Admin deaktivieren?

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
Warum forwardest Du den originalen Port nach 'draussen'.
Ich hab nach aussen, wenn ich das brauche, stets einen hohen fünfstelligen Port an meiner FritzBox eingestellt, der nach innen dann den originalen DSM-Port ansteuert.
meinst Du zB so ...

1665673943411.png

und in der Firewall der Diskstation dann welchen Port?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Dumm nur, dass man da alle anderen Zertifikate mit entsorgt. Klar kann man die vorher exportieren und danach wieder importieren. Einfach geht anders.
Tja bei Synology beschweren, aber wer dein LE Zertifikat benutzen nwill wie geschrieben hat aber auch keine anderen Zertifikate. Für alle die nur das Synology Zertifikat nutzen ist es doch uninteressant.

Wer ein bestehends Zertifkat hat wird das von der DS nicht nutzen müssen und auf den Endgeräten die Fehlermeldung wegzuklicken.

@HHE3eich, du sollst doch SSL verwenden somit muss 5001-5001 > 65501 sein.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.341
Punkte für Reaktionen
633
Punkte
174
meinst Du zB so ...
Ja :)
und in der Firewall der Diskstation dann welchen Port?
Den dort genutzen DSM-Port, bezogen auf Deinen Screenshot den 5000 und 5001

Hintergrund dieser Aktion:
Es gibt die sogenannten WELL KNOWN PORTS die öffentlich dokumentiert sind.
Im Bereich 1-1024 sind das sogar genormte Ports und z.B. der 5000er ist gemeinhin als DSM-Port bekannt oder der Port 3306 steht für MySQL-Server.
Mit diesen Infos ist es nicht so mühsam, gezielt anzugreifen oder Services lahm zu legen.
Und wenn ich einen höheren offenen Port finde, dann weiß ich noch lange nicht, wie sich dieser am besten angreifen lässt.
Zumindest ist das mein laienhaftes Verständnis zum Thema.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
du sollst doch SSL verwenden somit muss 5001-5001 > 65501 sein.
jetzt bin ich schon wieder überfordert. meine DSM hatte heute morgen ja noch diese Einstellung

DSM Verwaltungs Port.JPG

und das habe ich jetzt auf einen "hohen fünfstelligen Port" geändert.
Was muss ich denn jetzt noch machen, damit es dann SSL verwendet?
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
ich glaube ich hatte einen AHA-Effekt

Port 5000 ist HTTP und wird nur im LAN verwendet
Port 5001 ist HTTPS und wird extern auf Port 12345 im Router umgeleitet

wenn ich also vom Hotel aus auf meine Diskstation will mus ich dann eingeben

https://MeineDomain.de:12345

Funktioniert aber leider nicht, die Fehlermeldung lautet

1665676288690.png

die Browser-Eingabe wird geändert in:

Nicht sicher ! https://MeineDomain.de:12345

Vielleicht kann meine FB7390 das nicht korrekt handeln?
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
https funktioniert auch im LAN! musst es nur eingeben. Besser ist es aber wenn du von http>https die Anfragen umleitest! siehe dein Screenshot (1. Haken unter 5001) Danach werden alle Anfrage zu 5001 umgeleitet, also mit Verschlüsselung
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
das mit dem Bug/0-day exploit habe ich nicht verstanden oder ist das das Tool der anderen?

Das ist z.b. Ein Softwarefehler/Sucherheitslücke im DSM oder irgendeiner anderen Komponente die auf der NAS läuft.
Diese ermöglichen im Extremfall die Kompromittierung des Systems ohne Anmeldung.
Taucht so eine Lücke neu am 'Markt' auf kann braucht der Angreifer ja Ziele für sein Werk.
Also geht er entweder her und nutzt bekannte Listen von vorher gefundenen System, oder er geht halt her und lässt das gesamte Ipv4 Netz nach Geräten die auf Port 5001 lauschen scannen, über ein paar Server oder ein Bot-Netz.
Das kostet ihn im besten Fall ein paar Minuten, im schlimmsten Fall ein paar Tage.
Dann hat er die offensichtlichsten Ziele und greift die alle automatisch an.

Für einen Angriff bei dem man alle Ports abscannt und versucht die Systeme bzw Dienste dahinter zu identifizieren braucht schon ein bisschen mehr Motivation.

Das hängt dann von der Kosten-Nutzen Rechnung des Angreifers ab. Der will ja auch was "verdienen" und nicht nur Server und Bot Netze bezahlen.

Das bei dir ist ja eher ein klassischer Brute-force Angriff... Billig, billig, billig, alles automatisiert.
Bekannte oder eingekauft Listen aus Nutzernamen und Passwörtern... Losgelassen auf alle Systeme die man per Ipv4 und Port 5001 finden kann z.b..... IRGENDWAS wird schon 'hängen bleiben im Schleppnetz'.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.173
Punkte für Reaktionen
1.657
Punkte
308
wenn ich also vom Hotel aus auf meine Diskstation will mus ich dann eingeben

https://MeineDomain.de:12345

Funktioniert aber leider nicht, die Fehlermeldung lautet

1665676288690.png
Wenn diese Fehlermeldung kommt, hast du HTTP auf dem HTTPS-Port benutzt.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat