Hallo zusammen,
hier mal Frage "nach dem Prinzip". Ich möchte von unterwegs gerne NoteStation & PhotoStation nutzen und außerdem die Möglichkeit haben, Dateiverknüpfungen teilen und (ab DSM 6.0) Datenuploadanforderungen stellen. Für die Dateifreigaben muss ich ja Zugriff auf die FileStation haben, damit die Links funktionieren.
Also habe ich für die FileStation einen eigenen Port auf HTTPS aktiviert (7001) und der Diskstation meine Dyndns Adresse samt externem Port auf dem Router für die FileStation mitgeteilt. Soweit so gut. Ich komme auch wunderbar von außen drauf.
Wenn ich nun aber weitere Applikationen nutzen möchte - bei mir insb. die NoteStation und PhotoStation - dann muss ich für jede App weitere separate Ports öffnen. NoteStation verwendet HTTPS Port 9351 und PhotoStation läuft auf Standard Port 443. Eigene Ports deshalb, da ich DSM Port 5001 nicht nach extern freigeben möchte!
Jetzt habe ich etwas mit DSM 6.0beta herum gespielt und dabei ist mir folgendes aufgefallen: Für jede App kann ich einen eigenen HTTPS Port definieren - soweit so gut. Alternativ kann ich für jede App auch einen Alias einrichten, sodass ich die App nicht nur unter https://ip-adresse:port erreichen kann sondern auch z.B. unter https://ip-adresse/note/ (hier läuft der Zugriff über den Standard-HTTPS Port 443 !!!).
Jetzt zu meinen Fragen:
- Gibt es im DSM 6.0beta noch einen User-Apache mit eingeschränkten Rechten und einen separaten System-Apache mit root Rechten?
- Wieso kann ich auf eine App über einen eigenen Port als auch über einen Alias mit Standard-Port 443 zugreifen? Ich war immer der Meinung, dass 443 auf dem User-Apache läuft und der nur eingeschränkte Rechte besitzt? Allerdings kann ich auch auf die FileStation über den Alias https://ip-adresse:443/file/ zugreifen - und der läuft ja auf dem User-Apache und nicht auf dem System-Apache (wo ich DSM 5001 erwarten würde).
- Stellt es sicherheitstechnisch ein besonderes Risiko dar, wenn ich einen Alias anstatt eigener Ports für die Applikationen verwende? Oder macht dies keinen Unterschied?
- Ist es sichererer, die FileStation auf Port 7001 laufen zu lassen und den DSM 5001 nach außen zu sperren oder ist das im Prinzip (und unter sicherheitstechnischen Aspekten) egal, d.h. könnte ich auch DSM Port 5001 freigeben ohne zusätzliches Risiko rein zu bringen?
- Wie kann ich verhindern, dass man mit Adminrechten von außen auf meine Diskstation kommt? Ich löse das bisher so, dass ich Zugriff auf FileStation, PhotoStation usw. "per IP" steuere, d.h. der Admin-User darf nur aus dem internen Subnetz heraus auf die Apps zugreifen. Auf DSM 5001 dürfte er sich aber trotzdem anmelden, sofern der Port nach außen hin geöffnet ist.
Ihr merkt - alles läuft auf die Frage hinaus, wie die Apps der Diskstation sinnvoll von extern genutzt werden können und welche Konfiguration sich hier bewährt hat (eigene externe Ports je App vs. DSM Port 5001 plus Aliase freigeben)
Wie habt ihr dies bei euch gelöst? Wie greift ihr von extern auf eure Apps zu?
Viele Grüße,
Christian
PS: VPN möchte ich erst einmal ausschließen - geht zwar bei mir aber es wäre schon schön wenn ich Freunden mal eben schnell Fotos/Dateien freigeben könnte bzw. anderen auch einen Upload-Link zur Verfügung stellen könnte. Außerdem funktioniert die NoteStation von unterwegs nur mit einer direkten Verbindung.
hier mal Frage "nach dem Prinzip". Ich möchte von unterwegs gerne NoteStation & PhotoStation nutzen und außerdem die Möglichkeit haben, Dateiverknüpfungen teilen und (ab DSM 6.0) Datenuploadanforderungen stellen. Für die Dateifreigaben muss ich ja Zugriff auf die FileStation haben, damit die Links funktionieren.
Also habe ich für die FileStation einen eigenen Port auf HTTPS aktiviert (7001) und der Diskstation meine Dyndns Adresse samt externem Port auf dem Router für die FileStation mitgeteilt. Soweit so gut. Ich komme auch wunderbar von außen drauf.
Wenn ich nun aber weitere Applikationen nutzen möchte - bei mir insb. die NoteStation und PhotoStation - dann muss ich für jede App weitere separate Ports öffnen. NoteStation verwendet HTTPS Port 9351 und PhotoStation läuft auf Standard Port 443. Eigene Ports deshalb, da ich DSM Port 5001 nicht nach extern freigeben möchte!
Jetzt habe ich etwas mit DSM 6.0beta herum gespielt und dabei ist mir folgendes aufgefallen: Für jede App kann ich einen eigenen HTTPS Port definieren - soweit so gut. Alternativ kann ich für jede App auch einen Alias einrichten, sodass ich die App nicht nur unter https://ip-adresse:port erreichen kann sondern auch z.B. unter https://ip-adresse/note/ (hier läuft der Zugriff über den Standard-HTTPS Port 443 !!!).
Jetzt zu meinen Fragen:
- Gibt es im DSM 6.0beta noch einen User-Apache mit eingeschränkten Rechten und einen separaten System-Apache mit root Rechten?
- Wieso kann ich auf eine App über einen eigenen Port als auch über einen Alias mit Standard-Port 443 zugreifen? Ich war immer der Meinung, dass 443 auf dem User-Apache läuft und der nur eingeschränkte Rechte besitzt? Allerdings kann ich auch auf die FileStation über den Alias https://ip-adresse:443/file/ zugreifen - und der läuft ja auf dem User-Apache und nicht auf dem System-Apache (wo ich DSM 5001 erwarten würde).
- Stellt es sicherheitstechnisch ein besonderes Risiko dar, wenn ich einen Alias anstatt eigener Ports für die Applikationen verwende? Oder macht dies keinen Unterschied?
- Ist es sichererer, die FileStation auf Port 7001 laufen zu lassen und den DSM 5001 nach außen zu sperren oder ist das im Prinzip (und unter sicherheitstechnischen Aspekten) egal, d.h. könnte ich auch DSM Port 5001 freigeben ohne zusätzliches Risiko rein zu bringen?
- Wie kann ich verhindern, dass man mit Adminrechten von außen auf meine Diskstation kommt? Ich löse das bisher so, dass ich Zugriff auf FileStation, PhotoStation usw. "per IP" steuere, d.h. der Admin-User darf nur aus dem internen Subnetz heraus auf die Apps zugreifen. Auf DSM 5001 dürfte er sich aber trotzdem anmelden, sofern der Port nach außen hin geöffnet ist.
Ihr merkt - alles läuft auf die Frage hinaus, wie die Apps der Diskstation sinnvoll von extern genutzt werden können und welche Konfiguration sich hier bewährt hat (eigene externe Ports je App vs. DSM Port 5001 plus Aliase freigeben)
Wie habt ihr dies bei euch gelöst? Wie greift ihr von extern auf eure Apps zu?
Viele Grüße,
Christian
PS: VPN möchte ich erst einmal ausschließen - geht zwar bei mir aber es wäre schon schön wenn ich Freunden mal eben schnell Fotos/Dateien freigeben könnte bzw. anderen auch einen Upload-Link zur Verfügung stellen könnte. Außerdem funktioniert die NoteStation von unterwegs nur mit einer direkten Verbindung.
