Sicherheit / SSL / https

[MatCH]

Hallo zusammen

Ich habe mich durch diverse Forumeinträge und Tips durchgearbeitet und bin leider nicht wirklich weiter gekommen...

Ich habe eine DS509+ auf welcher Mailserver, Mailstation, Audiostation, Videostation usw. läuft.
Nun möchte die sicherheit erhöhen und habe dafür SSL eingerichtet. Funktioniert soweit.

Ich möchte aber möglichst nur noch SSL verbindungen zulassen. Wie schaffe ich es, dass all die Apps automatisch und nurnoch über https und ssl funktionieren?
Wenn ich jetzt die Domain eingebe mit http wird nicht auf https umgeleitet (Port 80 und 443 im Router weitergeleitet an DS). Beim DSM wird automatisch auf 5001 umgeleitet (werde aber in Zukunft nurnoch Port 5001 weiterleiten).
Mailstation ist auch auf beide Varianten erreichbar. Auch da möchte ich, dass automatisch die sicherere Verbindung gewählt wird. USW....

Kann mir da jemand helfen und ev. etwas Licht ins Dunkle bringen?

Danke

Gruss

Mathias

 

[itari]

also intern wäre es etwas übertrieben, aber für den Zugriff aus dem Internet sollte man sich schon solche Überlegungen machen. Meist sieht dann ein Sicherheitskonzept zweistufig aus:

1) am Router werden die Port-Weiterleitung (Portnummer) nur noch auf sichere Ports zugelassen oder ganz dicht gemacht (z.B. stellt sich die Frage, ob man überhaupt auf den DSM vom Internet aus zugreifen sollte - also 5001 einfach nicht weiterleiten)

2) die Firewall auf im DSM wird aktiviert und gepflegt

Itari

 

[MatCH]

Hoi Itari

Ja, intern ist es wirklich übertrieben. Es geht aber darum aus dem Web zuzugreifen.
DSM muss aus dem Netz nicht zwingend erreichbar sein. Aber die Audiostation verwendet ja den selben Port (5000)...
Kann Audio- und Videostation auch über ssl erreicht werden und wie bringe ich Port 80 dazu auf 443 umzuleiten?
Ebenfalls soll die Mailstation nur über https erreichbar sein. Es soll aber keine Rolle spielen, ob http oder https oder schlicht nur domain.xyz eingegeben wird im Browser....

Vielen Dank für die Hilfe.

Gruss

Mathias

 

[tomtom00]

Hast du schonmal unter "Systemeinstellungen" -> "Applikationsportal" geschaut?
Dort kannst du z.B. für die AudioStation auch benutzerdefinierte Ports erstellen.

Ich hatte es so gelöst, dass ich der AudioStation dann z.B. den Port 8801 (HTTPS) zugeordnet habe und diesen dann dementsprechend für die Portweiterleitung benutzt habe.
So musst du nicht zwingend den 5000/5001 Port öffnen, kannst aber dennoch ohne Probleme auf die AudioStation zugreifen.
Das müsste doch schonmal ein Problem von dir lösen oder?

Gruß

 

[MatCH]

Hey, Cool

Ja somit wäre ein Problem gelöst. Da habe ich gar noch nicht hingeschaut

Nun bleibt aber noch das problem, dass für den Webserver und die Diskstation immer explizit https in der Adresse vorangestellt werden muss.
Wie kann ich das ändern, dass egal ob http, https oder einfach ohne Vorsatz über Port 443 und SSL auf die DS zugegriffen wird?
Im Router kann ich da leider nichts definieren (NAT).
Es müsste doch möglich sein, den Port 80 einfach auf 443 umzuleiten?

Gruss

Mathias

 

[tomtom00]

Hast du schonmal hier geschaut:

Systemeinstellungen -> Webdienste -> HTTP-Dienste

Und dann unten "HTTPS..." aktivieren.

Dann werden alle HTTP-Requests automatisch auf HTTPS geleitet. Sprich: Ich tippe bei mir im LAN http://NameDerDS ein und komme zu httpS://NameDerDS

Das klappt bei mir auch von Extern.

 

[MatCH]

Hallo

Ja, https ist natürich eingeschaltet und die automatische Umleitung auch. Die funktioniert aber nur für Port 5000 auf 5001.
Port 80 wird nicht auf https umgeleitet. Nur für Webseiten würde es ja mit einem Skript gehen. Aber für die Mailstation soll es ja auch gelten...
Wie gesagt, https und ssl funktionieren. Nur müssten Anfragen die über Port 80 kommen auf https und ssl umgeleitet werden.
Wie krig isch das hin?
???

Gruss

Mathias

 

[jahlives]

wenn du auf Port 80 https sprechen willst musst du auch https:// vornedranstellen. Von alleine kommt der Browser nicht drauf auf Port 80 SSL zu sprechen

 

[MatCH]

Ok... Schade.

Naja... Wird auch so gehen...

Danke

 

[rufus]

Hallo,

darf ich das Thema nocheinmal ansprechen? Habe im Forum bislag keine Lösung gefunden.

Ich habe es bislang genauso gemacht wie beschrieben - alles über SSL, Port 5001 nicht weitergeleitet, Alternativport für Audio. Funktioniert auch soweit.

Nun möchte ich, da ich häufiger unterwegs bin, doch von extern auf den DSM zugreifen (über DS Finder od. DS mobile). Dabei ist mit aufgefallen dass bei Eingabe der Adresse (https://meineDS.irgendeindyn.org) ohne Portspezifikation wie :7001 oder angehängte Dienstpspezifizierung wie /mail immer auf die DSM, Port 5001 weitergeleitet wird. Und zwar nur bei deaktivierter WebStation. Bei aktivierter Webstation wir die hinterlegte index.htm ausgeliefret. Im Router ist sowohl Port 443 als auch 5001 an die DS weitergeleitet. Bei Eingabe einer https Adresse läuft die doch über Port 443, oder? Es findet demnach bei deaktivierter Webstation eine DSM-Interne Um- oder Weiterleitung von Port 443 auf Port 5001 statt.

Diverse Vorschläge im Forum mit einer Index.php oder Index.htm funktionieren ja nur bei aktiver Webstation. Diese will ich aber nicht aktivieren. Habe mir auch durchegelesen, dass es sowohl ein Apache sever für Webseiten (443) und DSM (5001) gibt und man da direkt eingreifen kann. Es muss doch aber auch einfacher gehen.
Wie kann ich bei deaktivierter WebStation diese automatische Umleitung verhindern?
Weis jemand Rat? oder habe ich eine Einstellmöglichkeit übersehen?
Besten Dank

Rufus

 

[itari]

guck mal: /etc/syno/apache/conf/extra/httpd-ssl.conf-sys

Itari