Ergebnis 1 bis 9 von 9
  1. #1
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard Zugriff DSM von aussen blocken - auf neuen Port ohne Weiterleitung?

    Immer mal wieder denke ich über kleine Sicherheitsverbesserungen nach.
    Meine DS hat Dienste (Photostation, CardDav, Audiostation,...), die nach aussen erreichbar sein sollen. Gerne auch ohne VPN (hab ich installiert, für Timemachine von aussen).
    Am Router weitergeleitet habe ich auch den Port 5001. Nun überlege ich mir, ob das wirklich sein muss. Von draussen hatte ich noch die das Bedürfnis auf den DSM zu kommen, aber das Bedürnis, dass das möglichst niemand kann.
    Ich lese da oft die Empfehlung, die Ports von Anwendungen (Filestation und Audiostation würden mich aktuell tangieren) zu verschieben und den 5001 nicht weiter zu leiten. Da die Zahl der Anwendungen da durchaus wachsen könnte, hatte ich eine andere Idee:
    Den Port für DSM weg von 5001 irgendwohin und allenfalls im Router weiterleiten. Oder auch nicht weiterleiten, dann wär ich halt auch ausgesperrt.

    Mache ich da einen Denkfehler mit dieser Idee? Lege ich mir selber Probleme bei anderen Anwendungen in den Weg, wenn ich den neuen Port für DSM nicht weiterleite?

    Danke für Rückmeldungen. Ich hab schon die Suchfunktion benutzt, aber wurde nicht wirklich fündig mit dieser Idee. Entweder ist die Idee schlecht oder zu einfach.
    DS 1513+
    DS 210j als Backup DS

  2. #2
    Anwender
    Registriert seit
    17.04.2013
    Beiträge
    3.577

    Standard

    ich denke das machen sehr viele hier so. Verwenden zwar den Zugang zu DSM, aber verwenden einen ganz anderen externen Port, irgendwo im oberen Bereich und leiten es dann auf 5001 intern. Und man kann den Apps auch intern andere Ports geben, und extern wieder andere, nur nicht Übersicht verlieren dabei
    Persönlich lasse ich bei mir DSM erreichbar wenn auch vielleicht so verschleiert, aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung.
    Ist denke ist wichtig wozu man die DS braucht.
    DS212j, DSM4.3-3827-7, DS414slim, DSM6.1

  3. #3
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.462

    Standard

    Zitat Zitat von ottosykora Beitrag anzeigen
    ...aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung. Ist denke ist wichtig wozu man die DS braucht.
    Pro VPN (wer hätte es gedacht )... DSM ist zur "Administration" und "Wartung" vorgesehen, deswegen haben die ganzen "Apps" i.d.R. auch immer eigene URLs (ausser man muss sie konfigurieren). Ein "mehr" an Sicherheit schafft man allerdings auch nicht, wenn man noch mehr nach aussen frei gibt. Grundsätzlich sollte auch immer befolgt werden: "So 'wenig' wie möglich, so 'viel' wie nötig." wobei es bei "nötig" nicht zwingend auf Komfort ankommt, ein bisschen Realismus ist allerdings in jedem Fall gefragt.

    Als Beispiel: Du musst administrativ an div. Dinge ran, dann wählst Du Dich halt via VPN ein und erreichst auch - wenn Du willst - direkt "alles" in Deinem Netzwerk (macht mitunter Sinn, ggf. muss man an mehreren Stellen konfigurieren). Soll aber ein Bekannter Deine letzten freigegebenen Urlaubsbilder sehen können, soll er das natürlich so "bequem wie möglich" haben, insofern würde sich da z.B. eine entsprechende Subdomain (z.B. bilder.hubble.de) oder ähnliches anbieten. Wenn möglich mit direktem Redirect von http zu https, somit braucht der am anderen Ende auch nur die URL eingeben und gut ist's.

    Alternativ - bezogen auf das DSM - könnte man auch eine Firewall nutzen, welche externe DynDNS-Einträge halbwegs dauerhaft korrekt auflösen kann. Dann einen DynDNS-Client auf's Handy/Tablet/Laptop und lediglich dieser DynDNS-Adresse den Zugriff auf den DSM-Port gewähren (und natürlich Deinem LAN (oder nur LAN-Rechner)).

  4. #4
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.728

    Standard

    Du stellst Fragen für die die Lösung bereits besteht.
    Wenn du für die Timemachine bereits VPN installiert hast und nutzt, warum machst du das dann nicht auch für DSM?
    5001/5006 gehören zu den meist gescannten Ports im Internet, neben FTP und SMB.
    • verwendete Typenreihen:
    • Synology: RS1619xs+, RX1217RP, RS815RP+, DS916+, S418play * HP Server * Lenovo Server *
    • Router/Modem: Draytek Vigor130, 2960 * Fritzbox 6591C, 7490, 7590 * Technicolor TC4400 *
    • LAN/WLAN: Ubiquiti UniFi US-8-60W, Cloud Key, AC PRO * Draytek Vigor 1280G, P2280X, AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000, FI 3000 * Eaton Ellipse ECO800 *

  5. #5
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard

    Ich hab jetzt den DSM-Port weit nach oben verschoben. Die Audiostation schieb ich wohl auch noch weg vom 5001.
    Und dann mal versuchen den Admin zu ersetzen. Ich erinnere mich nur dunkel, dass bei Caldav oder Carddav der Admin zum Einsatz kam, weil es sonst komischerweise nicht ging. Ich merke es ja dann, wenn es nicht mehr synchronisiert. Und die 2-Weg Authentifizierung auch noch aktivieren und schliesslich die Firewall. Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein.
    Und den Vorschlag oben mit den Subdomains schaue ich mir als Letztes an. War da vor Jahren überfordert als ich DynDns einrichtete.
    DS 1513+
    DS 210j als Backup DS

  6. #6
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.462

    Standard

    Und wieder NIX gelernt ... Ich hoffe Du hast auch ein wenig die Standards beachtet: https://de.wikipedia.org/wiki/Liste_...isierten_Ports, denn einfach "irgendwas" zu nehmen, ist meist nicht der beste Ansatz

    EDIT: "Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein." < Das war noch "nie" so(!)

  7. #7
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard

    Ganz so schlimm ists nicht. In der langen Liste ist mein Port nicht enthalten :-)

    Hab jetzt die Firewall aktiviert und eingerichtet. Dabei auch noch gesehen, dass manche Dateidienste laufen, die ich sicher vor langer Zeit deaktiviert hatte.
    Und ein Blick in die Protokolle war beruhigend, da nur Infomeldungen drin sind. Muss jetzt noch schauen, was ich mit dem Webserver mache. Ich glaube den brauch ich nicht mehr (früher mal für caldav genutzt).
    Ich glaub das hat sich gelohnt. :-) Danke auch für Rückmeldungen. Lese gerne noch mehr, falls jemand ein Hinweis hat.
    Geändert von Hubble (23.05.2020 um 02:05 Uhr) Grund: ergänzt
    DS 1513+
    DS 210j als Backup DS

  8. #8
    Anwender Avatar von Hubble
    Registriert seit
    13.10.2010
    Beiträge
    240

    Standard

    Stunden später viele Alternativports von den Anwendungen eingerichtet und es scheint zu laufen, auch von aussen. Überlege mich aber schon auch, ob für viele Anwendungen (DS File, DS Audio) nur per VPN reinzugehen sinnvoller wäre. Habe halt noch L2TP/IPsec als VPN. Bei DS File hab ich das auch so gehandhabt.

    Vielleicht liest jemand meine Ergänzungsfrage, Thema Firewall: Ist es richtig, dass ich in der Firewall auch die nicht verschlüsselten Ports von Anwendungen durchgehen lassen soll? Http lasse ich auf https umleiten (auch CardDav). Besonders ist mir das beim Synology Assistant aufgefallen. Dieser hat die Syno zwar stets gefunden, aber mit "Verbindung fehlgeschlagen". Mit IP und Port kam ich via Firefox jedoch problemlos rein. Hab ich die Firewall der Syno deaktiviert, dann gings wieder und der Assistant nahm auch den veränderten Port. Als ich nicht ganz freiwillig auch den Port 5000 in der Firewall ankreuzte zum Zulassen, hat auch der Assistant wieder normal funktioniert und ich konnte hierüber auf den DSM kommen und zwar über den angepassten SSL Port des DSM.
    Bei anderen Anwendungen (z.B. Filestation) habe ich den nicht verschlüsselten Port auch mal in der Firewall angekreuzt gelassen. Mir wärs lieber, die wegzunehmen, aber Funktionsärger mag ich deswegen auch nicht haben. Hat mir jemand Rat?

    Und weshalb hab ich in der Firewall drei Einträge zu Calendar? 38008 und 38443 versteh ich nicht. Ich hab den 20003 aktiviert und nur diesen vom Router weitgeleitet und damit läufts.
    DS 1513+
    DS 210j als Backup DS

  9. #9
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    2.462

    Standard

    Zitat Zitat von Hubble Beitrag anzeigen
    ...nur per VPN reinzugehen sinnvoller wäre. Habe halt noch L2TP/IPsec als VPN...
    Mach es einfach via VPN-on-Demand, dann merkst Du es quasi garnicht

    Zitat Zitat von Hubble Beitrag anzeigen
    Vielleicht liest jemand meine Ergänzungsfrage....
    Pro Tag nur eine Frage!

    Zitat Zitat von Hubble Beitrag anzeigen
    Thema Firewall: Ist es richtig, dass ich in der Firewall auch die nicht verschlüsselten Ports von Anwendungen durchgehen lassen soll?
    Grundsätzlich alles unterverschlüsselte WEG. Einzige Ausnahme die mir einfallen würde, wäre Port 80, wenn Du einzelne Let's-Encrypt-Zertifikate nutzt. Zudem kann man bei Webanwendungen auch via Redirect auf andere Ports verweisen (s. DSM -> Möglichkeit, dass unverschlüsselte Verbindungen eben sofort zur verschlüsselten Variante umgeleitet werden, so muss man z.B. bei der URL kein "https://" davor schreiben, das kommt dann von "alleine" )


    Zitat Zitat von Hubble Beitrag anzeigen
    Und weshalb hab ich in der Firewall drei Einträge zu Calendar? 38008 und 38443 versteh ich nicht. Ich hab den 20003 aktiviert und nur diesen vom Router weitgeleitet und damit läufts.
    Tja, Fragen über Fragen und so wenig antworten... vllt knippst Du einfach mal die Firewall-Regel mit der Applikation "Calendar" (oder "CalDAV") aus und schaust dann nochmal, ob alles funktioniert. Gibt nur 3 Möglichkeiten: a) Du hast etwas angelegt und keine Ahnung gehabt, b) Du hast etwas angelegt, von dem Du der Meinung warst, dass es das richtige wäre (z.B. eine Applikation namens "Calendar" oder dergleichen freigegeben), 3) die Ausnahme wurde bei aktivierter Firewall von der Calendar-App selbst angelegt (was ich aber eher weniger glaube). Eins kann ich aber mit Sicherheit sagen: von "alleine" passiert da erstmal "garnichts" an so einer Firewall... Also: ausknipsen, testen, wenn jut, dann jut und feddich - beim testen aber ruhig mal "alles" testen, nicht, dass hinterher irgendwas anderes nicht geht

Ähnliche Themen

  1. Antworten: 7
    Letzter Beitrag: 05.09.2019, 20:56
  2. Antworten: 0
    Letzter Beitrag: 28.02.2018, 16:00
  3. Antworten: 1
    Letzter Beitrag: 09.06.2016, 15:49
  4. Antworten: 20
    Letzter Beitrag: 13.02.2015, 13:02
  5. Antworten: 44
    Letzter Beitrag: 02.12.2012, 09:40

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •