DSM 7.2 DSM Sicherheit bei zugriff aus dem Internet?

[alexhell]

Das geht mit dem eingebauten Reverse Proxy von Synology nicht. Du müsstest audio.deine-domain.de nutzen. Das mit /audio würde nur funktionieren, wenn du die Config per Hand pflegst.

 

[Benares]

Schau mal ins Anmeldeportal unter Anwendungen. Für die Standard-Anwendungen muss man da nur eine Domain eintragen (die natürlich korrekt aufgelöst werden muss). Im Hintergrund entsteht da auch ein Reverse Proxy. Alles unter Erweitert, Reverse Proxy gilt eher für Sonstiges.
Der Reverse Proxy leitet an Ports weiter, nicht an Aliase.

Bsp: Audiostation lauscht auf Port 8800 (http) und 8001 (https), als Domain ist audio.example.com eingetragen. Der implizit definierte Proxy leitet http://audio.example.com[:80] auf http://localhost:8800 und https://audio.examle.com[:443] an https://localhost:8801 weiter.

Bei den sonstigen Reverse Proxies funktioniert das ähnlich. Bsp: https://nas2.example.com:443 -> https://nas2:5001

Somit braucht man nur einen (oder zwei, 80 und 443) offene, externe Port(s), um alle internen Web-Anwendungen nach außen verfügbar zu machen. Ein Wildcard-DDNS-Dienst ist da von Vorteil, besser noch in Verbindung mit einem Wildcard-Zertifikat.

 

[hintzsche]

Ah ok danke Ich nutze das developer Portal von Ionos da kann ich über nen API Key so viele subdomains wie ich will als Dyndns nutzen und dadurch das an meiner Domain auch ein VServer hängt bekomme ich noch eine Wildcard Zertifikat gratis das für die gesamte Domain gilt. Sollte ich HSTS erzwingen was meint ihr? Muss ich den Port dann auch bei den Anwendungen auf 443 ändern?

 

[alexhell]

Wildcard ist aber was anderes als soviele Domain wie du willst. Wenn du explizit eine Domain anlegst, dann kann man die auch im DNS Server sehen. Du brauchst ja eigentlich nur eine und zwar *

 

[hintzsche]

Subdomains Ich könnteauch *.example.com eingeben aber dann gehts ja auch nur auf einen internen port

 

[alexhell]

Ja meinte ich ja....

 

[hintzsche]

Also wenn ich die Domain bei den Apps einstelle bleiben ja die ports nach aussen offen. also für audio bleibt dann ja bei 8801 und bei chat bei 20001. Wie gesagt mein problem ist. Stelle ich den Reverse Proxy auf audio.example.com Port 443 auf localhost 8801 dann will er bei Aufruf der Domain Port 5001 aufmachen. Stelle ich bei Anwendung die domain audio.example.com ein dann nutzt er weiter den Port 8801

 

[Benares]

Wildcard-DNS bzw. Wildcard-Zertifikat ist besser/sicherer/einfacher, da ein Angreifer am Zertifikat nicht erkennen kann, welche Subdomains du noch betreibst.
Sonst müsstest du im Zertifikat alle Namen aufführen.

Edit: Nein, alles kommt z.B. über 443 rein und wird intern weiterverteilt, 8801 bzw. 20001 kann zu bleiben.
Einziger Angriffspunkt ist der Reverse Proxy selbst, aber das ist nginx, ausgereift und getestet.

 

[hintzsche]

Ja ich habe ein Wildcard Zertifikat wie ich sagte kam mit meinem Vserver und da beides die gleiche Domain nutzt kann ich das einfach auf die Diskstation hochladen bzw. das nutze ich schon die ganze Zeit so. Aber ein Angreifer braucht auch nicht am Zertifikat erkennen welche Subdomains ich nutze eine DNS Abfrage reicht
Ach quatsch das kann ja nur ich -.- ein Fremder muss die domain kennen.

 

[Thonav]

Vielleicht hast Du die Info von @Benares überlesen - im Anmeldeportal der DSM Systemsteuerung trägst Du NUR die Domain ein, also zb. audio.deinedynds.de, sonst braucht es da nichts! Dann geht es automatisch über die 443.

 

[Benares]

Nimm zum Bleistft tagesschau.de, da sieht man schon am Zertifikat, welche Dienste dahinter laufen. Stünde da *.tagesschau.de wüsste man das nicht.

