Verstehe ich das jetzt richtig, es wäre besser wenn ich anstatt den 32400er den 4711 nehmen würde? Guten Morgen erstmal zusammen.
Zuletzt bearbeitet von einem Moderator:
Plex hat zu wenig Bandbreite
- Ersteller GRB
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Registriert
- 13. Juli 2019
- Beiträge
- 5.557
- Reaktionspunkte
- 2.495
- Punkte
- 259
Kenne mich beim Speedport jetzt nicht aus.
Aber das ist die Idee: Du nimmst einen hohen 5-stelligen Port als externen Port. Im Router leitest du ihn dann auf den anderen, „richtigen“ Port intern weiter. Könntest du auch auf der DS machen, ich finde es auf dem Router übersichtlicher.
Damit ist am externen Port zumindest nicht mehr erkennbar, welche Anwendung dahinter steht.
Das nennt man „Security by Obscurity“.
Es setzt voraus, dass man in der App, die man für den externen Zugriff verwendet der abweichende Port gesetzt werden kann.
Unabhängig davon ist der Reverse Proxy oder das VPN die deutlich bessere Lösung.
Vielen Dank für Deinen Ratschlag. Ich habe mich jetzt mal eingelesen und verstehe wie so ein Proxy funktioniert. Was ich jedoch zu meiner Schande gestehen muss weiß ich nicht wie ich so einen Reverse Proxy einrichten soll und wo dieser Proxy seinen Dienst verrichten würde. Nginx ist wohl so ein Proxy, ist es richtig das ich dann das nginx auf meinem Denian installieren müsste und dieser dann softwareseitig auf meinem Debian agieren würde?
Zuletzt bearbeitet von einem Moderator:
Synology DSM hat das schon mit drin. Siehe https://kb.synology.com/en-global/DSM/help/DSM/AdminCenter/system_login_portal_advanced?version=7
Danke, ich werde mich bei nächster Gelegenheit mal daran versuchen.
Zuletzt bearbeitet von einem Moderator:
Fachfrage, muss ich bei diesem Reverse Prox für jeden Port eine eigene Registerkarte erstellen? Und ist es richtig wenn ich in der Quelle zum Beispiel den Port 5000 habe ich im Ziel zum Beispiel 5099 eingeben muss. Jedenfalls einen anderen Port. Wo kann ich denn sehen welche Ports nicht für bestimmte Anwendungen reserviert sind?
Zuletzt bearbeitet von einem Moderator:
Ja, jede Anwendung braucht einen eigenen Eintrag. Der Unterschied ist nämlich, dass alles über den selben Port läuft. Es läuft dann alles über 443. Du musst nichts anderes mehr freigeben.
Wenn du z.B. DSM mit Port 500 freigeben willst, dann machst du einfach als Domain/URL: mein-dsm.meine-domain.de, Protokoll: HTTPS, Port: 443. Der untere Block ist dann. Protokoll: HTTP, Ziel: localhost, Port 5000. Wenn du das gemacht hast, dann kannst du einfach https://mein-dsm.meine-domain.de aufrufen und landest auf DSM und musst keine Ports freigeben. Wie die genaue Bezeichnung in der UI ist, weiß ich gerade nicht. Ich nutze diesen nicht.
Aber Achtung: Wenn du für jede Subdomain ein eigenes Zertifikat über die GUI holst, dann wirst du da auch Besucher bekommen, weil jedes Zertifikat was Lets Encrypt ausstellt, kann hier (https://crt.sh) eingesehen werden. Wenn du eine synologe.me Domain nutzt, dann hast du glaube ich eh ein Wildcard Zertifikat dabei. Wenn du eine eigene Domain nutzt, dann such mal nach acme.sh hier im Forum.
Wenn du z.B. DSM mit Port 500 freigeben willst, dann machst du einfach als Domain/URL: mein-dsm.meine-domain.de, Protokoll: HTTPS, Port: 443. Der untere Block ist dann. Protokoll: HTTP, Ziel: localhost, Port 5000. Wenn du das gemacht hast, dann kannst du einfach https://mein-dsm.meine-domain.de aufrufen und landest auf DSM und musst keine Ports freigeben. Wie die genaue Bezeichnung in der UI ist, weiß ich gerade nicht. Ich nutze diesen nicht.
Aber Achtung: Wenn du für jede Subdomain ein eigenes Zertifikat über die GUI holst, dann wirst du da auch Besucher bekommen, weil jedes Zertifikat was Lets Encrypt ausstellt, kann hier (https://crt.sh) eingesehen werden. Wenn du eine synologe.me Domain nutzt, dann hast du glaube ich eh ein Wildcard Zertifikat dabei. Wenn du eine eigene Domain nutzt, dann such mal nach acme.sh hier im Forum.
- Registriert
- 30. Dez. 2012
- Beiträge
- 18.014
- Reaktionspunkte
- 8.874
- Punkte
- 679
Ihr seid echt super, so viel Hilfe hatte ich noch nie. Ein dickes Danke an euch das ihr einen Vollhonk wie mich so tatkräftig unterstützt. Nichts desto trotz habe ich noch eine Frage. Ich habe meine Domains bei Strato liegen, dort gibt es ein Zertifkat inklusive. Weiß jemand wie ich an dieses Zertifikat komme? Oder reicht das wenn ich dieses Zertifkat dieser Haupdomain zuweise und ich gebe irgendwo meine Domain quasi als Zertifkatsname ein? Wie ihr euch denken könnt habe ich auch von Zertifikaten keinerlei Ahnung. Was den Reserve Prox betrifft so habe ich jetzt im Plex meinen Port geändert und Plex ist, welch eine Überraschung, von extern erreichbar. Zumindest zeigt man es mir so an, voller Fernzugriff. Habe jetzt aber nur mal per Handy und ohne WLAN darauf zugegriffen.
Meine Domain ist jetzt nur noch über eine gesicherte Verbindung erreichbar.
Ich habe jetzt mal nach "acme.sh" geschaut und dort schreiben, wie war es anders zu erwarten, die selben Gehilfen wie hier bei meinem Problem. Liege ich jetzt richtig das ich bei meinem Reverse Proxy als host meine eigene Domain eingebe und das dann das Strato Zerfikat benutzt wird?
Meine Domain ist jetzt nur noch über eine gesicherte Verbindung erreichbar.
Ich habe jetzt mal nach "acme.sh" geschaut und dort schreiben, wie war es anders zu erwarten, die selben Gehilfen wie hier bei meinem Problem. Liege ich jetzt richtig das ich bei meinem Reverse Proxy als host meine eigene Domain eingebe und das dann das Strato Zerfikat benutzt wird?
Zuletzt bearbeitet:
Nein, das Zertifikat muss auf dem Server liegen wo auch der Reverse Proxy drauf läuft. Mit acme.sh kannst du dir gratis Zertifikate erstellen lassen und zum Server deployen. Im Forum gibt es da auch Anleitungen für
- Registriert
- 26. Aug. 2013
- Beiträge
- 3.777
- Reaktionspunkte
- 1.335
- Punkte
- 194
Die Bots brauchen dafür nicht zwangsweise Ports. Das ist das was ich hier schon immer predige - aber irgendwie nicht ankommt.
Ein einfacher curl-Request auf Port 443 genügt, um DSM zu identifizieren. Die Antwort enthält charakteristische Redirects auf /webman/ oder /index.cgi sowie diverse Synology-spezifische Header und Cookies – ein eindeutiger Fingerprint, unabhängig vom konfigurierten DSM-Port.
Diese Methode mag vor 20 Jahren noch eine gewisse Schutzwirkung gehabt haben. Heutzutage existieren Tools wie Masscan oder Shodan, die ganze Netzbereiche in kürzester Zeit scannen und sämtliche offenen Ports ermitteln. Masscan schafft theoretisch das gesamte IPv4-Internet in unter 6 Minuten. Ein Angreifer kombiniert den initialen Fingerprint mit einem vollständigen Portscan und hat innerhalb von Minuten den durch DSM-Port verwendeten Port identifiziert.
Ein Non-Standard-Port filtert allenfalls opportunistische Script-Kiddie-Scans auf bekannte Standardports heraus – gegen einen gezielten Angriff ist er wirkungslos und vermittelt ein falsches Sicherheitsgefühl.
Guten Morgen Ulfhednir und an die anderen User,
wozu würdest Du denn dann raten?
wozu würdest Du denn dann raten?
Zuletzt bearbeitet von einem Moderator:
@Ulfhednir es ging erstmal nur um die nervigen Bots. Bei einem genau gezielten Angriff ist das natürlich was anderes.
Edit: wegen curl auf 443, ging ich davon aus, dass du auch den Reverse Proxy meinst. Ansonsten stimme ich dir natürlich zu, dass das Port verschieben nicht gegen gezielte Angriffe hilft. Jedenfalls bei DSM. Wenn die Anwendung nicht so einen herausstechenden Fingerprint hat, dann könnte es schon helfen....
Das habe ich hier schon oft gelesen bzw. in dieser Form. Woher hat der Bot aber die genaue Domain? Bei Wildcard DNS records und Wildcard Zertifikaten, kann er die nur erraten. Ich weiß nicht wie sich Synology verhält, wenn man eine Domain eingibt, die vom RP nicht verarbeitet wird. Aber normal sollte man nicht zurück geben was man für ein System ist.
Edit: wegen curl auf 443, ging ich davon aus, dass du auch den Reverse Proxy meinst. Ansonsten stimme ich dir natürlich zu, dass das Port verschieben nicht gegen gezielte Angriffe hilft. Jedenfalls bei DSM. Wenn die Anwendung nicht so einen herausstechenden Fingerprint hat, dann könnte es schon helfen....
Zuletzt bearbeitet:
- Registriert
- 13. Juli 2019
- Beiträge
- 5.557
- Reaktionspunkte
- 2.495
- Punkte
- 259
Deshalb oben mein Hinweis, dass „Security by Obscurity“ ein ziemlich schlechter Ansatz ist.
Eine direkte Portweiterleitung würde ich nur nutzen, wenn sie zwingend notwendig ist. Und dann die Firewall so einstellen, dass trennscharf nur genau diese Anwendung zugelassen ist. DSM sollte man auf keinen Fall so zugänglich machen.
Trotzdem sind VPN oder Reverse Proxy die deutlich besseren Lösungen.
Eine direkte Portweiterleitung würde ich nur nutzen, wenn sie zwingend notwendig ist. Und dann die Firewall so einstellen, dass trennscharf nur genau diese Anwendung zugelassen ist. DSM sollte man auf keinen Fall so zugänglich machen.
Trotzdem sind VPN oder Reverse Proxy die deutlich besseren Lösungen.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
