DSM 6.x und darunter Kann man das Erreichen der Management-Seite verhindern?

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Wie kann ich verhindern, dass externe User nicht auf die Managementseite umgeleitet werden?
Konkret: Wenn ich einem bekannten meine DNS von DYNDNS mitteile um z.B. auf meine Photosammlung zuzugreifen (z.B mit http://meineadresse.net/photo) kommt er automatisch zur Managementseite wenn er die Adresse ohne ".../photo" eingibt. Kann man dies unterbinden?

Es soll also ausschliesslich möglich sein, die Adresse mit ".../photo" aufzurufen. Alles andere, also ohne ".../photo" oder "...:5000" soll nicht möglich sein.

Ist es möglich die Managementadresse "...:5000 bzw. ...:5001" zu ändern? Somit könnten ungewollte Externe versuchen, bewusst auf meine Managementseite zuzugreifen, weil die Endung "...:5000/1" standartmäßig immer dorthin führt (wenn sie denn die DNS herausbekommen würden, was sicherlich nicht das Problem sein sollte).

Gruss - Anoxx
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Du musst nur eine index.htm oder index.php ins Hauptverzeichnis "web" legen. Dann wird diese bei Aufruf von http://deineDNS statt der Umleitung geladen. Alle anderen Adressen führen zu einer Fehlerseite ("Seite nicht gefunden").

Trolli
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
@ Trolli:
Danke für den Tip. Jedoch kann ich damit nicht verhindern, dass bei Eingabe der DNS mit "...:5000" die Managementseite aufgerufen wird. Wie kann ich das Verhindern? Deswegen auch die Frage nach einer Änderungsmöglichkeit der Managementadresse "...:5000" (wie es z.B. bei Qnap möglich ist).

Anoxx
 

Krypton

Benutzer
Mitglied seit
16. Apr 2008
Beiträge
199
Punkte für Reaktionen
0
Punkte
0
du solltest ohnehin nur den port für die photostation offen lassen, dann kommt auch niemand auf :5001 oder :5000 rein.

Oder sehe ich das falsch?
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
... und wie komme ich dann von Außerhalb auf die Managementseite?

Anoxx
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Genau. Wenn Du nicht möchtest, dass man von "draussen" auf das Management zugreifen kann, kannst Du einfach die Portweiterleitung entfernen.

Falls Du einen anderen Port bevorzugst (aber da kommt man natürlich genauso drauf), kannst Du den Port im Router umsetzen lassen, z.B. von 6000 extern auf 5000 intern. Eine Änderung des Ports auf der DS ist nicht möglich.

EDIT: Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.

Trolli
 

Krypton

Benutzer
Mitglied seit
16. Apr 2008
Beiträge
199
Punkte für Reaktionen
0
Punkte
0
wobei die meisten sagen müssten: Zugriff auf das Management ist in den wenigsten Fällen nötig. Die Dienste richtet man einmal ein, neue Ordner erstellt man in vorhandenen "Transfer"-Ordnern... mehr braucht man gar nicht von unterwegs, wenn man täglich auch sonst dran kann.

Wer mehr weg ist, evtl schon.
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Überall wo Du von ausserhalb hinkommst, kommt natürlich auch jeder andere hin... Da muss man halt abwägen, ob der Sicherheitsaspekt oder die Bequemlichkeit überwiegt.

Natürlich hast Du Recht. Nur wenn allgemein bekannt ist, dass die Synology-NAS ausschliesslich "...:5000" bzw. "...:5001" für die Managementseite benutzen, ist es einfacher darauf zuzugreifen, als wenn es tausende mögliche Ports geben würde. Eine Hürde mehr für externe ;)

Das mit dem umleiten von z.B. 6000 auf 5000 werde ich mal versuchen - danke für den Tip. Noch besser wäre es, wenn man dem :5000-er Port einen Namen zuteilen könnte (z.B. http://meineDNS/meineManagementseite1*&tf-safe) den dann bestimmt keiner mehr so schnell rauskriegen könnte. Natürlich müsste dann ausschliesslich dieser Name funktionieren, und nicht noch zusätzlich "...:5000". Und wieder eine Hürde mehr...:)

Anoxx
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
...Ja. Aber es merkt ja zunächst mal nicht jeder, dass Du eine Synology Station einsetzt. Und wenn man das weiss, kennt man ja noch nicht automatisch die Sache mit Port 5000 / 5001. Und wenn jemand die Energie aufbringt, sich die Bedienungsanleitung Deiner eingesetzten Hardware durchzulesen, um rauszubekommen, wie man auf das Management zugreift, dann wird er bestimmt auch noch auf die Idee kommen, auf Deiner Adresse einen Portscan durchzuführen, um zu sehen, wie man sonst noch reinkommen könnte.
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Ist halt alles eine Frage von Aufwand und Nutzen. Der Nutzen wäre in diesem Fall mit sehr wenig Aufwand verbunden (würde es die DS auch unterstützen). Und jede weitere Hürde die dem Eindringlich geboten wird - vor allem ohne zusätzliche Kosten und mit minimalem Aufwand - ist es wert. Ist natürlich keine Garantie, aber ist es im leben nicht immer so?

Aufjeden Fall bin ich jetzt etwas schlauer als vorher, und das reicht mir erst mal - danke.

Gruss - Anoxx
 

Krypton

Benutzer
Mitglied seit
16. Apr 2008
Beiträge
199
Punkte für Reaktionen
0
Punkte
0
Bedenke: wenn jemand WIRKLICH in dein Netz will, lässt er eh mal einen Portscan laufen. Er weiss, dass du 6000 benutzt, bevor er weiss, dass eine DS drauf horcht.

Wähle die offenen Ports mit Bedacht, und gerne auch abwegige Zahlen, wenn du 5000 nicht willst - aber rammel alle anderen zu und benutz anständig sichere Passwörter.

So kann wenig passieren.
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
So werde ich es machen - danke für die Hilfe.

Gruss - Anoxx
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
@Anoxx,

ist dein Router von außen zugänglich? Ich meine das Administrationsmenü?
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
... jetzt nicht mehr, da ich die Ports 5000 und 5001 im Router nicht mehr durchleite. Port 80 ist (noch) offen...
 

Krypton

Benutzer
Mitglied seit
16. Apr 2008
Beiträge
199
Punkte für Reaktionen
0
Punkte
0
er frag nach dem Admin-Menu des Routers, nicht nach dem der DS...
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Oh - sorry. Ich denke nicht? Wie erfahre ich das?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Steht irgendwo in deinem Router-Handbuch.

Normalerweise macht man die Konfiguration nicht nach außen hin auf. Aber wenn, dann könnte man immer mal die Ports auf- und zu machen, je nach Bedarf. Wenn du das ja sowieso machen würdest, dann wäre diese Idee auch ein Lösungsansatz. Wenn nicht, dann vergiss es einfach.
 

Anoxx

Benutzer
Mitglied seit
25. Jan 2008
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Danke für den Versuch. Aber ich denke, dass sinnvollste ist den Port einfach geschlossen zu halten. Normalerweise muss man ja auch nicht dauernd in den DS-Adminbereich, und wenn, dann direkt über das LAN zu Hause.

Anoxx
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat