j-Serie Port-Einstellungen / Erreichbarkeit --> Sicherheit?

[respect]

Moin,

bin seit kurzem Besitzer einer 212j mit 2 x 2 TB im Raid 1.

DynDns hab ich eingetragen - im Router (Easybox803) ebenfalls - funktioniert auch alles.

über name.dyndns.org:5001 komm ich vom web/Handy usw. auf die DS - das https: ist zwar durchgestrichen im Browser, aber es läuft - muss ich erst ein Sicherheitszertifikat erstellen um mehr Sicherheit zu bekommen?

Bin im Netz jetzt über diverse Port-Einstellungen gestolpert - jedoch immer mit anderen Aussagen.

Welche Ports muss im Router freischalten, von welchen besser die Finger lassen!!!!

Aktuell laufen: Surveillance, Cloud, MediaServer

So sieht die Routereinstellung aus (Port-Mapping):

LAN IP Protokolltyp LAN Port Öffentlicher Port
192.168.2.103 TCP 80,443 80,443
192.168.2.103 TCP 9997-9999 9997-9999
192.168.2.103 TCP 7001 7001
192.168.2.103 TCP 5006 5006
192.168.2.103 TCP 5005 5005
192.168.2.103 TCP 5001 5001
192.168.2.103 TCP 50001-50002 50001-50002


Oder doch besser ein VPN einrichten?

Sinn und Zweck soll sein, das der Zugriff von außen möglich ist - jedoch mit einer hohen Sicherheit - einzelne Ordner kann man ja leider nicht mit einem zusätzlichen Passwort versehen...

 

[dape]

Gute Frage, schade dass sich bisher noch niemand gemeldet hat, der sich mit sowas auskennt.
Hast du denn selbst schon mehr herausgefunden?

 

[Frogman]

über name.dyndns.org:5001 komm ich vom web/Handy usw. auf die DS - das https: ist zwar durchgestrichen im Browser, aber es läuft - muss ich erst ein Sicherheitszertifikat erstellen um mehr Sicherheit zu bekommen?

Nein - auch mit dem durchgestrichenen https:... wird die Kommunikation genauso sicher und verschlüsselt übertragen. Man kann sich aber ein eigenes SSL-Class1-Zertifikat kostenlos ausstellen lassen und auf der DS einspielen, damit man die lästige Abfrage wegen "konnte nicht verifiziert werden..." umgeht. Wie das geht, findest Du zB hier beschrieben. Das bedeutet nicht, dass dann auch die Browser-Adressleiste grün wird - dafür muss man dann etwas mehr Geld in die Hand nehmen und ein Class3-Zertifikat bei einem der großen Root-CA zertifizieren lassen - an der Sicherheit des Protokoll verbessert das dann aber nichts, sieht nur hübsch aus...

Um mit der letzten Frage weiterzumachen: VPN ist hier vorzuziehen, weil es die sicherere Art der Fern-Kommunikation darstellt. Wenn es aber nicht anders geht (zB weil man Zugriff von Rechnern benötigt, für die man kein VPN einrichten kann/darf), dann kommt man um Portweiterleitungen nicht herum.

Stichwort Freischaltung von Ports im Router:
grundsätzlich nur das freischalten, was man braucht und von dem man weiß, wofür es gut ist (bei Deiner Liste solltest Du also noch einmal alles durchgehen)! Wenn man eine Weiterleitung zeitweise nicht mehr braucht, kann man sie auch meist im Router deaktivieren und erst dann wieder aktiv setzen, wenn man sie braucht (das geht bspw. mit der Fritzbox auch aus der Ferne über den verschlüsselten Zugriff per https).
Außerdem nach Möglichkeit immer ein verschlüsseltes Protokoll verwenden!