DSM 6.x und darunter Firma gibt nur Port 80 frei - wie trotzdem auf DSM und Photo Station zugreifen?

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Ob es gegen die Firmenpolitik ist oder du gegen evtl. Regeln verstößt, dass überbleibt dir ganz allein. Schlimmer wäre es wenn du in der IT Abteilung nach einem offenen 5000er fragst und nachher stellt sich heraus, das der Virus, der das gesamte Netzwerk lahmgelegt hat, darüber ins Netz kam.
Ob der Virus nun über den eigens geöffneten Port 5000 oder den Standardport 80 ins Firmennetz gelangt - ohne explizite Genehmigung, sei sie pauschal oder individuell, Daten zwischen Deinem heimischen LAN und dem Firmennetz auszutauschen, wirst Du bei Ausfällen oder Schäden im Firmennetz wohl grundsätzlich von der Firma in Schadensersatzhaftung genommen. Ich finde es sehr bedenklich, wenn Du hier diese Sachlage verharmlost.
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
Danke Tschortsch für die Idee mit dem Reverse Proxy, das werde ich bei mir auch mal so einrichten. Ich muss nämlich wegen dem :5001 da auch immer Kopfstände machen um auf DSM zu kommen.

[edit] ich muss mich wohl noch mal etwas genauer mit dem Reverse Proxy auseinander setzten. So aus dem Stegreif ist mir die Umsetzung des Vorhabens nicht gelungen.
 
Zuletzt bearbeitet:

Steinwolf

Benutzer
Mitglied seit
28. Feb 2016
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Hallo Leute!

Danke für die Antworten.

Jetzt weiß ich was los ist - ihr habt Angst, dass ich bei einem von Euch arbeite und durch die Aktion das Firmennetz zerschiesse. :) Hhahaha.

Spaß beiseite:

Ich werd die Einstellungen mal vornehmen und dann am Montag probieren. Danke für die Tipps. Klingt alles sehr gut!
Das mit 443 kann ich nicht probieren, da ich die https Verbindung nicht hinbekomme. Auch Zuhause wir nur eine weisse, komplett leere Seite angezeigt, obwohl die Browser die sichere Verbindung und auch das Zertifikat bestätigen.
Naja. Nicht so tragisch.
Ich werde auf alle Fälle den Tipp mit dem Reverse Proxy und dann zuerst den mit den Aliasnamen probieren. Ich finde das klingt am vielversprechendsten.

LG und schönes WE,
Steinwolf
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Na, dann wird sich Deine Firma bestimmt freuen, wenn die dienstlichen Daten unverschlüsselt durch die digitale Welt wandern... echt drollig in der heutigen Zeit.
 

Steinwolf

Benutzer
Mitglied seit
28. Feb 2016
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Es geht nur um Fotos, die ich genausogut plakatieren könnte und auch um Schriftstücke die absolut niemanden interessieren und zudem teilweise verschlüsselt sind. Die geheimen Sachen werden nicht fotografiert und die Schriftstücke sind nur am Firmenrechner und werden direkt auch nur da verfasst.
Und Port 80 ist nunmal der unverschlüsselte http Kanal. Das ist denen eingefallen und nicht mir.

Im Anwendungsportal habe ich übrigens nur die File und Note Station und keine Photo Station. Die ist von Haus aus per /photo erreichbar. Ist das Normal? Sollte diese nicht auch im Anwendungsportal eingetragen sein?
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
ne, ist normal
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Domain und Reverse Proxy verwenden.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...
Und Port 80 ist nunmal der unverschlüsselte http Kanal. Das ist denen eingefallen und nicht mir.
Aber bestimmt dafür, damit die Mitarbeiter surfen können - und nicht daheim mit ihrer DS Daten austauschen...
Abgesehen davon dürfte 443 auch offen sein - habe noch nie eine Firewall gesehen, wo das nicht der Fall wäre.

...
Die geheimen Sachen werden nicht fotografiert und die Schriftstücke sind nur am Firmenrechner und werden direkt auch nur da verfasst.
Aha. Und damit Du nicht auf die Gedanken kommst, diese Dinge per Filestation auf Deine DS zu spielen, sind vermutlich die Firewalleinstellungen so restriktiv ;)
Viel Spaß mit Deinem Vorgesetzten bzw. IT-Verantwortlichen...

Fragen wie "Meine Firma sperrt Ports - wie kann ich trotzdem..." kommen hier immer wieder. Und es erstaunt mich ungemein, wie einige hier das verharmlosen und auch noch Anleitungen geben. Für ein seriöses Forum doch bemerkenswert.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.560
Punkte für Reaktionen
50
Punkte
94
Fragen wie "Meine Firma sperrt Ports - wie kann ich trotzdem..." kommen hier immer wieder. Und es erstaunt mich ungemein, wie einige hier das verharmlosen und auch noch Anleitungen geben. Für ein seriöses Forum doch bemerkenswert.

ich kann dir nur zustimmen, deshalb auch meinen Beitrag #4
 

Steinwolf

Benutzer
Mitglied seit
28. Feb 2016
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Ach bitte, jetzt übertreibt nicht. Ich hab schliesslich nicht gefragt, "Mein Firma sperrt Ports, wie kann ich illegale Software auf meinen Firmen PC installieren, damit ich die Ports umgehen kann."
Vielleicht verstehe ich das falsch, aber ich will mich ja an die Regeln halten und fragte deshalb, inwiefern ich meine Synology trotzdem nutzen kann. Beziehungsweise inwiefern ich diese einstellen muss um in den vorgegebenen Regeln zu agieren.

Restriktiv ist relativ.
Soziale Netzwerke sind frei
Youtube frei
Skype frei
jegliche Internetseiten frei
ja sogar Dropbox frei (wobei mir dabei auffällt, dass dropbox ja https sein müsste- oder?) - also

Fakt ist aber auch, dass sicher keine Extrawürste gekocht werden. D.h. ich werd mir sicherlich keine Ports für meinen PC extra frei schalten lassen. Geschweige denn würden sie das tun.
Trotzdem - was macht es für einen Unterschied, ob ich auf meine Syno zugreife, oder auf irgendwelchen unbekannten Seiten unterwegs bin. Sicherheitstechnisch ist es für meinen Begriff wiedersinnig hier nur Ersteres zu verbieten.
Und wie auch immer, ich fummle ja nicht am Firmennetzwerk und der Firewall rum sondern am eigenen. Sofern ich an der Syno die Einstellungen hinbekomme und der Zugriff in der Firma funktioniert (mich die Firewall also durch lässt), müsste es auch in Ordnung sein. Ich hab ja nicht verlangt die Firewall zu tunneln. Nur um das klipp und klar darzustellen!
Ich verbiege ja auch nichts, um auf illegale Seiten zu kommen. Anders wäre es, wenn ich so versuchen würde auf definitiv "gesperrte" Seiten zu gelangen. Es ist hier aber nicht der Fall. Es ist eher durch die Einstellungen nicht erreichbar als durch absichtliche Sperre.

Abgesehen davon, (weil du meinst "das ist so eingestellt damit man keine Daten auf die Filestation schickt"), wenns wer wirklich drauf anlegt irgendwelche Daten zu stehlen, könnte er ja auch einfach einen USB Stick nehmen. In dem Fall wäre es wahrscheinlich auch nicht mal nachweisbar. Und Viren etc. kannst dir damit auch einfangen.
Von EMails will ich ja erst gar nicht reden. Oder wie meinst du, dass bisher Schriftstücke übertragen wurden.

Ich versteh schon, dass du wahrscheinlich ein Firmen IT Spezialist bist und mir hier vielleicht sogar Probleme ersparen willst, aber ich glaube, dass das vielleicht gar nicht so heiß gegessen wird.

Stellt sich nur die Frage, ob ein Reverse Proxy, wie oben erwähnt, nicht so einen illegalen Eingriff darstellt. Dann mach ich das auch definitiv nicht!

Danke wie immer für die Antworten - an Alle.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.560
Punkte für Reaktionen
50
Punkte
94
Vielleicht verstehe ich das falsch, aber ich will mich ja an die Regeln halten und fragte deshalb, inwiefern ich meine Synology trotzdem nutzen kann.

dann gehe endlich den offiziellen Weg und frage die Verantwortlichen deiner Firma.
 

Steinwolf

Benutzer
Mitglied seit
28. Feb 2016
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Gut. Ich geb auf.
Ich geh also zu den Verantwortlichen meiner Firma und frage die wie ich meine Private Synology einstellen muss um den Anforderungen der Firewall der Firma zu genügen.

Und das alles wegen der einfachen Frage ob ich aus dem DSM über Port 80 heraus, die Anwendungen benutzen kann.

LG,
Steinwolf
Ich klink mich jetzt aus.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.560
Punkte für Reaktionen
50
Punkte
94
verstehe mich bitte nicht falsch, aber das ist eine gute Entscheidung von dir.

und damit die Verantwortlichen auch wissen was sie machen müssen zeige ihnen die Portliste für die Anwendungen.
 

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Übrigens, bei aller Begeisterung für IT-Sicherheitsthemen, hier hätte ich eher eine Diskussion über die hinter der Absicht, firmeneigene Daten privat zu hosten, verborgene Weisheit erwartet. In meiner tausendjährigen Berufserfahrung als Mitarbeiter, Kunde, Chef, Gläubiger, Admin oder Zimmerpflanze hat es noch nie langfristig gute Gründe gegeben, so zu verfahren.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Und das alles wegen der einfachen Frage ob ich aus dem DSM über Port 80 heraus, die Anwendungen benutzen kann.

Im Gegensatz zu den anderen Kollegen hier, spare ich mir die Moralkeule. Ich habe ähnliches bereits durch, seitdem unsere Firma mehrheitlich einem größeren Konzern zugehörig ist und unsere IT die Domänenrichtlien des Konzerns übernehmen musste.
Seitdem ist der Zugriff auf meinen Wiki-Prototypen unmöglich geworden. (Bei uns sind Eigenbestrebungen gewünscht).

Die Antwort habe ich dir allerdings bereits gegeben. Reverse Proxy in deinem DSM konfiguriert und schon kannst du (ohne Portweiterleitung) dein DSM (5001) über Port 80 ansteuern. Aus Sicht deiner IT steuerst du eine normale Webseite an.
Wenn deine Seite (DynDNS oder Domain) nicht auf der Blacklist steht, sollte es hierzu keine Probleme geben.
 

over9000IOPS

Benutzer
Mitglied seit
08. Apr 2016
Beiträge
197
Punkte für Reaktionen
15
Punkte
18
(...) und die Schriftstücke sind nur am Firmenrechner und werden direkt auch nur da verfasst.

Zweitens und im Zuge dessen - Ich hatte zuhause ein Schreiben formuliert und auf der Filestation gelagert. Da ich dieses nun aber unerwartet früher gebraucht habe wollte ich das abrufen. Und auch hier - kein Zugriff. :(

Das passt dann ja aber nicht so wirklich zusammen.

Auch ich gehöre zu den IT-affinen Leuten die beruflich als Admin tätig sind. Nicht selten kommt es vor dass Kollegen und/oder Kunden ähnliche Anfragen schicken/stellen. Und es ist wirklich müßig denen zu erklären warum und wieso der Zugriff geblockt ist, und dass der Weg zur Freischaltung über die Sicherheit bzw. Geschäftsführung gehen muss. Aber da haben die wenigsten dann wieder Bock drauf und belassen es dabei...
 

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Im Gegensatz zu den anderen Kollegen hier, spare ich mir die Moralkeule

Das gibt mir die Gelegenheit, die Sprachkeule zu schwingen. Die Verwendung des bestimmten Artikels in deinem Satz drückt aus, dass nicht einige, sondern alle Kollegen hier außer dir "die Moralkeule schwingen". Das ist in dieser Verallgemeinerung mit Sicherheit falsch. Die Verallgemeinerung hättest du vermieden mit der Formulierung: "Im Gegensatz zu anderen Kollegen hier, ..." oder auch "Im Gegensatz zu den Kollegen hier, die die Moralkeule schwingen, ...".
Aber wenn dir solche Differenzen gar nicht auffallen, empfehle ich dir, ganz darauf zu verzichten. Erspart den Kollegen hier nämlich deine Unterstellungen.
Steinwolf hat es besser erkannt: Er vermutet richtigerweise, dass man ihn davor bewahren möchte, möglicherweise Fehler zu machen - du hingegen unterstützt ihn dabei.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat