Ergebnis 1 bis 9 von 9

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard Zugriff DSM von aussen blocken - auf neuen Port ohne Weiterleitung?

    Immer mal wieder denke ich über kleine Sicherheitsverbesserungen nach.
    Meine DS hat Dienste (Photostation, CardDav, Audiostation,...), die nach aussen erreichbar sein sollen. Gerne auch ohne VPN (hab ich installiert, für Timemachine von aussen).
    Am Router weitergeleitet habe ich auch den Port 5001. Nun überlege ich mir, ob das wirklich sein muss. Von draussen hatte ich noch die das Bedürfnis auf den DSM zu kommen, aber das Bedürnis, dass das möglichst niemand kann.
    Ich lese da oft die Empfehlung, die Ports von Anwendungen (Filestation und Audiostation würden mich aktuell tangieren) zu verschieben und den 5001 nicht weiter zu leiten. Da die Zahl der Anwendungen da durchaus wachsen könnte, hatte ich eine andere Idee:
    Den Port für DSM weg von 5001 irgendwohin und allenfalls im Router weiterleiten. Oder auch nicht weiterleiten, dann wär ich halt auch ausgesperrt.

    Mache ich da einen Denkfehler mit dieser Idee? Lege ich mir selber Probleme bei anderen Anwendungen in den Weg, wenn ich den neuen Port für DSM nicht weiterleite?

    Danke für Rückmeldungen. Ich hab schon die Suchfunktion benutzt, aber wurde nicht wirklich fündig mit dieser Idee. Entweder ist die Idee schlecht oder zu einfach.
    DS 1513+
    DS 210j als Backup DS

  2. #2
    Anwender
    Registriert seit
    17.04.2013
    Beiträge
    3.556

    Standard

    ich denke das machen sehr viele hier so. Verwenden zwar den Zugang zu DSM, aber verwenden einen ganz anderen externen Port, irgendwo im oberen Bereich und leiten es dann auf 5001 intern. Und man kann den Apps auch intern andere Ports geben, und extern wieder andere, nur nicht Übersicht verlieren dabei
    Persönlich lasse ich bei mir DSM erreichbar wenn auch vielleicht so verschleiert, aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung.
    Ist denke ist wichtig wozu man die DS braucht.
    DS212j, DSM4.3-3827-7, DS414slim, DSM6.1

  3. #3
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.461

    Standard

    Zitat Zitat von ottosykora Beitrag anzeigen
    ...aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung. Ist denke ist wichtig wozu man die DS braucht.
    Pro VPN (wer hätte es gedacht )... DSM ist zur "Administration" und "Wartung" vorgesehen, deswegen haben die ganzen "Apps" i.d.R. auch immer eigene URLs (ausser man muss sie konfigurieren). Ein "mehr" an Sicherheit schafft man allerdings auch nicht, wenn man noch mehr nach aussen frei gibt. Grundsätzlich sollte auch immer befolgt werden: "So 'wenig' wie möglich, so 'viel' wie nötig." wobei es bei "nötig" nicht zwingend auf Komfort ankommt, ein bisschen Realismus ist allerdings in jedem Fall gefragt.

    Als Beispiel: Du musst administrativ an div. Dinge ran, dann wählst Du Dich halt via VPN ein und erreichst auch - wenn Du willst - direkt "alles" in Deinem Netzwerk (macht mitunter Sinn, ggf. muss man an mehreren Stellen konfigurieren). Soll aber ein Bekannter Deine letzten freigegebenen Urlaubsbilder sehen können, soll er das natürlich so "bequem wie möglich" haben, insofern würde sich da z.B. eine entsprechende Subdomain (z.B. bilder.hubble.de) oder ähnliches anbieten. Wenn möglich mit direktem Redirect von http zu https, somit braucht der am anderen Ende auch nur die URL eingeben und gut ist's.

    Alternativ - bezogen auf das DSM - könnte man auch eine Firewall nutzen, welche externe DynDNS-Einträge halbwegs dauerhaft korrekt auflösen kann. Dann einen DynDNS-Client auf's Handy/Tablet/Laptop und lediglich dieser DynDNS-Adresse den Zugriff auf den DSM-Port gewähren (und natürlich Deinem LAN (oder nur LAN-Rechner)).

  4. #4
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.726

    Standard

    Du stellst Fragen für die die Lösung bereits besteht.
    Wenn du für die Timemachine bereits VPN installiert hast und nutzt, warum machst du das dann nicht auch für DSM?
    5001/5006 gehören zu den meist gescannten Ports im Internet, neben FTP und SMB.
    • verwendete Typenreihen:
    • Synology: RS1619xs+, RX1217RP, RS815RP+, DS916+, S418play * HP Server * Lenovo Server *
    • Router/Modem: Draytek Vigor130, 2960 * Fritzbox 6591C, 7490, 7590 * Technicolor TC4400 *
    • LAN/WLAN: Ubiquiti UniFi US-8-60W, Cloud Key, AC PRO * Draytek Vigor 1280G, P2280X, AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000, FI 3000 * Eaton Ellipse ECO800 *

  5. #5
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard

    Ich hab jetzt den DSM-Port weit nach oben verschoben. Die Audiostation schieb ich wohl auch noch weg vom 5001.
    Und dann mal versuchen den Admin zu ersetzen. Ich erinnere mich nur dunkel, dass bei Caldav oder Carddav der Admin zum Einsatz kam, weil es sonst komischerweise nicht ging. Ich merke es ja dann, wenn es nicht mehr synchronisiert. Und die 2-Weg Authentifizierung auch noch aktivieren und schliesslich die Firewall. Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein.
    Und den Vorschlag oben mit den Subdomains schaue ich mir als Letztes an. War da vor Jahren überfordert als ich DynDns einrichtete.
    DS 1513+
    DS 210j als Backup DS

  6. #6
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.461

    Standard

    Und wieder NIX gelernt ... Ich hoffe Du hast auch ein wenig die Standards beachtet: https://de.wikipedia.org/wiki/Liste_...isierten_Ports, denn einfach "irgendwas" zu nehmen, ist meist nicht der beste Ansatz

    EDIT: "Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein." < Das war noch "nie" so(!)

Ähnliche Themen

  1. Antworten: 7
    Letzter Beitrag: 05.09.2019, 20:56
  2. Antworten: 0
    Letzter Beitrag: 28.02.2018, 16:00
  3. Antworten: 1
    Letzter Beitrag: 09.06.2016, 15:49
  4. Antworten: 20
    Letzter Beitrag: 13.02.2015, 13:02
  5. Antworten: 44
    Letzter Beitrag: 02.12.2012, 09:40

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •