Ports der Webdienste sichern!

[Arschibär]

Hallo liebe Community,

ich bin gerade dabei die Webdienste der DS in diesem speziellen Fall die DS Photostation mit folgenden Informationen zu sichern. https://www.synology.com/de-de/knowledgebase/faq/299.

Bei der Erstellung der Portfreigabe in meiner Fritzbox gibt es den Punkt " von Port xxx bis port xxx an Computer xxx an Ip-Aderesse xxx an Port xxx".
Müsste es dann heißen, " von Port 80 bis Port 80 an Computer xxx an Ip- Aderesse xxx an Port 443" damit diese Verbindung mit Https gesichert wird?


mfg

 

[Frogman]

Nein, sondern für Zugriffe ohne explizite Portangaben (d.h. Nutzung der Standardports):
" von Port 80 bis Port 80 an Computer xxx an Ip- Aderesse xxx an Port 80" für den Zugriff über http
" von Port 443 bis Port 443 an Computer xxx an Ip- Aderesse xxx an Port 443" für den Zugriff über https

 

[Arschibär]

Ok vielen Dank erstmal.

Dann habe ich noch eine Frage. Ich habe in dieser Liste https://www.synology.com/de-de/knowledgebase/faq/299 unter Webanwendungen festgestellt, das z.B. die Photo Station und die Mailstation beide die Portnummer 443 benutzen. Da ich schon die Portnummer 443 für die Photo Station benutze, verweigert mir die Fritzbox diese Portnummer auch für die Mailstation zu benutzen. Kann ich einfach anstelle der 443 auch die 444, 445, 446 für die Mailstation benutzen? Sind diese Portnummmern ebenfalls gesichert? Wenn ja, verhält sich die Portnummer 5001 die ja auch für viele Anwendungen benutzt wird, wie z.B für die DSM und die Audiostation ebenfalls so? Kann ich dann 5002, 5003 usw benutzen?

mfg

 

[Frogman]

...Da ich schon die Portnummer 443 für die Photo Station benutze, verweigert mir die Fritzbox diese Portnummer auch für die Mailstation zu benutzen. ..

Die Fritzbox weigert sich?
Nun, Du musst nur einmal den Port 443 an die DS weiterleiten, unter welcher Bezeichnung das geschieht, ist völlig wurscht.
Was mit diesen Paketen, die auf dem Port 443 dann einlaufen, auf der DS passiert, hängt dann von den dort eingerichteten virtuellen Hosts ab, also den beim Aufruf verwendeten URLs. Beispielsweise landen die Aufrufe von https://Domain:443/photohttps://Domain:443/photo bei der Photo Station, andere Aufrufe mit https://Domain:443/mailhttps://Domain:443/mail bei der Mail Station. Bei beiden Aufrufen kann man das ':443' auch weglassen, da es sich dabei um die Standardports für https handelt.

 

[Arschibär]

ok. Wie sieht es mit folgendem Screenshot aus. Ich verwende die Mobilen Apps für mein Iphone. Also DS Photo, Ds File, Ds Audio. Habe ich Ihrer Meinung nach die Portfreigaben in meiner Fritzbox, richtig konfiguriert? Was die Sicherheit angeht.

 

[Frogman]

Wobei der Port 5005 (WebDAV unverschlüsselt) extern weder sinnvoll noch notwendig ist, wenn denn schon 5006 (WebDAV verschlüsselt) vorhanden ist. Aber warum mit 'File Station' beschriftet? Die File Station ist üblicherweise auf 7001.

 

[Arschibär]

Mein Fehler. Ich habe die Mobile App DS File einfach File Station genannt. Wie sieht es jetzt aus?



Ach ja noch eine Sache. Ich wollte noch die DSM von außen erreichen. Dazu steht ja in der Portliste, das man für die sichere Verbindung Port 5001 verwenden sollte. Nun ist aber Port 5001 in meiner Fritzbox von der DS Audio belegt. Wenn ich Versuche eine neue Portfreigabe für DSM mit der Portnummer 5001 zu erstellen, bekomme ich folgende Meldung.



mfg

 

[goetz]

Hallo,
die Bezeichnung ist einfach nur Schall und Rauch, ist Port 5001 weitergeleitet so antwortet auch die Anwendung die auf den Port hört.

Gruß Götz

 

[g202e]

Die Meldung ist korrekt; wo ist dein Problem?
Wenn du von extern im Browser https://DDNS:5001 aufrufst, solltest du die DSM-Oberfläche erreichen.

 

[Arschibär]

Super Jungs. Hat geklappt. Ich habe jetzt die Wortmeldung von Frogmann und Dir goetz verstanden. Auch Dir ein Danke g202e. Hat ein wenig gedauert. Sorry.

Gleichzeitig muss ich dieses Forum und die Leute die mit viel Herzblut die Neulinge wie mich unterstützen unbedingt loben. Werde dieses Forum wärmstens empfehlen.

 

[Tommes]

Ich hoffe, das du dir auch ein paar Gedanken darüber gemacht hast, was das öffnen von Ports für Konsequenzen haben kann und welche Schutzmechanismen dir der DSM bietet, diesbezüglich ein mehr an Sicherheit zu schaffen. Ich denke da an so Dinge wie, starke Passwörter, Benutzerrechte, automatische Blockierung, GeoIP etc.

Port 22 halte ich für kritisch, Port 5001 wenigstens für bedenklich!

Tommes

 

[Arschibär]

Hallo Tommes,

dazu habe ich einige Artikel in diesem Forum gelesen und die jeweiligen Schritte eingeleitet. Vielen Dank für die Info. Das Port 22 unsicher ist wusste ich nicht. Ich habe gelesen das Port 22 eine gesicherte SSH Verbindung sein soll. Parallel dazu habe ich folgende Anleitung im Internet gefunden. Sollte man dieser Anleitung folgen?

http://think-a-lot.de/it/ssh-zugang-absichern

mfg

 

[Frogman]

...Das Port 22 unsicher ist wusste ich nicht. Ich habe gelesen das Port 22 eine gesicherte SSH Verbindung sein soll.

"Unsicher" ist der Port 22 nicht (SSH ist schon verschlüsselt) - doch er ist sehr prominent, d.h. Du wirst darauf eine Menge Besucher haben. Und dann zählt nur noch die Stärke Deines Passworts, von Implementierungsschwächen im Protokoll will ich da noch gar nicht reden. Und wenn dann jemand darüber auf Deiner DS drinnen ist, hat er freie Bahn... Das Verschieben des DDH-Ports ist eine Maßnahme, wie man den häufigen Besuchen begegnen kann - er verschleiert allerdings nur, verhindert aber nichts mehr, wenn jemand den Port mitbekommt. Dann kommen eben noch anderen Dinge zum Tragen, wie im Artikel genannt, Zertifikate bspw. Letztlich ist aber eher die Frage, ob man den Port extern wirklich braucht!

 

[Arschibär]

Hallo,

ich habe vorgehabt, bestimmte Ordner über FTP anderen Benutzern zum Download bereit zu stellen. Gibt es da noch eine andere Möglichkeit?

Noch mal eine andere Frage. Meinst Du die Ports für die Mobilen Anwendungen die ich weitergeleitet habe, wie die Ds File, Ds Audio, Ds Photo die zwar mit HTTPS gesichert sind, könnten irgendwann gefährlich werden. Ein wenig mulmig ist mir schon dabei, weil halt sehr oft davor gewarnt wird Ports weiterzuleiten. Ich merke das das Thema Sicherheit hier im Forum sehr groß geschrieben wird.

mfg

 

[Frogman]

Zwar gilt grundsätzlich immer, dass man nur diejenigen Ports weiterleiten sollte, die man auch wirklich extern benötigt (und das auch bspw. nur zeitweise tun kann - die Fritzbox bspw. erlaubt das Aktivieren mit einem einfachen Klick). Und wenn man Ports extern nutzt, dann sollte man immer die verschlüsselte Variante verwenden, weil nur damit das Mitlesen von Passwörtern und Inhalten wirkungsvoll unterbindet. Dazu kann man Port extern auch auf sehr hohe Nummern legen zur Verschleierung - das gilt bspw. auch für FTP, dort kannst Du im DS-Server und auch den Clients die Ports angeben. Alternativ (wenn nur Du oder sehr wenige Leute Zugriff haben sollen) wäre die Nutzung einer VPN-Verbindung.

 

[Arschibär]

ok Vielen Dank.