DS File von extern - Sicherheitsproblem?

[Andy14]

Hi, ob das andere DS-Apps betrifft habe ich jetzt noch nicht getestet!
Da ich ja mein Smartphone einrichte, wollte ich mit DS-File eigentlich nur über VPN zugreifen.
Jetzt habe ich aber festgestellt das ich da auch ohne VPN zugreifen kann.
Im "Application Portal" hatte ich zur File Station keine Einträge.
Port 5000/5001 sind von außen nicht zu erreichen!
Trotzdem startet DS-File mit (https)MeineAdresse.de (keine Portangabe)
Ich habe dann im "Applikation Portal" spezielle Ports für die File Station vergeben.
DS-File starten wieder mit dem Domainnamen ohne das ich einen Port angehängt habe. Über welchen Port startet das?
Dann habe ich es mit Admin probiert, hier startet es auch und obwohl ich für den Admin eine 2-Faktor Authentifizierung festgelegt habe
kommt das hier bei DS-File nicht zum tragen. Muss ich die 2-Faktor Authentifizierung für Mobile Apps irgendwo extra einstellen?

 

[Fusion]

Welche Ports sind denn von außen weitergeleitet?
Ohne Weiterleitung ist kein Dienst direkt erreichbar.

oder greifst du eventuell per QuickConnect Adresse zu?
In diesem Fall müssen gar keine Ports offen sein, weil die Verbindung von Innen nach Außen initiiert wird.

 

[Andy14]

Nein, die ganzen Automatiken nutze ich nicht ;-)
Cloud Station, WebDAV und die anderen Stations, alle auf eigene Ports.
80 für letsencrypt und 443 für die Photostation. Die hatte ich aber für den Test mal in der Firewall gesperrt.

 

[Puppetmaster]

WebDAV (5005 bzw. 5006) hast du nach aussen offen?

DS File benötigt genau diese Ports.

 

[Andy14]

Also laut Synology Hompage ab DS File 4x und ab DSM 4.3 die Ports 5000 5001!
Aber ich kann das ja mal testen und 5006 dicht machen.
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

 

[Puppetmaster]

Hab's gerade getestet.

DSM 5.2 / DS File 4.10.4-283

Port 5001 bzw. 5000 habe ich im Router auch gar nicht offen, trotzdem geht es.

 

[Andy14]

Die Frage ist, geht es nicht mehr wenn 5006 zu ist ;-)
und was passiert wenn ich WebDAV auf einen anderen Port lege.
Bleibt das auf 5006 oder wechselt das mit ...

 

[Puppetmaster]

Sag ich doch, hab's getestet: 5006 im Router dicht, dann geht bei mir nichts mehr über HTTPS.

 

[Andy14]

Oh, das hatte ich dann falsch interpretiert
Danke!
Jetzt fehlt mir nur noch jemand mit DSM 6 der das mal mit der 2 Faktor Authentifizierung testen kann.

 

[Andy14]

So, WebDAV auf einen anderen Port gelegt und (zum Glück ) das gleiche Ergebnis wie bei Puppetmaster. DS-File ist von außen nicht mehr erreichbar!
Also stimmt die Anleitung bei Synology nicht, da auch die neuen Versionen (zusätzlich? Port 5001 habe ich jetzt nicht getestet) unter 5005/5006 zu erreichen ist.
Komischerweise fragt er jetzt nach dem Umstellen beim Admin nach der 2-Faktor Authentifizierung. Zurückstellen um das nochmal zu testen werde ich das aber nicht mehr.
Also läuft es bei mir jetzt so wie es soll

 

[Puppetmaster]

Ja, die Anleitung scheint nicht zu stimmen. Ws mich auch wundern würde, denn zum einen haben sich die Ports für webDAV ja nicht geändert seit 4.xx, und zum anderen ist webDAV ja immer Grundvoraussetzung, damit DS File funktionieren kann.
Daher ist es auch völlig legitim, dass man bei offenem webDAV Zugang per DS File Zugriff erhält.

 

[Fusion]

Ist aber irgendwie löchrig die Theorie bzw. kann ich so widerlegen.

Ich habe eine benutzerdefinierte Domain ala file.domain.de im Anwendungsportal vergeben.
Via DS App kann ich dann mit file.domain.de:443 (weil er es sonst auf 5001 probiert) und https Häkchen zugreifen.
webDAV server ist nicht installiert und der Zugriff geht trotzdem.
Offene Ports sind nur http, https, imaps, smtps

Zudem hat die App hat ja auch keine Kenntnis von den webDAV Ports und allen anderen die vom Standard abweichen.
Selbst wenn ich den webDAV Server installiere und z.B auf 12345 lauschen lasse und diesen auch im Router weiterleite,
andere Ports und DSM weiterhin zu, bekommt DS File ohne Portangaben (also sub.dyndns.de, https) keine Verbindung.
Wenn ich dann in DS File hingegen sub.dyndns.de:12345 angebe bekommt auch DS File Verbindung.

Meine Schlußfolgerung: webDAV Server ist keine Voraussetzung für DS File, ABER DS File kann sich Huckepack über den webDAV Port anmelden, wenn dieser offen ist und in der App angegeben wird.

Wenn also beim OP der Zugriff ohne Portangaben und nur mit einer Portfreigabe für VPN funktioniert, dann vermute ich eher einen Flüchtigkeitsfehler ala VPN doch noch verbunden, oder versehentlich im WLAN oder was in der Richtung.

 

[Andy14]

@Fusion: habe da auch nicht so drüber nachgedacht, DS-File nutzt zur Kommunikation das WebDAV Protokoll.
Da muss natürlich nicht der "WebDAV Server für installiert werden, das stellt dann die File Station auf deiner Domain zur Verfügung.
Aber der WedDAV Server bietet natürlich auch das WebDAV Protokoll an, also geht DS-File dort auch! Oder so ähnlich

 

[Puppetmaster]

Hm, interessant.
Gerade habe ich noch einmal in der Hilfe zu DS File nachgesehen. Dort wird webDAV in der Tat überhaupt nicht mehr erwähnt! Früher (DSM < 6) war das definitiv so, das webDAV aktiv sein musste. Aber seit dem hat sich ja auch einiges geändert: webDAV ist z.B. ein eigenständiges Paket geworden.

In meinem Szenario kann ich nur sagen, dass wenn ich Port 5006 dicht mache, komme ich mit DS File nicht mehr rein. Das ist so das Verhalten, wie ich es seit eh und je von DS File kenne.

Aber da du webDAV ja gar nicht aktiv/installiert hast, und trotzdem rein kommst ... Also so wirklich erklären kann man das nicht, ausser ggf. durch diese "Huckepack"-Theorie.

So ganz befriedigend ist das jetzt aber noch nicht.

 

[Fusion]

@Andy14 - Das mag sein, nur hattest du ja geschrieben, dass du außer VPN keinen Port offen hattest. Wo soll DS File da dann Huckepack reinkommen?
Die fährt ja keinen kompletten Portscan, ob vielleicht irgendwo was offen ist, sondern versucht es via Standard 5000/5001 bzw. DSM 4.2 und früher 5005/5006.

Edit: Kannst du einen Flüchtigkeitsfehler ala VPN doch noch verbunden, oder versehentlich im WLAN oder was in der Richtung, ausschließen?
Weil sonst darf das eigentlich nicht sein. Müsste man alle Portfreigaben und die exakte Eingabe in DS File anschauen.
Es gibt einfach keine "automagische" Zugriffe. Da würde ich immer zuerst vermuten, dass man selbst irgendwo was übersehen hat.

@Puppetmaster - wie gibst du den Zugang in DS File an? sub.dyndns.de:5006?
Weil "Huckepack" funktioniert ja auch nur, wenn irgendwo ein Zugang offen ist und die DS File auch darüber, durch explizite Portangabe, informiert ist.

 

[Andy14]

Nein, ich hatte WebDAV (5006) offen und darüber kam DS-File rein. Ich wollte das DS-File nur über VPN geht!
Jetzt ist 5006 dicht und es geht nicht mehr. WebDAV liegt jetzt auf einem anderen Port.
Ok, da fällt mir ein, wenn ich den jetzt angeben habe ich wohl wieder das gleiche Problem!?
Allerdings geht es jetzt nicht mehr ohne das ich überhaupt einen Port angebe, den 5006 hat DS-File wohl als default getestet.

 

[Puppetmaster]

@Fusion: Nein, nur die Domain, kein Port.

 

[Fusion]

Laut https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
kamen ja sowohl 5005/5006 als auch 5000/5001 zum Einsatz. Da DS File ja nicht unbedingt weiß mit welcher DSM Version sie sich verbindet wird sie wohl alle diese Ports testen.
Alle anderen (auch 443 für https, das Häkchen für https entscheidet nur ob er http oder https probiert, nicht auf welchem Port) müssen explizit hinter dem Hostnamen angegeben werden.

Wenn du willst, dass Dienste NUR via VPN erreichbar sind, darfst du für diese eben keine separaten Portfreigaben im Router (am VPN vorbei) anlegen, sondern nur für VPN.
Oder funktioniert DS File auch über den VPN Port?

 

[Andy14]

Das ist echt unbefriedigend ... ich nutze WebDAV zum dateiaustausch, aber ich möchte nicht das man sich mit DS-File von außen anmelden kann.
Im WebDAV habe ich nur ein Verzeichniss freigegeben, ohne Sicherheitslücken ;-) , kann man da nicht viel Müll anstellen.
Mit DS-File ist dann jeder user der File Station Rechte hat auch von außen Zugriffs berechtigt

 

[Puppetmaster]

Im WebDAV habe ich nur ein Verzeichniss freigegeben...

Kann du auf die anderen Verzeichnisse denn von DS File aus zugreifen?