Fritz Box 7590 Port nach außen ändern

[MarSche]

Guten Morgen

Kurze Frage,
ich würde gerne die DS220+ nach außen besser sichern.
Es gibt Tipps die besagen, dass man zusätzlich die Ports der DS 5000 und 5001 ändern soll.
Dies würde ich gerne lassen um evtl. Probleme mit Update ect. zu umgehen.
Daher würde ich lieber in der FirtzBox den Port nach außen ändern.
Welche Ports sind dafür zu nehmen? Gibt es da ein Tabelle, welche wirklich frei zur Verfügung stehen?

 

[Uwe96]

Frei sind praktisch alle Ports 80 und 443 nicht.
Am besten eine 5 Stelligen nehmen und nach Port 5001 umleiten.
Port 5000 auf der DS deaktivieren und nur per HTTPS arbeiten

 

[MarSche]

Hallo Uwe

Danke für deine Antwort.

Ich bin nun folgendermaßen vorgegangen.

Ich habe in der Fritz einen 5 stelligen Port genommen und diesen im Feld VON und in BIS eingetragen. Port außen ist dann natürlich der Selbe Wert

Diesen Port habe ich dann in der DS unter Netzwerk/DSM Einstellungen bei dem sonstigen 5001 Port für https eingetragen.
Bei http habe ich die 5000 gelassen aber eben den Haken für automatische Umleitung auf https gesetzt.

Nun habe ich die Firewall in der DS aktiviert und dort eine Customregel erstellt.

Alles bezieht sich nur auf LAN1

Habe dort eine Regel erstellt, welche erstmal nur mein internes Netzwerk zulässt, diese steht ganz oben.
Dann eine Regel, in der ich DS Dienste auswähle. Dort habe ich jetzt erst einmal nur den NTP, Verwaltungsoberfläche https (neuer Port) freigegeben habe.
Ich hoffe das ist erstmal so richtig?


Welche Dienste müssen den noch definitiv ins Internet und brauche ich https 443 und 80http nicht auch?

Also meine Frage, welche Dienste müssen auf jeden Fall ins Internet bzw, benötige ich für den Zugriff von Außen?

Danke vorab

 

[Uwe96]

Normalerweise muss Keine Dienste ins Internet.
Nur das was du von Außen benötigst. Wenn du sicher gehen willst mach das Ganze per VPN. Dann brauchst du keine Ports öffnen und hast von Außen Zugriff auf alles was du auch intern nuztzen kannst.

 

[Peter_Lehmann]

Hallo MarSche,

Zu allererst solltest du dich fragen (und hier auch mitteilen), ob:
- die erwünschte Freigabe deines NAS nur allein für dich und einen kleinen berechtigten Nutzerkreis oder für "jedermann" (Webseite usw.) erfolgen soll.
- es denn wirklich erforderlich ist, irgend ein Gerät frei ins Internet zu stellen.

Das "Verbiegen" von Ports betrachte ich als eine Art von "Security through obscurity", also in etwa "Sicherheit durch Verstecken". Was schätzt du denn, wie lange ein Angreifer braucht, um alle deine (relativ wenigen) geöffneten Ports zu ermitteln und dann mit den richtigen Tools dein Passwort auszutesten? (Wenn ich hier im Forum Admin wäre, wüsste ich deine IP und könnte dir nach 5 Minuten alle deine geöffneten Ports und meistens auch das, was dahinter steht, nennen.)

Also solltest du ein Gerät grundsätzlich nur dann frei ins Netz stellen, wenn du unbedingt für die "Allgemeinheit" irgend etwas verfügbar machen willst. Und du solltest dir auch ganz genau überlegen, ob dir die Verringerung der eigenen Sicherheit die Ersparnis von einigen wenigen €nen gegenüber dem Hosting bei einem günstigen Provider wert ist. Und bei diesem Punkt auch lieber 2x nachdenken ... . Nicht alles, was technisch möglich ist, ist auch empfehlenswert.

Deshalb gibt es bei mir den Grundsatz, dass es keinerlei offene Zugänge aus dem "bösen" Netz in mein Heimnetz gibt!
Selbstverständlich gibt es für mich und bestimmte berechtigte Nutzer gut gesicherte Zugänge. Aber diese laufen über mein eigenes Wireguard-VPN.

MfG Peter
edit: Bei etwas geringeren Ansprüchen an die Sicherheit reicht auch das einfach einzurichtende "AVM-VPN". Auch damit können berechtigte Nutzer (du selbst + Familie/Freunde) sowohl aus dem jeweiligen Heimnetz aber auch von mobilen Geräten aus zugreifen.

 

[MarSche]

Servus

Peter vielen Dank für deine weisen Worte. Genau das selbige habe ich auch schon bedacht und das Nutzen überwiegt leider nicht wirklich.
Oma Elses und Karl Gustavs Fotos kann man sicherlich auch jedem Hacker ersparen

Für mich wäre es nur Luxus um Fotos und etwaige Dokumente zur Hand zu haben, wenn man sie den dann ein mal in 5 Jahren benötigt.

Ich möchte da nur alleine drauf zugreifen und es dient zur Zeit auch nur zum üben, wie man das so alles konfiguriert.

Ich denke, wenn es positiv laufen sollte, wird es später wieder geschlossen

Wie sieht den da deine Meinung zu der Option QuickConnect aus? Wäre das eine Wahl?

Uwe

Ich nutze ja die FritzBox 7590
Hast Du da ein Tutorial wie man die DS dann per VPN über eine Fritz ins Netz bringen würde?

Danke Euch beiden vorab

 

[Uwe96]

Am besten dann den VPN über die Fritz Box machen. Da gibt es bei AVM gute Anleitungen

 

[MarSche]

In der DS220+ gibt es ja unter Externer Zugriff die Option Router konfigurieren.
Wird darüber dann im Router ein VPN eingerichtet?

Und zum Verständnis:
Ab wann ist die DS eigentlich im Internet sichtbar?
Erst wenn ich die Firewall in der DS aktiviere und konfiguriere bzw. die Option Externer Zugriff bearbeite?

Peter
Du sagtest was bzgl. offener Prots.
Ist es richtig, wenn ich den 5001 Port unmaskiert mit einem neuen Port in der Fritz biege ist dieser dann quasi immer online sichtbar und wenn ich es beim Standard lassen würde, würde durch Anfrage der DS an die FritzBox der Port 5001 nur für den Moment geöffnet?

 

[Benares]

Lass das mit dem "Externen Zugriff" besser sein. Das ist m.W. ein Mechanismus, um von DS aus dynamisch Ports im Router zu öffnen.
Nutze besser VPN oder, wenn's unbedingt sein muss, händisch konfigurierte Portweiterleitungen im Router.

 

[Peter_Lehmann]

So wie Uwe es andeutete (Danke!), gibt es gute Anleitungen dafür bei AVM. Wenn selbige überhaupt dafür benötigt werden. Eigentlich selbsterklärend.
Es geht hierbei nicht darum, dem "Hacker" das Betrachten der Bilder zu ersparen, sondern den Zugang Unbefugter zu verhindern. Leider ist genau dieses heutzutage eine Art "Volkssport".
Das Einrichten eines einfachen AVM-VPN dauert nicht länger als das Verbiegen der Ports.

Aber letztendlich, wie meine vor 50 Jahren verstorbene Oma gerne sagte: Jeder soll nach seiner "Fassong" glücklich werden.

 

[MarSche]

Peter

Ok, werde es per VPN mal die Tage versuchen.
Aber den unmaskierten Port 5001 auf anderen Port in der Fritzbox kann bleiben oder den auch wieder auf Standard setzen?

 

[the other]

Moinsen,
wenn du kein exotisches Vorhaben hast, dann reicht VPN komplett aus und ich würde daher alle weiteren PWL löschen...
Maskierte Ports sind nur ein oberflächlicher Schutz (obscurity ain't security)...

 

[blurrrr]

Was schätzt du denn, wie lange ein Angreifer braucht, um alle deine (relativ wenigen) geöffneten Ports zu ermitteln

Sollen wir jetzt mal "realistisch" bleiben? Ich mein - nix gegen VPN und alles andere zu, aber "wie lange" dürfte eine "ganze Weile" sein, weil i.d.R. "niemand" hingeht und alle 65535 durchgeht, sondern einfach nur bestimmte Ports auf haufenweise IPs durchprobiert. Alles andere wäre zielgerichtet und Opfer von solchen Attacken wird man als Privatperson wohl eher (realistischer) weniger. Zudem - wenn - kriegt man seinen Mist vermutlich eh via Website/Mail untergeschoben und dann schützen auch irgendwelche nicht vorhandenen Portfreigaben nicht mehr.

Kurzum - alles richtig, nur ist die Aussage ein wenig fragwürdig, weil es den Eindruck erweckt, als würde sich "wirklich" jemand ernsthaft damit beschäftigen bei einer Privatperson die ganzen Ports abzuklopfen... ??

Davon ab... so ganz generell... ohne "offene Ports" wäre et ziemlich dunkel im Internet. Also sowas auch mal nicht verteufeln...?

 

[Peter_Lehmann]

Tipp für dich:
Stelle doch einfach mal einen (gewolltermaßen ungesicherten) Honeypot ins Netz und schau dir nach einer Woche die Logfiles an. Die Spielmatzen wissen meist gar nicht, wen sie da "angreifen". Denen geht es ja nur darum, irgendwelche "Erfolgserlebnisse" zu erzielen.
Und wen ich die IP habe (wie geschrieben als Admin oder im Auftrag einer Firma oder Institution, für die ich "früher" einen Pentest gemacht habe - als ich noch im "arbeitsfähigen Alter" war) ist die Suche nach offenen Ports überhaupt kein Problem.

Für 15 bis 40 €nen bekommst du eine F!B 7412 oder eine 4040 in der Bucht. Dazu noch 10.-€ für 2 Hefte der c't mit entsprechenden Anleitungen und nach 2-3 Stunden hast du ein sicheres und flinkes Wireguard-Gateway auf dem Tisch zu stehen. Und dann wirst du von ganz alleine überflüssige Ports schließen.

Aber wie sagte schon meine Oma ... .

 

[blurrrr]

Nenn es mal lieber "Tipp für alle" (ich bin da irgendwie die falsche Adresse für irgendwelche Honeypot-Tips, sorry). Auch darf man nicht vergessen, dass "direkt von aussen" (so wie das "damals" relativ üblich war) heutzutage zwar auch noch einiges passiert, aber die richtig dicken Klöpse kommen dann doch eher von "innen" heraus. Wireguard mag ja der neue heisse Sch... sein, ich hab noch immer IPSec und OpenVPN (je nach Anwendungsfall) laufen.

Fakt ist halt auch, dass man - sobald man Dinge der Öffentlichkeit bereitstellt - schlichtweg nicht an den offenen Ports vorbei kommt. Frage ist halt immer nach dem "wie". Aber ich denke, dass die Diskussion hier auch etwas zu weit führt (können ja auch gern via PN weitermachen, oder in einem neuen Thread).

Die Spielmatzen wissen meist gar nicht, wen sie da "angreifen". Denen geht es ja nur darum, irgendwelche "Erfolgserlebnisse" zu erzielen.

Deswegen geht eigentlich auch "niemand" (ausser bei gezielten Angriffen) hin und lässt einen Scan über die gesamte Portrange laufen, sondern man schaut nach expliziten Dingen. Vermutlich warste "damals" auch noch berufstätig ( ? ?)... Windows-XP an einem Modem - schön das Netz nach offenen SMB-Ports abscannen, Login dann via Administrator ohne Passwort? An die Zeit werden sich sicherlich noch einige erinnern... Ist halt Fakt, dass man durch diese "Portverbiegerei" (von der ich persönlich auch so garnichts halte) den breiten Massenscans halt aus dem Weg gehen kann. Ist es zielgerichtet, bringt auch die Portverbiegerei genau "garnichts".

Was den TO angeht... Quickconnect ist (meiner Meinung nach) noch schlimmer als Portweiterleitungen ("Puchhole"-Verfahren - da werden Löcher von innen nach aussen in die Firewall "geboxt" - näheres im entsprechenden Whitepaper). Wenn der Zugriff nur für Dich stattfinden soll, dann eben via VPN, wenn es dann noch eine Sache der Bequemlichkeit ist halt VPN-on-Demand als Zusatz.

 

[MarSche]

Servus zusammen

Ich habe jetzt wie ihr sagt es mal per VPN über die FritzBox gemacht.
Einen VPN Benutzer mit ultralangem Passwort erstellt (nutze einen Passwordmanager und muss mir die nicht merken)
Das klappt wunderbar und ich habe sogar kompletten Zugriff auf mein Netzwerk von unterwegs.
Ich gebe bei aktiver VPN Verbindung die IP Adressen der Geräte ein und gelange über VPN auf die Synology.
Das reicht mir eigentlich auch schon.

Es ist nichts weiter eingerichtet von wegen QuickConnect oder MyFritz (wobei, sollte ich MyFritz machen, weil dann die IPÄnderung übernommen wird wie z.B. DynDNS?
Ich bin bei der Telekom und die wechseln die IP einmal im halben Jahr.
Dann weiß ich natürlich, dass ich diese dann auch wieder in der VPN auf dem Smartphone eintragen muss.

Ich habe zwar einen SynologyAccount für QuickConnect aber in der NAS ist diese Option deaktiviert.

Ich habe zusätzlich den Port 5001 und nur Deutschland, der NAS nach außen unmaskiert verändert und überlege ob die Firewall in der NAS aktiviert sein muss oder nicht?
Wie würde dann die Regel aussehen? Etwa so? Heimnetzwerk alles erlaubt, Freigabe nach außen für DSM und alles andere sperren?

Aber mal ein andere Frage. Wie kann ich sehen, ob die NAS auch ohne eingeschalteten VPN im Internet ist?

Was sagt ihr?

Ich werde wohl das VPN in der Fritz wider deaktivieren aber ich weiß nun wie es geht.

Könnt ihr mir die obigen Fragen trotzdem beantworten?

1. Wie sehe ich, ob die NAS im Internet ist, obwohl VPN aus ist? Ich sehe in der FritzBox in der Übersicht eine Weltkugel, was auf Internetzugang hindeutet, deshalb frage ich oder sind das nur die Dienste welche stetig nach Updates suchen?
2. Ist diese Lösung per VPN wirklich sicherer als z.B. Quick Connect?


Danke vorab

 

[the other]

Moinsen,
du kannst entweder den myfritz Dienst nutzen (kommt ja quasi frei Haus mit der Fritzbox) oder richtest dir bei einem DynDNS Anbieter was ein. Du solltest allerdings eines von beiden machen, damit du auch wirklich immer (wenn nötig) via VPN von außen auf dein NAS/Netzwerk kommst.
Den 5001 Port kannst du doch nach außen einfach dicht machen. Ich verstehe dahingehend dein Vorhaben so gar nicht: erst machste VPN, dann willste zusätzlich (?) den Port 5001 doch wieder aufmachen...was denn nun? Und: warum hast du VPN jetzt wieder deaktiviert??
Quickconnect ist für die Faulen (ahem, sorry). Dabei läuft der Verkehr über die Server von Synology irgendwo, damit ist es imho auch schon wieder raus aus den ernstzunehmenden Varianten des externen Zugriffs, muss aber jedeR für sich entscheiden.
Du kannst mal einen externen Portscanner bemühen und schauen, welche Ports in deinem Router offen sind, dann ggf. auch aufs NAS zeigen. Eigentlich kannste dir das aber auch sparen, denn wenn du in deiner Fritzbox keine Portweiterleitungen/-freigaben einrichtest, dann ist das Ding auch zu. Für Portscanner kannst du mal googeln, zB bietet heise.de da auch was an...
Verwechsel nicht dein NAS mit deinem Router: natürlich hat dein Router Internetzugang, sonst kannste auch das Kabel ziehen und auf oldschool machen. Dienste, die nach updates suchen initiieren die Verbindung von innen nach außen, da greifen die Regeln eh nicht und die Antwort kommt auch so durch.
IMHO ist VPN (wenn richtig konfiguriert) sicherer als QC, auch aus Gründen des Datenschutzes.
Also kurz:
VPN nutzen, alle Ports im Router zu machen, Firewall im NAS aktivieren (aber vorher bitte dazu mal lesen und verstehen, was du da tust), myfritzDienst nutzen (oder wenn unbedingt nötig, auch n anderen DynDNS).

 

[blurrrr]

Firewall im NAS hat den Vorteil, dass Du dort genauer filtern kannst. Bei der Portfreigabe im Router wird automatisch eine Firewall-Regel erstellt, die besagt, dass Pakete von "überall" durch diesen Port ans NAS dürfen. Mit der Firewall vom NAS kannst Du da nochmal spezifischere Regeln etablieren.

Was die dynamische IP angeht, wie @the other schon sagte, einen DynDNS-Dienst nutzen, somit hast Du immer einen festen Ansprechpunkt (die DynDNS-Adresse, welche immer mit Deiner aktuellen WAN-IP des Routers abgeglichen wird).

 

[MarSche]

Servus

@the other

Also ich habe in der FritzBox den Port für DSM 5001 nach einer Anleitung im Netz (Synology sicher machen) abgeändert auf eine 5stelligen Portadresse. Damit soll man angeblich den ach so bekannten 5001 Port vor Hackern verstecken der ja häufig gescannt wird.
Ich weiß es ja nicht. Diesen sollte man zusätzlich in der Fritz dann umaskiert setzen. Die Regel war z.B. dann von Port 49555 bis 49555. Port nach außen war dann eben der gleiche Port also 49555.
Habe die Portfrteigabe aber jetzt gelöscht und alles wie Standard geliefert wird.
Mit VPN sollte das ja wie erwähnt alles passen.

Wie sollte den dann so eine Regel dann ind er Firewall der Synology aussehen, dass ich dann zumindest Dateien unterwegs runterladen bzw. raufladen kann?
Muss ich also DSM freigeben und FileManager dann? Oder muss ich gar nichts explizit freigeben?
Sehe jetzt den Wald vor lauter Bäume nicht.

 

[the other]

Moinsen,
ja, das sind immer wieder dieselben Tipps...
eine Grundregel lautet aber auch: Verstecken (obscurity) ist keine Sicherheit (security).
Soll heißen: meist sind da automatisierte Prozess am Werk, die scann im Netz ganze Adressbereich, und eben auch ganze Portbereich in sehr sehr schneller Zeit. Da sitzt keiner und gibt händisch ein und schaut. Wenn du dann so nen Dienst auf einen anderen Port verlegst, dann dauert das vermutlich ein paar Microsekunden länger. Diejenenigen Kids, die sich von sowas abhalten lassen, sind meist eh nicht die große Gefahr. Also am Besten nach außen alles verrammeln und gut ist.