Zugriff DSM von aussen blocken - auf neuen Port ohne Weiterleitung?

Hubble

Benutzer
Mitglied seit
13. Oktober 2010
Beiträge
241
Punkte für Reaktionen
0
Punkte
22
Immer mal wieder denke ich über kleine Sicherheitsverbesserungen nach.
Meine DS hat Dienste (Photostation, CardDav, Audiostation,...), die nach aussen erreichbar sein sollen. Gerne auch ohne VPN (hab ich installiert, für Timemachine von aussen).
Am Router weitergeleitet habe ich auch den Port 5001. Nun überlege ich mir, ob das wirklich sein muss. Von draussen hatte ich noch die das Bedürfnis auf den DSM zu kommen, aber das Bedürnis, dass das möglichst niemand kann.
Ich lese da oft die Empfehlung, die Ports von Anwendungen (Filestation und Audiostation würden mich aktuell tangieren) zu verschieben und den 5001 nicht weiter zu leiten. Da die Zahl der Anwendungen da durchaus wachsen könnte, hatte ich eine andere Idee:
Den Port für DSM weg von 5001 irgendwohin und allenfalls im Router weiterleiten. Oder auch nicht weiterleiten, dann wär ich halt auch ausgesperrt.

Mache ich da einen Denkfehler mit dieser Idee? Lege ich mir selber Probleme bei anderen Anwendungen in den Weg, wenn ich den neuen Port für DSM nicht weiterleite?

Danke für Rückmeldungen. Ich hab schon die Suchfunktion benutzt, aber wurde nicht wirklich fündig mit dieser Idee. Entweder ist die Idee schlecht oder zu einfach.:eek:
 

ottosykora

Benutzer
Mitglied seit
17. April 2013
Beiträge
3.781
Punkte für Reaktionen
22
Punkte
98
ich denke das machen sehr viele hier so. Verwenden zwar den Zugang zu DSM, aber verwenden einen ganz anderen externen Port, irgendwo im oberen Bereich und leiten es dann auf 5001 intern. Und man kann den Apps auch intern andere Ports geben, und extern wieder andere, nur nicht Übersicht verlieren dabei
Persönlich lasse ich bei mir DSM erreichbar wenn auch vielleicht so verschleiert, aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung.
Ist denke ist wichtig wozu man die DS braucht.
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
2.559
Punkte für Reaktionen
37
Punkte
88
...aber es gibt hier Leute aus der 'nur VPN' Glaubensrichtung. Ist denke ist wichtig wozu man die DS braucht.
Pro VPN (wer hätte es gedacht ;))... DSM ist zur "Administration" und "Wartung" vorgesehen, deswegen haben die ganzen "Apps" i.d.R. auch immer eigene URLs (ausser man muss sie konfigurieren). Ein "mehr" an Sicherheit schafft man allerdings auch nicht, wenn man noch mehr nach aussen frei gibt. Grundsätzlich sollte auch immer befolgt werden: "So 'wenig' wie möglich, so 'viel' wie nötig." wobei es bei "nötig" nicht zwingend auf Komfort ankommt, ein bisschen Realismus ist allerdings in jedem Fall gefragt.

Als Beispiel: Du musst administrativ an div. Dinge ran, dann wählst Du Dich halt via VPN ein und erreichst auch - wenn Du willst - direkt "alles" in Deinem Netzwerk (macht mitunter Sinn, ggf. muss man an mehreren Stellen konfigurieren). Soll aber ein Bekannter Deine letzten freigegebenen Urlaubsbilder sehen können, soll er das natürlich so "bequem wie möglich" haben, insofern würde sich da z.B. eine entsprechende Subdomain (z.B. bilder.hubble.de) oder ähnliches anbieten. Wenn möglich mit direktem Redirect von http zu https, somit braucht der am anderen Ende auch nur die URL eingeben und gut ist's.

Alternativ - bezogen auf das DSM - könnte man auch eine Firewall nutzen, welche externe DynDNS-Einträge halbwegs dauerhaft korrekt auflösen kann. Dann einen DynDNS-Client auf's Handy/Tablet/Laptop und lediglich dieser DynDNS-Adresse den Zugriff auf den DSM-Port gewähren (und natürlich Deinem LAN (oder nur LAN-Rechner)).
 

NSFH

Benutzer
Mitglied seit
09. November 2016
Beiträge
2.811
Punkte für Reaktionen
8
Punkte
84
Du stellst Fragen für die die Lösung bereits besteht.
Wenn du für die Timemachine bereits VPN installiert hast und nutzt, warum machst du das dann nicht auch für DSM?
5001/5006 gehören zu den meist gescannten Ports im Internet, neben FTP und SMB.
 

Hubble

Benutzer
Mitglied seit
13. Oktober 2010
Beiträge
241
Punkte für Reaktionen
0
Punkte
22
Ich hab jetzt den DSM-Port weit nach oben verschoben. Die Audiostation schieb ich wohl auch noch weg vom 5001.
Und dann mal versuchen den Admin zu ersetzen. Ich erinnere mich nur dunkel, dass bei Caldav oder Carddav der Admin zum Einsatz kam, weil es sonst komischerweise nicht ging. Ich merke es ja dann, wenn es nicht mehr synchronisiert. Und die 2-Weg Authentifizierung auch noch aktivieren und schliesslich die Firewall. Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein.
Und den Vorschlag oben mit den Subdomains schaue ich mir als Letztes an. War da vor Jahren überfordert als ich DynDns einrichtete.
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
2.559
Punkte für Reaktionen
37
Punkte
88
Und wieder NIX gelernt ... :p Ich hoffe Du hast auch ein wenig die Standards beachtet: https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports, denn einfach "irgendwas" zu nehmen, ist meist nicht der beste Ansatz :)

EDIT: "Habe vor Jahren mal vernommen, dass die Firewall eher schwierig sei hinter einer Routerfirewall. Scheint ja nicht (mehr) so zu sein." < Das war noch "nie" so(!)
 

Hubble

Benutzer
Mitglied seit
13. Oktober 2010
Beiträge
241
Punkte für Reaktionen
0
Punkte
22
Ganz so schlimm ists nicht. In der langen Liste ist mein Port nicht enthalten :)

Hab jetzt die Firewall aktiviert und eingerichtet. Dabei auch noch gesehen, dass manche Dateidienste laufen, die ich sicher vor langer Zeit deaktiviert hatte.
Und ein Blick in die Protokolle war beruhigend, da nur Infomeldungen drin sind. Muss jetzt noch schauen, was ich mit dem Webserver mache. Ich glaube den brauch ich nicht mehr (früher mal für caldav genutzt).
Ich glaub das hat sich gelohnt. :) Danke auch für Rückmeldungen. Lese gerne noch mehr, falls jemand ein Hinweis hat.
 
Zuletzt bearbeitet:

Hubble

Benutzer
Mitglied seit
13. Oktober 2010
Beiträge
241
Punkte für Reaktionen
0
Punkte
22
Stunden später viele Alternativports von den Anwendungen eingerichtet und es scheint zu laufen, auch von aussen. Überlege mich aber schon auch, ob für viele Anwendungen (DS File, DS Audio) nur per VPN reinzugehen sinnvoller wäre. Habe halt noch L2TP/IPsec als VPN. Bei DS File hab ich das auch so gehandhabt.

Vielleicht liest jemand meine Ergänzungsfrage, Thema Firewall: Ist es richtig, dass ich in der Firewall auch die nicht verschlüsselten Ports von Anwendungen durchgehen lassen soll? Http lasse ich auf https umleiten (auch CardDav). Besonders ist mir das beim Synology Assistant aufgefallen. Dieser hat die Syno zwar stets gefunden, aber mit "Verbindung fehlgeschlagen". Mit IP und Port kam ich via Firefox jedoch problemlos rein. Hab ich die Firewall der Syno deaktiviert, dann gings wieder und der Assistant nahm auch den veränderten Port. Als ich nicht ganz freiwillig auch den Port 5000 in der Firewall ankreuzte zum Zulassen, hat auch der Assistant wieder normal funktioniert und ich konnte hierüber auf den DSM kommen und zwar über den angepassten SSL Port des DSM.
Bei anderen Anwendungen (z.B. Filestation) habe ich den nicht verschlüsselten Port auch mal in der Firewall angekreuzt gelassen. Mir wärs lieber, die wegzunehmen, aber Funktionsärger mag ich deswegen auch nicht haben. Hat mir jemand Rat?

Und weshalb hab ich in der Firewall drei Einträge zu Calendar? 38008 und 38443 versteh ich nicht. Ich hab den 20003 aktiviert und nur diesen vom Router weitgeleitet und damit läufts.
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
2.559
Punkte für Reaktionen
37
Punkte
88
...nur per VPN reinzugehen sinnvoller wäre. Habe halt noch L2TP/IPsec als VPN...
Mach es einfach via VPN-on-Demand, dann merkst Du es quasi garnicht ;)

Vielleicht liest jemand meine Ergänzungsfrage....
Pro Tag nur eine Frage! :p ;)

Thema Firewall: Ist es richtig, dass ich in der Firewall auch die nicht verschlüsselten Ports von Anwendungen durchgehen lassen soll?
Grundsätzlich alles unterverschlüsselte WEG. Einzige Ausnahme die mir einfallen würde, wäre Port 80, wenn Du einzelne Let's-Encrypt-Zertifikate nutzt. Zudem kann man bei Webanwendungen auch via Redirect auf andere Ports verweisen (s. DSM -> Möglichkeit, dass unverschlüsselte Verbindungen eben sofort zur verschlüsselten Variante umgeleitet werden, so muss man z.B. bei der URL kein "https://" davor schreiben, das kommt dann von "alleine" :eek:)


Und weshalb hab ich in der Firewall drei Einträge zu Calendar? 38008 und 38443 versteh ich nicht. Ich hab den 20003 aktiviert und nur diesen vom Router weitgeleitet und damit läufts.
Tja, Fragen über Fragen und so wenig antworten... vllt knippst Du einfach mal die Firewall-Regel mit der Applikation "Calendar" (oder "CalDAV") aus und schaust dann nochmal, ob alles funktioniert. Gibt nur 3 Möglichkeiten: a) Du hast etwas angelegt und keine Ahnung gehabt, b) Du hast etwas angelegt, von dem Du der Meinung warst, dass es das richtige wäre (z.B. eine Applikation namens "Calendar" oder dergleichen freigegeben), 3) die Ausnahme wurde bei aktivierter Firewall von der Calendar-App selbst angelegt (was ich aber eher weniger glaube). Eins kann ich aber mit Sicherheit sagen: von "alleine" passiert da erstmal "garnichts" an so einer Firewall... Also: ausknipsen, testen, wenn jut, dann jut und feddich - beim testen aber ruhig mal "alles" testen, nicht, dass hinterher irgendwas anderes nicht geht ;)
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.