Welche Ports sind unsinnig und kann ich schliessen?

[master123]

Seit Jahren habe ich untenstehende Ports freigeschaltet um DS Video, Photo, Filestation von Aussen öffnen zu können, um auf DSM von Aussen zugreifen zu können und für VPN. Jetzt möchte ich sicherheitshalber nur VPN zulassen und alles andere blockieren.

Das heisst ich muss ein paar Ports schliessen, weiss aber nicht welche. Ausserdem weiss ich nicht ob die Apps wie DS Video dann mit dem Smartphoen bedient werden können, wenn ich die Ports schliesse?

Ich zeige mal meine Router Portforwarding Config... hoffentlich kann mir jemand sagen welche Ports ich schliessen kann, was unsinnig und gefährlich ist. Wie gesagt, ich will nur VPN. All die Portforwardings hab ich vor Jahren so eingerichtet, mal gegoogelt und dann gleich freigeschaltet. Da waren noch viel mehr Ports offen, weil ich einfach blind alles geöffnet habe. Ich wusste nicht dass das gefährlich sein kann. Vielleicht sind einige Ports zu viel offen. Danke für die Hilfe.

 

[salusina]

Hi,

Wie hast du den deinen VPN-Zugang eingerichtet?
Generell kannst du eigentlich dann alle löschen, weil du durch die VPN-Verbindung quasi im Heimnetz unterwegs bist und so gar keinen Zugriff von außen durchleiten musst.

Gruß

 

[joku]

Das heisst ich muss ein paar Ports schliessen, weiss aber nicht welche. Ausserdem weiss ich nicht ob die Apps wie DS Video dann mit dem Smartphoen bedient werden können, wenn ich die Ports schliesse?

Wen Du nur VPN benutzen möchtes, alles schliessen und das/die Ports für VPN weiterleiten.
Die Ports findest Du hier
Welche Netzwerkports werden von Synology Diensten verwendet?

Gruß Jo

 

[master123]

Bei mir sind zwei VPNs aktiviert PPTP und L2TP/IPSec. Ich weiss aber nicht welches ich brauche. Auf dem Smartphone weiss ich dass PPTP aktiviert wird, wenn ich mich ins VPN einlogge. Ist das für PCs auch so? Weiss leider nicht mehr wieso ich das andere aktviert habe.

Kann ich dann auch die Apps von unterwegs verwenden, wenn ich mich ins VPN einlogge? Oder gehen die nur mit den freigeschalteten Ports?

 

[joku]

Bei mir sind zwei VPNs aktiviert PPTP und L2TP/IPSec.

Ich würde L2TP/IPSec benutzen

Ports 500 1701 4500 UDP an die Diskstation

und die ganzen Clients einrichten
Windows 8
iPad
Android

solltes mal nachsehen, das die Clients es auch unterstützen

Kann ich dann auch die Apps von unterwegs verwenden, wenn ich mich ins VPN einlogge?

Wenn Du alles via VPN machst, dann musst Du die Apps auf die interne IP Adresse der DS ändern.

Gruß Jo

 

[master123]

Ich würde L2TP/IPSec benutzen

Warum das?

Ich habe gerade versucht mich mit dem Smartphone ins L2TP VPN einzuloggen und es ging nicht. Vielleicht hat es nie funktioniert und ich habe es vergessen zu deaktiviert. Das PPTP geht problemlos. Mit Smartphone, iPad und Laptop. Grad getestet. Aber warum empfiehlst du trotzdem das andere?

Wenn Du alles via VPN machst, dann musst Du die Apps auf die interne IP Adresse der DS ändern.

Das mit der internen IP habe ich grad im Heimnetz getestet und es funktioniert. Wusste ich nicht mal, dass es so geht

Allgemeine Frage: Ist es denn seeehr gefährlich wenn ich die Ports offenlassen und mich von Aussen direkt in die Apps einlogge statt den Umweg via VPN mache? Ich lese überall dass man alles verbieten soll ausser VPN.

 

[joku]

Warum das?

Es ist sicherer

Vergleichen Sie VPN Protokolle - PPTP gegen L2TP gegen OpenVPN ™ gegen Chameleon ™

Aber warum empfiehlst du trotzdem das andere?

Wegen der Sicherheit, aber ich benutze auch PPTP, wenn es nicht anderes möglich ist.

Allgemeine Frage: Ist es denn seeehr gefährlich wenn ich die Ports offenlassen und mich von Aussen direkt in die Apps einlogge statt den Umweg via VPN mache?.

Ich benutze VPN nur für mich, was keiner von aussen sehen muss, DSM zB.
Den Webserver ( PhotoStation, Port 80 ) habe ich auch in Betrieb.
Das ist jedem seine Sache, klar geht beides.
Jedes offen Port ist eine Angriffmöglichkeit mehr.

Gruß Jo

 

[master123]

Es ist sicherer

Vergleichen Sie VPN Protokolle - PPTP gegen L2TP gegen OpenVPN ™ gegen Chameleon ™


Wegen der Sicherheit, aber ich benutze auch PPTP, wenn es nicht anderes möglich ist.

Cooler Link.

Ich denke ich bleibe trotzdem beim PPTP. Es funktioniert gut und wenn ich nicht gerade Angela Merkel bin dann wird mich auch niemand angreifen.

Das ist jedem seine Sache, klar geht beides.
Jedes offen Port ist eine Angriffmöglichkeit mehr.

Aber wie funktioniert so ein Angriff? Wenn er meine DDNS oder meine IP nicht kennt kann er mich auch nicht angreifen. WIe will jemand das herausfinden? Wie will er mich angreifen wenn er mich gar nicht kennt? Wenn jemand mein Smartphone klaut wo all meine wichtigen Adressen drauf sind dann würde ich es vorher ohnehin sperren. Das ist doch so wie beim Bank Konto. Keiner kennt deine Kontonummer also kann er dich auch nicht hacken. Ich verate auch niemandem meine VPN, DDNS oder IP Adresse. Wozu auch. Bin allein der das braucht.

 

[joku]

Ich denke ich bleibe trotzdem beim PPTP.

Ein gutes Passwort ist da schon hilfreich

Aber wie funktioniert so ein Angriff? Wenn er meine DDNS oder meine IP nicht kennt kann er mich auch nicht angreifen.

Die greifen nicht Dich an, sondern scannen einen IP Bereich und eine Reihe von Ports.
Dann versuchen sie mit Benutzernamne und Passwörtern in das System einzudringen.
Sollte das gelingen, dann haben sie Zugriff auf alles mögliche.
DDoS Attacken legen das System lahm.

Gruß Jo

 

[MMD*]

Wer scant den noch wens sowas gibt?
https://www.shodan.io/search?query=synology

 

[goetz]

Hallo,
pptp ist knackbar, siehe Heise Artikel. Die Artikelverweise am Ende unter "Siehe dazu auch:" gleich mitnehmen. Aber der Aufwand ist schon enorm und ob es eine Bedrohung für eine private DS ist muß jeder für sich selbst entscheiden.

Gruß Götz

 

[joku]

Wer scant den noch wens sowas gibt?

Die welche diese Seite mit den Daten versorgen

 

[master123]

Ein gutes Passwort ist da schon hilfreich

Das habe ich

Die greifen nicht Dich an, sondern scannen einen IP Bereich und eine Reihe von Ports.
Dann versuchen sie mit Benutzernamne und Passwörtern in das System einzudringen.
Sollte das gelingen, dann haben sie Zugriff auf alles mögliche.
DDoS Attacken legen das System lahm.

ok die scannen jetzt den IP Bereich von 120.0.0.1 - 130.255.255.255 mit den Ports 5001 und 80. Ich habe keine Ahnung ob das so einfach ist, aber im Moment machst du mir grad eine Scheiss Angst dass ich die Synology nur noch über USB in Betrieb nehme

Hallo,
pptp ist knackbar, siehe Heise Artikel. Die Artikelverweise am Ende unter "Siehe dazu auch:" gleich mitnehmen. Aber der Aufwand ist schon enorm und ob es eine Bedrohung für eine private DS ist muß jeder für sich selbst entscheiden.

