DSM 6.x und darunter Reverse Proxy: https -> http

[Brentano]

Moin,

ich habe lokal einige Docker-Container laufen, die nur über http erreichbar sind. Diese möchte ich nun auch von außerhalb zugänglich machen. Besagte Programme (z.B. Adguard Home oder Bitwarden) unterstützen einen Passwortschutz.
Wenn ich jetzt über Reverse Proxy eine Umleitung meiner Domain (https) auf das lokale Ziel (http) setze, profitiere ich dann von außerhalb wirklich von allen Sicherheitsvorteilen, die https zu bieten hat?

Liebe Grüße

 

[Fusion]

Ja, weil alle Pakete hin/rück über den Proxy fließen.
Du redest nur mit https mit dem Proxy und dieser redet per http mit dem Ziel. Es findet keine direkte Kommunikation statt.

 

[Brentano]

Ok, d.h. wenn ich jetzt folgende Umleitungen eingestellt habe, die dortigen Apps alle ein Passwort zum Zugriff erfordern und ich ansonsten keine Ports (außer 80/443 für die Zertifikate) freigebe, fahre ich vergleichsweise sicher?

 

[Fusion]

Vergleichsweise ist immer relativ.
Teilweise gehört das für meinen Geschmack gar nicht ins Internet, höchstens hinter VPN (Bsp iobroker), teilweise wäre zu überlegen was du vom Rest wirklich von überall brauchst und ob es nicht auch mit vpn komfortabel genug nutzbar ist.

Reverse Proxy ist schon mal gut, weil die Anfragen rein an die IP ins Leere laufen. Allerdings kann man je nachdem wie die Zertifikate eingerichtet sind daraus die ganzen Domainnamen auslesen, wenn man keine Wildcards oder lauter Einzelzertifikate benutzt.

Zudem eben immer die Einschränkung, dass der Proxy auf der Syno läuft. Besser wäre er wäre auf einem Pi oder anderem Gerät, oder auf der Syno in einem vDSM, oder anderweitig abgetrennte vlan. Oder was man sich sonst noch zur Steigerung der Trennung ausdenken kann.

 

[Brentano]

Vielleicht hast du recht, z.B. bezüglich ioBroker und Adguard. Der Rest besteht ja zum größten Teil aus den Synology-eigenen Anwendungen.
Zum Thema Zertifikate: Ich habe für jede Subdomain ein Letsencrypt-Zertifikat angelegt.

Ergänzung: Ich habe jetzt ioBroker, TasmoAdmin und Adguard erst einmal herausgenommen und in meiner Heimdall-Übersicht nur die lokalen Links eingefügt, damit ich die bei VPN-Verbindung schneller aufrufen kann.

 

[Fusion]

Gibt ja ein paar Brainstorming und Sicherheits-Threads im Forum in letzter Zeit wo man sich Ideen holen kann.
Am Ende muss man selbst mit seinem Konstrukt leben können, insbesondere mit einem guten Backup.
Und es hat noch nie geschadet sein Bauchgefühl herzunehmen (wenn man sich schon mit dem Thema auseinander gesetzt hat) und dann eine Schippe/Stufe "Paranoia" noch oben drauf zu geben.
Zudem auch immer wieder gut sich mal wieder selbst zu hinterfragen und Sachen zu ändern, anstatt sie einfach faul weiter laufen zu lassen, weil man es halt mal eingerichtet hat... Vieles was man früher noch mit halbwegs gutem Gefühl gemacht hat würde ich heute nicht mehr machen. Einfach weil auch die andere Seite nicht schläft und auch hier die menschliche Natur um sich greift und es mit Werkzeugen immer einfacher und komfortabler macht andere Leute "zu nerven" (mit Ransomware etc). (von den offensichtlich selbst-verschuldeten Dingen wie "iobroker mit freiem admin Zugang ins Netz hängen" abgesehen).