Risiko hoch? Port 5000

[Zebra]

Hallo, gerne würde ich per Android auf meine Musik auf der DS212 zugreifen können. Dazu müsste ich den Port 5000 weiterleiten, oder? Ist das wirklich so risikoreich oder kann man das machen? Warum muss man dazu unbedingt den Port 5000 weiterleiten? Gibt es vielleicht eine sicherere Variante für einen Laien?
Danke.

 

[DiSa]

Wie wärs über VPN, dann brauchst Du den 5000 port nicht freizugeben. Nachdem Du Dich ins VPN eingewählt hast, kannst Du auf alle "lokalen" Services zugreifen. Du solltest allerdings für Deine VPN-User ein starkes Password zur Anmeldung verwenden, denn Android unterstützt out of the box nur pptp und kein openVPN, wo man mit Hilfe eines Zertifikats das VPN absichern könnte.

 

[Zebra]

Danke. Klingt leider sehr kompliziert. Da werde ich mich wohl mal schla machen müssen.
Gruß
Tobias

 

[Phask]

oder benutz https (default port 5001). dann ist das ganze wenigestens verschlüsselt.
zudem würde ich dir empfehlen den port nach außen auf einen anderen port zu legen. also von außen über z.b. port 8246 nach innen 5001. damit machst du es einem potenziellen angreifer noch schwerer.

 

[jahlives]

@phask
das Ändern von Ports bringt bestenfalls Scheinsicherheit Offene TCP Ports hat man mit einem Scanner sehr schnell gefunden. Zudem musst du bei der Wahl des neuen Ports auch aufpassen: Wenn du nämlich einen Port verwendest der z.B. zu einer verbreiteten Software gehört (die ggf noch für ausnutzbare Lücken bekannt ist), dann hast du sogar eher noch mehr Besuch ;-)

 

[thedude]

Trotzdem ist der Aufwand aber ungemein grösser für die scannende Zunft wenn der Port eben nicht 22 (SSH) oder was auch immer ist, sondern 54321. Weil diesen Aufwand eben nicht viele treiben, werden halt die std. Ports abgeklappert und gut is. IMHO.

 

[Puppetmaster]

Trotzdem ist der Aufwand aber ungemein grösser für die scannende Zunft wenn der Port eben nicht 22 (SSH) oder was auch immer ist, sondern 54321. Weil diesen Aufwand eben nicht viele treiben, werden halt die std. Ports abgeklappert und gut is. IMHO.

Sehe ich auch so.
Zumal, wenn man einen 'seltenen' Port aus dem 5xxxx Bereich nutzt, dann geht noch lange nicht jeder Scanner so hoch. Im Übrigen steht die Port-Nummer in keinem Zusammenhang mehr mit der Anwendung, die dahintersteckt. Es wird also schon schwerer so, zumindest für irgendwelche Automatismen, die offene Ports nach Standardalgorithmen suchen.
Macht sich jemand die Mühe, mal ganz genau bei dir vorbeizuschauen, dann hilft es auch nicht viel mehr als der Standardport.

 

[Tommy536]

Und wie läuft das mit iOS? Was ist hier in der Regel empfehlenswert? iOS kann L2TP, PPTP und IPSec. Mein Router kann auch das alles. Ist es sinnvoller über die offenen Ports zu gehen oder über VPN? Gibt es Geschwindigkeitseinbußen dabei?

 

[jahlives]

@puppetmaster
Verbindung auf den Port aufbauen, Serverantwort auswerten und du weisst was das für eine Applikation ist. Bei ssh noch einen Schlüssel mitschicken, damit das Protokoll antworten muss
Ich logge auf meinen Server regelmässig Portscans und die gehen definitiv über 1024 hinaus und das sehr häufig
Möchte ja ned sagen, dass es nichts bringt, aber im Gegensatz dazu bietet eine Firewall/Rechtesystem echte Sicherheit und "Ports-verstecken" bestenfalls Scheinsicherheit. du sagst ja selber man muss nur etwas genauer schauen. Und sind wir ehrlich, vom 0815-Script-Kiddy musst du eh keine Angst haben. Und gegen einen gezielten Angriff hilft das Verstecken nicht die Bohne

 

[virtubit]

Mindestens die IP-Blockierung einschalten (Im DSM => Systemsteuerung => Automatische Blockierung). Z.B. bei 3 Versuchen sperren...

 

[jahlives]

Mindestens die IP-Blockierung einschalten (Im DSM => Systemsteuerung => Automatische Blockierung). Z.B. bei 3 Versuchen sperren...

full ack. Das bringt viel mehr als das Verstecken von Ports

 

[Tommes]

Hallo, gerne würde ich per Android auf meine Musik auf der DS212 zugreifen können. Dazu müsste ich den Port 5000 weiterleiten, oder?

Ich geh mal davon aus, das du über die DS-Audio App. auf deine Musik zugriefen möchtest, richtig? Dann brauchst du den Port 5000 eigentlich garnicht weiter zu leiten. Du kannst im DSM unter Systemsteuerung/Applikationsportal einen frei wählbaren Port bzw. Aliasnamen für die AudioStation wählen. Zur Standardauswahl wird dir der Port 8800 (http) oder 8801 (https), angeboten, oder halt ein Aliasname!

So umgehst du die Weiterleitung des Port 5000 bzw. 5001 und somit die evtl. Gefahr das jemand über diesen Port auf deine DS kommen könnte!

Tommes!

 

[Puppetmaster]

full ack. Das bringt viel mehr als das Verstecken von Ports

Ja, auch das sehe ich so. Aber warum nicht kombinieren?
Im Übrigen zeigt sich auch sehr deutlich, wenn ich SFTP über Port 22 betreibe habe ich alle paar Stunden "Besuch", seit das aber bei mir auf einem gänzlich anderen Port läuft, ist seit Wochen Funkstille! Also noch lange nicht jeder scannt automatisch in diesem Bereich. - Ich habe es auch schon in einem anderen Thread geschrieben: vielleicht nutzt man ja auch den Ruhezustand der Platten und möchte nicht, daß die alle 2 Stunden durch nen Portscan geweckt werden.

 

[jahlives]

@puppetmaster
an das Wecken der Platten habe ich jetzt gar ned gedacht. Gutes Argument.
Aber ich stell die Frage mal so: Was bringt mehr Sicherheit? Ein DSM auf Port 5000 mit einem 16 stelligen PW oder einer auf Port 58921 mit leerem admin PW? Ich könnte mir vorstellen, dass mit versteckten Ports gewisse User glauben weniger komplexe PWs verwenden zu müssen und dann wäre das verstecken sogar ein "Weniger" an Sicherheit ;-)

 

[ubuntulinux]

Am besten: Nur Port 22 auf, den Rest mit einem SSH-Tunnel benutzen

 

[goetz]

Hallo,
http überträgt das Passwort base64 codiert, also für jeden decodierbar egal wie lang das Passwort ist.

Gruß Götz

Edit: oder so, ist aber nicht jedermanns Sache bzw. Können.

 

[jahlives]

@goetz
ein ManIntheMiddle ist aber etwas aufwändiger als ein Bruteforceangriff auf ein PW. Klar ist https besser, aber https bringt dir bei leerem PW genau gar nichts in Bezug auf die Sicherheit. Es ging mir nur drum zu zeigen, dass das PW viel viel wichtiger ist als der Port wo der Dienst letztlich drauf läuft ;-) Noch besser gar keinen Dienst nach aussen, der mit root Rechten läuft und damit gar kein DSM von aussen

Gruss

tobi

 

[ubuntulinux]

Man in the middle ist ganz easy. Gibts Apps für Android die ich hier nicht nenne. Oder an unencrypteten WLANs genauso.

 

[virtubit]

Man in the middle ist ganz easy.

Ja klar wenn man weiss wie. Und das ist sicher nicht der Regelfall, auch nicht an jedem (unencrypteten) WLAN ;-)

OpenVPN nutzen wenn möglich. Und wenn das nicht geht dann halt den Port auf 55428 auf 5001 umleiten _nur_ mit https plus IP-Blockierung aktivieren. Starke Passwörter nutzen und den admin deaktivieren. Ich würde sagen dass man dann sicher genug ist...

 

[ubuntulinux]

Ganz wichtig bei HTTPS ist auch, man sollte das Zertifikat anschauen bevor man eine Ausnahme hinzufügt. Sonst könnte ein Angreifer irgendein Zertifikat vorzeigen und trotzdem eine MITM machen.