neue DS, nun wie macht man alles dicht ?

[ViperRt10]

Hallo Gemeinde!

neue DS, großes System, viele Daten, natürlich Backups usw.

nun lese ich und werde darauf aufmerksam gemacht, das so mancher schon Probleme hatte...
Gut, um dem vorzubeugen, was ist alles zu tun und zu prüfen, bin da noch etwas planlos, da ich kein Netzwerkspezi bin.
Also die DS ist gerade mal jungfräulich aufgesetzt.

ein Port Scan der DS-IP ergab: (1-60000)
80
139
443
445
548
3261-3265
5000
5001
6690
49160
was sind das alles für Ports, kann man rausfinden, welchen Programm oder welche Was? diesen Port benutzt?

Wie gehe ich da nun vor, kann ich mal alles kappen und bei bedarf öffnen?

Mein Intranet besteht aus einem Fritz 6890 LTE (4G), diversen Repeatern, alte DS214 u DS109, div. Mac und WinPC...
denke auch dass die Fritz geprüft und eingestellt gehört.

oder macht man generell bei der Fritz zu, was logisch wäre.
Scannen kann ich nur aus dem Intranet, wie weiß ich was aus dem Internet offen ist, oder ist das das Selbe?
53
80
443
5060
8182-8186
...
Bitte um konstruktive Hilfe! Danke!

 

[ViperRt10]

in der Fritz-Box unter Diagnose und Sicherheit steht, dass nur der VPN Zugang offen ist
warum können dann diverse Apps auf im Intranet befindliche Geräte zugreifen ???

alles was dann im Intranet hinter der Fritzbox offen ist, ist dann egal?

 

[Fusion]

Wenn du keine Portfreigaben in der Fritzbox vorgenommen hast, oder von Automatiken per uPnP hast vornehmen lassen, dann ist im Werkszustand kein LAN Gerät von extern direkt erreichbar, auch nicht die NAS.
Man muss immer "selber" aktiv werden.

warum können dann diverse Apps auf im Intranet befindliche Geräte zugreifen ???

Das musst du schon ausführen was "diverse Apps" sind und über welche Adressen / Ports die deiner Meinung nach zugreifen.

Der Verdacht liegt hier auf QuickConnect (auch selbst eingerichtet, nicht von Geisterhand).
Das läuft im Fall fehlender Portfreigaben über ein Relay-Dienst auf den Synology Servern (dein NAS zum Server (ausgehend) und Client zum Server (eingehend) werden dort zusammen gebracht).
https://global.download.synology.co...All/enu/Synology_QuickConnect_White_Paper.pdf
Alles im LAN ist nicht unmittelbar kritisch, aber auch hier ist Minimalismus, nicht zuletzt der Übersichtlichkeit zu Liebe empfehlenswert.
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
Bis jetzt sieht das aus nach
http/https 80/443
dsm 5000/5001
SMB/CIFS 139, 445
AFP 548
iSCSI LUN 3260-3265
Synology Drive 6690
49160 kann ich nicht zuordnen

Da kannst entweder funktionen ausschalten die du nicht benutzt.
Und wo das nicht geht kannst du die DS Firewall unter Systemsteuerung > Sicherheit hernehmen und den Zugriff nicht erlauben (also nur das Gewünschte unter LAN1 und den Rest verbieten).

 

[stefan_lx]

der Port 49160 hat was mit der Videostation zu tun (ffmpeg wrapper, synovpcd)

Stefan

 

[ViperRt10]

Apps... Bsp. Hue, von unterwegs kann ich Lampen ansteuern.

hab das noch gesichtet in der Fritz:

FRITZ!Box-Dienste​

Übersicht der geöffneten Ports für den Zugriff aus dem Heimnetz
Geöffnete Ports
Verwendete Protokolle
FRITZ!Box-Dienst
53
TCP (IPv4/v6), UDP (IPv4/v6)
Domain Name Service (DNS)
67
UDP (IPv4)
Dynamic Host Configuration Protocol (DHCP)
80
TCP (IPv4/v6)
Zugriff auf die FRITZ!Box Oberfläche (HTTP)
123
UDP (IPv4/v6)
Zeitsynchronisation (NTP)
443
TCP (IPv4/v6)
Zugriff auf die FRITZ!Box Oberfläche (HTTPS)
500
UDP (IPv4/v6)
VPN (IKE)
1900
UDP (IPv4/v6)
Simple Service Discovery Protocol (SSDP)
4500
UDP (IPv4/v6)
VPN (IPSec)
5060
TCP (IPv4/v6), UDP (IPv4/v6)
Telefonie (SIP)
5351
UDP (IPv4/v6)
Port Control Protocol (PCP)
5353
UDP (IPv4/v6)
Multicast Domain Name Service (mDNS)
5355
UDP (IPv4/v6)
Link Local Multicast Name Resolution (LLMNR)
7077
UDP (IPv4/v6)
Telefonie (RTP, RTCP)
8182
TCP (IPv4/v6)
FRITZ!Box Kindersicherung - Internetzugang gesperrt
8183
TCP (IPv4/v6)
FRITZ!Box Update Hinweis
8184
TCP (IPv4/v6)
FRITZ!Box Kindersicherung - Internetzugang gesperrt mit Ticket Eingabe
8185
TCP (IPv4/v6)
Zugriff auf den FRITZ!Box Gastzugang - Bestätigungsseite
8186
TCP (IPv4/v6)
Zugriff auf den FRITZ!Box Gastzugang - erfolgreiche Anmeldung
32973
TCP (IPv4/v6)
UPnP Client
33014
UDP (IPv4/v6)
DNS Client
33198
UDP (IPv4/v6)
DNS Client
33201
UDP (IPv4/v6)
Unbenannt
36712
UDP (IPv4/v6)
DNS Client
37286
UDP (IPv4)
Unbenannt
39816
UDP (IPv4/v6)
DNS Client
40526
UDP (IPv4/v6)
DNS Resolver
43094
UDP (IPv4/v6)
Unbenannt
44830
UDP (IPv4/v6)
DNS Client
45330
UDP (IPv4/v6)
DNS Client
45575
UDP (IPv4/v6)
DNS Resolver
45959
UDP (IPv4/v6)
DNS Client
46486
UDP (IPv4/v6)
DNS Client
48876
UDP (IPv4/v6)
DNS Client
49000
TCP (IPv4/v6)
UPnP
49200
TCP (IPv4/v6)
AVM Media Server
49443
TCP (IPv4/v6)
UPnP (HTTPS)
49557
UDP (IPv4/v6)
DNS Client
49573
UDP (IPv4/v6)
DNS Client
50694
UDP (IPv4/v6)
Unbenannt
51992
UDP (IPv4/v6)
DNS Client
52581
UDP (IPv4/v6)
DNS Client
53717
UDP (IPv4/v6)
DNS Resolver
53805
UDP (IPv4/v6)
AVM Mesh Discovery
54985
UDP (IPv4/v6)
DNS Client
55113
UDP (IPv4/v6)
DNS Client
55136
UDP (IPv4/v6)
DNS Resolver
55965
UDP (IPv4)
Unbenannt
56420
UDP (IPv4/v6)
Unbenannt
56928
UDP (IPv4/v6)
DNS Resolver
59695
TCP (IPv4/v6)
AVM Mesh
60102
UDP (IPv4/v6)
DNS Client

 

[the other]

Moinsen,
du musst erstmal grundsätzlich unterscheiden zwischen INBOUND (von außen kommender Traffic) und OUTBOUND (nach außen gehend).
Dass die Fritzbox von innen nach außen viel offen hat ist bei solchen Consumergeräten normal, denn jeder will von zu Hause alles möglich im Netz erreichen können auch ohne Studium. Willst du das nicht, brauchst du ne Firewall im Netz.
Von außen macht die FB erstmal alles zu. Punkt. Ohne eigenes Gefriemel passiert da nix. Wenn du allerdings im Netzwerk Geräte hast, die zB per UPnP auf den Router zugreifen und dort selber Portfreigaben einrichten, ist es wieder anders (der beliebt/berüchtigte Routerkonfigurationsdienst der Synology zb, sowas besser nicht machen).
Du kannst von außen scannen, was in der FB wirklich offen ist zB hiermit:
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
Außer VPN (wenn benötigt) sollte eigentlich alles zu sein (und bleiben).

Warum du Hue von extern erreichen kannst...keine Ahnung, bin kein Smarthome Mensch und lass die Finger davon, daher keine Ahnung. Kann sein, dass die via relay-Server arbeiten, ähnlich wie QuickConnect von Synology. Mal selber schlau machen.

Ich würde, wie @Fusion schon meinte, in der Syno alle Dienste deaktivieren, die ich nicht unbedingt brauche. Bedenke: das ist erstmal ein NAS und kein Server für alles...nur weil viel geht, muss nicht auch alles aktiviert werden. Weniger ist ja oft mehr.

Dann zusätzlich mal in die Funktion der Firewall auf der Syno einlesen, verstehen und dann umsetzen. Damit sicherst du weiter vieles ab.

Generell aber: deine Fritzbox macht in der Werkseinstellung dank NAT von außen kommend nix alleine auf. Von innen geht aber alles, weil der 08/15 Kunde das so will. Da geht auch nix mehr zu ändern, dafür brauchst du dann eben eine eigene/speziellere Routerlösung, etwa Draytek oder auch mit Firewall, etwa pfsense/opensense oder ne extra Firewall wie sophos usw. Mit denen kannst du dann auch den von innen kommenden Verkehr bei Bedarf durch Regeln blocken...

 

[ViperRt10]

hab nun auch den VPN deaktiviert, dh. die Fritz zeigt an, dass nix offen ist
dann den Heise-Scan gemacht mit allen möglichen Einstellungen:

 

[ViperRt10]

also alles dicht. somit erledigt.