Toggle sidebar

Öffentliche Website auf DS216 - Sicherheit

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
A

ADB83

Benutzer
Registriert
25. März 2017
Beiträge
22
Reaktionspunkte
0
Punkte
1
Guten Tag.

Gerade frisch bin ich neuer Besitzer einer Synology DS216+II.
Gerne würde ich meine Daten zentral lagern und von extern darauf zugreifen und gleichzeitig eine kleine HTML-Website online verfügbar machen, die nicht nur im lokalen Netzwerk zur Verfügung steht. Auch nicht registrierte Benutzer sollten diese Website ansehen dürfen.
Nach anfänglicher Recherche zeigt sich als Anfänger eine leichte Unsicherheit und gleichzeitig eine Unsicherheit.
Es ist mir zwar gelungen, die persönliche Website über DDNS (xxxxx.myDN.me) über Port 80 zu erreichen. In meiner Fritzbox habe ich eine Portweiterleitung auf Port 80 aktiviert und gleichzeitig in meiner DiskStation die Anwendung "Web Station" (Port 80) weitergeleitet. Über HTTPS (443) konnte ich keine Verbindung herstellen.

Es ist nicht so, dass ich extrem wichtige Daten auf meiner Diskstation speichere und trotzdem möchte ich nicht, dass von Unbekannten darauf zugegriffen werden kann.
Entsprechend meine Frage: Wie sicher ist die ganze Sache und welche Einstellungen müsste ich anpassen, um ein sicheres System zu erhalten?
Ist eine öffentliche Domain (www.xxxxxxxx.com) dem DDNS zu bevorzugen?

Entschuldigt bitte, wenn meine Anfänger-Fragen evtl. keinen Zusammenhang bilden sollten... :)
 
Willkommen im Forum.

Prinzipiell sind Systeme welche im Internet hängen potential angreifbar.
Das liegt in der Natur der Sache.
Die Webserver auf der Synology (Apache/nginx) gelten aber als relativ sicher.
Die Ereichbarkeit der übrigen Dienste welche Du von extern benötigst kannst Du auch über benutzerdefnierte Ports oder Aliases umsetzen.
Es gilt aber: Je weniger desto besser. Auch auf Plaintext HTTP über Port 80 würde ich komplett verzichten.
Die persönliche Web Station brauchst Du nicht, außer Du hast mehrere User auf der NAS welche ihre eigene Homepage veröffentlichen wollen.
Ich persönlich bevorzuge eine eigene Domain als irgendeine DynDNS.
Das hat aber mit der Sicherheit nichts zu tun.
 
Hallo rednag und besten Dank für deine Rückmeldung.

rednag schrieb:
Die persönliche Web Station brauchst Du nicht, außer Du hast mehrere User auf der NAS welche ihre eigene Homepage veröffentlichen wollen.
Zum Vergrößern anklicken....

Wie meinst du das genau? Eigentlich möchte ich momentan nur eine HTML Seite im www veröffentlichen. Dafür benötige ich die Web Station nicht?

Wie ich gerade auch bemerkt habe, sind über den DDNS-Link auch die gemeinsamen Ordner (z.B. xxxxxxx.myDS.me/photo) erreichbar. Kann dies noch irgendwie unterbunden werden? Bei den Berechtigungen habe ich nichts gefunden.

Zudem: Was muss ich eigentlich für Nameserver eingeben, wenn ich die HTML-Datei auf meinem NAS über eine Domain erreichen möchte? Wo kann ich diese finden?
 
So, sorry für die Verspätete Rückmeldung.
Ich habe von der "Persönlichen" Web Station gesprochen. Dies wird für Dein Vorhaben nicht benötigt.
Welche Einträge bei den Nameservern meinst Du? Normal leitet ja der DynDNS auf die DS weiter. Alternativ mit einer eigenen Domain via CNAME-Records.
Diese werden üblicherweise dort gesetzt, wo die Domain registriert ist.
 
Jetzt habe "ich" mir zeit gelassen, hatte noch anderweitiges zu tun... :D

Meine persönliche Website auf der DS kann ich nun über die DDNS-Adresse über den Port 443 erreichen.
Da ich diese Website auch anderen zugänglich machen möchte, frage ich mich nach wie vor über den Aspekt "Sicherheit". Wie leicht könnte ein "Profi" an meine Daten ran.
Die Website ist kein geheimes Projekt. Es würde mich nicht stören, wenn sie andere sehen würden, doch meine persönlichen Daten möchte ich möglichst bei mir behalten.

Gibt es sonst noch Sicherheits-Tipps, die man mir empfehlen kann?

Gruss
ADB83
 
Die Webseite liefert ja der Webserver von /web aus.
Die gemeinsamen Ordner sind dadurch ja nicht zugänglich.
Um dem Webserver aber die Möglichkeit zu geben auch auf andere Ordner Zugriff geben zu können werden diese in der PHP_OpenbaseDir eingetragen.
Per Default hat der Webserver (Gruppe http) aber nur Zugriff auf /volume1/web.
 
Also praktisch hast Du da erstmal kein Problem! Der Webserver ist erstmal nur einer unter vielen, so daß Du da kaum jemandem eine Angriffsfläche bietest! Umgedreht gesehen und Deine Seite gäb es gar nicht, dann müsste man ja hingehen und meinen, dass alle Webserver hier draußen gefährdet seien!

Die Grundregeln bleiben aber nach wie vor:

- für jeden User (die User der Admin Gruppe im Speziellen) gut gewählte und lange Passwörter verwenden
- nur die Dienste nach außen hin anbieten, die wirklich nötig sind // keine zusätzliche Angriffsfläche durch unsinnige und nicht genutze Services bieten
- den Zugriff auf die administrative Umgebung (das DSM) nicht von außen verfügbar machen
- im Router nur die Ports für die genutzten Services durchleiten // alles andere blocken lassen
- zusätzlich an der DS noch die Firewall aktivieren und konfigurieren
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten