DiskStation & der Zugriff von "außen" ?

Status
Für weitere Antworten geschlossen.

DrZahnlos

Benutzer
Mitglied seit
17. Mai 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Ich hatte mir in den letzten Tagen eine DiskStion 218+ und 2x 4TB WD RED Festplatten gekauft und alles nach iDomiX Anleitung installiert bzw. eingerichtet.

Stand heute, kann ich selbst & der Rest der Familie auch von unterwegs via Android Smartphone auf die DiskStation, Synology Drive & Chat bzw. auch auf die Note & PhotoStation
zugreifen. Dafür habe ich mir über die DiskStation eine DDNS Domain ala https://xxxxxx.my.ds geholt sowie diese auch mit einem Zertifikat von Let's Encrypt verbunden. An meiner Fritzbox 6490 habe ich dafür "laut Anleitung" die Ports 80, 443, 5000 - 5001, 6690 freigeben.

Bildschirmfoto vom 2018-05-17 13-13-03.jpg

Soweit läuft auch alles prima und auch von unterwegs können wir auf die Note & PhotoStation, Chat etc. zugreifen.

-------------------------------------------------------------------------------------------------------------------------------------------------------------

Gestern hat ich dann in der Synology Facebook Gruppe ganz "spontan & unwissend" einmal nachgefragt, ob/wenn ich mir jetzt auf die DiskStation ein Dokuwiki installiere - ob das dann auch von außen einsehbar wäre, denn das möchte ich nämlich nicht wirklich. Eine zielführende Antwort bekam ich da nicht wirklich, sonder regte eine Diskkussion über die Verwendung eines VPN`s an. Man versuchte mir zu erklären, das ein VPN so viel besser sei (was ich auch gar nicht abstreiten möchte) und das meine DiskStation aufgrund der derzeitigen Portfreigaben/Weiterleitungen extrem unsicher sei und da ich von der ganzen Netzwerk Materie nicht wirklich Ahnung habe möchte ich ganz einfach mal hier nachfragen dürfen, ob ich mir wirklich ernsthafte Sorgen in der aktuellen Konfiguration machen muss. ???

Info: Habe wie bereits erwähnt eine DS-218+, DSM-Version ist topaktuell sowie auch alle Pakete. Jeder Benutzer verwendet den/die 2FA Eingabe/Schutz.

Wenn mir jemand erklären könnte, wie ich an der Fritzbox einen VPN einrichten kann (sodas ich aber auch wie bisher auf einzelne Dienste von unterwegs darauf zugreifen kann), dann würde ich das natürlich zum eigen Schutz natürlich auch umsetzen. Habe jetzt stundenlang im Internet recherchiert, bin aber irgendwie zu keiner Anleitung gekommen die mich irgendwie aufklärt oder die Umsetzung erklärt.

Wer würde oder könnte mir da ein wenig weiter helfen ?
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... möchte ich ganz einfach mal hier nachfragen dürfen, ob ich mir wirklich ernsthafte Sorgen in der aktuellen Konfiguration machen muss. ???
Oh ja - allein schon durch die externe Bereitstellung des unverschlüsselten(!) DSM-Ports 5000 (PS: wenn das tatsächlich so in den "Anleitungen von iDomix" zu finden ist, dann kann man die eigentlich in die runde Ablage entsorgen, denn schlimmer geht's nicht mehr). Damit erscheinen Usernamen und Passworte im Klartext in der Kommunikation und jeder, der Spaß daran hat, kann sich auf der DS anmelden. Was er dort anstellen könnte? Das möchtest Du sicher nicht herausfinden...
 
Zuletzt bearbeitet:

DrZahnlos

Benutzer
Mitglied seit
17. Mai 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
OK (verdammt) - was müsste ich denn explizit ändern bzw. auf was verzichten um alles sicher einzurichten bzw. gibt es dazu eine brauchbare Anleitung ? Denn wie gesagt, Netzwerke sind leider nicht so meine stärke...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Goldene Regel 1: Nur verschlüsselte Ports extern verfügbar machen! Goldene Regel 2: nur diejenigen Dienste extern verfügbar machen, die tatsächlich und begründet benötigt werden - und wenn es geht, über separate Ports (bspw. lassen sich bestimmte Dienste wie zB die File Station so separat erreichen). Details finden sich in der Onlinehilfe oder alternativ auch im hiesigen Wiki, wo es einen ganzen Abschnitt zur externen Erreichbarkeit gibt.
 

DrZahnlos

Benutzer
Mitglied seit
17. Mai 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Danke für deine Antwort, auch wenn diese mich nicht wirklich weiterbringen. Die oben genannten Ports werden doch laut Wiki entweder als sicher eingestuft bzw. automatisch verschlüsselt.

Ganz ehrlich, da die Sicherheit meiner DiskStation & der darauf liegenden Daten schon extrem wichtig ist (sonst hätte ich mir das Geld dafür auch sparen können), werd ich jetzt wohl erst einmal die Portfreigaben in der Fritzbox entfernen - auch wenn das bedeutet, das wir nicht mehr mobil darauf zugreifen können.

Vielleicht findet oder "erbarmt" sich ja jemand hier und hilft mir bei der sicheren Einrichtung.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Die oben genannten Ports werden doch laut Wiki entweder als sicher eingestuft bzw. automatisch verschlüsselt.
Ach? Du solltest schon genauer lesen. Wenn ich Deinen Blick einmal hierhin ins Wiki lenken darf - dort ist der Port 5000 rot unterlegt, was explizit erklärt wird:
Bei den rot unterlegten Diensten ist von einer Weiterleitung am Router aus Sicherheitsgründen strengstens abzuraten.
Auch der verschlüsselte Port 5001 wird dort nicht per se als 'grün' markiert! Und genau wegen dieser "Oberflächlichkeit", die hier erkennbar wird - Deine Unerfahrenheit alleine ist es nämlich nicht -, kann ich Dir tatsächlich nur empfehlen, die externe Erreichbarkeit zunächst einmal zu deaktivieren und Dich in die Materie zu vertiefen. Du bist der Admin dieses Servers - und der Verantwortung für die Daten kannst Du nicht einfach entgehen, indem Du Dir mal schnell von jemanden unter die Arme greifen lässt! Ein Server bedarf einer kontinuierlichen Pflege, u.a. auch wegen auftauchender Schwächen und notwendigen Updates/Änderungen. Entweder Du arbeitest Dich ein oder nutzt einen Dienstleister, der die sichere Bereitstellung von Daten außerhalb Deines LAN organisiert.
 

vtom

Benutzer
Mitglied seit
01. Jul 2008
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Ach mach dir nichts ins Hemd ;-) bzw. lass dich nicht verunsichern.

Meine NAS (schon einige) sind alle auch von aussen erreichbar. Klar nur über https und eventuell geänderte Ports.
Wäre nun meine NAS extrem unsicher so sind das auch meine Webseiten (alle mit https), das Finanzonline Portal, mein Onlinebanking etc...

Zu Tode gefürchtet ist auch gestorben.

Schau einfach das wie schon oben beschrieben nur die sicheren Ports rausgehen und achte auf komplexe Zugangsdaten. admin und 12345 wäre schon recht fahrlässig.

VPN wäre fein und toll, aber erst mal VPN Starten (wenn überhaupt im jeweiligen Fremdnetz möglich) und dann erst die Webseiten bzw. den Dienst aufrufen.. naja.
Lieber ein bisschen Abenteuer ;-)

Gruss
Tom
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich würde es auch ein wenig relativieren wollen.

Ja, es ist richtig, dass ein unverschlüsselter Zugang/Port wie bspw. 5000 nicht ins Netz gehört. Aber mal ehrlich: nicht der Port an sich macht das Problem, sondern die Nutzung desselben. Wenn ich mich nie per http sondern immer über https anmelde, dann ist der Port 5000 zwar (unsinnigerweise) geöffnet, aber es können dennoch keine Passwörter etc. abgegriffen werden.
Und auch das Passwortabgreifen erfordert immer noch den man-in-the-middle, der es ja gezielt auf einen abgesehen haben muss, damit es gefährlich wird.

Also, ja, ich würde den Port 5000 in jedem Fall schließen! Es ist einfach überhaupt nicht notwendig. Trotzdem sind die DS und die enthaltenen Daten nicht gleich kompromitiert, nur weil eben dieser Port offen ist. ;)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Und auch das Passwortabgreifen erfordert immer noch den man-in-the-middle, der es ja gezielt auf einen abgesehen haben muss, damit es gefährlich wird.
Nö... In Zeiten, in den denen am DE-CIX pauschal Daten ausgeleitet und aufgezeichnet werden, geht das direkter als mancher glauben mag - denn wenn ein Port offen ist, ist ein Login einer der Nutzer auf der DS schnell mal unverschlüsselt durch. Und wütende Ransomware wie auch aktuell für Bot-Netze kompromittierte QNAP-Systeme (das Thema VPN Filter) lassen erkennen, dass Geräteklassen wie eine DS sehr wohl in das Beuteschema passen, ob nun staatlicher wie krimineller Akteure.
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ach mach dir nichts ins Hemd ;-) bzw. lass dich nicht verunsichern.

Naja. Es gab halt auch schon genug Linux oder DSM Bugs, wo das NAS auch über verschlüsselte Ports angreifbar war und wenn man zB auf heise schaut gibt es das regelmäßig.

Grundsätzlich soll jeder seine Daten so reinstellen wie er will. Gibt hier halt leider von Paranoia pur bis grob fahrlässig alles.
Ich gehöre woll zur ersten Gruppe, verwende nur VPN. Das es natürlich auch hier Probleme geben kann - gerade bei Syno ohne Client certs (kann man aber selber nachbessern gottseidank) - ist unbestritten. Deine Probleme mit VPN kann ich nicht nachvollziehen, mein OpenVpn horcht von draußen auf 443, und das wird idR nicht blockiert von Fremdnetzen die dich ins Inernet lassen :)

Aber @Threadersteller: nimm die Forwards nochmals raus und mach dich mit der Materie bekannt. Wozu willst du dsm (egal ob http/https) von außen haben? Beschränk dich auf das notwendigste und nur mit https!
 

vtom

Benutzer
Mitglied seit
01. Jul 2008
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
... Beschränk dich auf das notwendigste und nur mit https!

Meine Worte :)
So bist schon mal auf einer sicheren Seite.

Zum VPN, ich möchte nicht immer "switchen", hab grad die Möglichkeiten der Fotostation entdeckt. Damit kann man seine Handybilder direkt auf die NAS sichern und nicht über die Ami Umwege.
Gleichzeitig will ich aber ja auch "direkt" surfen usw.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Das Szenario mit NAS über VPN und Rest direkt ohne VPN lässt sich durchaus umsetzen. Das geht halt tteilweise nicht direkt über die DSM GUI leider :(
Und ab dann braucht man halt ssh/bash Kenntnisse.
 

dynamiX

Gesperrt
Mitglied seit
23. Okt 2017
Beiträge
86
Punkte für Reaktionen
0
Punkte
12
Zum VPN, ich möchte nicht immer "switchen", hab grad die Möglichkeiten der Fotostation entdeckt. Damit kann man seine Handybilder direkt auf die NAS sichern und nicht über die Ami Umwege.
Gleichzeitig will ich aber ja auch "direkt" surfen usw.
und was spricht dagegen?
photo-backup mittels DS app nur übers interne netz realisieren (in der App kannst du sagen nur WLAN), dann fixe interne IP und wenn du zuhause bist werden die bilder synchronisiert.
sind wir ganz ehrlich, es muss doch nicht jedes bild sofort nachdem du es geschossen hast sofort auf dem NAS sein oder?
somit musst du nicht in vpn rein / raus sondern kannst normal dein handy brauchen und wenn im wlan wird synchronisiert. fertig ist der lack
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Nun ja, gerade die PhotoStation ist ein Instrument zur Präsentation von Fotos - und das nicht nur für das interne Netz. So betreibe ich die PhotoStation eigentlich auch nur, um Familie, Freunde und Bekannte an einigen Fotos teilhaben zu lassen. Hierfür benötige ich dann auch zwingend min. einmal den geöffneten Port 443 resp. Port 80.

VPN ist eine gute Sache, aber kein Allheilmittel und auch nicht in jedem Fall zielführend.
 

vtom

Benutzer
Mitglied seit
01. Jul 2008
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Wollte ich grad auch schreiben - meine NAS ist nicht nur für mich da :)
 
Zuletzt bearbeitet von einem Moderator:

niklas

Benutzer
Mitglied seit
10. Mrz 2015
Beiträge
222
Punkte für Reaktionen
18
Punkte
24
Hallo zusammen,

Ich bin bei meiner Suche auf diesen Beitrag gestoßen...
Das NAS hat eine fixen Ip von aussen, Port für https war lange auf 5007, jetzt hab ich den Port geändert.
soweit so gut, hat alles funtioniert..... mein Problem:
Wenn ich über Drive einen Freigabelink erstelle, funktioniert der nicht weil anscheinend noch immer der 5007 Port verwendet wird.
wenn ich den Link händisch ändere und den neuen Port angebe funktionierts.
Hat jemand eine Idee wie ich ihm die Erinnerung zum alten Port löschen kann??

Gruß
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Naja, zumindestens könnte man den Zugriff auf die Photostation bzw. Port 80/443 auf Deutschland oder so beschränken, damit wäre jedenfalls schon viel gewonnen. Die Chinesen darf man da nicht unterschätzen:

Platz: 1, Land: cn , IP: 220.242.x.x, Anzahl verworfener Pakete: 940.734, Gesamt: 25.76% ;)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
@niklas: schau mal bei den Einstellungen unter Anwendungsportal. Ist dort noch der falsche Port hinterlegt?

@Puppetmaster: durchaus, kommt immer darauf an, was wer wo benötigt.
Hin und wieder schalte ich auch kurzzeitig Filestation etc. nach außen, wenn andere Leute Fotos down-/uploaden sollen.
 

niklas

Benutzer
Mitglied seit
10. Mrz 2015
Beiträge
222
Punkte für Reaktionen
18
Punkte
24
Hallo tproko,

Aktuell ist dort gar kein Eintrag, er sollte ja dem Standard-Port nehmen.
Zum Testen hab ich schon einmal einen Eintrag gemacht, auch ohne Erfolg.

Gruß
 

niklas

Benutzer
Mitglied seit
10. Mrz 2015
Beiträge
222
Punkte für Reaktionen
18
Punkte
24
Komischerweise mit Moments gehts, da wird der Port angehängt.....
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat