Sicherheit bei Zugriff aus dem Internet - Nutzung originärer Ports kritisch?

[Nomad]

Wenn ich jetzt HTTPS auf die Syno zugreife mit den einzelnen APPs auf Photostation, Surveillance Station, File Station etc... wo seht Ihr da das große Sicherheitsrisiko gegenüber VPN über IPSec. Nutzt Synology HTTPS über TLS oder SSL?

An VPN mag ich, dass das ein einfacher Geselle ist der sich ausschließlich um diese eine Aufgabe kümmert. Ein Webserver beispielsweise ist doch ein komplexes Universalgenie mit vielen Ecken und Kanten. Dementsprechend verlangt er mehr Aufmerksamkeit. Sicherlich ist doppelte Verschlüsselung, VPN und dann HTTPS nicht schön aber momentan ist Bandbreite superteuer, Rechenleistung gibt es fast gratis.

 

[Tommes]

Wenn ich jetzt HTTPS auf die Syno zugreife mit den einzelnen APPs auf Photostation, Surveillance Station, File Station etc... wo seht Ihr da das große Sicherheitsrisiko gegenüber VPN über IPSec.

Ich sehe erstmal kein Risiko bei Verwendung von https. Ich sehe aber sehr wohl ein Risiko bei den Diensten/Ports die man darüber nutzt. Wenn jemand auf seinem Webserver nur statisches HTML über den Port 443 verwendet, ist die Gefahr eines erfolgreichen Angriffs erstmal gering, solange der Apache oder auch Nginx keine gravierenden Sicherkeitslücken aufweist. Kommt php und oder MariaDB hinzu werden die Angriffsmöglichkeiten schon größer. Öffnet man jetzt noch Ports, wie z.B. den DSM Port 5001, dann schützt mich https zwar erstmal vor dem mitlesen, aber Angriffe auf den Port 5001 wird es dennoch geben. Und je mehr Ports man öffnet um so mehr Angriffsmöglichkeiten gibt es. Und der DSM ist bestimmt auch nicht unverwundbar und könnte z.B. durch einen Zero-Day-Exploit hopps genommen werden.

Ich hab halt ein ungutes Gefühl dabei, meine DS ins Internet zu stellen, auch wenn der DSM schon einige gute Abwehrmethoden am Start hat. Nichts desto trotz hängt meine DS in meinem LAN und wird nicht durch eine Hardware Firewall, Router Kaskade oder weiß der Geier was aus meinem LAN ausgekoppelt... also in eine DMZ verfrachtet. Und wer es erstmal bis zum DSM geschafft hat, für den dürfte es dann ein leichtes zu sein, weiter zu ziehen.

Aber wie gesagt, ich bin, was das angeht, vielleicht auch ein wenig zu paranoid.

Tommes

 

[tproko]

Der Ton macht die Musik. Lernst du aber sicher noch..

Naja, ich war über die Aussage ähnlich verwundert wie laserdesign und hätte da auch zu mehr Details und Link gefragt.
Aber gut, war nur auf PPTP bezogen.

Ich selbst nutze OpenVPN mit Client Zertifikate und stufe mich wohl selber ähnlich paranoid ein (siehe Post von Tommes)

 

[schoeli]

Ich möchte meine DS gerade neu aufsetzen, und zwar mit externem Zugriff ausschließlich über VPN (dem der DS). Die VPN-Verbindung kann ich herstellen, auf das Webinterface der DS komme ich allerdings nur (sowohl lokal als auch über das Internet), wenn ich den Port 5001 an der FritzBox öffne (was ich ja nicht will). Wo muss ich hier Einstellungen verändern (Netzwerk, Externer Zugriff etc.)? Und, muss ich den Port 5001 im Browser zukünftig dennoch eingeben, oder entfällt der dann auch? Bislang habe ich immer mit https://domain.de:5001 angemeldet.

 

[laserdesign]

@tproko,

ich würde es nicht als paranoid bezeichnen wenn sich jemand über Infrastruktur und Datenbestand Gedanken macht.
Ganz im Gegenteil, ich empfinde es verantwortungsbewusst.
openVPN, neben iptables, sind für mich die wichtigsten Dienst die es in der IT-Welt gibt und wenn ich dann hier lese
das openVPN geknackt ist, gehen bei mir alle Alarmglocken an.
Für ein privates Netzwerk mag das ja nicht so ausgeprägt sein aber in einer produktiven Infrastruktur sieht das schon ganz
anders aus.

Wenn ich es dann verifiziert hätte und nur auf die Etikette hier im Forum reduziert werde, mache ich mir so meine Gedanken

Wir sind hier nicht in einem sozialem Forum, sondern in einem User-Forum (User helfen User).

 

[squareC0]

Sorry. Du hast natürlich Recht. Ich meine PPTP. Das ist einfach zu googeln. [...] Dennoch Danke für den Hinweis, sodass ich das klarstellen konnte.

Könnte man (Vielleicht am besten du, schoeli) einen Moderator bitten, den Beitrag entsprechend zu editieren? Dann sind a) Leute nicht irritiert davon und b) steht schoeli's Versehen dann nicht weiter im Netz rum...

Ich war im ersten Moment auch erheblich irritiert, hat sich ja dann geklärt.

 

[schoeli]

Hallo. Gute Idee. Werde ich machen..

 

[squareC0]

Meine Erfahrungen mit SSH auf einem Port oberhalb von 16000 sind ganz gut (*). Wobei ich die SSH Konfiguration so angepasst habe, dass nur Adressen aus dem LAN/WLAN per Passwort drauf dürfen, alle anderen müssen sich per Key authentifizieren. Ebenso liegt WebDAV auf einem (allerdings nur leicht) geänderten Port, auch hier eigentlich keine großen Auffälligkeiten.

Zusätzlich gebe ich die FileStation auf dem 'Originalport' nach draußen weiter (7001, also TLS gesichert) - mit etwas schlechtem Gewissen und der Hoffnung, Synology möge keine groben Lücken drin haben...

Gibt es Alternativvorschläge für die Filestation?

Mehr Bauchschmerzen hätte ich, den Webserver erreichbar zu machen...

Beste Grüße
C.




(*) 'Ganz gut'. Ich hab schonmal 2 Tage im Ausland gesessen und geflucht, dass ich nicht auf die Kiste draufkam. Ich hatte vergessen, welchen Port ich nun genau genommen hab...


p.s. In /etc/ssh/sshd_config in ca Zeile 70 auf

PasswordAuthentication no

ändern, und am Ende

Match Address 192.168.1.0/24
        PasswordAuthentication yes

einfügen. Achtung: Das Subnetz muss natürlich passen
Mein häufigster Stolperstein mit den SSH-Keys ist, dass das .ssh-Verzeichnis zu viele Rechte hat, bzw. die authorized_keys-Datei zu viele Rechte hat (auf der sicheren Seite ist man mit 700 / 600).

 

[thedude]

Hallo. Gute Idee. Werde ich machen..

Ich habe einen Hinweis eingefügt. Löschen tue ich den ganzen Verlauf jetzt nicht. Ist ja aufgeklärt. Seid freundlich zueinander. Weitermachen.

cheers
dude

 

[NSFH]

Ich möchte meine DS gerade neu aufsetzen, und zwar mit externem Zugriff ausschließlich über VPN (dem der DS). Die VPN-Verbindung kann ich herstellen, auf das Webinterface der DS komme ich allerdings nur (sowohl lokal als auch über das Internet), wenn ich den Port 5001 an der FritzBox öffne (was ich ja nicht will). Wo muss ich hier Einstellungen verändern (Netzwerk, Externer Zugriff etc.)? Und, muss ich den Port 5001 im Browser zukünftig dennoch eingeben, oder entfällt der dann auch? Bislang habe ich immer mit https://domain.de:5001 angemeldet.

Wenn du die Verbindung per VPN wirklich stehen hast, muss alles funktionieren als wärst du lokal angemeldet.
Du kannst das aber nicht aus dem eigenen LAN aus testen, das geht nicht!
Melde dich aus dem Gast (W)LAN der Fritzbox per VPN an, denn die lokalen IPs vor und hinter dem VPN müssen sich unterscheiden!
Ich nehme mal an das ist gerade die Ursache deines Problems.

 

[laserdesign]

Du kannst das aber nicht aus dem eigenen LAN aus testen, das geht nicht!

beherrschen die Fritten "NAT Loopback" nicht mehr?? Wurde das in einer der vielen Firmware abgestellt??

Als ich noch die Fritte als DSL-Router benutzte, ging das problemlos.

 

[tproko]

2 Sachen fallen mir spontan ein.

Firewall evt? Zu Tests diese sonst mal kurz deaktivieren.
Es gibt ein Hakerl in den ovpn Einstellungen der Syno, dass man vom vpn ins lokale Netz kommt.

 

[schoeli]

Hallo tproko.

Habe es ohne Erfolg versucht. Nutze bislang L2TP/IPSec in der DS und kann über das Internet auch eine VPN-Verbindung herstellen. Habe testweise mal die Firewall ausgeschaltet und z. B. den Port 5001 nicht in der FB weitergeleitet. Komme aber nicht drauf, wenn ich eingebe: https://domain.de:5001". Muss ich evtl. woanders noch etwas umstellen?