde wohl einfach eine "Under Construction" hinmachen und gut ist.

Werde den Reverse Proxy aber wohl nur kurz laufen lassen, bis alle Clients initial den ersten Drive Sync hinter sich haben. Danach gehe ich auf "Quickconnect". VPN leider mit meinem Clientel nicht möglich, daher kommt die Schnecke zum Einsatz.

Danke jedenfalls für eure Insights. Immer wieder toll etwas zu lernen.

 

[NSFH]

Quickconnect würde ich nie nutzen wenn ich eine Alternative habe, denn es ist vergleichsweise laaaaangsam. Subdomains und ReverseProxy funktioniert schon super und in gut 15 Jahren Verwendung von diesen proxys (nicht nur auf der Syno) ist noch kein einziger Sicherheitsvorfall einetreten.

 

[latti]

Quickconnect ist schon super lahm. Es würde zwar für das Setup schon passen. Echt nur wenige Office Dokumente und ab und zu paar Bilder die hoch und runter müssen.

Allenfalls lasse ich den Reverse Proxy auch stehen. Kann ja einfach mal ne Weile übervorsichtig monitoren was so geht.