Nicht kritischDNS-Name: www.tagesschau.deDNS-Name: admin.tagesschau.deDNS-Name: atlas.tagesschau.deDNS-Name: beta.tagesschau.deDNS-Name: blog.tagesschau.deDNS-Name: chat.tagesschau.deDNS-Name: download.media.tagesschau.deDNS-Name: faktenfinder.tagesschau.deDNS-Name: fbia.tagesschau.deDNS-Name: hbbtv.tagesschau.deDNS-Name: images.tagesschau.deDNS-Name: intern.tagesschau.deDNS-Name: karten.tagesschau.deDNS-Name: korrespondenten.tagesschau.deDNS-Name: live.tagesschau.deDNS-Name: matrix.tagesschau.deDNS-Name: media.tagesschau.deDNS-Name: meta.tagesschau.deDNS-Name: miss.tagesschau.deDNS-Name: prodforum.tagesschau.deDNS-Name: programm.tagesschau24.deDNS-Name: qa-classic.tagesschau.deDNS-Name: qa.tagesschau.deDNS-Name: rbb24.wahl.tagesschau.deDNS-Name: relaunch.tagesschau.deDNS-Name: service.tagesschau.deDNS-Name: spiel.tagesschau.deDNS-Name: staging.hbbtv.tagesschau.deDNS-Name: staging.tagesschau.deDNS-Name: stat.tagesschau.deDNS-Name: tagesschau.deDNS-Name: todo.tagesschau.deDNS-Name: tools.tagesschau.deDNS-Name: umfrage.tagesschau.deDNS-Name: wahl-o-mat.tagesschau.deDNS-Name: wahl.tagesschau.deDNS-Name: wahlarchiv.tagesschau.deDNS-Name: wetter.tagesschau.deDNS-Name: wetterstationen.tagesschau.deDNS-Name: www.blog.tagesschau.deDNS-Name: www.tagesschau24.deDNS-Name: www.wahl.tagesschau.de

Als Hacker würde ich mir zunächst mal admin.tagesschau.de genauer anschauen

 

[hintzsche]

Vielleicht hast Du die Info von @Benares überlesen - im Anmeldeportal der DSM Systemsteuerung trägst Du NUR die Domain ein, also zb. audio.deinedynds.de, sonst braucht es da nichts! Dann geht es automatisch über die 443.

???????? ER hat geschrieben erweitert ist nur für sonstiges und ich soll bei den Anwendungen immer eine Domain eintragen

 

[Monacum]

Bei Calendar trägst du nur bei https irgendeinen Port ein und merkst dir diesen. Dann im Reverse Proxy als Quelle meinetwegen cal.name.synology.me und als Ziel https, localhost und den gewählten Port eintragen. Firewall an DS und Portweiterleitung im Router müssen dann nur noch den Port 443 freigeben, nicht 20003; das könntest du auch machen, würde auch funktionieren, aber wofür zwei Türen für die gleiche Applikation öffnen?

 

[Benares]

Nicht immer, nur für die dort aufgeführten Anwendungen kannst du dir das Leben erleichtern, wenn du dort einfach eine Domain einträgst. Nur alles andere musst du unter Erweitert, Reverse Proxy machen. Aber letztendlich mündet alles intern in der gleichen Konfiguration.

 

[hintzsche]

Ok Danke

Nicht immer, nur für die dort aufgeführten Anwendungen kannst du dir das Leben erleichtern, wenn du dort einfach eine Domain einträgst. Nur alles andere musst du unter Erweitert, Reverse Proxy machen.

Aber dann nutzt er nicht Port 443 für alles

 

[plang.pl]

Das mit /audio würde nur funktionieren, wenn du die Config per Hand pflegst.

Nein, geht auch über die GUI:

 

[hintzsche]

Bei Calendar trägst du nur bei https irgendeinen Port ein und merkst dir diesen. Dann im Reverse Proxy als Quelle meinetwegen cal.name.synology.me und als Ziel https, localhost und den gewählten Port eintragen. Firewall an DS und Portweiterleitung im Router müssen dann nur noch den Port 443 freigeben, nicht 20003; das könntest du auch machen, würde auch funktionieren, aber wofür zwei Türen für die gleiche Applikation öffnen

Danke genau das wars

@plang.pl

Bei mir kommt da Domain invalid

Super das hat tatsächlich funktioniert und über die ip alleine auch mit port kommt man nicht mehr ins system

 

[Benares]

Aber dann nutzt er nicht Port 443 für alles

Doch! Von extern schon. Ziel ist es ja, alles über wenige externe Ports abzuwickeln.
Weiß grad nicht, was jetzt @plang.pl meint Reverse Proxy auf Aliase funktioniert m.W. nicht.

 

[plang.pl]

Wenn man eine Domain / DDNS eingetragen hat, kann man in der GUI auch ein Verzeichnis setzen und nicht nur eine Subdomain wollte ich damit sagen

 

[Thonav]

Es reicht nur die Subdomain.domain.de dort einzutragen. Wie @Benares schon gesagt hat, gilt das für einige Standardanwendungen, andere, wie bei mir z.b. Bitwarden (Vaultwarden) lassen sich bequem auch über die Reverse Proxy eintragen. Auch alle mit extern 443.