Liste der verwendeten Ports

[Trolli]

Ich habe die Liste der verwendeten Ports grundlegend überarbeitet. Gebt mal bitte ein Feedback, ob das so verständlich ist und ob die Einstufung der Sicherheitsgefahr bei den jeweiligen Diensten richtig ist.

Trolli

 

[jahlives]

Ich würde bei den Webserver Sachen unterscheiden ob es sich um den Root
Apache oder den User (nobody) Apache handelt. Der root Apache ist in jedem Fall risikoreicher als der User Apache, wegen der hohen Rechte des ausführenden Users.

 

[Trolli]

Hab ich doch eigentlich gemacht, oder? Ich hab das eine nur "Web Station..." genannt und das andere "Disk Station Manager". Auch die Sicherheitsbewertung ist dementsprechend anders...

Vielleicht könntest Du auch noch die Ports für die Mail Station eintragen? Die kennst Du bestimmt besser als ich...

Trolli

 

[jahlives]

@Trolli
Ich habe gemeint, dass ich auf der Liste auch die Audiostation mit grün gesehen hätte. Aber ein erneuter Blick zeigte dass ich mir wohl geirrt habe, die Audiostation ist gar nicht aufgeführt.
Die Ports für die Mailstation werde ich mal noch einbringen.
imho sollte aber ALLES was unter dem Root Apache läuft mindestens als gelb markiert sein!

 

[Trolli]

Das stimmt. Die File Station muss natürlich gelb sein. Habs sofort geändert!

 

[itari]

Vielleicht wäre noch ein Hinweis auf die Datei /etc/services sinnvoll. Dort stehen ja alle Portnummern, auf die ein Server der DS lauern kann.

Mit

netstat -a bzw. netstat -an

sieht man die durch die Netzwerk-Server-Programme bereits "belauterten" (listen) oder etablierten Verbindungsports ...

Itari

 

[jahlives]

Ich habe die Mailports noch ergänzt. Dabei habe ich SMTP,POP3 und IMAP mit gelb markiert (wegen der fehlenden Verschlüsselung und beim SMTP wegen der "Spamgefahr")

 

[Trolli]

Danke! Diese Einstufung finde ich auch richtig!

 

[mr. winterbottom]

Moin,

wenn ich dann mal Fragen darf wie ich im Browser an RoundCube ran komme?
Wenn ich nämlich http://meineDynDNS/mail eingebe sagt der Browser nö, bzw. es kommt die Seite von der DS "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden"

Ich habe Port 5000 und 80 auf die entsprechende DS weitergeleitet

mr. winterbottom

 

[ag_bg]

Moin,

wenn ich dann mal Fragen darf wie ich im Browser an RoundCube ran komme?
Wenn ich nämlich http://meineDynDNS/mail eingebe sagt der Browser nö, bzw. es kommt die Seite von der DS "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden"

Ich habe Port 5000 und 80 auf die entsprechende DS weitergeleitet

mr. winterbottom

webmail nehme ich an, hast du aktiviert, genauso, wie den webserver. Port 5000 mußt du nicht weiterleiten, dass stellt nur ein Sicherheitsrisiko dar. Aus dem gleichen Grund würde ich nicht 80 sondern 443 für https nutzen, da du ansonsten die Zugangsdaten unverschlüsselt durch die Leitung schickst.
Dementsprechend solltest du im Router

443 auf IPdeinerDS Port443 weiterleiten.

best regards

 

[jahlives]

In diesem Falle wäre es nicht so tragisch, den Port 80 nach aussen freizugeben. Denn der Synology-User-Apache läuft unter nobody und damit sind jedwelchen Angriffen ziemlich enge Grenzen gesetzt.

 

[ag_bg]

In diesem Falle wäre es nicht so tragisch, den Port 80 nach aussen freizugeben. Denn der Synology-User-Apache läuft unter nobody und damit sind jedwelchen Angriffen ziemlich enge Grenzen gesetzt.

Ich meinte auch eher die Übermittlung etwaig sicherheitsbedürftiger Daten und nicht die Sicherheit des Apachen von sich aus oder irre ich mich gerade in irgendetwas

best regards

 

[jahlives]

Ich meinte auch eher die Übermittlung etwaig sicherheitsbedürftiger Daten und nicht die Sicherheit des Apachen von sich aus oder irre ich mich gerade in irgendetwas

best regards

Klar ist es nicht optimal wenn man Zugangsdaten unverschlüsselt übermittelt. Wenn aber der Prozess selber unter einem nicht-priviligierten User läuft, dann ist das Gesamtrisiko für das System minimal.
Die übermittelten Daten (Passwort und Benutzername) abzufangen ist auch nicht ganz trivial. Dazu ist wohl eine Man-in-the-Middle Attacke nötig resp DNS-Spoofing

 

[ag_bg]

Klar ist es nicht optimal wenn man Zugangsdaten unverschlüsselt übermittelt. Wenn aber der Prozess selber unter einem nicht-priviligierten User läuft, dann ist das Gesamtrisiko für das System minimal.

Ah, Roger, dann hatte ich dich doch richtig verstanden

Die übermittelten Daten (Passwort und Benutzername) abzufangen ist auch nicht ganz trivial. Dazu ist wohl eine Man-in-the-Middle Attacke nötig resp DNS-Spoofing

und die 3. Frage ist natürlich auch, in wie weit die e-mails von "Hans Mustermann" von Interesse sind. Jedoch finde ich das wenn der Aufwand überschaubar ist (hier 3 Zeichen mehr), man durchaus noch eine Mauer mehr nutzen kann.

best regards

 

[itari]

Wer Lust hat, kann ja mal den Artikel "Intrusion Detection für PHP" aus der aktuellen C't (2009-10) anschauen.

Das dort vorgestellte Teil ist richtig gut und untersucht alle übermittelten Eingaben nach bestimmten Mustern und schmeißt eventuelle Angriffe raus. Angeblich nur ein Performance-Verlust von weniger als 1%. Wenn ich mal Zeit hab, werd ich das ausprobieren. Das ist die erste nette Lösung eines alten Sicherheitsproblems.

Itari

 

[jahlives]

und die 3. Frage ist natürlich auch, in wie weit die e-mails von "Hans Mustermann" von Interesse sind. Jedoch finde ich das wenn der Aufwand überschaubar ist (hier 3 Zeichen mehr), man durchaus noch eine Mauer mehr nutzen kann.

best regards

Emails von Hans Mustermann interessieren keine Sau
Dumm ist nur wenn Hans Mustermann zufällig einem Script Kiddy übern Weg surft, das zum Spass mal sein Email Konto auf der DS knackt. Wenn der gute Hans dann darin Liebesgedöns mit einer anderen Frau austauscht, dann ist er dran
Soll heissen: Mit Sicherheit wird Hans Mustermann nicht gezielt als Hans Mustermann angegriffen. Viel wahrscheinlicher ist es, dass er zufällig einem Portscanner begegnet, der feststellt, dass wohl ein Mailserver laufen muss.
Einem gezielten Angriff eines "Profis" (NSA und BND lassen grüssen) wirst du nichts entgegensetzen können (ausser mit einem unbezahlbaren Hochsicherheitssystem)
@itari
Wann ist die ct rausgekommen? Das Teil das ich aktuell habe, hat nix darüber drin... Klingt aber sehr interessant für Webanwendungen