Leidiges Port 5000 Sicherheitsproblem

[newanda]

Hallo Gemeinde

Da ich ja kürzlich mit meiner unqualifizierten und auch etwas beschämenden "ich habe meine volle Festplatte in die neue Ds gesteckt"-Aktion vom mir reden machte, folgt nun der zweite Streich.

Ich habe meine DS 132 mitlerweile installiert und klappt alles soweit ganz gut. Wichtig ist mir, dass ich von überall her auf meine Daten (v.a. Musik und Bilder) zugreifen kann. Ich habe desshalb den Port 5000 via den Router freigegeben. Nun habe ich gelesen, dass die freigabe des 5001 und des 5000 er Portes ein erhebliches Sicherheitsrisiko darstellt. Das geht natürlich nicht. VPN kommt leider nicht zum Tragen da dies mein Modem nicht unterstützt. Und ich glaube für htaccess bin ich zu blöd.
Was ratet ihr mir in dieser Situation?

Habt Dank

 

[Puppetmaster]

Was willst du denn machen wenn du schreibst, daß du auf Musik und Bilder zugreifen willst? Willst du die hören und sehen, oder nur herunterladen können?
Zum Bilder ansehen gibt es ja beispielsweise die PhotoStation (http - Port 80). Für die Musik die AudioStation. Willst du 'nur' an die zugehörigen Dateien zwecks download, dann ist die FileStation auf Port 7001 (https gesichert) eine Option.
Was heißt, dein Modem kann kein VPN? Der VPN-Server läuft ja erstmal auf der DS... Zugriff sollte möglich sein, sofern Port 1723 (PPTP) freigegeben wird.

Um auf den den DSM bzw. die dort laufenden Dienste zuzugreifen ist Port 5000 (http) ungeeignet, da alles (auch Passworte) im Klartext übertragen werden. Verwendest du hingegen https über Port 5001 ist das schon ganz gut. Hier müßte es ein Angreifer schon sehr gezielt auf dich absehen, wenn er etwas erreichen wollte. A und O sind hier starke Passwörter! Sowie die automatische Blockierung von IPs.

 

[newanda]

Hm- also erst mal finde ich es unglaublich, innerhalb einer Stunde eine solch umfangreiche Antwort zu erhalten. Ich bin beeindruckt.

Zur ds- also ich will primär auf daten zugreifen (sehen und hören) auch mal n download- aber selten.

Nun kann ich natürlich die ds auf https umstellen und nur den 5001 freigeben.
Und habe ich das richtig verstanden- VPN würde über die ds gehen?

Nun wenn du mir sagst- die Verbindung über 5001 sei zusammen mit einem guten Passwort sicher- dann reicht mir das eigentlich. Sind ja grundsätzlich nur sounds und n paar fotos und nicht die britischen Kronjuwelen...

Vielen Dank nochmal für die rasche Antwort!!

 

[RubberDuck]

Hallo,

ja mit dem Port 5001 fährst du schon ganz gut und bist erstmal "sicher"

Sonst richtest du auf deiner DS den VPN-Server ein. Dann musst du keine Ports ( bis auf den VPN Port 1723 ) freischalten und kommst auch an deine Daten ran.

Ich habe beides freigeschaltet. Einmal den Port 5001 und für die Firma einen VPN. Damit kann ich ohne Probleme von überall aus auf meine DS zugreifen. Hier mal eine Anleitung dazu: Einrichten von Synology NAS als VPN Server

 

[Puppetmaster]

Nun wenn du mir sagst- die Verbindung über 5001 sei zusammen mit einem guten Passwort sicher- dann reicht mir das eigentlich.

Nun, da gehen die Meinungen auseinander. Manche sagen VPN sei ein Muß, ich sehe das ähnlich wie du: https ist ok. Es ist mit Sicherheit durch irgendeine Lücke in der Software der DS zu knacken! Aber da muß sich wirklich auch jemand gezielt an dich richten. VPN ist da sicherer, im übrigen kannst du damit auf dein gesamtes Heimnetz zugreifen.
Einen VPN-Server gibt es als Paket für die DS, damit hast du eigentlich alles was du benötigst. Dieser Server beherrscht PPTP und OpenVPN. Letzteres ist noch sicherer als PPTP, dafür aber auch schwieriger auf den jeweiligen Clients einzurichten. Von einem Windows PC beispielsweise ist PPTP ganz leicht und ohne Zusatzsoftware einzurichten (min. mal ab Windows 7).

 

[newanda]

Ok da habe ich mal einiges an information mit dem ich arbeiten kann.

Ich werde es so handeln- primär werde ich mal den 5001 port freigeben und mein pw etwas pimpen.

Gleichzeitig werde ich- wenn ich mal ne freie minute habe (haha- freie minute...das braucht stunden...
Das mit dem vpn probieren. Pppt tönt schon mal gut. Die anleitung von Rubber duck hilft da sicher.

So long- bis jetzt mal vielen Dank- echt n super forum hier- da habe ich schon anderes erlebt...

Cheers

 

[newanda]

Darf ich doch noch schnell was fragen- bei der ds kann ich ja via systemsteuerung das icon vpn anklicken und eine pptp erstellen. Was muss ich bei den feldern serveradresse eingeben? Die ip des routers? Oder muss ich allenfalls die verbindung zuerst in windows (7) einrichten?

 

[Puppetmaster]

Schau mal hier.

 

[newanda]

Ok supi vielen dank. Ich hoffe, ich damit muss euch nicht mehr belästigen.

Vielen dank nochmals, cheers

 

[newanda]

Ok muss ich wohl doch...

Also ich habe alles nach Anleitung installiert und eingerichet. Am Router habe ich den VPN Port freigegeben. Nun bekomme ich aber mit der VPN Verbindung, die ich unter Windows erstellt habe, keine Verbindung.

Ich bekomme immer den "Fehler 800, Die VPN Verbindung konnte aufgrund von Tunnelfehlern nicht hergestellt werden. Der VPN Server ist möglicherweise nicht erreichbar...."

Als Virtuelle IP habe ich einfach mal 172.XX.x.x angegeben. Sollte diese IP irgend einen Bezug haben?? Bezüglich der Verlüsselung habe ich es so gelassen wies war- sollte mit der Windows VPN Verbindung übereinstimmen....

Was mache ich falsch?

 

[newanda]

Ok das problem 800 habe ich lösen können. Die vpn verb. steht. (glaub ich zumindest- irgendwas ist da verbunden...;-)Nun klappt aber der zugriff vom externen gerät nicht.

Muss ich z.b. Bei der ipad app ds audio nun die virtuelle ip, die ds ip oder die haupt ip angeben? Und ist das dann eine https leitung?

Ich mache langsam fortschritte- und bin erst so 5-6 stunden dran...;-)