Sicherheitsrisiko Portweiterleitung 443 auf FileStation 5001?

[sunmexx]

Hallo zusammen,

ich habe eine grundsätzliche Frage, die in vorhergende Posts zum Thema Portweiterleitung nicht geklärt wurde.

Ich möchte gerne vom Internet aus auf meine FileStation am Port 5001 zugreifen. Das funktioniert auch super, da ich den Port im Router freigegeben habe. Mein Arbeitgeber blockiert den Port und lässt nur Port 443 zu. Jetzt habe ich im den Port 443 im Router, mit Weiterleitung an Port 5001 DiskStation, freigeben. Das funktioniert ebenfalls super, nur habe ich gerade etwas Sicherheitsbedenken. Der Port 5001 ist kein Standardport und wird von den Portscanner-Diensten garnicht berücksichtigt bzw. erfasst, d.h. es sind immer alle sicherheitsrelevanten Ports geschlossen. Die Öffnung des Ports 443 wird als Sicherheitsrisiko dargestellt, da es sich um einen Standardport handelt, der von den Portscannern berücksichtigt wird.

Nun meine Frage: Stellt die mein beschriebenes Szenario eine höhers Sicherheitsrisiko in Bezug auf "gehackt" werden dar? Firewall und lange Passwörtet etc. sind natürlich vorhanden.

Danke für die Antworten...

Grüße
Sunmexx

 

[g202e]

Der Port 5001 ist kein Standardport und wird von den Portscanner-Diensten garnicht berücksichtigt bzw. erfasst, d.h. es sind immer alle sicherheitsrelevanten Ports geschlossen. Die Öffnung des Ports 443 wird als Sicherheitsrisiko dargestellt, da es sich um einen Standardport handelt, der von den Portscannern berücksichtigt wird.

Der erste Teil deiner Annahme ist zu optimistisch gedacht! "Gar nicht" ist nicht! Es besteht jedoch eine gewisse Chance, dass diese Nicht-Standard-Ports weniger oft gescannt werden.
Generell solltest du nicht "zu paranoid" an die Sache rangehen! Vorsicht und gewisse Regeln sind angebracht, aber man sollte es auch nicht übertreiben.
Dadurch, dass du verschlüsselte Verbindungen nutzt, die FW aktiviert ist und deine PW nicht im Wörterbuch stehen, hast du mMn das Notwendige bereits getan, um dein Risiko zu minimieren.

 

[Frogman]

Auch wenn es an anderer Stelle im Forum schon diskutiert wurde, auch hier nochmals:
Das DSM vom Internet zugänglich zu machen ist nicht in jedem Fall zu empfehlen (wenn, dann überhaupt nur auf einem verschlüsselten Port, zB 5001), in den meisten Fällen unnötig. Wenn man bspw. auf die Filestation will, dann man dafür einen separaten Port im Anwendungsportal eintragen.

Da Port 443 zu den typischen Ports gehört, wird er sicherlich gut gescannt - damit landet sicher der eine oder anderen auf der Anmeldemaske. Auch Port 5001 wird vielleicht einmal gescannt, doch sicherlich nicht so oft bzw. nur von jemanden, der gezielt eine DS sucht.
Wenn nun jemand auf der Anmeldemaske landet, zählt wie immer auch, ob Du ein starkes Passwort verwendest - das solltest Du nämlich, für den 'admin' sowieso, aber auch für andere Benutzer. Stark heißt, mindestens 8 Zeichen bestehend aus Groß- und Kleinbuchstaben, Zahlen sowie den aufgeführten Sonderzeichen. Das Ganze sollte möglichst keine sprechende Teile enthalten wie zB. Namen oder ähnliches.

 

[Tommes]

Prinzipiel ist jeder geöffnete Port erstmal als potentielle Angriffsfläche zu sehen, gegen die man sich mit dem im DSM zur Verfügung stehenden Mitteln zwar recht gut schützen kann, ein Restrisiko bleibt aber immer. Daher muss man immer abwägen, wie viel Schaden mir ein erfolgreicher Angriff auf meinem System einbrocken würde, oder ob ich evtl. jenseits des DSM noch weitere Barrieren aufbauen kann um meine Systeme zu schützen.

Es ist nämlich wirklich erstaunlich was da im Internet alles so kreucht und fleucht. Ich kann das auf meinem Raspberry Pi sehr schön mitverfolgen, auf dem ich Port 80/443 geöffnet habe. Und trotz aktiver Firewall und GeoIP auf dem Pi bekomm ich jede Menge Protokolleinträge in meiner /var/log/apache2/access.log und /var/log/apache2/error.log, das es einem eiskalt den Rücken runterläuft. Anderseits hat es "wissentlich" noch keiner geschafft meinen Pi zu kapern, weshalb man die Protokolleinträge auch als normales Hintergrundrauschen des Internets interpretieren könnte. Aber es gibt auf jeden Fall zu denken.

Daher ist es schon richtig, Angst sollte man nicht haben, paranoid schon garnicht, jedoch mit dem gehörigen Respekt an die Sache rangehen. Und vor allem... Informieren, was alles so möglich ist und wie man sich dagen schützen kann. Denn hierbei gilt ganz besonders der Spruch: Unwissenheit schützt vor Stafe nicht.

Also dann, viel Spaß mit deiner DS im Internet

Tommes