Sicherheitsaspekte bei Fernzugriff auf die DS

[bjoernkrueger]

Moin allerseits!

Ich hab's ja nun endlich mal geschafft, dass ich von extern auf meine DS zugreifen kann. Erstmal nur auf die Photostation und die Filestation.

Bisher habe ich Folgendes gemacht:
-Bei selfhost.de eine DYNDNS eingerichtet
-die Daten in meiner Fritzbox eingetragen
-Für Photostation: Weiterleitung von Port 80 auf die IP der DS auf Port 80
-Für Filestation:e Weiterleitung von Port 7000 auf die IP der DS auf Port 7000

Das war's schon, mit www.[DYNDNS-URL]/photo bzw. http://[DYNDNS-URL]:7000 komme ich von überall an meine Photostation und Filestation dran.

Doch nun habe ich irgendwie ein ungutes Gefühl, weil ich einfach so meine Daten freigegeben habe. Klar, man muss ein Passwort angeben, aber irgendwie ist mir nicht ganz wohl dabei.

Ich möchte natürlich verhindern, dass sich irgendwelche Halunken in mein System hacken und dort ihr Unwesen treiben.

Leider habe ich von alldem natürlich wenig bis keine Ahnung, daher sprecht bitte auf deutsch mit mir, damit ich Euch vertehen kann.
;o)

Muss/sollte ich irgendwas an den firewall-Einstellungen der DS bzw. der Fritzbox machen?

Ich freue mich auf hilfreiche Tipps!

Danke vorab und viele Grüße,

Björn

 

[stealthT]

Du solltest auf jeden Fall die automatische IP-Blockierung aktivieren. Dann wird nach x-Fehlversuchen die IP des Anfragenden gesperrt. Dies bringt schon viel Sicherheit. Dann ein sicheres Passwort nutzen und ggfls. eine ssl-Verbindung nutzen. Hierzu musst du statt Port 80 den Port 443 weiterleiten und statt Port 7000 den 7001.

Schau auch mal im Forum über die Suchfunktion. Dieses Thema wurde schon oft diskutiert. Auch im WIKI stehen viele Tipps.

 

[goetz]

Hallo,
wenn Du nur allein für Dich Deine DS erreichen möchtest, dann nutze den VPN Server der Fritzbox (so Dein Modell das kann).
Bei Deinen bisherigen Weiterleitungen werden die Passwörter im Klartext durch das Netz geschickt, das sollte man aber tunlichst vermeiden. Aktiviere https und aktiviere die automatische Umleitung von http auf https (Webdienste).

Gruß Götz

 

[haensF]

Fernzugriff über VPN

Sicherheit ist etwas gutes - ausser man kann ihr nicht trauen

Wennman nur von wenigen systemen zugreifen will wäre es in deinem Fall auch eine Variante mittels Fernzugriff über VPN der AVM Fritzbox den Zugriff zu verschlüsseln.

Je nach Modell wird es unterstützt!
Siehe http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN

gruss haens

 

[bjoernkrueger]

Moin!

Hey, nach so kurzer Zeit schon so viele Antworten! Danke erstmal dafür!

Du solltest auf jeden Fall die automatische IP-Blockierung aktivieren. Dann wird nach x-Fehlversuchen die IP des Anfragenden gesperrt. Dies bringt schon viel Sicherheit. Dann ein sicheres Passwort nutzen und ggfls. eine ssl-Verbindung nutzen. Hierzu musst du statt Port 80 den Port 443 weiterleiten und statt Port 7000 den 7001.

Schau auch mal im Forum über die Suchfunktion. Dieses Thema wurde schon oft diskutiert. Auch im WIKI stehen viele Tipps.

Automatische IP-Blockierung ist aktiviert, sicheres Passwort ebenfalls.
zur ssl-Verbindung:
Habe ich das so richtig verstanden?:
Für die Photostation:
IST : Fritzbox: Port 80 weiterleiten an IP der DS, Port 80
SOLL: Fritzbox: Port 443 weiterleiten an IP der DS, Port 443
Aufruf bisher: http://www./photo Aufruf neu: https://www.[URL...kompliziert... Danke und viele Grüße, Björn

 

[Trolli]

VPN brauchst Du wenn schon dann nur für den Zugriff auf die File Station oder den Disk Station Manager. HTTPS und nicht zu leichte Passwörter sollten es aber da auch schon tun.

Die automatische Weiterleitung auf HTTPS ist eigentlich nicht nötig und meiner Meinung nach nur hinderlich. Im lokalen Netz kann man nämlich viel besser über unverschlüsseltes HTTP arbeiten. Man sollte dann nur den HTTP-Port (7000 bzw. 5000 für den DSM) nicht im Router weiterleiten. Dann ist er auch aus dem Internet nicht zu erreichen.

Ob Du ausschließlich HTTPS für die Photo Station verwenden möchtest, musst Du selber entscheiden. Eigentlich kann ja nicht viel passieren, wenn es mal jemand schaffen sollte die Photo Station zu knacken. Genau aus diesem Grund hat die Photo Station eben auch eine eigene Benutzerverwaltung und ist vom Disk Station Manager unabhängig. Ich würde allerdings zusätzlich zum HTTP-Port 80 noch den HTTPS-Port 443 am Router weiterleiten, dann können die Nutzer selber entscheiden welchen Weg sie gehen möchten.

Die neuen Aufrufe hast Du richtig dargestellt.

 

[itari]

Genau aus diesem Grund hat die Photo Station eben auch eine eigene Benutzerverwaltung und ist vom Disk Station Manager unabhängig.

Ich glaube, dass die PhotoStation deswegen eine eigene Benutzerverwaltung hat, weil sie auf dem user-Apachen läuft und man ihr deswegen nicht erlaubt, auf die Benutzerverwaltung der DS-Managers zuzugreifen, welche ja auf dem sys-Apachen redisiert.

Itari

 

[Trolli]

Für das admin-Passwort benutzt ja auch die Photo Station ausnahmsweise die Benutzerverwaltung des DSM. Es scheint also grundsätzlich schon zu funktionieren. Auch aus dem user-Apachen.

 

[stealthT]

Ob Du ausschließlich HTTPS für die Photo Station verwenden möchtest, musst Du selber entscheiden. Eigentlich kann ja nicht viel passieren, wenn es mal jemand schaffen sollte die Photo Station zu knacken.

Naja. Ich möchte nicht, dass irgendjemand Fremdes an meine Fotos kommt. "Passieren" kann da zwar nix, aber wollen tue ich das nicht. Von daher finde ich eine https-Verbindung schon angebracht; zumal mir auch kein Nachteil bekannt wäre, der https uninteressant machen würde.

 

[Trolli]

Wenn da nur Leute drauf sollen, denen Du das vermittlen kannst, dass es eben nur über HTTPS und nicht über HTTP läuft ist das kein Problem. Dann wirst Du dich wahrscheinlich noch ein wenig mit dem Zertifikat befassen müssen, wenn nicht jeder Besucher als Begrüßung eine Zertifikatwarnung erhalten soll. Aber ansonsten spricht natürlich nichts gegen HTTPS...

 

[bjoernkrueger]

Moin allerseits!

Ich habe gerstern mal versucht, den Zugriff auf die Filestation per HTTPS einzustellen.

Dazu habe ich die Weiterleitung von Port 7000 abgestellt, und stattdessen Port 7001 weitergeleitet.
Also so:
Fritzbox: Port 7001 weiterleiten an IP der DS, Port 7001
Aufruf: https://[URL]:7001

Fazit: Funzt nicht, ich bekomme keine Verbindung.

Muss ich noch an anderer Stelle etwas einstellen?
@Trolli
Du hast etwas von einem Zertifikat geschrieben, was hat es damit auf sich?

Danke und viele Grüße,

Björn

 

[Trolli]

Hast Du HTTPS grundsätzlich aktiviert? (Netzwerkdienste -> Webdienste)

Mit dem Zertifikat ist das so: das von Synology standardmäßig hinterlegte Zertifikat ist natürlich nicht auf Deine DNS ausgestellt, sondern auf www.synology.com. Klar - woher sollen die auch Deine DNS kennen? Dazu kommt, dass dieses Zertifikat nicht von einer Stammzertifizierungsstelle verifiziert werden kann. Durch diese beiden Dinge bekommt jeder, der Deine DS per HTTPS ansteuert erst mal eine Zertifikatwarnung im Browser. Das ist ja eigentlich nichts Schlimmes und verschlüsselt ist die Übertragung trotzdem. Dennoch kann das natürlich zu einigen Irritationen führen.

Man kann sich ein Zertifikat selber erstellen. Dazu gibt es in unserem Wiki eine Anleitung. Alternativ kann man auch gekaufte Zertifikate über den DSM importieren.

 

[bjoernkrueger]

Moin!

Aha, wieder was gelernt. So einfach ist das also nicht mit dem Zugang per https.

Die grundsätzliche Aktivierung von https über Netzwerkdienste -> Webdienste muss sicherlich in der Fritzbox erfolgen, oder? Dort habe ich aber keine entsprechende Option gefunden. Oder doch in der DS?

Zum Zertifikat:
Ich habe mir die Anleitung mal angesehen, ist ja wirklich hübsch ;o)
Das mit der Kommandozeile könnte ich hinbekommen...
Aber Folgendes bereitet mir noch Kopfzerbrechen:
Verstehe ich das richtig, dass auf jedem Rechner, der dann über https auf die DS zugreifen will, die Zertifikatdatei installiert werden muss? Das wäre ja super umständlich.
Ich verstehe das nicht recht, ich kann doch auch im Internet auf https-Seiten gehen, ohne dass ich ein Zertifikat installieren muss. Und eine Warnmeldung kommt auch nicht.

Freue mich auf weitere erhellende Tipps!

Danke und viele Grüße,

Björn

 

[Trolli]

Wenn das Zertifikat von den im Browser hinterlegten Stammzertifizierungsstellen beglaubigt wurde kommt auch keine Meldung mehr. Das bietet ein selbst erstelltes Zertifikat allerdings erstmal nicht. Wobei es wohl schon Möglichkeiten gibt, das eigene Zertifikat noch verifizieren zu lassen. jahlives hat dazu schon ein paar mal was im Forum geschrieben. Durch das Installieren des Zertifikats hinterlegst Du dann deine DS als vertrauenswürdige Stammzertifizierungsstelle und damit ist dann die Warnmeldung weg.

Die HTTPS-Aktivierung findest Du im Disk Station Manager der DS.