DSM 7.2 Synology Zertifikat - selbstständig eingebunden

[mysteria]

Hallo, ich hoffe ich darf noch einmal eine Verständnisfrage zu meiner neuen DS224+ stellen. Ich stehe ganz am Anfang und habe aktuell eine Frage zu einem Zertifikat. Ich installierte auf meinem iPad die Synology App DS File. Mit dem ersten Start konnte ich nur eine Verbindung über HTTPS aufbauen, obwohl ich im heimischen Netz war. Der Schalter zum deaktivieren lies sich nicht umstellen. Unmittelbar nach dem Verbindungsaufbau über DS File zu meiner NAS wurde automatisch ein Zertifikat von Synology.com auf meinem NAS abgelegt. Ein weiteres Zutun war nicht erforderlich. Als ich mich heute mit dem Import eines Zertifikats etwas auseinandergesetzt habe, waren die Wege ein Stückweit umfangreicher bzw. mit dem Hinterlegen von weiteren Informationen verbunden. Frage: Ist dieses Synology Zertifikat ok und sicher oder sollte ich besser eines von Let's Encrypt importieren? In diesem Zusammenhang meine ich jedoch gelesen zu haben, dass zur Verifizierung der Port 80 freigegeben werden muss. Ist das nicht auch ein Sicherheitsrisiko? Ihr seht, ich bin etwas überfordert.

Vielleicht kann mich jemand unterstützen. Das wäre sehr lieb von euch Profis.

VG

 

[*kw*]

Hi mysteria,

was hast du denn vor und wofür soll das Zertifikat eingesetzt werden?

Anm.: DS File funktioniert wunderbar mit http, so lange du im LAN bist und keinen Zugriff von außen benötigst.

Grüße
kw

 

[mysteria]

Hallo *kw*,

vielen Dank! Aktuell nutze ich das NAS nur im eigenen Netz. Ich weiß, dass hier http über den Port 80 ausreichend ist. Von unterwegs setze ich einen VPN ein. Von daher alles gut. Was noch alles kommt, beispielsweise ein externer Cloud Zugriff über QuickConnect für die Mädels oder was auch immer, kann ich heute noch nicht sagen. Ich möchte mich erst Schritt für Schritt herantasten sowie das eine oder andere verstehen lernen. Die Möglichkeiten sind ja umfassend.

Auch wenn ich das Zertifikat aktuell noch nicht benötige, wollte ich erst einmal nur grundsätzlich wissen, ob ich das Synology Zertifikat einfach so eingebunden lassen kann. Da ich über einen eigenen Domainnamen mit einem Let's Encrypt Zertifikat verfüge, stellte sich für mich halt die Frage, ob man in puncto Sicherheit für spätere Szenarien ggf. Vorteile gegenüber dem Synology Zertifikat hat. Im Moment geht es mir primär darum, mehr Wissen anzueignen und Dinge verstehen lernen.

Dennoch keine Bange, ich werde jetzt nicht zu allen Themen hier eine Frage einstellen . Ich lese mich wirklich zuvor erst viel ein.

LG

 

[*kw*]

Klingt schon mal nach einem guten Ansatz.

Egal, was man mit der Kiste umsetzt, stellt sich grundsätzlich immer die Frage, inwieweit ein externer Zugriff wirklich vonnöten ist und man die DS "offen" ins Netz stellen möchte. Je weniger, desto besser. Manchmal ist die Umsetzung über einen Webhoster besser, günstiger und sicherer (bspw. MailStation)

Je nach Router (FritzBox?) kannst du persönliche WireGuard Zugänge einrichten, wenn's nur die Familie betrifft, was per se deutlich sicherer ist.

Es gibt Pakete, die benötigen tatsächlich auch im LAN ein Zertifikat (bspw. Synology Calendar), was du aber über das Synology-Zertifikat umsetzen kannst. Dann hast du dein Persönliches für andere Zwecke einsetzen.

Edit:

Ich lese mich wirklich zuvor erst viel ein.

Super! Und wenn's hakt, trotzdem einfach fragen.

 

[mysteria]

Supi, demnach lasse ich erst einmal das automatisch hinterlegte Zertifikat von Synology so stehen. So wie es herauslese, reicht dies wohl aus.

Ja, ich nutze eine FritzBox und einen VPN Zugang via WireGuard.

Danke für deine nette Unterstützung.

 

[NSFH]

Kopfschütteln!
Um es mal ganz klar zu sagen: Auch wer HTTP "nur" im internen LAN nutzt handelt fahrlässig.
Eindringversuche/Erfolge über die Firewall des Routers sind äusserst selten.
Was aber die häufigste Ursache von erfolgreichen Attacken sind Installationen von Türöffnern, die man sich per Mail ins heimische Netz holt.
Was machen die? Schnüffeln, vorzugsweise nach Passwörtern. So gelangen auch Verschlüsselungstrojaner ins LAN und auf den Server (der auch nur mit aktivierter Firewall betrieben werden sollte), einfach vorbei an der Firewall des Routers. Man merkt nichts bis es zu spät ist.
Von daher HTTP gänzlich vergessen, nie mehr benutzen und einzig auf HTTPS setzen ist die einzig wahre Devise!

 

[DLDLDL]

Ich würde an deiner Stelle das NAS nicht ins Internet hängen. Ihr seid eine Firma und von dem NAS abhängig. Sobald wieder eine Sicherheitslücke sich verbreitet und nicht gepatcht ist, werden alle IP-Adresse im Netz gescannt auf verwundbare NAS-Systeme und dann entsprechend exploited. Selbst wenn ihr ein Fallback bzw. eine externe Sicherung habt, würde ich es lassen. *kw* hat da ja auch schon auf einen Webhoster verwiesen. Hetzner bietet z.B. auch nextCloud günstig an. Ich kann wirklich nur davin abraten, sofern man kein Systemadmin ist mit entsprechender beruflicher Erfahrung, so ein System für eine Firma für das Internet zu öffnen.

 

[*kw*]

Kopfschütteln!
Um es mal ganz klar zu sagen: Auch wer HTTP "nur" im internen LAN nutzt handelt fahrlässig.

Mir ging es erst mal nur um die Funktionalität. Ansonsten habe ich ja deutlich gemacht, dass ich die Kiste nicht ins Netz hängen würde.

Von daher HTTP gänzlich vergessen, nie mehr benutzen und einzig auf HTTPS setzen ist die einzig wahre Devise!

Bin ich ganz bei dir, aber leider gibt es Apps, die lassen das nicht zu, obwohl ich ein internet Zertifikat habe, bspw. DS Audio.

 

[NSFH]

Warum HTTP im eigenen LAN zu 100% unsicher ist habe ich beschrieben, da kannst du 1000x VPN nutzen oder keine Verbindung von Aussen in dein LAN haben. Die Bedrohung kommt von Innen, nicht von Aussen!

Du hast kein "Internet" Zertifikat sondern nur ein lokales für dein LAN, nämlich das Standard Cert der Syno. Für Zugänge via Internet benötigst du ein öffentliches Zertifikat via zB LetsEncrypt. Damit funktionieren alle Apps von Synology auch von extern!

Leider suggerieren die Hersteller von NAS, dass es für die Käufer so genial einfach ist Daten im eigenen System zu hosten. verschwiegen wird immer, dass man da auch aus reiner Unwissenheit Türen öffnet, die besser geschlossen blieben.
Der Bedrohung durch Malware, die im eignen System Schadsoftware nachlädt sind wir alle ausgesetzt, bei Betrieb eines eigenen Servers via HTTP gefährdest man dann aber auch alles, was darauf gespeichert ist.
Gibt dann nur 2 Möglichkeiten: Schulterzucken und ist mir egal oder sich mit der Materie auseinandersetzen und das eigene System absichern so weit es eben möglich ist.
Wird jetzt aber offtopic, dazu gibts schon andere Threads. Viel Spass noch.

 

[*kw*]

Du hast kein "Internet" Zertifikat

Kleiner Schreibfehler, große Wirkung.

Es sollte internes heißen. Und ja, ich rufe bspw. meinen Baikal-Container mit https://baikal.meineip.de im LAN auf.

 

[ottosykora]

bei Betrieb eines eigenen Servers via HTTP gefährdest man dann aber auch alles, was darauf gespeichert ist.

ja, das ist halt ein Dauerthema, auch wenn ich dies für ziemlich schräg halte
ob man auf einen Server kommt via http oder https spielt keine Rolle, man ist in dem Server und kann da auf das zugreifen was der Server halt so zu bieten hat

Und wenn es in einem Netzwerk 15 oder mehr Server gibt, da muss man schon ziemlich dauernd arbeiten damit man alle Jahre wieder einen Zertifikat manuall für die IP mit entsprechenden Tools erstellen kann und dann wieder alles überall updaten kann.
Also ziemlich unrealistisches Szenario.

 

[mysteria]

Du hast kein "Internet" Zertifikat sondern nur ein lokales für dein LAN, nämlich das Standard Cert der Syno. Für Zugänge via Internet benötigst du ein öffentliches Zertifikat via zB LetsEncrypt. Damit funktionieren alle Apps von Synology auch von extern!

Danke, das hat mir weitergeholfen und der Unterschied ist mir nun klar.

Wie gesagt, ich plane erst einmal nicht das NAS für den Zugriff von außen zu öffnen. Der Zugriff via VPN ist für mich ausreichend.

Das mit der Umleitung auf den Port 5001 gehe ich gleich heute Abend an.

@all: Danke für eure Unterstützung.

 

[Benie]

Ihr seid eine Firma und von dem NAS abhängig

Woher hast Du das?

 

[DLDLDL]

Woher hast Du das?

Mein Fehler. Ich habe das mit einem anderen User verwechselt, der gerade ein neues NAS für 15 Mitarbeiter betreiben möchte. Kann es leider nicht mehr ändern. Aber ja. Mein Fehler. Habe was verwechselt

 

[Benie]

Du kannst innerhalb einer bestimmten Zeit einen Post, wenn dieser im falschen Thread gelandetet war löschen. Aber bitte jetzt nicht mehr sonst versteht man diesen Post nicht mehr.

​

 

[DLDLDL]

Löschen würde ich den auch nicht, da die generelle Warnung vor Betrieb eines NAS im Internet weiterhin wichtig ist, unabhängig ob privat/Firma

 

[NSFH]

ja, das ist halt ein Dauerthema, auch wenn ich dies für ziemlich schräg halte
ob man auf einen Server kommt via http oder https spielt keine Rolle, man ist in dem Server und kann da auf das zugreifen was der Server halt so zu bieten hat

Und wenn es in einem Netzwerk 15 oder mehr Server gibt, da muss man schon ziemlich dauernd arbeiten damit man alle Jahre wieder einen Zertifikat manuall für die IP mit entsprechenden Tools erstellen kann und dann wieder alles überall updaten kann.
Also ziemlich unrealistisches Szenario.

Unrealistisch????
Das ist genau das Scenario, welches für die meisten gehackten Systeme sorgt.
So eine Äusserung zeugt nur von totaler Ignoranz oder Dummheit oder beidem!

 

[plang.pl]

Ich betreibe bei mir alle Services mit https. Das kann man ja an zentraler Stelle im Reverse Proxy managen. Und selbst wenn nicht, gibt es mittlerweile Automatismen, um das Zertifikat auch an mehreren Servern automatisch zu aktualisieren. Man muss halt immer wissen, wofür man das braucht. Wenn jemand mitsnifft, sind bei http deine Login-Daten weg und der Datenverkehr kann mitgelesen werden. Und https ohne gültiges Cert ist immer noch besser als http

 

[plang.pl]

dass zur Verifizierung der Port 80 freigegeben werden muss

443 reicht i.d.R. auch. Wenn da kein Dienst lauscht, ist das ok.
Für Synology DDNS muss gar kein Port offen sein.
Wenn du nur VPN nutzt, muss gar kein Port weitergeleitet werden (solange der VPN-Server der Router ist, was ich empfehlen würde).
Und wenn nicht Synology DDNS, dann Cert mit acme.sh abholen, dafür müssen auch keine Ports offen sein.
Wenn man im LAN mit DDNS und Zertifikaten arbeiten will, dann kann man das u.a. mit AdGuard Home machen. Anleitung siehe meine Signatur.

 

[*kw*]

@plang.pl

alle Services mit https…Reverse Proxy

Dito