DSM 7.2 DSM Sicherheit bei zugriff aus dem Internet?

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.833
Punkte für Reaktionen
3.770
Punkte
468

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
OK interessant und wie unterscheidet der Reverse Proxy zwischen IP direkt und DNS? Denn ist es nicht so das der Browser die URL an einen DNS sendet von diesem die IP bekommt und diese dann aufruft? Aber geht ja nicht weil sonst würden ja Subdomains auf der gleichen IP nicht funktionieren.

Als ob es einen Unterschied macht ob ich die Ports eingebe oder DSM. Vielleicht liebe ich die Gefahr, aber vielleicht liegt es daran das ich noch nicht angegriffen wurde wirklich an den Diensten die nicht laufen.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
In dem er nur auf den Hostname lauscht und nicht auf den Port.
Egal was du eintippst, ob IP oder meine Domain, dann landest du auf einem Reverse Proxy. Er macht nichts anderes als die Anfragen dann weiter zu verteilen. Und dafür muss der Hostname genau mit dem übereinstimmen was man konfiguriert hat.
Und daher macht es einen riesen Unterschied. Die Ports kannst du scannen, dann siehst du was offen ist. Die URLs kannst du nicht einsehen....
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Aber der Browser löst den Hostnamen mit Hilfe des DNS in eine IP auf. Die Frage ist läuft das mit allen Diensten die ich am laufen habe mit Reverse Proxy. Bei mir liegt Audiostation auf nem anderen Port als Chat.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.833
Punkte für Reaktionen
3.770
Punkte
468
Der Browser übermittelt aber auch die URL, also den angesprochenen Host-Namen. Darüber verteilt der Reverse-Proxy weiter.
Du könntest sogar weitere Geräte im Netz darüber ansprechen. Geht aber nur mit Web-Diensten.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Bei mir wird *.example.de auf meine IP aufgelöst. Also landet alles bei mir. Und der Reverse Proxy verteilt es dann anhand von der URL. Das ist einfach ein nginx Server im Hintergrund. Und ja das geht mit allen Diensten.
Ich würde an deiner Stelle die NAS direkt aus dem Netz wieder entfernen und nur das freigeben was du auch wirklich brauchst bzw. mir überlegen wie kann man das sicher umsetzen. Die NAS ins Netz zu hängen ist die schlechteste Idee die man haben kann. Nur weil es bis jetzt gut ging, heißt es nicht, dass es sicher ist.
 
  • Like
Reaktionen: Monacum

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Du hast mir aber nicht gesagt warum. Denn so oder so sind die Ports offen damit ich von unterwegs auf die DSM zugreifen kann. Und wie gesagt vor oder hinterm Router spielt da keine Rolle man kann nur das EXploiten was läuft. Und das wird auch weiter online laufen. Ob ich das im Router einstelle oder ob ich es direct als EXposed Host online stelle. Das einzige was wirklich sicherer zu sein scheint ist ein Reverse Proxy. Ausserdem müsste ich mir ja auch sorgen um meinen VServer machen der hängt auch ungeschützt im Netz wie jeder Server. Habe noch nie gehört das Strato ihre Server vom netz nimmt weil die gehackt werden könnten dafür gibts Sicherheitsmaßnahmen im Betriebssystem. Nur zu eurer aller Beruhigung meine Firewall in der DSM lässt nur Connection aus DACH zu. DA gibts sicher auch Hacker aber das Risiko ist wesentlich geringer.
 
Zuletzt bearbeitet:

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das wurde dir doch schon 1000 mal hier beantwortet..... Du akzeptierst nur die Antworten nicht.
Es gibt so viele Wege etwas online zu stellen, wieso befasst man sich da nicht vorher mit Sicherheit.....
Ich bin hier dann auch raus. Du meinst dein Weg ist sicher und dann mach es weiter so....
 
  • Like
Reaktionen: Monacum

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ausserdem müsste ich mir ja auch sorgen um meinen VServer machen der hängt auch ungeschützt im Netz wie jeder Server.
Wie der Name VServer schon sagt, ist das ein Virtueller Server. Wenn der gehackt wird, dann hast du nicht Zugriff aufs komplette LAN von Strato. Sondern nur auf den Server. Auch bei dedicated Servern kannst du dich nicht im LAN weiterbewegen. Du bist da quasi in einer Sandbox..... Wenn der Server befallen ist, dann ist auch nur der Server befallen. Bei dir wäre dein komplettes Netzwerk betroffen. Strato hat auch ein IT Security Team für sowas. Hast du sowas auch?
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
:unsure: WAs akzeptiere ich nicht. Mir wurde nur Vorgeschlagen Reverse Proxy oder hinter eine Firewall was genauso sicher ist wie Exposed Host.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Nein dir wurde gesagt, dass exposted Host das unsicherste ist. Du siehst es anders und somit macht es auch keinen Sinn mehr.
Bin ab jetzt hier wirklich raus.
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
1. Wer sagt das meine Diskstation Zugriff aufs Lan hat?

Bildschirmfoto 2023-07-31 um 15.46.07.png

2. Schade das du das so siehst ich dachte ich hätte erklärt warum das keinen Unterschied macht.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.833
Punkte für Reaktionen
3.770
Punkte
468
Im Gast-LAN/WLAN gibt es keine Portfreigaben bzw. Exposed Hosts. Langsam wird's müßig bzw. schon lächerlich.
 
  • Like
Reaktionen: Synchrotron und Benie

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Stimmt das war falsch geschrieben. Nicht die Discstation ist im Gast Lan alle anderen Geräte sind es. Aber mit 2 Routern ist es trotzdem machbar. Die Discstation an den Router der ins Internet führt und alle anderen Geräte an einen zweiten Router der am Gast Lan hängt. Sollten dann zwei getrennte Lans sein. Muss nicht mal ein Router sein geht ja auch ein Switch. Lan also Verbindung zwischen zwei Geräten nutze ich eh nicht.
 
Zuletzt bearbeitet:

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.894
Punkte für Reaktionen
1.515
Punkte
274
Du hast leider einen falschen Eindruck von der Sicherheit Deiner Konfiguration. Auch ich brauche nur den 443 und kann alle möglichen Pakete von überall nutzen. Dazu brauche ich nichts ein- und auszuschalten. Wie möchtest Du das denn handeln, wenn Deine 20 User mal das eine, mal das andere Programm nutzen möchten?
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
JA die Adresse für chat ist subdomain: Port und für audiostation subdomain:andererport in den apps und im browser halt subdomain/chat oder subdomain/audio. Wie richte ich denn den Reverseproxy am besten ein? Das ding ist die Apps verbinden sich auch nicht ohne das ich einen spezifischen Port angebe. Einfacher wäre doch nur die Nutzung der Subdomain ohne Port hinten dran und DSM macht den rest automatisch.
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Wollte nur prüfen, ob alle Teilnehmer noch bei der Sache sind und habe deswegen den Partikel unterschlagen. :whistle:
 

hintzsche

Benutzer
Mitglied seit
18. Jan 2023
Beiträge
87
Punkte für Reaktionen
2
Punkte
8
Ok also ich versuche es gerade mit reverse Proxy aber bis auf das Admin Portal bekomme ich das nicht hin. wenn ich jetzt auf audiostation will akzeptiert er bei domain kein /audio und ohne sagt er die Domain wird schon verwendet und man kann auch nur einen Port bei Ziel angeben. Oder geht das mit Komma getrennt? Nein geht es nicht. Ich weis echt nicht wie ich alle Dienste über einen Port bei Reverse Proxy einstellen kann. Auch wenn ich für jede App eine Subdomain mache will er immer auf Port 5001 obwohl ich was anderes einstelle.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat