DS211j fürs Internet freigeben, wie mache ich es am sichersten ?

[laufgestalt]

Hallo Leute,

möchte meine DS211j ständig abrufbereit (über Internet) haben. Deshalb hab ich mir das Ding eigentlich gekauft.

Jetzt hab ich im Macuser-Forum ein wenig herum geschrieben und dort hat mir einer gesagt, das ich meine DS lieber nicht mit Port 21 für FTP freigeben soll, weil so meine Daten in gefahr sind, wegen Port-Scannern usw. - Dann hätte ich wenns blöd hergeht vllt bald gar keinen zugriff mehr auf meine daten

Wie verbinde ich mich also am Besten mit meiner DS zuhause ? Über VPN oder ist das das gleich Problem wie bei FTP ?

Danke!

 

[steffi]

hallo

um dir besser helfen zu können müsstest du uns sagen was du über dea internet erreichen musst.

das kann z.b. der webserver, FTP, die photostation, oder die filestation sein.

dementsprechend kann sich die lösung anders gestalten.


al einfachste lösung für ein wenig mehr sicherheit beim ftp zugriff kannst du die blockfunktion einschalten. hier werden user, die x mal das falsche passwort eingegeben haben für eine gewisse zeit gesperrt. scannen kann man aber die meisten ports problemlos -- nur den zugriff kannst du sicherer gestalten.

 

[jahlives]

Wenn du für FTP einen anderen Port als 21 verwendest, dann hält dies zwar die meisten Scriptkiddies draussen, aber gegen einen gezielten Angriff würde es nichts helfen.
Wie steffi schon sagte, das Aktivieren von autoblock ist schonmal ein grosses Plus an Sicherheit. Verwende nur SSL geschützte Verbindungen. Viel mehr als das kannst du eigentlich ned machen

 

[laufgestalt]

Vielen Dank schonmal für deine Antwort....

Ich hab jetzt vielleich schon falsch begonnen - hmmm

Habe seit kurzem die DS im Einsatz und bin derweil am zusammenkopieren aller daten meiner versch. externen platten auf meine DS, damit alles zusammen zu finden ist. Haupstächlich sind das jetzt Jobs, Fotos, Programme, Footage, Filme, Tutorials.... ca. 1 TB

Was jetzt noch fehlt ist die Musik, bei diesem Thema steht noch ein große "?" auf meinem Kopf....

Soll ich für jeden "Dienst" auf meiner DS ein eigenes "Volume/Ordner" erstellen ?

Also für Webseiten die ich hoste hatte ich das sowieso vor, die Musik hätte ich eigentlich auch zu meinen 1 TB Daten gepackt.... wenn das aber nicht intellligent ist, dann mach ich das natürlich anders. Der Gedanke von mir war der, dass ich nicht jedesmal dann mit 3 "Servern" verbinden muss, damit ich wieder auf alle daten zugriff habe... dann hätte ich ja bei meinen externen platten bleiben können, mehr oder weniger....

Mein Ziele sind:
1. meine Daten immer abrufen zu können egal wo....
2. einen FTP einzurichten, auf welchen meine Freunde und Ich, neue Musik raufspielen und tauschen können
3. einen iTunes Server zu installieren, damit meine Freundin und ich auf meine Mediathek zugriff haben und musik hören können (mit ein und derselben mediathek, wenn möglich)
4. so sicher wie nur möglich unterwegs zu sein damit nichts mit meinen wichtigen daten passiert

wie stelle ich das jetzt am besten an ?

 

[laufgestalt]

das Aktivieren von autoblock ist schonmal ein grosses Plus an Sicherheit. Verwende nur SSL geschützte Verbindungen. Viel mehr als das kannst du eigentlich ned machen

Ok und wie stelle ich das an, wo muss ich hin um AUTOBLOCK zu aktivieren ?

SSL:
Muss ich zum Port ändern nur die Port Weiterleitung von 21 auf XXX umstellen und beim FTP Programm statt dem Port 21 den neuen eintragen und das funktioniert ? Auch wenn ich SSL protokoll einstelle ?

Muss man denn SSH auf der DS auch noch wo aktivieren ?

DANKE !!!!

 

[Trolli]

Meiner Meinung nach kannst Du FTP auch auf dem Standardport lassen, wenn Du einige Sicherheitsaspekte beachtest:

• Nur verschlüsselte Verbindungen zulassen (damit keine Passwörter ausspioniert werden können)
• Gute Passwörter benutzen
• Autoblockierung verwenden

Außer FTP kannst Du auch z.B. die File Station für den Datenzugriff über Internet verwenden.

Das mit dem SSH verstehe ich jetzt in Deinem Beitrag nicht...

Die Autoblock Funktion findest Du hier:

 

[laufgestalt]

Meiner Meinung nach kannst Du FTP auch auf dem Standardport lassen, wenn Du einige Sicherheitsaspekte beachtest:

• Nur verschlüsselte Verbindungen zulassen (damit keine Passwörter ausspioniert werden können)
• Gute Passwörter benutzen
• Autoblockierung verwenden

Außer FTP kannst Du auch z.B. die File Station für den Datenzugriff über Internet verwenden.

Das mit dem SSH verstehe ich jetzt in Deinem Beitrag nicht...

Die Autoblock Funktion findest Du hier:

wow, danke für den screenshot und die super auflistung, hilft echt weiter!

Mit SSH meinte ich eigentlich SSL, habs bereits korrigiert oben.

Wie genau funktioniert das mit der File Station ? - Habe die versch. Station's (Audio, Photo, File) noch nicht so ganz gecheckt, für was das jetzt genau gut sein soll

 

[carstenj]

Hi,

ich schrieb es an anderer Stelle schon: Logs überprüfen und Software regelmäßig aktualisieren. Sonst wirst du über kurz oder lang keine Freude an deinem Server haben.

2. einen FTP einzurichten, auf welchen meine Freunde und Ich, neue Musik raufspielen und tauschen können

Ich will dir nichts unterstellen, aber so ganz legal hört sich das erstmal nicht an.

 

[laufgestalt]

Ich will dir nichts unterstellen, aber so ganz legal hört sich das erstmal nicht an.

Da geb ich dir Recht - Jedoch werden hier natürlich nur Daten getauscht, welche zum großteil selbst produziert wurden

- Wie sollte ich denn am Besten den Auto.Blocker einstellen ? 5 Versuche / innerhalb von 5 Minuten ? Ist das OK ?
- Blockierung aufheben nach 30 tagen
- E-Mail Nachricht -> JA

Passt das so ?

 

[Trolli]

Ist ok so. Wobei ich die Blockierung bei mir nicht aufheben lasse. Ich lass die einfach stehen.

Infos über die File Station gibts hier:
-> http://www.synology.com/deu/products/features/filestation3.php

 

[laufgestalt]

Ist ok so. Wobei ich die Blockierung bei mir nicht aufheben lasse. Ich lass die einfach stehen.

Infos über die File Station gibts hier:
-> http://www.synology.com/deu/products/features/filestation3.php

Ja blöde frage, aber wenn du jetzt angenommen, wirklich so blöd bist und es 5 x falsch eingibst (von deinem Admin-Account) dann kannst du ja nie wieder in deine DS rein oder ?

Machen denn mehrere Benutzer die DS "unsicherer" ???

Wie stelle ich die Blockierung für immer ein ? - Mit einer "0" ??

HTTP oder HTTPS wo liegt der Unterschied ? HTTPS ist mit Verschlüsselung ? Wie verbinde ich mich mit dieser ? (https://xx.xx.xx.xx:7001) im browser ??

Wie sicher ist dieser Dienst, macht es Sinn, FTP und File Station zu aktiveren oder nur eins von beiden ?

Danke!

EDIT:
Jetzt hab ich im Web-Inteface der DS unter FTP->Verbindungseinschränkungen "Nur SSL/TLS" erlauben aktiviert.
Doch wie verbinde ich mich jetzt mit Transmit zu meinem Server ? Irgendwie klappt da jetzt keine Verbindung mehr...
Port 7001 ist weitergeleitet aber es will nicht... Habs mit Port 21 und Port 7001 versucht aber nix geht....

 

[jahlives]

Mit Autoblock wird nicht der Accout gesperrt, sondern nur die IP des Clients. Wenn du dich ausgesperrt hast, dann änderst du deine IP und der Login sollte wieder erreichbar sein

 

[carstenj]

Hi,

Machen denn mehrere Benutzer die DS "unsicherer" ???

alles, was unnötig ist, macht einen Server potentiell unsicherer. Du solltest alles abschalten, was du nicht benötigst. Dazu gehören, Dienste, Benutzer, Daten. Und die Ip-Adressen für immer zu sperren macht auch keinen Sinn.

Für Https brauchst du ein Zertifikat. Du verbindest dich im Grunde genauso, wie mit http. Ansonsten verstehe ich die Frage nicht?!

Wie willst du denn auf deine Daten zugreifen? Per Webbrowser? Per Kommandozeile oder FTP-Client? Davon ist abhängig, was du installieren sollst. Du sollest dich aber entscheiden, denn beides gleichzeitig wäre unsinnig. Siehe auch hier:

http://forum.synology.com/wiki/index.php/How_to_Access_Data_on_the_Synology_Server_Remotely

 

[laufgestalt]

Mit Autoblock wird nicht der Accout gesperrt, sondern nur die IP des Clients. Wenn du dich ausgesperrt hast, dann änderst du deine IP und der Login sollte wieder erreichbar sein

Ahhh, ein Denkfehler meinerseits - Danke! - Und wie stell ich den jetzt auf "Endlos" ?

 

[jahlives]

Das mit endlos würde ich lassen, denn in 110miin könnte die IP schon jemand anders gehören. Zusätzlich nicht vergessen dass die IP auch ein Gateway resp Prroxy sein könnte. U.u. wütdest du damit mehr sperren als dir lieb ist

 

[laufgestalt]

Das mit endlos würde ich lassen, denn in 110miin könnte die IP schon jemand anders gehören. Zusätzlich nicht vergessen dass die IP auch ein Gateway resp Prroxy sein könnte. U.u. wütdest du damit mehr sperren als dir lieb ist

ok, dann lass ich das mal auf 30 tage

EDIT:
Jetzt hab ich da so viel eingestellt, umgestellt, das ich mich jetzt von der arbeit aus gar nicht mehr verbinden kann über ftp. was bisher eigentlich noch ging.... na toll...

 

[Trolli]

Wie verbindest Du dich denn mit dem FTP-Server? Wahrscheinlich liegt es am erzwungenen SSL/TLS.

Und ja, HTTPS ist verschlüsselt, HTTP nicht. Ein Standardzertifikat ist dabei natürlich bereits in der DS hinterlegt. Weil das aber nicht zur DNS Deiner DS passt, musst Du die Zertifikatwarnung ignorieren. Verschlüsselt wird aber trotzdem.

 

[jahlives]

Stell sicher, dass du via ftpes und nicht ftps zugreifst. Stell sicher, dass die entsprechenden Ports (auch für FTP Passiv Mode) im Router auf die IP deiner DS weitergeleitet werden. Benutze Filezilla, der gibt ein detailliertes Log der Verbindung aus. Dann siehst du an welchem Punkt die Verbindung scheitert.
Stell auch sicher, dass in der DS die entsprechenden FTP Optionen gesetzt sind und auch "externe IP im PASV Mode berichten" aktiviert ist

Jetzt hab ich da so viel eingestellt, umgestellt, das ich mich jetzt von der arbeit aus gar nicht mehr verbinden kann über ftp. was bisher eigentlich noch ging.... na toll...

Könnte es sein, dass du am Arbeitsplatz via einen Proxy rausgehst und eventuell die Proxy IP von Autoblock gesperrt wurde?

 

[laufgestalt]

Danke!!!

Lokal funktioniert FTP mit SSL und mit erzwungenem SSL auf der DS.
Werde morgen in der Arbeit wieder von "aussen" versuchen zu verbinden.

Eine Frage ist aber schon wieder aufgetaucht:
Wie ändere ich den Pfad vom FTP auf ein bestimmtes Volume? geht das ?

Könnte es sein, dass du am Arbeitsplatz via einen Proxy rausgehst und eventuell die Proxy IP von Autoblock gesperrt wurde?

nope, definitiv nicht

 

[jahlives]

Der FTP kann "nur" Samba Freigaben anzeigen. Alles was nicht als Share eingerichtet ist kann er nicht anzeigen (auch wenn der User die Rechte für die Daten hätte). Der Synology FTP zeigt neben den Freigaben jeweils noch das Homeverzeichnis des angemeldeten Users (wenn User Home Service aktiviert ist)
Es ist eben kein "vollwertiger" FTP Server (für diese Bemerkung kriege ich sicher Schläge )
Ich persönlich möchte nicht für alles Mögliche eine Share einrichten und nutze daher auf meine Stations den vsftpd von ipkg. Damit bin ich nicht mehr an die Shares gebunden und kann auf das gesamte Dateisystem zugreifen (wenn mein User die Rechte dafür im Dateisystem hat)