Was ist schon nicht knackbar. Der Pin eines Smartphones ist knackbar, der Code am Bankomat ist knackbar, das Kennwort am PC ist knackbar, der Schlüssel fürs e-banking ist knackbar... ich weiss nur, dass es keine 100% Sicherheit gibt. Aber bei jemandem einzubrechen der nichts wertvolles hat ist ganz schön blöd. Ob der Chinese in seiner Baracke wohl das Weisse Haus hacken will und dann zufällig meine IP erwischt?

Wer scant den noch wens sowas gibt?
https://www.shodan.io/search?query=synology

Kann ich da meine DDNS finden? Ich trau mich nicht das in die Suche einzugeben, vielleicht wird es dann gespeichert und dort aufgelistet. Kann das jemand für mich probieren?

 

[Andy14]

Ja die suchen einfach das Netzt ab, natürlich erst mal auf bekannten Ports! Von daher ist es schon mal gut wenn da nicht viel nach außen offen ist!
Und einige sind nicht auf die Daten selber aus. Kannst ja mal nach "SynoLocker" suchen.

 

[joku]

aber im Moment machst du mir grad eine Scheiss Angst dass ich die Synology nur noch über USB in Betrieb nehme

Warum, ich habe täglich Besuch, schalte im DSM / Systemsteuerung / Automatische Blockiereung ein.
5 x falsches Logins in 5 min, löschen nach einem Tag

Kann ich da meine DDNS finden? Ich trau mich nicht das in die Suche einzugeben, vielleicht wird es dann gespeichert und dort aufgelistet. Kann das jemand für mich probieren?

Ich glaube eher nicht
Und nach jemanden da suchen, das ist für mich unseriös.

Gruß Jo

 

[Andy14]

Die welche diese Seite mit den Daten versorgen

Die Seite sucht selber, so wie google, aber eben auch auf andere Ports.
https://en.wikipedia.org/wiki/Shodan_(website)
und daraus

The primary users of Shodan are cybersecurity professionals, researchers and law enforcement agencies.
While cybercriminals can also use the website, some typically have access to botnets that could accomplish the same task without detection

Aber ich habe einige Dienste auch nach außen offen.
Über die Photostation will ich ja z.B. anderen einige Photos zugänglich machen, da hilft mir auch kein VPN.
CloudStation, Card/CalDAV will ich ja gerade von außen nutzen. Gutes Passwort und die Hoffnung das dort keine zu großen Lücken in den Diensten klaffen ;-)

 

[master123]

Also ich habe jetzt etliche Ports geschlossen und nur noch 80 TCP, 5000 TCP, 5001 TCP und 1723 TCP zugelassen. Damit funktionieren VPN, DS File und auch DS Video. Das reicht mir fürs Erste. Alle HTTP Anfragen auf Port 5000 werden automatisch auf HTTPS 5001 weitergeleitet.



Mir ist überhaupt nicht klar wofür ich den Port 80 brauche? Jeder hat den offen. Brauch ich den? Hier steht, er wird für e-mails und DS Photo gebraucht:
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

DS Video lässt sich leider nicht per HTTPS nutzen. Wozu wurde beim Login überhaupt HTTPS eingebettet wenn man mit dieser sicheren Verbindung keine Videos schauen kann. Kein einziger Player kann die Videos abspielen.

Ich glaube jetzt habe ich eine sichere DS und niemand kann sich einhacken