Toggle sidebar

+-Serie Alle HTTP Verbindungen zu HTTPS

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle Geräte der +-Serie. Geräte für kleinere und mittlere Unternehmen.
Status
Für weitere Antworten geschlossen.
O

one12

Benutzer
Registriert
24. Mai 2015
Beiträge
12
Reaktionspunkte
0
Punkte
0
Hallo Forum,

ich möchte gerne die DS so einstellen, dass alle HTTP Verbindungen automatisch zu HTTPS umgeleitet werden. Dies habe ich wie folgt aktiviert: Systemsteuerung->Netzwerk->DSM Einstellung

Vorher hatte ich ein "Lets Encrypt" Zertifikat erstellt. Dazu stand in der Anleitung, dass die Ports 80 und 443 auf die DS freigegeben werden sollen. Port 80 -> 80 und Port 443->443

Wenn ich nun meine DS über "ds.domain.de" aufrufe, dann passiert nichts. Es kommt zu einem Timeout. Das Gleiche auch wenn ich "https://ds.domain.de" aufrufe.
Ich habe nun in die Fritzbox folgende Portfreigaben deklariert: Port 80 -> 443 und Port 443->5001.
Wenn ich nun "ds.domain.de" aufrufe werde ich zu "https://ds.domain.de" umgeleitet.

Ich möchte nun gerne wissen, ob das alles so richtig eingestellt ist? Mir geht um das Verständnis. Um das Zertifikat zu erstellen sollten die Ports wie oben beschrieben freigegeben werden. Aber damit bin ich nicht auf DS gekommen.

Weitere Infos:
DS 216+
DSM 6 RC



Danke
 
normalerweise rufst Du Deine DS unter https://ds.domain.de:5001 auf. Die Portumleitungen "Port 80 -> 443 und Port 443->5001" sind falsch. Nur wenn Du auf Deiner DS eine Webseite hostest, solltest Du diese Seite über https://ds.domain.de erreichen können. Was Du braucht ist einen Portforwarding am Router von 5001 -> 5001.

Ob das mit dem Zertifikat geklappt hat, siehst Du daran, dass in der Browseradresszeile vorne ein geschlossenes (grünes) Schloss angezeigt wird. Auf das Schloss kannst Du auch klicken und Dir das Zertifikat anschauen.

Die "Ports 80 und 443" machst Du zur Erstellung und Erneuerung des Zertifikates auf, dazwischen können diese theoretisch geschlossen sein, was aber mühselig wäre das dauernd umzukonfigurieren. Das hat mit dem Zugriff auf die DS selbst nichts zu tun.
 
Zuletzt bearbeitet:
Ist das was ich gemacht habe aus sicherheitstechnischer Sicht falsch? Weil funktionieren tut es ja.

ich werde trotzdem, wie von dir oben beschrieben, umstellen.
 
nee, nicht schlimm, das war nur etwas von hinten durch die Brust und Du hast mehr oder weniger durch Zufall das gewünschte Ergebnis erreicht. Kann man auch bewusst so machen. Wenn man z.B. in einem Firmennetz sitzt und dort der Port 5001 gesperrt ist, man aber trotzdem auf die DSM-Benutzeroberfläche will. Der Port 443 ist in allen Netzten immer freigegeben.Also geht man über Port 443 raus bis zum eigenen Router, der setzt die Kommunikation von 443 auf 5001 um. Ob man nun per https über den Port 443, oder 5001 (oder jeden anderen Port) kommuniziert ist Wolle.
Jeder Hacker weiß halt, was er hinter dem Port 443 zu erwarten hat (irgendein System mit https vermutlich). Auch wissen Hacker, dass sie wahrscheinlich standardmäßig hinter 5001 die Synology DSM-Oberfläche zu erwarten haben. Wenn ich als Hacker eine Schwachstelle der DSM-Oberfläche kenne, dann würde ich wahllos IPs+:5001 angreifen. Andere Ports würde ich nicht angreifen, weil es viel zu zeitaufwändig ist alle Ports durchzuprobieren pro IP (dauert schon ml gerne ein paar Minuten die durchzuprobieren), in der Hoffnung dahinter vielleicht eine DSM-Oberfläche zu finden. Deshalb kann man sich schon überlegen aus Sicherheitsgründen die DSM-Oberfläche über einen anderen Port (also nicht 5001) zugänglich zu machen. Wenn ich als Hacker gezielt eine Person/Firma angreifen möchte, dann mache ich mir aber den Aufwand alle Ports auszuprobieren (1 bis 65536).
 
Zuletzt bearbeitet:
Ich danke dir vielmals für deine ausführliche Antwort. Hast mir weitergeholfen
 
frankyst72 schrieb:
.... Wenn ich als Hacker eine Schwachstelle der DSM-Oberfläche kenne, dann würde ich wahllos IPs+:5001 angreifen. Andere Ports würde ich nicht angreifen, weil es viel zu zeitaufwändig ist alle Ports durchzuprobieren pro IP (dauert schon ml gerne ein paar Minuten die durchzuprobieren), in der Hoffnung dahinter vielleicht eine DSM-Oberfläche zu finden. Deshalb kann man sich schon überlegen aus Sicherheitsgründen die DSM-Oberfläche über einen anderen Port (also nicht 5001) zugänglich zu machen. Wenn ich als Hacker gezielt eine Person/Firma angreifen möchte, dann mache ich mir aber den Aufwand alle Ports auszuprobieren (1 bis 65536).
Zum Vergrößern anklicken....


Hallo


sollte man also grundsätzlich den Port 5000 + 5001 tauschen gegen andere unbenutzte Ports? Wie macht ihr das hier im Forum?

Danke schonmal für die Antworten.
 
am besten die DSM Oberfläche gar nicht nach außen frei geben, wenn nicht notwendig, ein anderer Port ist keine schlechte Idee, ich habe es bei 5001 belassen :D
Das wichtigste ist dann gute Passwörter zu haben!
 
Ja OK ;) Wenns um Sicherheit im Internet geht ist es auch am sichersten dieses Internet gar nicht zu nutzen ... schon klar ;)
Na ich schau mal ob zu meinem Mega-monster-hyper-passwort auch noch den ein oder anderen Port anpasse.

Danke :)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten