Toggle sidebar

Risiko hoch? Port 5000

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Z

Zebra

Benutzer
Registriert
06. Feb. 2012
Beiträge
12
Reaktionspunkte
0
Punkte
0
Hallo, gerne würde ich per Android auf meine Musik auf der DS212 zugreifen können. Dazu müsste ich den Port 5000 weiterleiten, oder? Ist das wirklich so risikoreich oder kann man das machen? Warum muss man dazu unbedingt den Port 5000 weiterleiten? Gibt es vielleicht eine sicherere Variante für einen Laien?
Danke.
 
Wie wärs über VPN, dann brauchst Du den 5000 port nicht freizugeben. Nachdem Du Dich ins VPN eingewählt hast, kannst Du auf alle "lokalen" Services zugreifen. Du solltest allerdings für Deine VPN-User ein starkes Password zur Anmeldung verwenden, denn Android unterstützt out of the box nur pptp und kein openVPN, wo man mit Hilfe eines Zertifikats das VPN absichern könnte.
 
Danke. Klingt leider sehr kompliziert. Da werde ich mich wohl mal schla machen müssen.
Gruß
Tobias
 
oder benutz https (default port 5001). dann ist das ganze wenigestens verschlüsselt.
zudem würde ich dir empfehlen den port nach außen auf einen anderen port zu legen. also von außen über z.b. port 8246 nach innen 5001. damit machst du es einem potenziellen angreifer noch schwerer.
 
@phask
das Ändern von Ports bringt bestenfalls Scheinsicherheit :-) Offene TCP Ports hat man mit einem Scanner sehr schnell gefunden. Zudem musst du bei der Wahl des neuen Ports auch aufpassen: Wenn du nämlich einen Port verwendest der z.B. zu einer verbreiteten Software gehört (die ggf noch für ausnutzbare Lücken bekannt ist), dann hast du sogar eher noch mehr Besuch ;-)
 
Trotzdem ist der Aufwand aber ungemein grösser für die scannende Zunft wenn der Port eben nicht 22 (SSH) oder was auch immer ist, sondern 54321. Weil diesen Aufwand eben nicht viele treiben, werden halt die std. Ports abgeklappert und gut is. IMHO.
 
thedude schrieb:
Trotzdem ist der Aufwand aber ungemein grösser für die scannende Zunft wenn der Port eben nicht 22 (SSH) oder was auch immer ist, sondern 54321. Weil diesen Aufwand eben nicht viele treiben, werden halt die std. Ports abgeklappert und gut is. IMHO.
Zum Vergrößern anklicken....

Sehe ich auch so.
Zumal, wenn man einen 'seltenen' Port aus dem 5xxxx Bereich nutzt, dann geht noch lange nicht jeder Scanner so hoch. Im Übrigen steht die Port-Nummer in keinem Zusammenhang mehr mit der Anwendung, die dahintersteckt. Es wird also schon schwerer so, zumindest für irgendwelche Automatismen, die offene Ports nach Standardalgorithmen suchen.
Macht sich jemand die Mühe, mal ganz genau bei dir vorbeizuschauen, dann hilft es auch nicht viel mehr als der Standardport.
 
Und wie läuft das mit iOS? Was ist hier in der Regel empfehlenswert? iOS kann L2TP, PPTP und IPSec. Mein Router kann auch das alles. Ist es sinnvoller über die offenen Ports zu gehen oder über VPN? Gibt es Geschwindigkeitseinbußen dabei?
 
@puppetmaster
Verbindung auf den Port aufbauen, Serverantwort auswerten und du weisst was das für eine Applikation ist. Bei ssh noch einen Schlüssel mitschicken, damit das Protokoll antworten muss
Ich logge auf meinen Server regelmässig Portscans und die gehen definitiv über 1024 hinaus und das sehr häufig
Möchte ja ned sagen, dass es nichts bringt, aber im Gegensatz dazu bietet eine Firewall/Rechtesystem echte Sicherheit und "Ports-verstecken" bestenfalls Scheinsicherheit. du sagst ja selber man muss nur etwas genauer schauen. Und sind wir ehrlich, vom 0815-Script-Kiddy musst du eh keine Angst haben. Und gegen einen gezielten Angriff hilft das Verstecken nicht die Bohne
 
Mindestens die IP-Blockierung einschalten (Im DSM => Systemsteuerung => Automatische Blockierung). Z.B. bei 3 Versuchen sperren...
 
virtubit schrieb:
Mindestens die IP-Blockierung einschalten (Im DSM => Systemsteuerung => Automatische Blockierung). Z.B. bei 3 Versuchen sperren...
Zum Vergrößern anklicken....
full ack. Das bringt viel mehr als das Verstecken von Ports
 
Zebra schrieb:
Hallo, gerne würde ich per Android auf meine Musik auf der DS212 zugreifen können. Dazu müsste ich den Port 5000 weiterleiten, oder?
Zum Vergrößern anklicken....

Ich geh mal davon aus, das du über die DS-Audio App. auf deine Musik zugriefen möchtest, richtig? Dann brauchst du den Port 5000 eigentlich garnicht weiter zu leiten. Du kannst im DSM unter Systemsteuerung/Applikationsportal einen frei wählbaren Port bzw. Aliasnamen für die AudioStation wählen. Zur Standardauswahl wird dir der Port 8800 (http) oder 8801 (https), angeboten, oder halt ein Aliasname!

So umgehst du die Weiterleitung des Port 5000 bzw. 5001 und somit die evtl. Gefahr das jemand über diesen Port auf deine DS kommen könnte!

Tommes!
 
jahlives schrieb:
full ack. Das bringt viel mehr als das Verstecken von Ports
Zum Vergrößern anklicken....

Ja, auch das sehe ich so. Aber warum nicht kombinieren?
Im Übrigen zeigt sich auch sehr deutlich, wenn ich SFTP über Port 22 betreibe habe ich alle paar Stunden "Besuch", seit das aber bei mir auf einem gänzlich anderen Port läuft, ist seit Wochen Funkstille! Also noch lange nicht jeder scannt automatisch in diesem Bereich. - Ich habe es auch schon in einem anderen Thread geschrieben: vielleicht nutzt man ja auch den Ruhezustand der Platten und möchte nicht, daß die alle 2 Stunden durch nen Portscan geweckt werden.
 
@puppetmaster
an das Wecken der Platten habe ich jetzt gar ned gedacht. Gutes Argument.
Aber ich stell die Frage mal so: Was bringt mehr Sicherheit? Ein DSM auf Port 5000 mit einem 16 stelligen PW oder einer auf Port 58921 mit leerem admin PW? Ich könnte mir vorstellen, dass mit versteckten Ports gewisse User glauben weniger komplexe PWs verwenden zu müssen und dann wäre das verstecken sogar ein "Weniger" an Sicherheit ;-)
 
Am besten: Nur Port 22 auf, den Rest mit einem SSH-Tunnel benutzen :)
 
Hallo,
http überträgt das Passwort base64 codiert, also für jeden decodierbar egal wie lang das Passwort ist.

Gruß Götz

Edit: oder so, ist aber nicht jedermanns Sache bzw. Können.
 
@goetz
ein ManIntheMiddle ist aber etwas aufwändiger als ein Bruteforceangriff auf ein PW. Klar ist https besser, aber https bringt dir bei leerem PW genau gar nichts in Bezug auf die Sicherheit. Es ging mir nur drum zu zeigen, dass das PW viel viel wichtiger ist als der Port wo der Dienst letztlich drauf läuft ;-) Noch besser gar keinen Dienst nach aussen, der mit root Rechten läuft und damit gar kein DSM von aussen

Gruss

tobi
 
Man in the middle ist ganz easy. Gibts Apps für Android die ich hier nicht nenne. Oder an unencrypteten WLANs genauso.
 
ubuntulinux schrieb:
Man in the middle ist ganz easy.
Zum Vergrößern anklicken....
Ja klar wenn man weiss wie. Und das ist sicher nicht der Regelfall, auch nicht an jedem (unencrypteten) WLAN ;-)

OpenVPN nutzen wenn möglich. Und wenn das nicht geht dann halt den Port auf 55428 auf 5001 umleiten _nur_ mit https plus IP-Blockierung aktivieren. Starke Passwörter nutzen und den admin deaktivieren. Ich würde sagen dass man dann sicher genug ist...
 
Ganz wichtig bei HTTPS ist auch, man sollte das Zertifikat anschauen bevor man eine Ausnahme hinzufügt. Sonst könnte ein Angreifer irgendein Zertifikat vorzeigen und trotzdem eine MITM machen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten