Das muss garnicht mal Synology sein, auch andere Hersteller nutzen u.a. die Ports 5000/5001. Wenn es nur für einen selbst ist, kann man natürlich auch etliche Dinge umbiegen, keine Frage, sobald es aber in Richtung Öffentlichkeit geht, ist da ziemlich schnell schluss mit solchen Spässen und dann muss man sich - wohl oder übel - der harten Realität des Grundrauschens stellen. Was die Exploits angeht, darf man aber auch nicht vergessen, dass es a) remote sein möglich muss und b) "ohne" authentifizierten Benutzer. Die meisten Exploits gelten doch zumindestens noch für authentifizierte Benutzer (wo man dann meist die Rechte ausgeweiteten werden). Das Problem mit den Portscans ist schon ein bisschen mehr als ein einfaches blocken. Je nachdem wie gescannt wird (z.B. auch nur 1 Port pro Host, wird u.a. auch gern bei der telnet-Suche gemacht) fällt sowas auf oder eben nicht. Meist wird nur nach einer bestimmten Anzahl von Portabklopfereien dicht gemacht, oder die Kommunikation ist fehlerhaft und darauf wird reagiert. Wenn man aber einen vermeintlichen realen Zugriff vortäuscht (was zugegebenermaßen dann eben auch für den Angreifer länger dauert) und das bei einem einzelnen Port (oder zwei, wie im Falle von 5000/50001) wird da einfach garnichts blockiert. Alternativ kann man sich aber auch die Zeit nehmen und einen Port pro "Minute" scannen (ggf. auch etwas flotter), aber dann fällt da mit Sicherheit auch nichts weiter auf.
Wenn wir mal ganz ehrlich sind: Nimmt man die Anzahl der gesamten Komprimitierungen, ist meist das "vor" dem Rechner Schuld (E-Mail-Anhang geöffnet, falsche Website besucht, China-Cam inkl. PnP ins Netz gehängt, etc.), das mit den Exploits ist - im Gegensatz zu früher - schon massiv in der Gesamtzahl gesunken. Was vielmehr nach dem "User" das Problem ist, sind irgendwelche - ewig lange - ungepatchen Systemen, grade bei Webseiten sieht man sowas immer wieder (die IP-Cams buddel ich hier mal nicht aus, das ist eh katrastrophal...). Ich persönlich z.B. halte überhaupt nicht wirklich was von diesen ganzen Umbiegereien. Entweder nutzt man etwas rein privat, dann ist halt VPN-Pflicht und von aussen ist dann eh nichts anderes zu erreichen, oder es ist öffentlich Zugänglich, dann kann man die Öffentlichkeit aber auch nicht mit solchen Dingen belästigen und muss entsprechende Vorkehrungen treffen. Was ich hier "immer wieder" sehe, sind irgendwelche Wordpress-Installationen die im Netz veröffentlicht werden... da noch groß wegen den DSM-Ports rumhampeln? Tür nicht abschliessen, aber alle Fenster mit Gittern versehen? Sorry...
Ebenso werden hier hunderte und tausende von Euros für die dicksten und dollsten Kisten ausgegeben, die dann doch wieder im öffentlichen Netz landen. Statt dessen könnte man auch einfach mit VLANs arbeiten, eine "kleine" Kiste für den Austausch mit der Aussenwelt nutzen (z.B. zwecks Filesharing/Websites) und das Hauptgerät schön im LAN lassen wo niemand von aussen dran kann (ausser man selbst via VPN z.B.). Sowas wäre meiner Meinung nach sinnig, aber da mit zig Ports durch die Gegend hampeln, wo dann ggf. wieder so Scherereien hat wie, dass ein Syno-eigener Dienst vom Handy aus nicht erreichbar ist (da hardcoded in der App) oder sonstiges. Es bleibt halt wie es ist: IT macht Arbeit, auch wenn das nie einer gerne hört und die Gefahr vorschnell ein Update installiert zu haben (aus Angst vor der gefixten Sicherheitslücke) bleibt auch nach wie vor bestehen (Microsoft ist da ja in diesem Jahr ein wirklich glänzendes Beispiel gewesen).
Ich persönlich habe übrigens nicht "einen" Port umgebogen - nirgendwo - alles nach dem o.g. Rezept gekocht ("intern" nur via VPN und extern alles nur in VLANs) und bisher nicht ein Problem gehabt (und das bei etlichen Standorten und zig IP-Adressen). Falls dann doch noch alle Stricke reissen: das Stichwort heisst "offline Backup" (oder einfach: von den öffentlich zugänglichen Geräten "nicht erreichbar"). Im der Syno-Welt sieht es dann eher so aus, dass nicht das öffentlich erreichbare Gerät das Backup auf ein anderes Gerät sichert, sondern eher, dass sich ein anderes Gerät das Backup "holt" und somit hat das öffentlich erreichbare Gerät da überhaupt nichts mehr zu melden. So hätte man zumindestens gewisse Sicherheiten (die natürlich wieder nicht vor dem Fehler vor dem System schützen *hust*
).
Also meiner Meinung nach: Kirche im Dorf lassen. Kann man sicherlich machen, wenn man sich die Umbiegerei antun will, aber ob das wirklich zwingend nötig ist (nach Systemhärtung)... Naja... sicherlich nix für Webseitenbetreiber. Was die DSM-Ports angeht, die sollten - im besten Falle - erst garnicht von aussen erreichbar sein (das "Haupt"-System, versteht sich
).