Ports freigabe

[MotoRacer]

Hallo Zusammen,

wie ihr seht ist dies mein erster Beitrag und bin auch in diesem Gebiet (Netzwerk) absoluter Neuling und habe Plan von nix
Ich habe eine Frage zu den Ports-freigaben.
Und zwar verstehe ich folgendes nicht...
Meine Firewall versucht doch Zugriffe von außen in mein Netzwerk zu unterbinden.
Ports welche ich freigebe stellen doch sozusagen Löcher in meiner Wand dar, oder nicht?
Aber was ich dann noch merkwürdiger finde ist die Tatsache, dass man sagt "Port 5000 für Filesharing" zum Beispiel. Somit weiß doch jeder auf welchen Port er Zugriff auf mein Netzwerk erhalte kann oder nicht????
Meine mal gelesen zu haben, dass Hacker nicht alle Ports abscannen sondern nur gezielt Ports abklappern...
und wenn ich gezielt zb auf alle Synology Server möchte, dann hätte er auf Port 5000 doch erfolg oder nicht?

Sorry...scheint vermutlich eine dumme Frage zu sein aber konnte nichts zu diesem Thema finden

Grüße und danke im Voraus

Andy

 

[dil88]

Ja, Du bohrst mit einem Portforware quasi ein Loch in Deine Firewall. Aber Du kannst die Ports durchaus auch ändern und einen unbekannten Port verwenden. Viel bringen tut das allerdings nicht. Es reduziert die Zahl der Versuche, aber die, die bleiben, dürfen trotzdem keine Lücke im System finden.

 

[Puppetmaster]

Also, offene Ports sind sozusagen Löcher in deiner Firewall, das ist richtig.

Dennoch ist es kein offenes Loch, sondern eher eine Tür mit Schloss. Wie gut das Schloss ist, hängt nun davon ab, was sich hinter der Tür (also auf Seiten deines Netzwerks) befindet.
Hier können sich ja die unterschiedlichsten Dienste tummeln wie Webserver, Mailserver oder Dienste von Synology (AudioStation, VideoStation etc. sind aber letztlich auch nur Webserver).

Jetzt hängt es dann eher davon ab, als wie sicher solch ein Dienst gilt um beurteilen zu können, ob das nun eine Panzertür oder ein Fadenvorhang ist. Standardwebserver wie der eingesetzte apache gelten als allgemein recht sicher, dennoch hat man halt immer die Ungewissheit, dass es noch Löcher in diesen Diensten gibt, die noch keinem aufgefallen sind.
Von daher gilt die allgemeine Regel: so wenige Ports zu öffnen wie möglich! Und wenn geöffnet, dann zumindest einen verschlüsselten Zugang wie zb. https auf Port 5001 der DS und nicht http auf Port 5000.

Du kannst auch alles über ein VPN laufen lassen, dann hast du maximal einen Port offen, erschwert dann aber wiederum den Zugriff für "Unbedarfte", die z.B. nur die Bilder in deiner PhotoStation sehen wollen.

 

[MotoRacer]

achso.... das heißt ich kann die bereits bekannten Ports verwenden

ok hab ich verstanden!

Vielen Dank dafür