Vorausgesetzt Dein Anschluss lässt es zu (IPv4 Adresse nach außen hin geschaltet), dann sind folgende Sachen beachtenswert:
- die DS Ports 5001 und 5000 sind nach außen hin -durch andere Ports- verschleiert (d.h. am Router sind Portweiterleitungen von -nur dem Nutzer bekannten- Außenports zu den innen liegenden Ports der DS -also 5000 und/oder 5001- geschalten). Hintergrund ist der, dass Synology als NAS Hersteller auf der Welt ähnlich bekannt wie die Betriebsanleitungen seiner DiskStations ist. D.h. jedem Hacker sind damit folgende Infos bekannt: Synology-Betriebs-Oberflächen sind über die Ports 5000 und 5001 zu erreichen. Der Link zu den Betriebsumgebungen lautet immer .../webman/index.cgi) Der Hauseigene ADMIN User bei Synologys heisst immer admin! Das ist schon ziemlich viel, da man mit diesen Daten zum Schluss eigentlich nur noch das Passwort knacken muss!
Umgeht man dies durch verschleiern der Ports (nach außen hin) dann schafft man so schon eine zweite Hürde (nach dem Passwort).
- es muss ein dynamischer DNS Name geschaffen werden, der die ständigen IP-Wechsel des Providers (Vodafone?) ausgleicht. D.h. über den QuickConnect der DS oder dem Punkt Externer Zugriff muss ein DNS Name geschaffen werden (z.B. meine-DS.synology.me) der immer gleich bleibt und die sich täglich ändernde IP über den Synology Service meldet, so dass man selbst sich nur den Namen merken muss, anstelle einer IP Zahlen-Formation
- für den FTP Server ist der Service unter Systemsteuerung - Webservices zu aktivieren! Dabei sollte man den FTP Dienst einschalten und/oder den FTPS Dienst und noch dazu die passive Portrange gewählt und eingeschaltet werden
- des weiteren müssen am Router die FTP Ports 21 und (passive Portrange) 55536 - 55567 durchgeschalten werden. Dabei ist hier (im Gegensatz zu oben) 21 außen auf 21 innen und 55536 - 55567 außen auf 55536-55567 innen zu schalten.
Danach sollte es eigentlich laufen!
Zu beachten wäre sicherheitstechnisch noch folgendes:
Das Ganze sollte möglichst sicher betrieben werden, so dass man eigentlich -für den Zugriff von außen auf die Benutzerschnittstelle (DSM)- nur den Port 5001 nach außen hin geöffnet haben sollte, während man die Portweiterleitung des 5000er Ports gänzlich weglässt. Zum Betreiben dafür ist allerdings ein Zertifikat nötig, da einem sonst die Browser (Internet Explorer, Firefox, Safari und Chrome) mittels Hinweismeldungen über längere Zeit "auf den Sack" gehen werden.
Über Port 5001 (und dem nach außen hin anderen Port) ist die Verbindung verschlüsselt und kann von Dritten somit nicht abgehört werden!
Gleiches gilt für den FTP Server! Anstelle des FTP Dienstes, kommen die User sicherer (für sie selbst und Dich) mit dem FTPS Dienst (während der FTP Dienst gar nicht angeschaltet wird) und können so bei der Anmeldung ihrer Benutzer nicht abgehört werden. Der Restliche Datenverkehr ist dann wieder auf normaler Basis (könnte abgehört werden, was aber egal ist da dann keine Daten übertragen werden, die einen Einbruch in die DS willkommen heißen).
Bezüglich des Admin Users (siehe oben) tust Du auch gut daran, wenn Du Deinen Admin User (der wahrscheinlich admin heißt) deaktivierst! Bevor Du das aber machst, solltest Du einen anderen -nur Dir bekannten- User in den Status eines Admins erheben, den Du zukünftig als Administrator benutzt. Mit diesem kannst Du dann den vorherigen Admin namens admin über die Systemsteuerung deaktivieren.
Letzteres hat dann den Hintergrund, daß Hacker -welche Deinen Rechner als Synology Maschine indentifiziert haben- sich erstmal tagelang mit dem Knacken des Passwortes für den User admin beschäftigen, bis sie vielleicht irgendwann mal ahnen, dass es diesen User als Admin bei Dir gar nicht gibt! Danach haben sie Milliarden weitere Möglichkeiten, wie der Admin bei Dir vielleicht heissen könnte...
Hmm, mein 777. Beitrag! Passt irgendwie!
