Hallo,
ich will auch mal was zum Thema Sicherheit sagen. Wurde ja schon viel gesagt, nur eins wäre wichtig zu verstehen. Der Port 5000 (oder auch 5001) ist für Verwaltungsaufgaben gedacht. Als für administrative Aufgaben, die dann über das administrative Webinterface erledigt werden. Administrative Tätigkeiten macht man normalerweise nicht von unterwegs aus, denn da kann man den Zugriff nicht begrenzen. D. h. jeder PC, der am Internet hängt kann dann auf den Port 5000 oder 5001 zugreifen und könnte sich anmelden. Das Anmelden selbst klappt ja mit jedem Benutzer, den man im DSM anlegt. Also würde EIN sicheres Admin-Kennwort hier schon mal nicht ausreichen. Zwar haben die anderen User hoffentlich keine administrativen Berechtigungen, aber anmelden können die sich dann theoretisch zumindest wenn das Kennwort leer oder einfach ist. Und der Zugriff ist dann erlaubt, auf die Ordner und Anwendungen, die für den entsprechenden User freigegeben sind. Ob das dann über eine verschlüsselte (https/5001) oder unverschlüsselte (http/5000) läuft, ist egal.
Von Synology ist der Port 80 mit dem entsprechenden nicht administrativen Apache vorgesehen, um evtl. von außen Zugriff auf die PhotoStation und / oder die selbst erstellte Homepage zuzugreifen. Ich selbst sehe sogar die FileStation als kritisch an und der FTP-Server ist auch nicht sonderlich sicher. Zumindest so lange sich der admin dort anmelden kann. Wenn man den admin aber in /etc/ftpusers explizit aussperrt, kann schon mal weniger Schindluder damit getrieben werden. Die Übertragung an sich ist aber noch riskant, zumindest wenn man unverschlüsselt überträgt.
Fazit: Alles, was am Internet hängt ist potentiell gefährlich. Man kann dies oder jenes etwas absichern und den Zugang erschweren (autom. Blockierung, VPN, nur unkritische Daten auf öffentliche Verzeichnissen ablegen). Prinzipiell kann überall eine Sicherheitslücke gefunden werden, die auch ausgenutzt werden kann. Will man auf der sicheren Seite sein, kann man mit einer speizellen Firewall-Lösung (z. B. IPCop, IPFire, Endian-Firewall) ein System aufbauen und die DS fürs Internet in die DSM hängen. Denn jeder weitergeleitete Port ins LAN ist auch schon eine potentielle Gefahr. Die DMS-Funktion vieler Heim-Router an sich ist da nicht sonderlich sicher, da man hier oft einen "exposed host" angeben kann, der sich wiederum ebenfalls im LAN befindet. Ich persönlich würde niemals den Port 5000 / 5001 vom Internet aus zugänglich machen. Und einen solchen öffenlichen Port zu "verstecken" bringt auch nicht viel, denn schnell ist eine IP nach offenen Ports abgescannt.
Ciao Jan