Toggle sidebar

Webserver sicher machen?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

michael m1

Benutzer
Registriert
22. Juni 2009
Beiträge
270
Reaktionspunkte
0
Punkte
0
Hallo,

heute habe ich das erste mal den Webserver und mySQL eingeschaltet und da frage ich mich, ob ich nach dem aktivieren den Webserver sicher machen muss.

Ich benutze die DS als File Station, gelegentlich als Downloadstation und jetzt wollte ich mich mal mit weiteren Funktionen der DS 509+ beschäftigen.

Ich habe kein DynDNS und auf keine Webseite die von aussen auf meiner DS geht.

Kann ich den Webserver aktivieren ohne irgendwelche Sicherheitsvorkehrungen?

Vielen Dank
Michael
 
Wieviel Sicherheit darf's denn sein? ;)
Grundsätzlich ist jeder offene Post resp laufender Dienst ein potentielles Einfallstor. Daher ist die wichtigste Regel: Überleg dir genau, was du alles laufen lassen willst und schalte nicht benötigte Dienste nicht ein. Je weniger umso besser :)
Dann musst du diese Applikationen absichern, die du unbedingt laufen haben willst. Für die meisten der Synology-Dienste bietet sich dafür die Autoblock-Funktion im DSM an. Desweiteren könntest du die Firewall auf der DS aktivieren und entsprechend konfigurieren.
Als letzte Regel: Absolute Sicherheit wird es nie geben. Sobald du eine Kiste einschaltest besteht ein erhöhtes Risiko ;)
 
Nun ja ich glaube ich muss much verbessern.

Ich benutze die DS als File-Server ohne File-Station.
Habe also auf das DSM3 ein Passwort, darin habe ich Benutzer und Gruppen zugewiesen, ein paar Volumes und Ordner zugewiesen und diese bei mir im Internen Netzwerk laufen.

Also einen Server läuft da nicht und unter diesen Umständen muss man eine DynDNS Adresse haben, um überhaupt auf das DSM3 Einlogen zu kommen.

Ich möxchte nur nicht, das man ohne weiteres von aussen auf die DS kommte wenn ich den Webserver eingeschaltet habe, ohne es zu wissen.

Denn ich kenne mich mit dieser Materie so gut wie gar nicht aus. Aber das soll sich bald ändern.

Vielen Dank
Michael
 
Welche Dienste willst du denn aus dem Internet erreichen können? Wie gesagt die Firewall und der Autoblock sind zwei starke Mittel um die DS abzusichern.
Der Webserver (Apache) gilt als sehr ausgereift und ziemlich sicher. Nur weil du den Webserver aktivierst hast du nicht ein viel grösseres Risiko. Erst wenn du einfach jede mögliche Webanwendung installierst und nicht regelmäsig updatest gehst du grosse Risiken ein.
 
Also um mit SQL Datenbanken experimentieren und PHP kennen lernen zu können benötige ich wohl die WebStation und MySQL im Webdienst.

Von Aussen soll weiterhin kein Zugriff auf die DS stattfinden.
Der Zugriff auf Daten der DS wird aussschliesslich nur vom internen Netz benutzt.

Vielen Dank
Michael
 
Liest sich so, als sei das ganze nur für zuhause.
Also wenn kein externer Zugriff nötig ist, dann einfach keine externen Ports freigeben.
Und: Im Router das Ändern der Einstellungen per upnp nicht erlauben.
 
liesst sich nicht nur so, sondern ist es auch.

Vielen Dank, ich habe alle meine Ports bei der Fritzbox nachgeschaut und es sind keine Ports offen.
Einen Dynamic DNS benutze ich auch nicht.
Dann dürfe alles bei aktiven Apache nichts passieren.

Ich habe vor 2 Jahren die DS 509+ mit 5x2 TB WD Green gekauft und diese nur dazu verwendet Daten unter zu bringen und auf diese mit meinem Mac zu zu greifen. Im Sommer 2009 habe ich mir dann eine DX5 mit 5x2 TB WD Green um das Media Center zu erweitern und habe dort alle Medien auf die ich mit dem Mac und Apple TV zugreife. Um auch ein anständiges Backup von meinen wichtigsten Daten zu machen habe ich im März 2010 eine DS 410j mit 4x 2TB WD Green hinzu bekommen. Bis heute habe ich nur Daten hin und her geschaufelt und katalogisiert. Die Daten habe ich mit einem CD Katalogprogramm gemacht und muss dabei immer den Mac an haben um das machen zu können und das kann manchmal wirklich dauern, daher dachte ich mir an eine Katalogsoftware dran zu machen die auf der DS läuft und auch von der DS gesteuert wird. Der Knackpunkt ist, das automatische Metadaten für die einzelnen Dateien vergeben werden. Auch Suchfilter mit übersichtlichen anzeigen habe ich auch schon in meinem Prototypen per AppleScript gemacht.

Jetzt möchte ich gerne lernen mit mySQL um zu gehen, PHP zu erlernen und dann meinen Protoyten aus Applescript in eine andere Sprache zu bringen, damit dies auf der DS läuft.

Selbst mit meinen 43 Jahren beginne ich jetzt noch den Stoff für Fachinformatiker und Programmierer durch zu gehen anstatt als Hausmann zu versauern.

Viele Grüsse
Michael
 
Dann hast du ja kein Problem, wenn du nur intern Dienste nutzen willst. Einfach am Router keinerlei Ports weiterleiten. Das Webinterface des Routers nur aus dem LAN erreichbar machen. Dann bist du auf der ziemlich sicheren Seite. Ziemlich sicher, weil du zwar nichts aus dem Internet zu fürchten hast, aber deinen Clients trauen können musst. Denn den Zugriff der LAN Clients hast du damit nicht eingeschränkt. Dafür wäre dann die Firewall auf der DS zuständig. Da musst du dir ein passendes Regelwerk bauen. Dann bist du so sicher wie man sein kann ;)
 
Für ausgehende Verbindungen der Clients habe ich Little Snitch im Einsatz.
Das ist so eine Art Wächter für ausgehende Verbindungen die zugelassen oder unterbunden werden können. Da habe ich mir schon so eine Regelliste erstellt.

Ich dachte halt nur, wenn ein Webserver Dienst gestartet wird, ob man da noch zusätzlich irgend etwas absichern muss?

Es wird Zeit den Funktionsumfang der DS kennen zu lernen und auch richtig ein zu setzten. Ich weiss das geht nicht von heute auf morgen.

Vielen Dank
Michael
 
Ich denke eher an die Firewall auf der DS selber. Im Diskstation-Manager (zu erreichen via Browser) kannst du die Firewall aktivieren und Regeln erstellen. Am Webserver selber kannst du nicht viel absichern. Der läuft wie er ist ;)
 
Ja die Firewall habe ich im DSM3 gefunden. Dort sind derzeit keinerlei Einträge.
Da müsste ich mal in Ruhe mit der Anleitung dran gehen und mal ein paar Regeln definieren.

Ich werde dann mal das Syno Wiki durchgehen um mehr zu erfahren

Vielen Dank

Michael
 
Es gibt bei Firewalls zwei unterschiedliche Vorgehensweisen:
Entweder du legst mit einem Whitelist-Ansatz genau fest was erlaubt wird und der Rest wird verboten. Oder du legst bei einem Blacklist-Ansatz genau fest was verboten ist und der Rest wird erlaubt.
Ein guten Startpunkt im Wiki wäre die Seite mit der Ports zu den verschiedenen Anwendungen auf der DS (http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports)

Gruss

tobi
 
Vielen Dank,

da werde ich mich jetzt direkt mal mit beschäftigen

Viele Grüsse
Michael
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten