IP Adressen automatisch sperren

Status
Für weitere Antworten geschlossen.

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Mal ehrlich, wer braucht einen externen ssh (Port22) Zugang auf ein privat betriebenes NAS?

Der einzig wichtige Grund im Falle von Synology ist das Network Backup. Auch im privaten Bereich will man seine Daten evt. auf eine entfernte DiskStation sichern. Die normale Network Backup Funktion von Synology hat aber den Port für die verschlüsselte Übertragung auf 22 fixiert. Kann man natürlich mit einer VPN Verbindung umgehen, erfordert aber dann auch wieder etwas mehr Wissen (und unter Umständen Hardware Voraussetzungen).
 

theMario

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
403
Punkte für Reaktionen
0
Punkte
22
Gut, dann müssen wir das eben "mathematisch" sehen. :D Was ist nun schwerer? Sich über ssh und Port 22 und den ganzen Kram zu belesen, oder über den Aufbau einer VPN Verbindung? Im Grunde ist es gleich. Das Verhältnis kippt dann, wenn ich die NAS Funktionen Audio, Video etc. mit ins Spiel bringe und den Aufwand zum Nutzen stelle. Für jede NAS Funktion brauche ich einen Port. Verschlüsselt bin ich nur bei https und wer kauft schon ein Zertifikat... .

theMario
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Mal ehrlich, wer braucht einen externen ssh (Port22) Zugang auf ein privat betriebenes NAS?

Wenn du eine gesicherte Netzwerksicherung über Internet machen willst, brauchst du diesen Port.

Eine VPN Verbindung kann ich aus jedem privaten oder Firmennetzwerk, jedem Hotspot in der Öffenlichkeit aufbauen, und "arbeite" immer abhörsicher, weil dieser VPN Tunnel auch immer verschlüsselt ist. Einzige Voraussetzung ist, das fremde Netz muß das zulassen...

Ja, aber genau das ist das Problem: es geht eben nicht aus jedem Netz heraus. Mein Arbeitgeber erlaubt z.B. grundsätzlich kein VPN, dass das Firmennetz verläßt.
Anderes Beispiel (habe ich schon öfter hier gebracht): im letzte 3wöchigen Urlaub im Hotel mit WLAN war kein VPN möglich! Alle anderen Ports konnte ich zu Hause erreichen, nur VPN ging nicht.

Portfreigabe(n) sind doch nicht mehr zeitgemäß, oder?

Letztlich gibst du für VPN auch einen Port frei. Wichtig ist doch, dass der Dienst dahinter sicher ist. Und von einem VPN-Server Paket von Synology weißt du das letztenendes genausowenig, wie von anderen Diensten, die auf deiner DS laufen.
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Gut, dann müssen wir das eben "mathematisch" sehen. :D Was ist nun schwerer? Sich über ssh und Port 22 und den ganzen Kram zu belesen, oder über den Aufbau einer VPN Verbindung? Im Grunde ist es gleich. Das Verhältnis kippt dann, wenn ich die NAS Funktionen Audio, Video etc. mit ins Spiel bringe und den Aufwand zum Nutzen stelle. Für jede NAS Funktion brauche ich einen Port. Verschlüsselt bin ich nur bei https und wer kauft schon ein Zertifikat... .

theMario
Hilft alles nichts, wenn ein billig 08/15 Endverbraucher Router kein VPN passthrough kann (oder gar das jeweilige Gerät vom Provider) ;). Aber keine Ahnung wie oft das tatsächlich der Fall ist.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484

theMario

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
403
Punkte für Reaktionen
0
Punkte
22
Letztlich gibst du für VPN auch einen Port frei. Wichtig ist doch, dass der Dienst dahinter sicher ist. Und von einem VPN-Server Paket von Synology weißt du das letztenendes genausowenig, wie von anderen Diensten, die auf deiner DS laufen.

