Dumm nur, dass man da alle anderen Zertifikate mit entsorgt. Klar kann man die vorher exportieren und danach wieder importieren. Einfach geht anders.
Admin deaktivieren?
- Ersteller Fröschl
- Erstellt am
HHE3eich
Benutzer
- Mitglied seit
- 27. Jun 2014
- Beiträge
- 518
- Punkte für Reaktionen
- 18
- Punkte
- 44
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.118
- Punkte
- 214
Tja bei Synology beschweren, aber wer dein LE Zertifikat benutzen nwill wie geschrieben hat aber auch keine anderen Zertifikate. Für alle die nur das Synology Zertifikat nutzen ist es doch uninteressant.
Wer ein bestehends Zertifkat hat wird das von der DS nicht nutzen müssen und auf den Endgeräten die Fehlermeldung wegzuklicken.
@HHE3eich, du sollst doch SSL verwenden somit muss 5001-5001 > 65501 sein.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.291
- Punkte für Reaktionen
- 561
- Punkte
- 174
Ja
Den dort genutzen DSM-Port, bezogen auf Deinen Screenshot den 5000 und 5001
Hintergrund dieser Aktion:
Es gibt die sogenannten WELL KNOWN PORTS die öffentlich dokumentiert sind.
Im Bereich 1-1024 sind das sogar genormte Ports und z.B. der 5000er ist gemeinhin als DSM-Port bekannt oder der Port 3306 steht für MySQL-Server.
Mit diesen Infos ist es nicht so mühsam, gezielt anzugreifen oder Services lahm zu legen.
Und wenn ich einen höheren offenen Port finde, dann weiß ich noch lange nicht, wie sich dieser am besten angreifen lässt.
Zumindest ist das mein laienhaftes Verständnis zum Thema.
HHE3eich
Benutzer
- Mitglied seit
- 27. Jun 2014
- Beiträge
- 518
- Punkte für Reaktionen
- 18
- Punkte
- 44
jetzt bin ich schon wieder überfordert. meine DSM hatte heute morgen ja noch diese Einstellung
und das habe ich jetzt auf einen "hohen fünfstelligen Port" geändert.
Was muss ich denn jetzt noch machen, damit es dann SSL verwendet?
HHE3eich
Benutzer
- Mitglied seit
- 27. Jun 2014
- Beiträge
- 518
- Punkte für Reaktionen
- 18
- Punkte
- 44
ich glaube ich hatte einen AHA-Effekt
Port 5000 ist HTTP und wird nur im LAN verwendet
Port 5001 ist HTTPS und wird extern auf Port 12345 im Router umgeleitet
wenn ich also vom Hotel aus auf meine Diskstation will mus ich dann eingeben
https://MeineDomain.de:12345
Funktioniert aber leider nicht, die Fehlermeldung lautet
die Browser-Eingabe wird geändert in:
Nicht sicher !https://MeineDomain.de:12345
Vielleicht kann meine FB7390 das nicht korrekt handeln?
Port 5000 ist HTTP und wird nur im LAN verwendet
Port 5001 ist HTTPS und wird extern auf Port 12345 im Router umgeleitet
wenn ich also vom Hotel aus auf meine Diskstation will mus ich dann eingeben
https://MeineDomain.de:12345
Funktioniert aber leider nicht, die Fehlermeldung lautet
die Browser-Eingabe wird geändert in:
Nicht sicher !
Vielleicht kann meine FB7390 das nicht korrekt handeln?
Zuletzt bearbeitet:
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.118
- Punkte
- 214
https funktioniert auch im LAN! musst es nur eingeben. Besser ist es aber wenn du von http>https die Anfragen umleitest! siehe dein Screenshot (1. Haken unter 5001) Danach werden alle Anfrage zu 5001 umgeleitet, also mit Verschlüsselung
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.155
- Punkte für Reaktionen
- 909
- Punkte
- 424
Das ist z.b. Ein Softwarefehler/Sucherheitslücke im DSM oder irgendeiner anderen Komponente die auf der NAS läuft.
Diese ermöglichen im Extremfall die Kompromittierung des Systems ohne Anmeldung.
Taucht so eine Lücke neu am 'Markt' auf kann braucht der Angreifer ja Ziele für sein Werk.
Also geht er entweder her und nutzt bekannte Listen von vorher gefundenen System, oder er geht halt her und lässt das gesamte Ipv4 Netz nach Geräten die auf Port 5001 lauschen scannen, über ein paar Server oder ein Bot-Netz.
Das kostet ihn im besten Fall ein paar Minuten, im schlimmsten Fall ein paar Tage.
Dann hat er die offensichtlichsten Ziele und greift die alle automatisch an.
Für einen Angriff bei dem man alle Ports abscannt und versucht die Systeme bzw Dienste dahinter zu identifizieren braucht schon ein bisschen mehr Motivation.
Das hängt dann von der Kosten-Nutzen Rechnung des Angreifers ab. Der will ja auch was "verdienen" und nicht nur Server und Bot Netze bezahlen.
Das bei dir ist ja eher ein klassischer Brute-force Angriff... Billig, billig, billig, alles automatisiert.
Bekannte oder eingekauft Listen aus Nutzernamen und Passwörtern... Losgelassen auf alle Systeme die man per Ipv4 und Port 5001 finden kann z.b..... IRGENDWAS wird schon 'hängen bleiben im Schleppnetz'.
Wenn diese Fehlermeldung kommt, hast du HTTP auf dem HTTPS-Port benutzt.wenn ich also vom Hotel aus auf meine Diskstation will mus ich dann eingeben
https://MeineDomain.de:12345
Funktioniert aber leider nicht, die Fehlermeldung lautet
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
