DSM 6.x und darunter http auf https umleiten - Portfreigabe

[Jaytie]

Hallo zusammen,

zu dem Thema findet man ja zahlreich Infos im Netz. Meine Frage bezieht sich hauptsächlich auf den Sicherheitsaspekt. Ich betreibe mit meiner DS die Photostation, greife von außen auf den DSM zu und hab auch eine Website, bzw ein Forum laufen, dass logischerweise von außen erreichbar ist.

Bis jetzt lief bei mir alles über https. Das soll in Zukunft auch so bleiben. Allerdings möchte ich es den Usern ersparen, dass diese die URL immer mit vorangestelltem https eingeben müssen. Dazu möchte ich quasi http automatisch auf https umleiten. Dass die Umleitung funktioniert, muss aber ja der http Port (80) im Router weitergeleitet werden. Beim Zugriff auf den DSM und die Photostation klappt das schon, man kann das da ja jeweils per Haken in den Einstellungen festlegen.

Meine Frage ist jetzt, auch wenn automatisch auf https weitergeleitet wird, ist ja trotzdem im Router -der vor der DS hängt- der Port 80 offen. Stellt das ein erhöhtes Sicherheitsrisiko dar, trotz der auto - Umstellung auf https?

Außerdem: Das Webforum möchte ich ebenfalls auf https umleiten. Das möchte ich mit per .htaccess lösen. Muss ich diese einfach im Ordner web ablegen?

Grüße
Jaytie

 

[Frogman]

.htaccess im Ordner /web wirken auf alle vhosts, die darin liegen. Soll sie nur auf das Forum wirken, musst Du sie in den Unterordner legen, in dem das Forum liegt. Von daher ist /web (wenn Du wirklich alles dort umleiten willst) schon ein geeigneter Ort.

 

[Jaytie]

Alles klar, vielen Dank. Das ging schnell

Bezüglich des Umleitens, kann ich das ja nur so lösen, dass ich den Port 80 aufmach und dann die Dienste jeweils auf https umleite oder? Ansonsten müssen User immer https vorne anstellen...
Kann man es so verantworten, dass Port 80 offen ist, wenn die Dienste am Ende trotzdem alle per https erreichbar sind oder ist das ein Sicherheitsrisiko?

 

[Frogman]

Kein wirkliches Risiko. Wichtig ist, die Rewrite-Regel dort korrekt hineinzuschreiben (dazu findest Du aber auch reichlich Infos im Netz).

 

[Jaytie]

Also ich hab diese im Netz gefunden, aber noch nicht getestet.

https://josephscott.org/archives/2004/07/redirect-to-ssl-using-apaches-htaccess/

Einfach ein Dokument mit Notepad++ erstellen und in den Ordner kopieren oder?

Ich frag nur wegen der Sicherheit, weil der Port ja trotzdem offen ist. Also wenn man nach den gängigen offenen Ports bei mir sucht wird man den sicher finden...

Hatte anfangs den Standardport für FTP offen und direkt lauter Login Versuche im Log.

edit: der obere Link war falsch, damit hats geklappt:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]

Mir ist nur noch nichts ganz wohl mit dem offenen Port 80.