DSM 7.2 DSM Sicherheit bei zugriff aus dem Internet?

[Benares]

zum einen Das Plug and Play nicht vernünftig mit der Fritz!Box funktioniert

@hintzsche macht halt gern alles, was man normalerweise nicht macht, sogar UPnP, vielleicht liebt er ja die Gefahr

 

[hintzsche]

OK interessant und wie unterscheidet der Reverse Proxy zwischen IP direkt und DNS? Denn ist es nicht so das der Browser die URL an einen DNS sendet von diesem die IP bekommt und diese dann aufruft? Aber geht ja nicht weil sonst würden ja Subdomains auf der gleichen IP nicht funktionieren.

Als ob es einen Unterschied macht ob ich die Ports eingebe oder DSM. Vielleicht liebe ich die Gefahr, aber vielleicht liegt es daran das ich noch nicht angegriffen wurde wirklich an den Diensten die nicht laufen.

 

[alexhell]

In dem er nur auf den Hostname lauscht und nicht auf den Port.
Egal was du eintippst, ob IP oder meine Domain, dann landest du auf einem Reverse Proxy. Er macht nichts anderes als die Anfragen dann weiter zu verteilen. Und dafür muss der Hostname genau mit dem übereinstimmen was man konfiguriert hat.
Und daher macht es einen riesen Unterschied. Die Ports kannst du scannen, dann siehst du was offen ist. Die URLs kannst du nicht einsehen....

 

[hintzsche]

Aber der Browser löst den Hostnamen mit Hilfe des DNS in eine IP auf. Die Frage ist läuft das mit allen Diensten die ich am laufen habe mit Reverse Proxy. Bei mir liegt Audiostation auf nem anderen Port als Chat.

 

[Benares]

Der Browser übermittelt aber auch die URL, also den angesprochenen Host-Namen. Darüber verteilt der Reverse-Proxy weiter.
Du könntest sogar weitere Geräte im Netz darüber ansprechen. Geht aber nur mit Web-Diensten.

 

[alexhell]

Bei mir wird *.example.de auf meine IP aufgelöst. Also landet alles bei mir. Und der Reverse Proxy verteilt es dann anhand von der URL. Das ist einfach ein nginx Server im Hintergrund. Und ja das geht mit allen Diensten.
Ich würde an deiner Stelle die NAS direkt aus dem Netz wieder entfernen und nur das freigeben was du auch wirklich brauchst bzw. mir überlegen wie kann man das sicher umsetzen. Die NAS ins Netz zu hängen ist die schlechteste Idee die man haben kann. Nur weil es bis jetzt gut ging, heißt es nicht, dass es sicher ist.

 

[hintzsche]

Du hast mir aber nicht gesagt warum. Denn so oder so sind die Ports offen damit ich von unterwegs auf die DSM zugreifen kann. Und wie gesagt vor oder hinterm Router spielt da keine Rolle man kann nur das EXploiten was läuft. Und das wird auch weiter online laufen. Ob ich das im Router einstelle oder ob ich es direct als EXposed Host online stelle. Das einzige was wirklich sicherer zu sein scheint ist ein Reverse Proxy. Ausserdem müsste ich mir ja auch sorgen um meinen VServer machen der hängt auch ungeschützt im Netz wie jeder Server. Habe noch nie gehört das Strato ihre Server vom netz nimmt weil die gehackt werden könnten dafür gibts Sicherheitsmaßnahmen im Betriebssystem. Nur zu eurer aller Beruhigung meine Firewall in der DSM lässt nur Connection aus DACH zu. DA gibts sicher auch Hacker aber das Risiko ist wesentlich geringer.

 

[alexhell]

Das wurde dir doch schon 1000 mal hier beantwortet..... Du akzeptierst nur die Antworten nicht.
Es gibt so viele Wege etwas online zu stellen, wieso befasst man sich da nicht vorher mit Sicherheit.....
Ich bin hier dann auch raus. Du meinst dein Weg ist sicher und dann mach es weiter so....

 

[alexhell]

Ausserdem müsste ich mir ja auch sorgen um meinen VServer machen der hängt auch ungeschützt im Netz wie jeder Server.

Wie der Name VServer schon sagt, ist das ein Virtueller Server. Wenn der gehackt wird, dann hast du nicht Zugriff aufs komplette LAN von Strato. Sondern nur auf den Server. Auch bei dedicated Servern kannst du dich nicht im LAN weiterbewegen. Du bist da quasi in einer Sandbox..... Wenn der Server befallen ist, dann ist auch nur der Server befallen. Bei dir wäre dein komplettes Netzwerk betroffen. Strato hat auch ein IT Security Team für sowas. Hast du sowas auch?

 

[hintzsche]

WAs akzeptiere ich nicht. Mir wurde nur Vorgeschlagen Reverse Proxy oder hinter eine Firewall was genauso sicher ist wie Exposed Host.

 

[alexhell]

Nein dir wurde gesagt, dass exposted Host das unsicherste ist. Du siehst es anders und somit macht es auch keinen Sinn mehr.
Bin ab jetzt hier wirklich raus.

 

[hintzsche]

1. Wer sagt das meine Diskstation Zugriff aufs Lan hat?



2. Schade das du das so siehst ich dachte ich hätte erklärt warum das keinen Unterschied macht.

 

[Benares]

Im Gast-LAN/WLAN gibt es keine Portfreigaben bzw. Exposed Hosts. Langsam wird's müßig bzw. schon lächerlich.

 

[hintzsche]

Stimmt das war falsch geschrieben. Nicht die Discstation ist im Gast Lan alle anderen Geräte sind es. Aber mit 2 Routern ist es trotzdem machbar. Die Discstation an den Router der ins Internet führt und alle anderen Geräte an einen zweiten Router der am Gast Lan hängt. Sollten dann zwei getrennte Lans sein. Muss nicht mal ein Router sein geht ja auch ein Switch. Lan also Verbindung zwischen zwei Geräten nutze ich eh nicht.

 

[Thonav]

Du hast leider einen falschen Eindruck von der Sicherheit Deiner Konfiguration. Auch ich brauche nur den 443 und kann alle möglichen Pakete von überall nutzen. Dazu brauche ich nichts ein- und auszuschalten. Wie möchtest Du das denn handeln, wenn Deine 20 User mal das eine, mal das andere Programm nutzen möchten?

 

[hintzsche]

JA die Adresse für chat ist subdomain: Port und für audiostation subdomain:andererport in den apps und im browser halt subdomain/chat oder subdomain/audio. Wie richte ich denn den Reverseproxy am besten ein? Das ding ist die Apps verbinden sich auch nicht ohne das ich einen spezifischen Port angebe. Einfacher wäre doch nur die Nutzung der Subdomain ohne Port hinten dran und DSM macht den rest automatisch.

 

[Ulfhednir]

Habe noch nie gehört das Strato ihre Server vom netz nimmt weil die gehackt werden könnten dafür gibts Sicherheitsmaßnahmen im Betriebssystem.

Auch VMs oder Containeranwendungen sind per se zu 100% sicher.
https://winfuture.de/news,123308.html

 

[hintzsche]

Du meintest nicht zu 100% sicher?

 

[Ulfhednir]

Wollte nur prüfen, ob alle Teilnehmer noch bei der Sache sind und habe deswegen den Partikel unterschlagen.

 

[hintzsche]

Ok also ich versuche es gerade mit reverse Proxy aber bis auf das Admin Portal bekomme ich das nicht hin. wenn ich jetzt auf audiostation will akzeptiert er bei domain kein /audio und ohne sagt er die Domain wird schon verwendet und man kann auch nur einen Port bei Ziel angeben. Oder geht das mit Komma getrennt? Nein geht es nicht. Ich weis echt nicht wie ich alle Dienste über einen Port bei Reverse Proxy einstellen kann. Auch wenn ich für jede App eine Subdomain mache will er immer auf Port 5001 obwohl ich was anderes einstelle.