Toggle sidebar

DSM 7.2 Synology Zertifikat - selbstständig eingebunden

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

M

mysteria

Benutzer
Registriert
20. Feb. 2022
Beiträge
127
Reaktionspunkte
69
Punkte
78
Hallo, ich hoffe ich darf noch einmal eine Verständnisfrage zu meiner neuen DS224+ stellen. Ich stehe ganz am Anfang und habe aktuell eine Frage zu einem Zertifikat. Ich installierte auf meinem iPad die Synology App DS File. Mit dem ersten Start konnte ich nur eine Verbindung über HTTPS aufbauen, obwohl ich im heimischen Netz war. Der Schalter zum deaktivieren lies sich nicht umstellen. Unmittelbar nach dem Verbindungsaufbau über DS File zu meiner NAS wurde automatisch ein Zertifikat von Synology.com auf meinem NAS abgelegt. Ein weiteres Zutun war nicht erforderlich. Als ich mich heute mit dem Import eines Zertifikats etwas auseinandergesetzt habe, waren die Wege ein Stückweit umfangreicher bzw. mit dem Hinterlegen von weiteren Informationen verbunden. Frage: Ist dieses Synology Zertifikat ok und sicher oder sollte ich besser eines von Let's Encrypt importieren? In diesem Zusammenhang meine ich jedoch gelesen zu haben, dass zur Verifizierung der Port 80 freigegeben werden muss. Ist das nicht auch ein Sicherheitsrisiko? Ihr seht, ich bin etwas überfordert.

Vielleicht kann mich jemand unterstützen. Das wäre sehr lieb von euch Profis.

VG
 
Hi mysteria,

was hast du denn vor und wofür soll das Zertifikat eingesetzt werden?

Anm.: DS File funktioniert wunderbar mit http, so lange du im LAN bist und keinen Zugriff von außen benötigst.

Grüße
kw
 
  • Like
Reaktionen: maxblank
Hallo *kw*,

vielen Dank! Aktuell nutze ich das NAS nur im eigenen Netz. Ich weiß, dass hier http über den Port 80 ausreichend ist. Von unterwegs setze ich einen VPN ein. Von daher alles gut. Was noch alles kommt, beispielsweise ein externer Cloud Zugriff über QuickConnect für die Mädels oder was auch immer, kann ich heute noch nicht sagen. Ich möchte mich erst Schritt für Schritt herantasten sowie das eine oder andere verstehen lernen. Die Möglichkeiten sind ja umfassend.

Auch wenn ich das Zertifikat aktuell noch nicht benötige, wollte ich erst einmal nur grundsätzlich wissen, ob ich das Synology Zertifikat einfach so eingebunden lassen kann. Da ich über einen eigenen Domainnamen mit einem Let's Encrypt Zertifikat verfüge, stellte sich für mich halt die Frage, ob man in puncto Sicherheit für spätere Szenarien ggf. Vorteile gegenüber dem Synology Zertifikat hat. Im Moment geht es mir primär darum, mehr Wissen anzueignen und Dinge verstehen lernen.

Dennoch keine Bange, ich werde jetzt nicht zu allen Themen hier eine Frage einstellen ;) . Ich lese mich wirklich zuvor erst viel ein.

LG
 
  • Like
Reaktionen: *kw*
Klingt schon mal nach einem guten Ansatz. :)

Egal, was man mit der Kiste umsetzt, stellt sich grundsätzlich immer die Frage, inwieweit ein externer Zugriff wirklich vonnöten ist und man die DS "offen" ins Netz stellen möchte. Je weniger, desto besser. Manchmal ist die Umsetzung über einen Webhoster besser, günstiger und sicherer (bspw. MailStation)

Je nach Router (FritzBox?) kannst du persönliche WireGuard Zugänge einrichten, wenn's nur die Familie betrifft, was per se deutlich sicherer ist.

Es gibt Pakete, die benötigen tatsächlich auch im LAN ein Zertifikat (bspw. Synology Calendar), was du aber über das Synology-Zertifikat umsetzen kannst. Dann hast du dein Persönliches für andere Zwecke einsetzen.

Edit:

mysteria schrieb:
Ich lese mich wirklich zuvor erst viel ein.
Zum Vergrößern anklicken....
Super! Und wenn's hakt, trotzdem einfach fragen.
 
  • Like
Reaktionen: Tuxnet, maxblank und mysteria
Supi, demnach lasse ich erst einmal das automatisch hinterlegte Zertifikat von Synology so stehen. So wie es herauslese, reicht dies wohl aus.

Ja, ich nutze eine FritzBox und einen VPN Zugang via WireGuard.

Danke für deine nette Unterstützung.
 
  • Like
Reaktionen: maxblank und *kw*
Kopfschütteln!
Um es mal ganz klar zu sagen: Auch wer HTTP "nur" im internen LAN nutzt handelt fahrlässig.
Eindringversuche/Erfolge über die Firewall des Routers sind äusserst selten.
Was aber die häufigste Ursache von erfolgreichen Attacken sind Installationen von Türöffnern, die man sich per Mail ins heimische Netz holt.
Was machen die? Schnüffeln, vorzugsweise nach Passwörtern. So gelangen auch Verschlüsselungstrojaner ins LAN und auf den Server (der auch nur mit aktivierter Firewall betrieben werden sollte), einfach vorbei an der Firewall des Routers. Man merkt nichts bis es zu spät ist.
Von daher HTTP gänzlich vergessen, nie mehr benutzen und einzig auf HTTPS setzen ist die einzig wahre Devise!
 
  • Like
Reaktionen: MissErfolg
Ich würde an deiner Stelle das NAS nicht ins Internet hängen. Ihr seid eine Firma und von dem NAS abhängig. Sobald wieder eine Sicherheitslücke sich verbreitet und nicht gepatcht ist, werden alle IP-Adresse im Netz gescannt auf verwundbare NAS-Systeme und dann entsprechend exploited. Selbst wenn ihr ein Fallback bzw. eine externe Sicherung habt, würde ich es lassen. *kw* hat da ja auch schon auf einen Webhoster verwiesen. Hetzner bietet z.B. auch nextCloud günstig an. Ich kann wirklich nur davin abraten, sofern man kein Systemadmin ist mit entsprechender beruflicher Erfahrung, so ein System für eine Firma für das Internet zu öffnen.
 
  • Like
Reaktionen: mysteria
NSFH schrieb:
Kopfschütteln!
Um es mal ganz klar zu sagen: Auch wer HTTP "nur" im internen LAN nutzt handelt fahrlässig.
Zum Vergrößern anklicken....
Mir ging es erst mal nur um die Funktionalität. Ansonsten habe ich ja deutlich gemacht, dass ich die Kiste nicht ins Netz hängen würde.

NSFH schrieb:
Von daher HTTP gänzlich vergessen, nie mehr benutzen und einzig auf HTTPS setzen ist die einzig wahre Devise!
Zum Vergrößern anklicken....
Bin ich ganz bei dir, aber leider gibt es Apps, die lassen das nicht zu, obwohl ich ein internet Zertifikat habe, bspw. DS Audio.
 
Warum HTTP im eigenen LAN zu 100% unsicher ist habe ich beschrieben, da kannst du 1000x VPN nutzen oder keine Verbindung von Aussen in dein LAN haben. Die Bedrohung kommt von Innen, nicht von Aussen!

Du hast kein "Internet" Zertifikat sondern nur ein lokales für dein LAN, nämlich das Standard Cert der Syno. Für Zugänge via Internet benötigst du ein öffentliches Zertifikat via zB LetsEncrypt. Damit funktionieren alle Apps von Synology auch von extern!

Leider suggerieren die Hersteller von NAS, dass es für die Käufer so genial einfach ist Daten im eigenen System zu hosten. verschwiegen wird immer, dass man da auch aus reiner Unwissenheit Türen öffnet, die besser geschlossen blieben.
Der Bedrohung durch Malware, die im eignen System Schadsoftware nachlädt sind wir alle ausgesetzt, bei Betrieb eines eigenen Servers via HTTP gefährdest man dann aber auch alles, was darauf gespeichert ist.
Gibt dann nur 2 Möglichkeiten: Schulterzucken und ist mir egal oder sich mit der Materie auseinandersetzen und das eigene System absichern so weit es eben möglich ist.
Wird jetzt aber offtopic, dazu gibts schon andere Threads. Viel Spass noch.
 
  • Like
Reaktionen: MissErfolg und mysteria
NSFH schrieb:
bei Betrieb eines eigenen Servers via HTTP gefährdest man dann aber auch alles, was darauf gespeichert ist.
Zum Vergrößern anklicken....

ja, das ist halt ein Dauerthema, auch wenn ich dies für ziemlich schräg halte
ob man auf einen Server kommt via http oder https spielt keine Rolle, man ist in dem Server und kann da auf das zugreifen was der Server halt so zu bieten hat

Und wenn es in einem Netzwerk 15 oder mehr Server gibt, da muss man schon ziemlich dauernd arbeiten damit man alle Jahre wieder einen Zertifikat manuall für die IP mit entsprechenden Tools erstellen kann und dann wieder alles überall updaten kann.
Also ziemlich unrealistisches Szenario.
 
  • Like
Reaktionen: mysteria
NSFH schrieb:
Du hast kein "Internet" Zertifikat sondern nur ein lokales für dein LAN, nämlich das Standard Cert der Syno. Für Zugänge via Internet benötigst du ein öffentliches Zertifikat via zB LetsEncrypt. Damit funktionieren alle Apps von Synology auch von extern!
Zum Vergrößern anklicken....

Danke, das hat mir weitergeholfen und der Unterschied ist mir nun klar.

Wie gesagt, ich plane erst einmal nicht das NAS für den Zugriff von außen zu öffnen. Der Zugriff via VPN ist für mich ausreichend.

Das mit der Umleitung auf den Port 5001 gehe ich gleich heute Abend an.

@all: Danke für eure Unterstützung.
 
Du kannst innerhalb einer bestimmten Zeit einen Post, wenn dieser im falschen Thread gelandetet war löschen. Aber bitte jetzt nicht mehr sonst versteht man diesen Post nicht mehr. ;)
 
  • Like
Reaktionen: *kw*
Löschen würde ich den auch nicht, da die generelle Warnung vor Betrieb eines NAS im Internet weiterhin wichtig ist, unabhängig ob privat/Firma :)
 
ottosykora schrieb:
ja, das ist halt ein Dauerthema, auch wenn ich dies für ziemlich schräg halte
ob man auf einen Server kommt via http oder https spielt keine Rolle, man ist in dem Server und kann da auf das zugreifen was der Server halt so zu bieten hat

Und wenn es in einem Netzwerk 15 oder mehr Server gibt, da muss man schon ziemlich dauernd arbeiten damit man alle Jahre wieder einen Zertifikat manuall für die IP mit entsprechenden Tools erstellen kann und dann wieder alles überall updaten kann.
Also ziemlich unrealistisches Szenario.
Zum Vergrößern anklicken....
Unrealistisch????
Das ist genau das Scenario, welches für die meisten gehackten Systeme sorgt.
So eine Äusserung zeugt nur von totaler Ignoranz oder Dummheit oder beidem!
 
Ich betreibe bei mir alle Services mit https. Das kann man ja an zentraler Stelle im Reverse Proxy managen. Und selbst wenn nicht, gibt es mittlerweile Automatismen, um das Zertifikat auch an mehreren Servern automatisch zu aktualisieren. Man muss halt immer wissen, wofür man das braucht. Wenn jemand mitsnifft, sind bei http deine Login-Daten weg und der Datenverkehr kann mitgelesen werden. Und https ohne gültiges Cert ist immer noch besser als http
 
  • Like
Reaktionen: *kw*
mysteria schrieb:
dass zur Verifizierung der Port 80 freigegeben werden muss
Zum Vergrößern anklicken....
443 reicht i.d.R. auch. Wenn da kein Dienst lauscht, ist das ok.
Für Synology DDNS muss gar kein Port offen sein.
Wenn du nur VPN nutzt, muss gar kein Port weitergeleitet werden (solange der VPN-Server der Router ist, was ich empfehlen würde).
Und wenn nicht Synology DDNS, dann Cert mit acme.sh abholen, dafür müssen auch keine Ports offen sein.
Wenn man im LAN mit DDNS und Zertifikaten arbeiten will, dann kann man das u.a. mit AdGuard Home machen. Anleitung siehe meine Signatur.
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten