Toggle sidebar

DSM 6.x und darunter Kann man das Erreichen der Management-Seite verhindern?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
A

Anoxx

Benutzer
Registriert
25. Jan. 2008
Beiträge
60
Reaktionspunkte
0
Punkte
0
Wie kann ich verhindern, dass externe User nicht auf die Managementseite umgeleitet werden?
Konkret: Wenn ich einem bekannten meine DNS von DYNDNS mitteile um z.B. auf meine Photosammlung zuzugreifen (z.B mit http://meineadresse.net/photo) kommt er automatisch zur Managementseite wenn er die Adresse ohne ".../photo" eingibt. Kann man dies unterbinden?

Es soll also ausschliesslich möglich sein, die Adresse mit ".../photo" aufzurufen. Alles andere, also ohne ".../photo" oder "...:5000" soll nicht möglich sein.

Ist es möglich die Managementadresse "...:5000 bzw. ...:5001" zu ändern? Somit könnten ungewollte Externe versuchen, bewusst auf meine Managementseite zuzugreifen, weil die Endung "...:5000/1" standartmäßig immer dorthin führt (wenn sie denn die DNS herausbekommen würden, was sicherlich nicht das Problem sein sollte).

Gruss - Anoxx
 
Du musst nur eine index.htm oder index.php ins Hauptverzeichnis "web" legen. Dann wird diese bei Aufruf von http://deineDNS statt der Umleitung geladen. Alle anderen Adressen führen zu einer Fehlerseite ("Seite nicht gefunden").

Trolli
 
@ Trolli:
Danke für den Tip. Jedoch kann ich damit nicht verhindern, dass bei Eingabe der DNS mit "...:5000" die Managementseite aufgerufen wird. Wie kann ich das Verhindern? Deswegen auch die Frage nach einer Änderungsmöglichkeit der Managementadresse "...:5000" (wie es z.B. bei Qnap möglich ist).

Anoxx
 
du solltest ohnehin nur den port für die photostation offen lassen, dann kommt auch niemand auf :5001 oder :5000 rein.

Oder sehe ich das falsch?
 
... und wie komme ich dann von Außerhalb auf die Managementseite?

Anoxx
 
Genau. Wenn Du nicht möchtest, dass man von "draussen" auf das Management zugreifen kann, kannst Du einfach die Portweiterleitung entfernen.

Falls Du einen anderen Port bevorzugst (aber da kommt man natürlich genauso drauf), kannst Du den Port im Router umsetzen lassen, z.B. von 6000 extern auf 5000 intern. Eine Änderung des Ports auf der DS ist nicht möglich.

EDIT: Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.

Trolli
 
wobei die meisten sagen müssten: Zugriff auf das Management ist in den wenigsten Fällen nötig. Die Dienste richtet man einmal ein, neue Ordner erstellt man in vorhandenen "Transfer"-Ordnern... mehr braucht man gar nicht von unterwegs, wenn man täglich auch sonst dran kann.

Wer mehr weg ist, evtl schon.
 
Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.
Zum Vergrößern anklicken....

Natürlich hast Du Recht. Nur wenn allgemein bekannt ist, dass die Synology-NAS ausschliesslich "...:5000" bzw. "...:5001" für die Managementseite benutzen, ist es einfacher darauf zuzugreifen, als wenn es tausende mögliche Ports geben würde. Eine Hürde mehr für externe ;)

Das mit dem umleiten von z.B. 6000 auf 5000 werde ich mal versuchen - danke für den Tip. Noch besser wäre es, wenn man dem :5000-er Port einen Namen zuteilen könnte (z.B. http://meineDNS/meineManagementseite1*&tf-safe) den dann bestimmt keiner mehr so schnell rauskriegen könnte. Natürlich müsste dann ausschliesslich dieser Name funktionieren, und nicht noch zusätzlich "...:5000". Und wieder eine Hürde mehr...:)

Anoxx
 
...Ja. Aber es merkt ja zunächst mal nicht jeder, dass Du eine Synology Station einsetzt. Und wenn man das weiss, kennt man ja noch nicht automatisch die Sache mit Port 5000 / 5001. Und wenn jemand die Energie aufbringt, sich die Bedienungsanleitung Deiner eingesetzten Hardware durchzulesen, um rauszubekommen, wie man auf das Management zugreift, dann wird er bestimmt auch noch auf die Idee kommen, auf Deiner Adresse einen Portscan durchzuführen, um zu sehen, wie man sonst noch reinkommen könnte.
 
Ist halt alles eine Frage von Aufwand und Nutzen. Der Nutzen wäre in diesem Fall mit sehr wenig Aufwand verbunden (würde es die DS auch unterstützen). Und jede weitere Hürde die dem Eindringlich geboten wird - vor allem ohne zusätzliche Kosten und mit minimalem Aufwand - ist es wert. Ist natürlich keine Garantie, aber ist es im leben nicht immer so?

Aufjeden Fall bin ich jetzt etwas schlauer als vorher, und das reicht mir erst mal - danke.

Gruss - Anoxx
 
Bedenke: wenn jemand WIRKLICH in dein Netz will, lässt er eh mal einen Portscan laufen. Er weiss, dass du 6000 benutzt, bevor er weiss, dass eine DS drauf horcht.

Wähle die offenen Ports mit Bedacht, und gerne auch abwegige Zahlen, wenn du 5000 nicht willst - aber rammel alle anderen zu und benutz anständig sichere Passwörter.

So kann wenig passieren.
 
So werde ich es machen - danke für die Hilfe.

Gruss - Anoxx
 
@Anoxx,

ist dein Router von außen zugänglich? Ich meine das Administrationsmenü?
 
... jetzt nicht mehr, da ich die Ports 5000 und 5001 im Router nicht mehr durchleite. Port 80 ist (noch) offen...
 
er frag nach dem Admin-Menu des Routers, nicht nach dem der DS...
 
Oh - sorry. Ich denke nicht? Wie erfahre ich das?
 
Steht irgendwo in deinem Router-Handbuch.

Normalerweise macht man die Konfiguration nicht nach außen hin auf. Aber wenn, dann könnte man immer mal die Ports auf- und zu machen, je nach Bedarf. Wenn du das ja sowieso machen würdest, dann wäre diese Idee auch ein Lösungsansatz. Wenn nicht, dann vergiss es einfach.
 
Danke für den Versuch. Aber ich denke, dass sinnvollste ist den Port einfach geschlossen zu halten. Normalerweise muss man ja auch nicht dauernd in den DS-Adminbereich, und wenn, dann direkt über das LAN zu Hause.

Anoxx
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten