putty filestation ?

[bluescreen2]

hallo zusammen.
ich bin neu hier und habe seit 2 tagen die 209 II am laufen. ich bin
schwer begeistert.

nun möchte ich einen "sicheren" filestation zugriff von aussen ermöglichen.

theoretisch habe ich mir folgendes ausgedacht, ob es allerdings überhaubt
so geht, weiss ich nicht.

1. dyndns eingerichtet und läuft.
2. router leitet nur auf den ssh port der DS, kein 5000 oder 5001 von aussen.
3. ich baue mit putty eine verbindung zum ssh port auf, login als root. funktioniert.
4. ich lege einen tunnel mit putty an, um lokal auf 5000 oder 5001 und
damit die filestation zuzugreifen.
punkt 4 klappt erstmal so nicht, wie ich mir das vorstelle. ist das überhaubt möglich?
besten dank für eure antworten.

 

[jahlives]

Und wieso nicht die Filestation via https?

 

[bluescreen2]

naja, zu einfach ? - im ernst, ich denke es gibt sicherere wege.

 

[Trolli]

Auf die File Station kannst Du direkt über Port 7000 (http) oder 7001 (https) zugreifen. Dann hast Du keinen Zugriff auf die Verwaltung der Disk Station und eben bei Port 7001 eine https-Verschlüsselung. Das sollte doch reichen - ein Tunnel wäre meines Wissens nach auch nicht sicherer.

 

[bluescreen2]

also auf port 7000 und 7001 bekomme ich nichtmals lokal
eine verbindung zur filestation komisch.

trotz allem würde mich es interesieren, erst über ssh, meinetwegen sogar
mit schlüsseln einen tunnel aufzubauen und dann auf 7001 lokal zu connecten,
wenn das geht.

 

[Trolli]

Den Zugang zur File Station über Port 7000 / 7001 muss man zunächst im Disk Station Manager freischalten. Dazu klickst du im Bereich der File Station auf "Benutzerspezifisch anpassen".

 

[goetz]

Hallo,
in putty Source Port 5000, Destination localhost:5000 und <Add> nicht vergessen.

Gruß Götz

 

[bluescreen2]

ja, danke trollie, hatte ich auch grad entdeckt.

@goetz. danke. so funktioniert es.

seid ihr sicher, dass das nicht sicherer ist? ich meine, ausser dem
ssh tunnel auf 22 ist die DS nun nicht von aussen zu erreichen.
erst mit putty greife ich dann auf 7001 zu. also für mich klingt
das als laie schon sicherer.

 

[jahlives]

Ein offener Port 22 ist eine Einladung für alle Portscanner und Skripkiddies
Da wäre Port 7001 (https) wesentlich sicherer weil es keine Default Port ist

 

[goetz]

Hallo,
von der Sicherheit eigentlich gleich. Vorteil https 7001: wird wahrscheinlich nicht so oft gescannt wie ssh 22.

Gruß Götz

 

[Trolli]

Immerhin hast Du den SSH-Port dann offen. Damit kommst Du nun wirklich an alles dran. kann mir beim besten Willen nicht vorstellen, dass das sicherer ist zumal es dort soweit ich weiß keine Loginsperre nach x Versuchen gibt. Klar - mit einem sicheren Passwort ist das wohl auch vertretbar.

Mir wäre da jedenfalls deutlich wohler, wenn der SSH Port zu wäre und lediglich der Login auf der File Station möglich ist. Dort kann man sich auch mit einem normalen user Konto anmelden, was auch nur über beschränkte Rechte verfügt. Außerdem: https ist ja auch verschlüsselt.

 

[bluescreen2]

manman, erstmal danke für die vielen antworten. auch wenn ihr mich sehr verunsichert.
ich verstehe ja, dass der port einladend wirkt, aber wenn ich dies mit
putty keys lösen würde, müßte es doch trotzdem sicherer sein, als eine
einfache passwortabfrage auf 7001 ?

alternativ, was wäre denn das sicherste modell? abgesehen von gar keiner
erreichbarkeit von aussen?

 

[Trolli]

Bei einem sicheren Passwort halte ich Port 7001 schon für akzeptabel. Die Frage ist ja auch immer wie sicher es denn nun wirklich sein muss. Ein Backup der Daten ist auf jeden Fall eh unerlässlich.

Sicherer könnte möglicherweise noch eine VPN-Verbindung ins Netzwerk sein.

 

[jahlives]

manman, erstmal danke für die vielen antworten. auch wenn ihr mich sehr verunsichert.
ich verstehe ja, dass der port einladend wirkt, aber wenn ich dies mit
putty keys lösen würde, müßte es doch trotzdem sicherer sein, als eine
einfache passwortabfrage auf 7001 ?

alternativ, was wäre denn das sicherste modell? abgesehen von gar keiner
erreichbarkeit von aussen?

Eine zertifikatsbasierte Anmeldung an SSH wäre wohl sicherer als eine Passwortanmeldung via https an der Filestation. Aber nur dann wenn ssh keine Passwortanmeldungen mehr zulässt.
Trotzdem würde ich nicht Port 22 verwenden, sondern irgendeinen Port > 1024

 

[bluescreen2]

ich muss mir glaube ich noch ein paar gedanken darüber machen. vielen dank an euch aber schon einmal.

 

[BanditDD]

Immerhin hast Du den SSH-Port dann offen. Damit kommst Du nun wirklich an alles dran. kann mir beim besten Willen nicht vorstellen, dass das sicherer ist zumal es dort soweit ich weiß keine Loginsperre nach x Versuchen gibt.

Seit 2.3 gibts das wohl: Auch SSH-Zugriffsversuche werden dabei gezählt, danach wird die Quell-IP geblockt:


Automatische Blockierung:

Mit der automatischen Blockierung verhindern Sie nicht autorisierte Logins. Nachdem dieser Dienst aktiviert wurde, wird eine IP-Adresse blockiert, wenn Sie zu viele Fehlversuche beim Login hatte. Fehlversuche beim Login über SSH, Telnet, rsync, FTP, iPhone, File Station oder die Verwaltungsschnittstelle werden aufsummiert.

[Quelle: Syno-Hilfe DSM2.3]

Alternativ kann man sich per Keyfile authentifizieren und den Login per Passwort deaktivieren. Anleitung ist im Syno-Wiki zu finden.

Gruß,
BanditDD