"vertrauenswürdige Verbindung"? - Chat-App / Synology Photo /etc

[Flanders]

Hallo,

eine Frage zur Zertifikatsverbindung.
Grundsätzlich hat meine Synology und ihre Adresse ein Lets Encrpyt Zertifikat.
Der Zugriff über Browser gilt auch als vertrauenswürdig. Alles läuft prima.

Bei einigen APPS lässt sich die Zertifikatsprüfung auch einstellen, so dass bei Verbindungsaufbau die Gültigkeit und der Aussteller überprüft werden (so, wie es auch ein Browser tun würde).

In der CHAT-APP, sowie in verschiedenen neuen Synology Apps (Synology Photo, etc.) gibt es nun diese Einstellung nicht mehr. Dort gibt es nur noch im Menü den Punkt "vertrauenswürdige Verbindung". Dort ist jedoch nichts aufgeführt?! Dort steht nur "keine als vertrauenswürdig eingestufte Verbindungen"....

Eine wirkliche Erklärung finde ich nun nicht....

Ich möchte, wie beim Browser auch, sicherstellen, dass die aufgerufene Domain auch tatsächlich die gewünschte ist. Ein "feindlicher" DNS-Server könnte ja eine andere Seite unterschieben.

Gruß

Flanders

 

[axelrose]

Hallo,
ich suche auch seit Tagen eine Erklärung für die Option "Vertrauenswürdige Verbindungen" in der APP "DS File". Mein Zugriff über die DDNS Domain mit Let`s Encrypt Zertifikat Funktioniert über meinen HHTPS Port von aussen. Jedoch ist das Feld "Vertrauenswürdge Verbindungen" in DS File leer.

Wenn man dort auf "weitere Informationen" klickt kommt man auf eine Hilfe Seite mit der Überschrift: "Wie kann ich ein Zertifikat von Lets Encrypt auf meinem Synology Nas erhalten". Rein von der Logik her würde mir das jetzt sagen, das das Zertifikat beim Login über z.B der DS File App eben nicht geprüft wird bzw. die Verbindung über das Zertifikat Verschlüsselt wird was ja aber Fundamental wichtig für die Sicherheit ist.

Ist in dem Thema jemand schon weiter gekommen? denn ich finde überhaupt nichts im Internet darüber.

 

[Fusion]

Unter 'vertrauenswürdige Verbindung' tauchen nur Verbindungen auf die es nicht von selbst sind. Bsp SSL + Verbindung mit IP.

Deshalb wird die Verbindung bei der Domain und Zertifikat passend ist dort nicht auftauchen.

 

[axelrose]

Danke für die schnelle Antwort. Das beruhigt ein wenig da ich doch sehr sensible Daten habe und von extern Zugreifen muss.
Wenn nur der HTTPS Port (z.B 5001) als Portfreigabe in der Fritzbox Freigegeben ist und auf den NAS Weiterleitet, dürfte man wahrscheinlich ohne Zertifikat gar keine Verbindung aufbauen können, das heißt, so müsste ich ja auch testen können ob die Verbindung sauber verschlüsselt ist, oder?
Gruß

 

[Fusion]

Sehr sensible Daten > da würde ich eher schauen, dass du ein VPN vorschaltest und dich zuerst damit verbindest. Das reduziert die Angriffsfläche extrem.

Anstatt den Wald und Wiesen bekannten 5001 nach außen zu öffnen und zu hoffen, dass in allen Webservern und Web Anwendungen von Syno keine Sicherheitslücken vorhanden sind

SSL hat ja nur mit der Sicherheit bei der Übertragung zu tun, nichts mit der Sicherheit von Daten oder Anwendungen.
Jeder Hinz und Kunz kann ja eine verschlüsselte Verbindung zu dir aufbauen.

 

[axelrose]

Port 5000 und 5001 habe natürlich als erstes geändert. Firewall IP`s ALLE verboten nur Deutschland aufgemacht. 2 Stufen Authentifizierung für alle Benutzer. Für jeden Dienst einen eigenen Benutzer angelegt, und alle anderen Anwendungen verweigert und nicht benötigte Ordnerzugriffe in Berechtigungen verweigert, dazu Extrem lange Passwörter (Per Passwortmanager), Kontoschutz u. automatische Blockierung ist an. Intern macht ein Pihole unbound den DNS, was ja aber nichts mit den Zugriff von aussen zu tun hat.
Alles deaktiviert was der Sicherheitmanager im Test als Firma bemängelt ist deaktiviert.
Meinst nicht das das reicht?
Klar, VPN ist natürlich nochmal eine gute Stufe drüber. Werde es mal testen wenn ich wieder Zeit habe, dual stack habe ich ja schon mal.

Grüße

 

[Fusion]

Das ist alles für sich schön und gut. Und jede(r) muss für sich entscheiden, was eine ruhig schlafen lässt.
Neben allem genannten: Backups.

Gerade wenn man nicht mit x Leuten das nutzt ist der Aufwand für VPN weniger groß als den den du oben getrieben hast.

Der Hauptpunkt ist nicht Benutzer, Passwörter und Konsorten sondern die Software an sich.
auf der einen Seite hast du VPN, also ein Angriffsziel welches (vermutlich) deutlich stärker auf Sicherheitslücken getestet ist.
Auf der anderen Seite alle Web Anwendungen, DSM etc. Also deutlich mehr Code.

Wenn es ernst zu nehmende Angriffe gibt dann meist eher auf Softwarelücken oder Social Engineering auf Passwörter etc. Da helfen die meisten deiner Barrieren nicht.

Wald und Wiesen scripte laufen vermutlich auch auf default Passwörter und Kram... Gibt immer noch genug Leute die Geräte einfach so im Netz hängen haben.