Externer Zugriff

[Dathor]

Hallo zusammen,
ich würde gerne auch von extern ähnlich wie lokal über den Windows Explorer (also ohne quickconnect) auf meine DS214 zugreifen können, um z.B. Daten auf der NAS zu verwalten oder einen .m2ts Film über den lokal auf dem Rechner installierten VideoPlayer zu schauen.

Mir ist klar, dass es da verschiedene Möglichkeiten gibt in Form von VPN Servern, FTP, WEBDAV etc gibt, aber ich kenne mich in Puncto Aufwand der Einrichtung und im Thema Sicherheit leider nicht aus.

Ich bräuchte jetzt quasi jemanden der die Punkte Aufwand und Sicherheit der verschiedenen Varianten ins Verhältnis setzt, so dass ich mich dann für eine Variante entscheiden kann und mich mit dem Thema der Realisierung auseinandersetzen kann.

Die Verbindung zum Internet übernimmt ein Telekom Speedport W724V Typ A. Dementsprechend bin ich zum Thema Einstellmöglichkeiten diesbezüglich schon einmal.

Vielen Dank für eure Tipps

 

[Tommes]

Von der Sicherheit her würde ich sagen:

1. VPN
2. Verschlüsselte Verbindung via https, WebDAVs, ftps
3. Unverschlüsselte Verbindungen via http, WebDAV, ftp (nicht zu empfehlen)

Von der Machbarkeit her, das in den Windows Explorer zu integrieren würde ich sagen:

1. VPN (damit arbeitest du wie in deinem lokalen Netzwerk)
2. Via unverschlüsselter WebDAV Verbindung (nicht zu empfehlen)
3. Via verschlüsselter WebDAVs Verbindung, wobei das nicht immer einfach ist umzusetzen, da u.a. ein Zertifikat eingebunden werden muss.

Vom Aufwand her... nun ja, irgendwie ist alles einfach einzurichten, wenn man weiß wie es geht. VPN könnte vielleicht etwas knifflig werden, je nach Ausgangslage.

Was auch geht wäre das Ganze über eine verschlüsselte Verbindung (VPN, https, WebDAV) mit der FileStation bzw. DSFile umzusetzen.

Wie gut das alles jedoch mit dem streamen von Filmmaterial im einzelnen funktioniert, kann ich dir leider nicht sagen, da ich sowas nicht nutze.

Tommes

 

[Dathor]

Danke für deine Tipps,

dann werde ich mal versuchen das ganze via OpenVPN umzusetzen. Ich glaube andere VPN Verbindungen macht der Speedport W724V nicht mit.

 

[latti]

Was auch geht wäre das Ganze über eine verschlüsselte Verbindung (VPN, https, WebDAV) mit der FileStation bzw. DSFile umzusetzen.

Ich erlaube mir hier rasch einzuklinken, denn genau das ist es was ich suche. Die ganze Geschichte läuft bei mir bereits jedoch unverschlüsselt und irgendwo stehe ich auf dem Schlauch. Es wäre super, wenn mich jemand in die richtige Richtung schubsen könnte.

Bei uns geht es darum auf ein Dateiarchiv von aussen zuzugreifen, dies relativ selten. Daher würde ein Zugriff über die DSM Oberfläche (File Station) völlig ausreichen.

xy.synology.me wurde bereits eingerichtet.

ports werden folgende weitergeleitet:

TCP 80 auf TCP 80
TCP 443 auf TCP 443
TCP 5000/5001 auf TCP 5000/5001

So funktioniert das ganze wie gesagt. Jedoch steht im Wiki, dass Port 5000 rot-böse-evil-wirklich-übel ist. Wenn ich diesen jedoch rausschmeisse und nur noch Port TCP 5001 drin habe funzt nichts mehr. Was mache ich falsch. Wie erzwinge ich von aussen sichere Verbindungen? Brauche ich die beiden Ports 80 und 443 für mein vorhaben?

Danke!

 

[Tommes]

Die Filestation bzw. DS-File erreichst du entweder über die Ports 7000 (http = unverschlüsselt) oder 7001 (https = verschlüsselt), oder aber über die Ports 5005 (WebDAV unverschlüsselt) oder 5006 (WebDAV verschlüsselt).

Informationen hierzu findest du hier, und hier.

Reicht dir das als Info? Ansonsten bitte weiter fragen.

Tommes

 

[latti]

Danke Tommes für die schnelle Antwort. Leider half es mir nicht wirklich weiter, weil ich ja bereits erfolgreich von aussen via Browser auf die DSM Oberfläche zugreifen kann, wohl über die Methode wie du sie im Screenshot siehst. So wie ich das verstehe, brauche ich hierfür keinen WebDAV.



Die Frage ist nun, weshalb ich denn trotzdem Port 80 und 443 brauche. Und wie ich denn nur sichere Verbindungen aufbauen kann via Port 5001, da Port 5000 böse und vor allem unverschlüsselt ist.

 

[Tommes]

Port 80/443 brauchst du nur (soweit mir bekannt) für den Webserver der DS sowie für die Photostation. Wenn du beides nicht nutzt, dann brauchst du die auch nicht weiterleiten. Über den Port 5000/5001 erreichst du den DSM und somit alles was du Lokal in deinem Netzwerk auch über den DSM erreichst... also auch die FileStation. Möchtest du aber nicht den DSM, aber die FileStation erreichbar haben, dann gehst du i.d.R. über den Port 7000/7001. Möchtest du obendrein noch WebDAV mit der FileStation nutzen brauchst du Port 5005/5006!

Also, wenn du nur die FileStation von extern über einen Browser erreichen möchtest und nichts anderes, dann leite einfach nur den Port 7001 weiter (oder den von dir im Aplikationsmanager oder Anwendungsmanager gewählten Port)

Tommes

 

[latti]

Danke für die weiteren Ausführungen. Nun habe ich alles Portweiterleitungen bis auf den TCP 7001 aus dem Router gelöscht. Leider funktioniert jetzt nichts mehr.

Wenn ich im Browser xy.synology.me eingebe kommt ein Error 503.

wenn ich im Browser xy.synology.me:7001 eingebe passiert gar nix.

Ich weiss nicht wo mein Denkfehler liegt. :/

EDIT: Geklappt

 

[latti]

Also hier die begangenen Fehler meinerseits. Hoffe das hilft jemandem:

- Tommes hat den Applikationsmanager angesprochen. Den hab ich nicht gefunden und dummerweise abgehakt. Jedoch lag dort der Fehler. Der Applikationsmanager heisst richtigerweise Applikationsportal (Systemsteuerung). Dort hatte ich den Port 7001 nicht gesetzt. Beim setzen wurde ich anschliessend noch darauf hingewiesen, dass ich allgemein https nicht aktiviert hatte und wurde zu den entsprechenden Einstellungen weitergeleitet.

- bei der Eingabe von xy.synology.me muss einerseits https vorangestellt werden und zudem 7001 angehängt werden was folgende Adresse ergibt: https://xy.synology.me:7001 so klappt dann die Verbindung. Zwar hustet der Browser es sei unsicher, dies liegt aber im fehlenden Zertifikat.

Nach meinem Verständnis sollte aber trotz fehlendem Zertifikat die Verbindung verschlüsselt sein oder liege ich da falsch?

 

[heavy]

Es fehlt nicht das Zertifikat sondern kann nur nicht verifiziert werden da es ja nicht zur Domain passt.

 

[latti]

Es fehlt nicht das Zertifikat sondern kann nur nicht verifiziert werden da es ja nicht zur Domain passt.

Also ist die Verbindung verschlüsselt und sogar ein Zertifikat vorhanden.

Was will man mehr Danke für eure Hilfe.

 

[Tommes]

Was will man mehr

Um dem Ganzen jetzt noch die Krone aufzusetzen könntest du den externen Port 443 auf den internen Port 7001 umleiten um so ohne den Zusatz :7001 in der URL, also nur mit https://xy.synology.me die Filestation zu erreichen. Das macht aber nur Sinn, wenn du den Port 443 und damit den Standard-HTTPS Port nicht brauchst.

Weiterhin würde ich mir an deiner Stelle noch ein paar Gedanken zur Absicherung machen, also starke Passwörter zu verwenden, die automatische Blockierung einzuschalten und vielleicht noch die DS-Firewall mit einer GeoIP-Sperre versehen.

Sicher ist sicher....

Tommes

 

[latti]

Danke für das Krönchen. Dieses werde ich gerne dem ganzen Setup noch aufsetzen, da der Port 443 tatsächlich nicht gebraucht wird.

Die Sicherheitstipps sind super, da ich mich ja gerade wegen der Sicherheit überhaupt erst eingeklinkt habe.

Nun habe ich ja eigentlich folgende Sicherheitselemente:

- Router, welcher nichts durchlässt ausser dem freigegebenen Port 7001.
- Falls Router überwunden ist, lässt die Syno Firewall trotzdem nur Verbindungen auf Port 7001 zu (alle anderen Ports gesperrt).
- Diese Verbindungen werden nur aus der Schweiz akzeptiert.
- Kommunikation über Port 7001 ist verschlüsselt.
- Automatische Blockierung schützt mich vor Brute-Force-Schweizern.
- Sicheres Passwort schützt ebenfalls vor Brute-Force.

So sollten wir nun ziemlich gut abgedeckt sein oder haben wir noch was wichtiges vergessen?

 

[Tommes]

Es freut mich zu lesen, das du dir zum Thema Sicherheit bereits Gedanken gemacht hast und schon einiges umgesetzt hast. Natürlich gibt's nach oben hin kaum Grenzen, aber es soll ja Benutzerfreundlich bleiben.

Vielleicht noch im DSM unter Systemsteuerung/Sicherheit den Haken bei "Schutz gegen Coss-Site-Request-Forgery-Attacken verbessern" setzen und im Reiter "Schutz" den Haken bei "DoS Schutz aktivieren" setzen.

Du könntest auch auf einen höheren, unbekannten Port umschwenken um so das Auffinden der Filestation zu erschweren.

Man könnte sich auch noch ein eigenes, unsigniertes Zertifikat erstellen, da du ja mit einem Standard Zertifikat von Synology unterwegs bist. Es gibt auch noch weitere "Kleinigkeiten" die aber zu sehr ins Detail gehen und oftmals auch nur über die Konsole umsetzbar sind. Jedoch denke ich, das du mit dem, was du bereits getan hast, erstmal gut aufgestellt bist.

Tommes

 

[Dathor]

Auch wenn das gerade hier ein bisschen aus dem ruder gelaufen ist bin ich total froh darüber, weil mir latti aus der Seele geredet hat und ich das ganze auch mal probieren werde nur statt FileStation eben WebDav. Bin mal gespannt

 

[latti]

Danke @Tommes für die weiteren Tipps. Werde mich dieser Tage noch etwas tiefer mit dem Thema auseinandersetzen. Grad gesehen, dass wir uns fast in der selben Woche registriert haben...

@Dathor

Aus dem Ruder ist das Ganze eigentlich nicht gelaufen, aber sorry fürs kapern des Threads . VPN ist, wie Tommes zu Beginn aufgelistet hat, die sicherste Möglichkeit sich mit deiner DS von aussen zu Verbinden. Ich habe danach einfach bei der zweitsichersten Methode weiter gemacht. Aber ich bin froh, dass dir mein Anliegen auch dienen konnte. Hat es denn geklappt mit dem WebDav?

Persönlich habe ich mich dieses Mal gegen VPN entschieden. Denn es müssen neben mir noch andere Mitglieder eines Vereins (selten) auf die Daten von aussen zugreifen. Primär wird aus dem Büro LAN darauf zugegriffen. Ziel ist es den Mittelweg zwischen Sicherheit und Einfachheit zu finden.

 

[Frogman]

...Man könnte sich auch noch ein eigenes, unsigniertes Zertifikat erstellen, da du ja mit einem Standard Zertifikat von Synology unterwegs bist. ...

Hier hebe ich zumindest zaghaft meinen Finger - ich weiß schon, wie Tommes das gemeint hat, für den unbedarften User könnte es aber ein wenig mißverständlich herüberkommen, pauschal ein eigensigniertes Zertifikat vs. Synology-Standardzertifikat unter der Überschrift "Maßnahmen zum Thema Sicherheit" hervorzuheben. Sicherheitstechnisch gesehen, sprich also von der mathematischen Gestaltung her, entspricht das Synology-Zertifikat einem prinzipiell ebenso sicheren Verfahren, wie es ein selbst erzeugtes Zertifikat tut. Ohne weitere Maßnahmen handelt es sich beim Synology-Standardzertifikat üblicherweise um einen RSA-Schlüssel mit einer Länge von 1024 bit - also das, was man heutzutage als Minimum annehmen muss. Im Hinblick auf eine verbesserte Sicherheit sollte eher ein Schlüssel mit 2048 bit oder 3072 bit verwendet werden - einstellbar über Parameter zur Schlüsselerzeugung, die aber bisher (noch) nicht über die GUI zugänglich sind -, wobei deren Komplexität allgemein für die nächsten 15 Jahre als sicher eingestuft wird. Eine Schlüssellänge von 4096 bit (oder mehr) steht ebenfalls zur Verfügung und wird auch über das Jahr 2030 hinweg als sicher betrachtet.
Man sollte aber bedenken, dass bei steigender Schlüssellänge die Sicherheit nicht linear mitwächst, dagegen die benötigte Rechenzeit beim Gebrauch aber deutlich ansteigt. Hier wird daher vermutlich in den nächsten Jahren ein Schwenk stattfinden hin zu ECC-basierten Zertifikaten (aktuell sind praktisch alle verfügbaren Webseiten aus Gründen der Client-Kompatibilität noch über reine RSA-Schlüssel gesichert) - denn EC-Schlüssel können erheblich kürzer sein, um ein gleiches Maß an Sicherheit zu erzeugen. So entspricht bspw. ein ECDSA-Schlüssel mit 256bit ungefähr einem RSA-Schlüssel mit 3072 bit, ist dabei aber ca. 6x so schnell. In diesem Kontext ist also die Aussage von Tommes so zu verstehen, dass über die Erzeugung eines eigenen Zertifikats mit entsprechenden Parametern für Schlüssellänge und -art ein Mehr an Sicherheit erzeugt werden kann.
Hinzu kommt dann immer noch die Frage, ob man die übliche Zertifikatswarnung loswerden möchte - die ja eine Vertrauensfrage ist, keine technische Unsicherheit. Hier geht dann kein Weg an einem selbst erzeugten Zertifikat vorbei, welches man dann von einer offiziellen CA signieren lassen muss.

 

[Tommes]

Frogman, manchmal machst du mir mit deinem Wissen Angst

Und ja, meine Gedanken gingen auch in diese Richtung, aber nicht nur. Standard Zertifikate könnten auch an sich unsicher sein, Dell hat ja erst neulich gezeigt, wie es geht hier und hier. Ebenso ist wohl auch der Standard-SSL Schlüssel eines Raspberry Pi Image immer der gleiche (finde grad leider keinen passenden Artikel dazu) weswegen man das SSL-Zertifikat erneuern sollte.

Tommes

 

[Dathor]

@Frogman Danke für die Infos

@latti Ja mit aus dem Ruder gelaufen meinte ich kapern WebDAV läuft leider noch nicht, vermute mal weil sich Windows quer stellt. Zugriff von extern auf DSM Weboberfäche oder übers Handy auf die Filestation klappt problemlos, also an DynDNS oder Portweiterleitung sowieo Firewall Einstellung kann es eigentlich nicht liegen.
Vermute mal, dass es an dem Zertifikat liegt. Habe diesbezüglich schon hier und da was gelesen. Dieser Trick mit dem Reg Eintrag von "1" auf "2" hat bei mir leider nicht geholfen. Hab mir ein eigenes Zertikat erstellt, aber hab noch keine Ahnung was ich damit anstellen muss, damit sich Windoofs nicht querstellt und mir bei https://xyz.selfhost.eu:5006 oder https://xyz.selfhost.eu:5006/Media ausgibt, dass der Ordner ungültig sei...

 

[Frogman]

...Standard Zertifikate könnten auch an sich unsicher sein, Dell hat ja erst neulich gezeigt, wie es geht hier und hier. Ebenso ist wohl auch der Standard-SSL Schlüssel eines Raspberry Pi Image immer der gleiche (finde grad leider keinen passenden Artikel dazu) weswegen man das SSL-Zertifikat erneuern sollte.

In dem Zusammenhang stimme ich Dir zu - aber alles, was im DSM zu finden ist, wird bei der Installation des DSM jungfräulich generiert.
Auch wenn es ein klein wenig OT sein mag, ein kurzer Schwenk dorthin, um das vielleicht wenigstens einmal im Forum zu beleuchten:
In den Installationsdateien findet sich ein Skript /usr/syno/etc/ssl/mkcert.sh - darin läuft die Erzeugung der gesamten Zertifikatsammlung einer DS. Zunächst wird ein CA-Key mit 1024 bit Schlüssellänge erzeugt, sozusagen der eigengenerierte Vertrauensanker "Synology":

echo "STEP1: Generating RSA private key for CA (1024 bit) [ca.key]"
    if [ ".$randfiles" != . ]; then
        [COLOR=#b22222]$openssl genrsa -rand $randfiles -out $sslkeydir/ca.key 1024 [/COLOR]

Im zweiten Schritt wird dann damit ein CSR für ein CA-Zertifikat erzeugt:

echo "STEP 2: Generating X.509 certificate signing request for CA [ca.csr]"
    cat > /tmp/.mkcert.cfg <<EOT
[ req ]
default_bits                    = 1024
distinguished_name              = req_DN
[ req_DN ]
...
EOT
 [COLOR=#b22222]   $openssl req -config /tmp/.mkcert.cfg \
        -new -sha256 -key $sslkeydir/ca.key \
        -out $sslcsrdir/ca.csr <<EOT[/COLOR]
TW
Taiwan
Taipei
Synology Inc.

Synology Inc. CA
product@synology.com

Im dritten Schritt erfolgt dann mit diesem CSR die Erstellung des CA-Zertifikats, welches mit dem in Schritt 1 erzeugten ca.key eigensigniert wird:

echo "STEP 3: Generating X.509 certificate for CA signed by itself [ca.crt]"

    if [ ".$certversion" = .3 -o ".$certversion" = . ]; then
        extfile="-extfile /tmp/.mkcert.cfg"
        cat > /tmp/.mkcert.cfg <<EOT
extensions = x509v3
[ x509v3 ]
subjectAltName   = email:copy
basicConstraints = CA:true,pathlen:0
nsComment        = "mod_ssl generated custom CA certificate"
nsCertType       = sslCA
EOT
    fi
 [COLOR=#b22222]   $openssl x509 $extfile -days $days \
                      -signkey $sslkeydir/ca.key \
                      -in      $sslcsrdir/ca.csr -req -sha256 \
                      -out     $sslcrtdir/ca.crt [/COLOR]

Ok, damit ist eine eigene CA vorhanden, individuell auf jeder DS-Installation.
Jetzt geht's an das eigentliche Zertifikat, d.h. als erstes an den privaten Server-Key, der - wie ich oben ja schrieb - standardmäßig ebenfalls aus einem RSA-Schlüssel mit 1024 bit Länge besteht:

echo "STEP 4: Generating $algo private key for SERVER (1024 bit) [server.key]"
    if [ ".$randfiles" != . ]; then
[COLOR=#b22222]        $openssl genrsa -rand $randfiles -out $sslkeydir/server.key 1024 [/COLOR]

Im nächsten Schritt 5 wird dann - analog zu Schritt 2 - wiederum ein CSR erzeugt, dieses Mal für das eigentliche Serverzertifikat:

echo "STEP 5: Generating X.509 certificate signing request for SERVER [server.csr]"
    cat > /tmp/.mkcert.cfg <<EOT
[ req ]
...

[COLOR=#b22222]    $openssl req -config /tmp/.mkcert.cfg -new -sha256 \
        -key $sslkeydir/server.key \
        -out $sslcsrdir/server.csr <<EOT [/COLOR]
TW
Taiwan
Taipei
Synology Inc.

synology.com
product@synology.com

Im Schritt 6 wird - analog zu dem Schritt 3 - mit diesem CSR das Serverzertifikat selbst erzeugt und mit der zuvor erzeugten Synology-CA signiert:

echo "STEP 6: Generating X.509 certificate signed by own CA [server.crt]"
    extfile=""
...
extensions = x509v3
[ x509v3 ]
...
 [COLOR=#b22222]   $openssl x509 $extfile \
        -days $days \
        -CAserial $MkcertSerial \
        -CA    $sslcrtdir/ca.crt \
        -CAkey $sslkeydir/ca.key \
        -in    $sslcsrdir/server.csr -req -sha256 \
        -out   $sslcrtdir/server.crt [/COLOR]

Das war's dann auch schon - das individuelle Synology-signierte DS-Zertifikat, bestehend aus dem privaten Schlüssel /usr/syno/etc/ssl/ssl.key/server.key und dem öffentlichen Serverzertifikat /usr/syno/etc/ssl/ssl.crt/server.crt, ist fertig. Diese beiden Dateien werden für die verschlüsselte Kommunikation verwendet.