Sicherheitsberater / LAN-Dienste über Internet zugänglich

[sv1990en]

Hallo zusammen,

hat jemand eine Idee, wie ich diese Meldung im Sicherheitsberater weg bekomme (außer deaktivieren ;-))?
Wenn ich eine Firewall-Regel setzte, kann ich automatisch kein SFTP mehr nutzen.

Danke vorab für eure Ideen!

 

[Uwe96]

Woher weiß der Sicherheitsberater denn dass im Router die Ports weiter geleitet werden?
Ich würde SSH aber auch nur per VPN von Außen nutzen. Da hat der Berater schon recht.

 

[Benares]

Vermutlich nutzt @Mav UPnP zur Konfiguration der Firewall auf seiner FritzBox

 

[Fusion]

Denke nicht. Denke die Ports sind mit Absicht offen.

Aber wenn er ssh im Router freigegeben hat und SSH in der DS firewall blockiert.... Oh Wunder ftp over ssh (sftp) geht dann halt nicht mehr.

Bleibt nur die Prüfregeln anzupassen, wenn man die Meldung nicht sehen will und sftp von außen nutzen will zur gleichen Zeit.

 

[Benares]

Meine Antwort war eher an @Uwe96 gerichtet, woher der Sicherheitsberater wissen könnte, dass ssh weitergeleitet wird.
Man kann die FB-Firewall ja auch indirekt auf der DS konfigurieren.

 

[Fusion]

Wenn er die Syno Server kontaktiert und fragt: hey, bin ich auf Port 22 erreichbar z.b.
Wenn der DSM die Freigabe selbst einrichtet gebe ich dir recht, dann weiß es auch der Sicherheitsberater direkt.

 

[sv1990en]

Woher weiß der Sicherheitsberater denn dass im Router die Ports weiter geleitet werden?
Ich würde SSH aber auch nur per VPN von Außen nutzen. Da hat der Berater schon recht.

SSH ist deaktiviert und Port 22 auch nicht auf der Fritz!Box weitergeleitet.

Vermutlich nutzt @Mav UPnP zur Konfiguration der Firewall auf seiner FritzBox

Keine automatische Routerkonfiguration eingerichtet.

 

[Benares]

Also bei mir ist ssh auf der DS aktiviert, sftp auch, im Router ist nichts weitergeleitet. Auf der DS ist die Firewall aus, im Sicherheitsberater ist dieser Test auch aktiviert, aber er mault nicht. Kann dir also leider nicht helfen.

Edit:
Evtl. mault er, weil Port 22 offen ist und nennt es nur ssh

 

[Stationary]

rsync hat doch auch standardmäßig als Porteintrag die 22 in der Diskstation (Encryption Port), oder?

 

[sv1990en]

Hat hierzu noch jemand eine Lösung? Die Meldung kommt immer noch vom Sicherheitsberater.

 

[Benie]

Du könntest ja mal den Synology Support kontaktieren

 

[sv1990en]

Habe ich jetzt auch gemacht, mal abwarten ...

 

[sv1990en]

Das sind die Antworten vom Synology-Support auf meine Frage:

23.09.2022
Deaktivieren Sie den Port 22 unter Systemsteuerung>Terminal>enable ssh.
Kontrollieren Sie auch die Portweiterleitungen am Router. Schliessen Sie nicht unbedingt notwendige Portweiterleitungen.
Aktivieren Sie falls nötig die Firewall an der Nas.

26.09.2022
Bei einem Portscan wir auch der geänderte Port als offener entdeckt. Der Dienst ansich ist erreichbar,d as will die Meldung sagen.
Beim Sicherheitsberater können Sie unter erweitert die Dineg abstellen, die Sie nicht geprüft haben möchten.
https://kb.synology.com/de-de/DSM/help/DSM/SecurityScan/securityscan_advanced?version=7

26.09.2022
Warum eine verschlüsselte SFTP-Verbindung als Risiko eingestuft wird?
der Grund hierfür ist mir derzeit nicht bekannt.

28.09.2022
Mit den Sicherheitshinweisen geht man insgesamt sensibler um. Sobald es eine Auffälligkeit gibt wird diese gemeldet. falls Sie dies nicht wünschen dann können Sie dies wie vorher beschrieben abstellen und die Benachrichtigungseinstellungen verändern.

Bedeutet also, dass das normal ist und die Prüfung einfach abgestellt werden soll

 

[w00dcu11er]

Wenn du dir nicht sicher bist, kannst du sie nochmals durchlaufen lassen. Wenn alles ok ist, dann ja.