Http / https

[ajorysch]

Hallo zusammen

Ich bin ein Laie auf diesem Gebiet darum bitte entschuldigt falls ich eine Frage stelle die für Euch selbstverständlich sind.

Im Handbuch Seite 58 wird das Thema behandelt.

Wenn ich nun https://Synology_Server_IP:5001 eingebe meldet
Firefox ein Zertifizierungsproblem, siehe Screenshot

Im weiteren steht im Handbuch:
Zertifikat importieren:
Wenn Sie über ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verfügen, klicken Sie bitte
auf Zertifikat importieren, um Ihr eigenes Zertifikat und den privaten Schlüssel hochzuladen und einen
gültigen SSL-Server zu hosten. Das Zertifikat sollte dem privaten Schlüssel entsprechen.

Heist das nun dass ich ein eigenes Zertifikat haben muss, damit ich den NAS Server oder Fileserver oder Photostation erreichen kann?

Danke
Gruss Armand

 

[Merthos]

Einfach "Ich kenne das Risiko." anklicken, dann geht es weiter. Zertifikate sind nicht nötig, helfen halt nur, diese Warnung vom Browser zu umgehen.

 

[Trolli]

Ein Zertifikat ist schon vorhanden, das ist aber natürlich auf eine falsche Webseite ausgestellt, da Synology Deinen DynDNS-Namen ja nicht kennen kann. Sicherheitstechnisch ist das kein Problem, die Verbindung ist auf jeden Fall verschlüsselt.

 

[ajorysch]

Besten Dank für Eure Antworten, da bin ich ja beruhigt

Es ist halt einfach so, dass die Nutzer verunsichert sein können, wenn ich Ihnen
die verschlüsselte URL angebe und sie beim anwählen diesen doch abschreckenden Hinweis sehen.

Gruss Armand

 

[janus]

Besten Dank für Eure Antworten, da bin ich ja beruhigt

Es ist halt einfach so, dass die Nutzer verunsichert sein können, wenn ich Ihnen
die verschlüsselte URL angebe und sie beim anwählen diesen doch abschreckenden Hinweis sehen.

Gruss Armand

Moin,
der Hinweis ist dazu da, damit du z.B. bei deiner Bank misstrauisch wirst!
Für die DS bedeutet das ganze nur, dass da ein Zertifikat, welches nicht zur URL passt, verwendet wird, um deinen Traffic zur DS zu verschlüsseln.

Gruß

Janus

 

[ajorysch]

Moin,
der Hinweis ist dazu da, damit du z.B. bei deiner Bank misstrauisch wirst!
Für die DS bedeutet das ganze nur, dass da ein Zertifikat, welches nicht zur URL passt, verwendet wird, um deinen Traffic zur DS zu verschlüsseln.

Gruß

Janus

Danke Janus für Deine einleuchtende Antwort.
In diesem Zusammenhang noch folgende Frage:

Seite 58 im Handbuch unter dem Titel: Optionen HTTP-Dienst ändern
steht:
Wenn die HTTPS-Verbindung aktiviert ist, werden alle Verbindungen auf der Synology DiskStation über das
HTTP-Protokoll mit dem SSL/TLS Verschlüsselungsmechanismus hergestellt

heist das nun, wenn ich das Kästchen HTTPS aktivieren anflage; ganz normal über http:// die Synology Disk anwählen kann aber intern eine Umwandlung auf eine sichere Verbindung stattfindet?
Wenn ja dann brauche ich ja den Usern nicht den https:// Link angeben und dann werden sie auch nicht mit dieser Zertifizierung konfrontiert.

Was passiert eigentlich wenn man eine https Seite anwählt im Gegensatz, zu nur http ? Geht die Verbindung dann über einen speziellen Server? Wenn ja was macht denn dieser?

Noch kurz zu FTP in diesem Zusammenhang.
Seite 89 vom handbuch steht:
Nur SSL/TLS-Verbindung erlauben: Der Server akzeptiert nur SSL oder TLS Verbindungsanfragen von Seiten der FTP Clients.

Soll ich dieses Kästchen : nur SSL/TSL erlauben aktivieren?
Wenn ja was muss man dann als user anstatt ftp:// eingeben?

DANKE
Gruss Armand

 

[Trolli]

Der Unterschied zwischen http und https liegt darin, dass die https-Verbindung generell verschlüsselt ist. http-Verbindungen werden dagegen auf ihrem Weg durch das Internet unverschlüsselt übertragen. So könnten beispielsweise Benutzernamen und Passwörter ausgelesen werden.

Man kann Verbindungen zum Disk Station Manager generell auf https umleiten lassen. Allerdings bekommt man natürlich auch da eine Zertifikatwarnung. Ich würde das aber nicht empfehlen, da die unverschlüsselte http-Verbindung im lokalen Netz zu Hause natürlich wesentlich schneller ist.

Ich würde es so machen:
http im lokalen Netz, von außerhalb nur Zugriff über https -> dazu sollte im Router nur der Port 5001 an die DS weitergeleitet werden, nicht aber der Port 5000.

Wenn Dich die Zertifikatwarnung nervt, kannst Du Dir natürlich auch ein eigenes Zertifikat auf Deine richtige DDNS-Adresse ausstellen. Dieses Zertifikat muss dann allerdings auch auf der Gegenseite installiert werden, um eine Warnung zu verhindern.

Bei FTP ist es ähnlich: beim normalen FTP wird unverschlüsselt übertragen, bei FTP über SSL/TLS wird die Verbindung verschlüsselt. Für den FTP-Zugriff würde ich einen entsprechenden FTP-Client empfehlen.

 

[ajorysch]

Herzlichen Dank Trolli für Deine Mühe !

Ich würde es so machen:
http im lokalen Netz, von außerhalb nur Zugriff über https -> dazu sollte im Router nur der Port 5001 an die DS weitergeleitet werden, nicht aber der Port 5000.

Du meinst die Portweiterleitung?!

Wenn Dich die Zertifikatwarnung nervt, kannst Du Dir natürlich auch ein eigenes Zertifikat auf Deine richtige DDNS-Adresse ausstellen. Dieses Zertifikat muss dann allerdings auch auf der Gegenseite installiert werden, um eine Warnung zu verhindern.

Werd ich mal gerne anschauen...wenn ich Zeit habe, aber Ertrag und Aufwand muss stimmen und zwischen den Zeilen lese ich dass ich das lassen soll.

Bei FTP ist es ähnlich: beim normalen FTP wird unverschlüsselt übertragen, bei FTP über SSL/TLS wird die Verbindung verschlüsselt. Für den FTP-Zugriff würde ich einen entsprechenden FTP-Client empfehlen.

Als Client verwende ich den FileZilla
Aber was muss ich bei einem Broswer oder als Netzwerkverknüpfung, anstelle von ftp:// eingeben?

Ich habe ein paar Screenshots zu meinen Einstellungen angehängt, ist dies richtig so?

Gruss Armand

 

[Trolli]

Das sieht schon gut aus. Welche Ports werden denn davon im Router an die DS weitergeleitet? (Ja, Portweiterleitung!)

 

[ajorysch]

Das sieht schon gut aus. Welche Ports werden denn davon im Router an die DS weitergeleitet? (Ja, Portweiterleitung!)

Unsere Einträge haben sich überschnitten.
Ich dachte Du wollsest evtl. die Portweiterleitungsliste sehen und habe sie noch mit Screenshots zugefügt.
Ich musste aus Darstellungsgründen in 2 Teile machen.
Zuoberst der Screenshots siehst Du den 1.Teil, zuunterst den 2.Teil



Aber was muss ich bei einem Broswer oder als Netzwerkverknüpfung, anstelle von ftp:// eingeben bei einer verschlüsselten ftp Verbindung?

Gr Armand


P-S-

Habe noch ein Screenshot angehängt mit den Firewall Einstellungen des D211j die ich eingerichtet habe.

 

[Trolli]

Die Port weiterleitungen solltest Du weitestgehend löschen. Du solltest nur die Ports weiterleiten, deren Dienste Du auch wirklich über Internet nutzen möchtest.

In unserem Wiki findest Du mal eine fablich markierte Aufstellung, welche Ports man weiterleiten sollte und welche nicht. Grüne kann man ohne größere Bedenken freischalten, gelbe sind mit entsprechenden Sicherheitsvorkehrungen wie sichere Kennwörter und Verschlüsselung auch noch ok, alle anderen Ports müssen aber unbedingt geschlossen bleiben.

Die interne Firewall der DS brauchst Du bei einem ordentlichen Setzen der Portweiterleitungen im Router eigentlich nicht mehr, wenn Du keine Gefahren aus dem lokalen Netz befürchtest. Ich hab meine ausgeschaltet.

Zum Thema FTP: ich glaube nicht, dass ein Browser standardmäßig mit SSL/TLS Verschlüsselung umgehen kann, aber damit kenne ich mich auch nicht so genau aus. Angesprochen wird er jedenfalls wie normal mit ftp://DeineDynDNS

 

[ajorysch]

Die Port weiterleitungen solltest Du weitestgehend löschen. Du solltest nur die Ports weiterleiten, deren Dienste Du auch wirklich über Internet nutzen möchtest.

In unserem Wiki findest Du mal eine fablich markierte Aufstellung, welche Ports man weiterleiten sollte und welche nicht. Grüne kann man ohne größere Bedenken freischalten, gelbe sind mit entsprechenden Sicherheitsvorkehrungen wie sichere Kennwörter und Verschlüsselung auch noch ok, alle anderen Ports müssen aber unbedingt geschlossen bleiben.

Die interne Firewall der DS brauchst Du bei einem ordentlichen Setzen der Portweiterleitungen im Router eigentlich nicht mehr, wenn Du keine Gefahren aus dem lokalen Netz befürchtest. Ich hab meine ausgeschaltet.

Zum Thema FTP: ich glaube nicht, dass ein Browser standardmäßig mit SSL/TLS Verschlüsselung umgehen kann, aber damit kenne ich mich auch nicht so genau aus. Angesprochen wird er jedenfalls wie normal mit ftp://DeineDynDNS

!!! Besten Dank Trolli für Deine nette Hilfe und Geduld !!!

 

[janus]

Danke Janus für Deine einleuchtende Antwort.
In diesem Zusammenhang noch folgende Frage:

Seite 58 im Handbuch unter dem Titel: Optionen HTTP-Dienst ändern
steht:
Wenn die HTTPS-Verbindung aktiviert ist, werden alle Verbindungen auf der Synology DiskStation über das
HTTP-Protokoll mit dem SSL/TLS Verschlüsselungsmechanismus hergestellt

Moin,
das ist etwas anders. Wenn du https einstellst, dann wird ein aufruf der http Seite automatisch auf die https Seite umgeleitet.

heist das nun, wenn ich das Kästchen HTTPS aktivieren anflage; ganz normal über http:// die Synology Disk anwählen kann aber intern eine Umwandlung auf eine sichere Verbindung stattfindet?
Wenn ja dann brauche ich ja den Usern nicht den https:// Link angeben und dann werden sie auch nicht mit dieser Zertifizierung konfrontiert.

Siehe oben. Sobald die Verschlüsselung ins Spiel kommt, kommt auch die Meldung mit den Zertifikaten.

Wie schon ein anderer User erwähnt hat, kannst du auch eigene Zertifikate erstellen, welche auf den Namen deiner DS passen.

Dabei gibt es selbst erstellte Zertifikate und "echte" Zertifikate. Bei den selbst erstellten, muss der Key deiner eigenen Zertifizierungstelle auf die Browser gebracht werden, damit die Warnungen verschwinden. Bei einem "echten" Zertifikat, liegt dem Browser der Key der Zertifizierungsstelle bereits vor und der Browser kann anhand dieses Zertifikats prüfen, ob das Zertifikat gültig ist.

Gute Literatur zum Thema Verschlüsselungs Verständnis für den einfachen Menschen: Simon Sing, Geheime Botschaften. Es gibt eine Version für Kinder und eine etwas komplexere. Wenig und sehr verständliche Mathematik. Verschlüssellung super gut erklärt, bis zu RSA.

Was passiert eigentlich wenn man eine https Seite anwählt im Gegensatz, zu nur http ? Geht die Verbindung dann über einen speziellen Server? Wenn ja was macht denn dieser?

Nein, kein spezieller Server. Im Webserver gehts "nur" über eine zusätzliche "Abteilung", welche den Datenstrom eben verschlüsselt.

HTTP geht über Port 80 und HTTPS über Port 443. Damit ist eine klare Trennung da und der Webserver weiss, was er jeweils zu tun hat. Die DS hat nur den Standard 443 Port auf 5001 umgelegt.

Noch kurz zu FTP in diesem Zusammenhang.
Seite 89 vom handbuch steht:
Nur SSL/TLS-Verbindung erlauben: Der Server akzeptiert nur SSL oder TLS Verbindungsanfragen von Seiten der FTP Clients.

Soll ich dieses Kästchen : nur SSL/TSL erlauben aktivieren?
Wenn ja was muss man dann als user anstatt ftp:// eingeben?

Beim passenden Client: sftp://

DANKE
Gruss Armand

Gruß

Janus

 

[Trolli]

Beim passenden Client: sftp://

Bist Du da sicher? Weil SFTP ist ja eigentlich was anderes als FTPES. Und SFTP können die Synology Stations nicht.

Ein standardisiertes Internetprotokoll ist sftp:// jedenfalls nicht (-> http://de.wikipedia.org/wiki/Internetprotokollfamilie#Protokollstapel)

 

[jahlives]

@Trolli
sftp lässt sich relativ einfach via ipkg nachrüsten. Per default dabei ist es aber nicht.
Letztendlich gibt es das Protokoll aber schon, auch auf der Wikiseite. Es heisst einfach ssh
Dabei wird mehr oder weniger ein ftp durch eine ssh Verbindung gezwängt. Nach aussen eine ssh Verbindung

 

[Trolli]

Das das geht weiss ich schon. Aber das trifft ja hier nun wirklich nicht die Fragestellung.
Die Frage war, wie man aus dem Browser heraus auf den Synology FTP-Server zugreift, der auf SSL/TLS-Verbindungen beschränkt ist. Und das geht nun mal nicht über SSH oder SFTP und auch nicht, indem ich im Browser sftp://DNSdesServers eingebe.

 

[ajorysch]

Hallo zusammen ihr Cracks
Für mich als Laien ist Eure Diskussion interessant; das ganze Thema anscheinend sehr komplex.

Ja, ich wollte eigentlich nur wissen, was ich in einem Browser eingeben muss um eine sichere ftp Verbindung zum DS aufbauen kann.

Ich selber arbeite mit filezilla und dort habe ich festgestellt dass ich FTPES anwählen muss.

Es werden aber noch grössere Laien zugreifen und ich möchte denen nicht erklären wie ein ftp Client funktioniert sondern dachte dass die einfachste Methode via firefox, iexplorer usw. wäre

Gruss Armand

 

[Trolli]

Die einfachste Möglichkeit ist sicherlich die File Station. Dazu die File Station im DSM akivieren, Port 7001 im Router weiterleiten und über https://DeinDNS:7001 zugreifen.

 

[ajorysch]

Die einfachste Möglichkeit ist sicherlich die File Station. Dazu die File Station im DSM akivieren, Port 7001 im Router weiterleiten und über https://DeinDNS:7001 zugreifen.

Ja genau Du hast Recht, warum bin ich nicht selber auf die Idee gekommen ?

P.S

Du Trolli, der User kann ja auch die DS anwählen mit seinem Benutzername und PW und kann daraus dann auch auf den Datei Broser zugreifen..ist doch auch eine Möglichkeit, anstelle
des Files Server. Bezüglich File Server hab ich gesehen, dass man diesen nur aus dem Admin Konto heraus starten kann aus den normal User Konten nicht.
Im weiteren hab ich festgestellt dass wenn man aus den Konten die Photo Station anwählt, es ein separates Browser Fenster aufmacht aber nicht mit einer https sondern nur mit einer http
Verbindung. Kann man dies ändern, habe nichts gefunden

 

[ajorysch]

Janus besten Dank auch Dir für Deine Mühe und Geduld. Ich bin nun vollkommen eingedeckt mit den Infos und mein Verständnis hat sich erweitert

Gruss Armand