PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kann man das Erreichen der Management-Seite verhindern?



Anoxx
08.07.2008, 09:44
Wie kann ich verhindern, dass externe User nicht auf die Managementseite umgeleitet werden?
Konkret: Wenn ich einem bekannten meine DNS von DYNDNS mitteile um z.B. auf meine Photosammlung zuzugreifen (z.B mit http://meineadresse.net/photo) kommt er automatisch zur Managementseite wenn er die Adresse ohne ".../photo" eingibt. Kann man dies unterbinden?

Es soll also ausschliesslich möglich sein, die Adresse mit ".../photo" aufzurufen. Alles andere, also ohne ".../photo" oder "...:5000" soll nicht möglich sein.

Ist es möglich die Managementadresse "...:5000 bzw. ...:5001" zu ändern? Somit könnten ungewollte Externe versuchen, bewusst auf meine Managementseite zuzugreifen, weil die Endung "...:5000/1" standartmäßig immer dorthin führt (wenn sie denn die DNS herausbekommen würden, was sicherlich nicht das Problem sein sollte).

Gruss - Anoxx

Trolli
08.07.2008, 10:07
Du musst nur eine index.htm oder index.php ins Hauptverzeichnis "web" legen. Dann wird diese bei Aufruf von http://deineDNS statt der Umleitung geladen. Alle anderen Adressen führen zu einer Fehlerseite ("Seite nicht gefunden").

Trolli

Anoxx
08.07.2008, 10:19
@ Trolli:
Danke für den Tip. Jedoch kann ich damit nicht verhindern, dass bei Eingabe der DNS mit "...:5000" die Managementseite aufgerufen wird. Wie kann ich das Verhindern? Deswegen auch die Frage nach einer Änderungsmöglichkeit der Managementadresse "...:5000" (wie es z.B. bei Qnap möglich ist).

Anoxx

Krypton
08.07.2008, 10:29
du solltest ohnehin nur den port für die photostation offen lassen, dann kommt auch niemand auf :5001 oder :5000 rein.

Oder sehe ich das falsch?

Anoxx
08.07.2008, 10:34
... und wie komme ich dann von Außerhalb auf die Managementseite?

Anoxx

Trolli
08.07.2008, 10:35
Genau. Wenn Du nicht möchtest, dass man von "draussen" auf das Management zugreifen kann, kannst Du einfach die Portweiterleitung entfernen.

Falls Du einen anderen Port bevorzugst (aber da kommt man natürlich genauso drauf), kannst Du den Port im Router umsetzen lassen, z.B. von 6000 extern auf 5000 intern. Eine Änderung des Ports auf der DS ist nicht möglich.

EDIT: Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.

Trolli

Krypton
08.07.2008, 10:43
wobei die meisten sagen müssten: Zugriff auf das Management ist in den wenigsten Fällen nötig. Die Dienste richtet man einmal ein, neue Ordner erstellt man in vorhandenen "Transfer"-Ordnern... mehr braucht man gar nicht von unterwegs, wenn man täglich auch sonst dran kann.

Wer mehr weg ist, evtl schon.

Anoxx
08.07.2008, 10:49
Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.

Natürlich hast Du Recht. Nur wenn allgemein bekannt ist, dass die Synology-NAS ausschliesslich "...:5000" bzw. "...:5001" für die Managementseite benutzen, ist es einfacher darauf zuzugreifen, als wenn es tausende mögliche Ports geben würde. Eine Hürde mehr für externe ;)

Das mit dem umleiten von z.B. 6000 auf 5000 werde ich mal versuchen - danke für den Tip. Noch besser wäre es, wenn man dem :5000-er Port einen Namen zuteilen könnte (z.B. http://meineDNS/meineManagementseite1*&tf-safe) den dann bestimmt keiner mehr so schnell rauskriegen könnte. Natürlich müsste dann ausschliesslich dieser Name funktionieren, und nicht noch zusätzlich "...:5000". Und wieder eine Hürde mehr...:)

Anoxx

Trolli
08.07.2008, 10:55
...Ja. Aber es merkt ja zunächst mal nicht jeder, dass Du eine Synology Station einsetzt. Und wenn man das weiss, kennt man ja noch nicht automatisch die Sache mit Port 5000 / 5001. Und wenn jemand die Energie aufbringt, sich die Bedienungsanleitung Deiner eingesetzten Hardware durchzulesen, um rauszubekommen, wie man auf das Management zugreift, dann wird er bestimmt auch noch auf die Idee kommen, auf Deiner Adresse einen Portscan durchzuführen, um zu sehen, wie man sonst noch reinkommen könnte.

Anoxx
08.07.2008, 11:01
Ist halt alles eine Frage von Aufwand und Nutzen. Der Nutzen wäre in diesem Fall mit sehr wenig Aufwand verbunden (würde es die DS auch unterstützen). Und jede weitere Hürde die dem Eindringlich geboten wird - vor allem ohne zusätzliche Kosten und mit minimalem Aufwand - ist es wert. Ist natürlich keine Garantie, aber ist es im leben nicht immer so?

Aufjeden Fall bin ich jetzt etwas schlauer als vorher, und das reicht mir erst mal - danke.

Gruss - Anoxx

Krypton
08.07.2008, 11:12
Bedenke: wenn jemand WIRKLICH in dein Netz will, lässt er eh mal einen Portscan laufen. Er weiss, dass du 6000 benutzt, bevor er weiss, dass eine DS drauf horcht.

Wähle die offenen Ports mit Bedacht, und gerne auch abwegige Zahlen, wenn du 5000 nicht willst - aber rammel alle anderen zu und benutz anständig sichere Passwörter.

So kann wenig passieren.

Anoxx
08.07.2008, 11:16
So werde ich es machen - danke für die Hilfe.

Gruss - Anoxx

itari
08.07.2008, 11:20
@Anoxx,

ist dein Router von außen zugänglich? Ich meine das Administrationsmenü?

Anoxx
08.07.2008, 13:53
... jetzt nicht mehr, da ich die Ports 5000 und 5001 im Router nicht mehr durchleite. Port 80 ist (noch) offen...

Krypton
08.07.2008, 15:44
er frag nach dem Admin-Menu des Routers, nicht nach dem der DS...

Anoxx
08.07.2008, 15:55
Oh - sorry. Ich denke nicht? Wie erfahre ich das?

itari
08.07.2008, 16:21
Steht irgendwo in deinem Router-Handbuch.

Normalerweise macht man die Konfiguration nicht nach außen hin auf. Aber wenn, dann könnte man immer mal die Ports auf- und zu machen, je nach Bedarf. Wenn du das ja sowieso machen würdest, dann wäre diese Idee auch ein Lösungsansatz. Wenn nicht, dann vergiss es einfach.

Anoxx
08.07.2008, 17:39
Danke für den Versuch. Aber ich denke, dass sinnvollste ist den Port einfach geschlossen zu halten. Normalerweise muss man ja auch nicht dauernd in den DS-Adminbereich, und wenn, dann direkt über das LAN zu Hause.

Anoxx