Auf meiner DS habe ich das auch nicht. Ich nahm den kürzeren Weg zum Router. Portweiterleitung erledigt.

Hilft alles nichts, wenn ein billig 08/15 Endverbraucher Router kein VPN passthrough kann
Also in den letzten 5 Jahren hat sich da Einiges getan. Jeder heute von 0 8 15 ISPs vertreibt seine Angebote mit einer Fritzbox oder einem Derivate. Ob das Ding nun Homeserver ala 1 und 1 heisst, oder Telekom sein .... fällt mir gerade nicht ein... geht das. Wenn nicht, das Branding lässt sich mit einem Telefonat an die Fritzbox anfrühstücken. Heisst, ich mache so erst mal telnet auf und der Rest ist dann lesen, verstehen umsetzen - genau das Gleiche wie bei fast jedem Problem auf der DS gibt das www Lösungen. Ich will sicherer sein? Dann doch über einen frei wählbaren Port, als den allseits bekannten 22er.
@Puppetmaster: Du hast die gleichsam egoistische Firma wie ich :D - liegt aber auch am vorangegangenen Missbrauch. Am Anfang wird gegooglet, dann gesurft, dann gesaugt und erstreamt und dann kommt die Portsperre - weil der Traffic nicht bezahlt werden will.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Auf meiner DS habe ich das auch nicht. Ich nahm den kürzeren Weg zum Router. Portweiterleitung erledigt.

Ändert nichts, oder wie sicher kannst du sein, dass die Firmware des Routers keinen Bug an der Stelle hat?

Du hast die gleichsam egoistische Firma wie ich :D - liegt aber auch am vorangegangenen Missbrauch. Am Anfang wird gegooglet, dann gesurft, dann gesaugt und erstreamt und dann kommt die Portsperre - weil der Traffic nicht bezahlt werden will.

Nein, der Port ist nichmal geschlossen, denn VPN wird bei uns ja auch offiziell betrieben. Es ist allerdings per Security Policy festgelegt, dass du es nicht darfst. :) M.E. auch viel effektiver so, bzw. beschneidet man sich so nicht selbst.
 
Zuletzt bearbeitet:

theMario

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
403
Punkte für Reaktionen
0
Punkte
22
Nun, wie es bei uns geregelt ist, kann ich nicht herausbekommen, da meine MAC Adressen schon vorher der Netzwerkadmin mir vorbei gebracht hat. Ist ja recht einfach... . Somit halte ich die Füße still und er lässt mir Port 80
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Also in den letzten 5 Jahren hat sich da Einiges getan. Jeder heute von 0 8 15 ISPs vertreibt seine Angebote mit einer Fritzbox oder einem Derivate. Ob das Ding nun Homeserver ala 1 und 1 heisst, oder Telekom sein .... fällt mir gerade nicht ein... geht das. Wenn nicht, das Branding lässt sich mit einem Telefonat an die Fritzbox anfrühstücken. Heisst, ich mache so erst mal telnet auf und der Rest ist dann lesen, verstehen umsetzen - genau das Gleiche wie bei fast jedem Problem auf der DS gibt das www Lösungen. Ich will sicherer sein? Dann doch über einen frei wählbaren Port, als den allseits bekannten 22er.
Nicht jeder Provider in Deutschland vertreibt Fritz Boxen und nicht jeder hier ist aus Deutschland ;). Im allgemeinen bekommt man eher einen bunten Mix an verschiedenen Router-Modems. Und dann natürlich oft ohne externen Zugang (und nein, nicht bei jedem Router Modem ist es sofort möglich, dir einfach so den Zugang zu verschaffen. Dass die Service Passwörter von jedem Provider, von jedem Modell immer verfügbar sind, ist natürlich nicht gegeben).


Ich will sicherer sein? Dann doch über einen frei wählbaren Port, als den allseits bekannten 22er.
Wie schon erwähnt kann der Port für das verschlüsselte Network Backup nicht frei gewählt werden.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat