SVN Ports öffnen, hohes Sicherheitsrisko?!?!

[Pater]

Hallo zusammen

Mit dem DSM 4.3 wird das Paket SVN Server mit ausgeliefert. Ich nutze dieses in meinem lokalen Netzwerk schon rege.

Nun überlege ich mir, ob ich dieses auch von extern (via svn://meine.domäne.de/repository) zugänglich machen soll. Ich habe mal testhalber die Router-Ports dafür aufgemacht und dies schnell angetestet mit einem Passwortgeschützten Repository.

Nun stellt sich die Frage nach der Sicherheit: Wie anfällig ist das SVN-Protokoll bezüglich Häckereien? Stellt das öffnen der Router-Ports für SVN ein hohes Sicherheitsrisiko dar?

Was meinen die Netzwerkexperten dazu?

Danke und Gruss
PATRICK

 

[raymond]

Erstens gilt der Grundsatz: umso weniger Ports/Dienste nach außen geöffnet werden umso besser.

Dann das derzeitige Problem von Synology: die Pakete im Paketzentrum sind teilweise sehr alt. Das gilt auch für SVN. Hier wird 1.7.8 (vom 17. Dezember 2012) ausgeliefert. Aktuell in der 1.7er Serie ist 1.7.13, welches auch Sicherheitsupdates enthält: http://svn.apache.org/repos/asf/subversion/tags/1.7.13/CHANGES

Zudem gibts auch schon 1.8.3, wo auch schon Sicherheitsupdates eingeflossen sind.

 

[jahlives]

Ich habe bei mir das svn im sogn. Tunnelmodus freigegeben. Das heisst erst muss ich einen ssh Login machen und ssh startet dann eine Tunnelverbindung zum svn --> http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern#Beispiel_svn
So habe ich einen recht sicheren Zertifikatslogin und komme nur via ssh auf den svn

 

[hakiri]

Nutze doch VPN. Du wählst Dich mit Deinem externen Client via VPN an deinen Router oder die Syno an und hast dann Zugriff auf ALLE Dienste deines LANs.

 

[coffex]

jahlives steht auf ssh und zertifikate er hat keine lust auf VPN ... wenn das mal bug't und der server mal ein neustart brauch , steht er da ..
... wenn man die threads im forum verfolgt ... kommt man zur erkenntnis , das es 2 lager gibt.
Absicherung ... ssh mit zertifikate und der benutzer freundlichste part via VPN.

 

[Pater]

Nur mal kurz zwitschgendurch: Danke für die konstruktiven Antworten!

@VPN: Wird eher schwierig. Ich müsste die VPN-Verbindung dann machen. OpenVPN darf ich hier in der Firma aber leider nicht installieren.
Die anderen VPN-Protokolle funzen bei mir nicht. Ich habe schon viel zu viel Zeit damit verloren, diese gängig zu kriegen und will da nicht mehr investieren.

@Tunnelmodus: Guter Ansatz werde mal ein bisschen rumprobieren.

@Alte Pakete: Ja, stimmt schon, aber wenn ich dafür die Pakete durch die SYNOLOGY verwalten lasse, habe ich einen geringeren und problemloseren Wartungsaufwand. Wenn ich nun hergehe und daran rumfummle, sind Probleme früher oder später an der Tagesordnung.

Gruss; PATRICK

 

[raymond]

Gute Schlussfolgerung

Es hilft auch immer wieder Synology darauf hinzuweisen, die Pakete auf neuere stabile Versionen upzugraden.

 

[jahlives]

jahlives steht auf ssh und zertifikate er hat keine lust auf VPN ... wenn das mal bug't und der server mal ein neustart brauch , steht er da ..

klar und VPN Server laufen immer und stürzen niemals ab ;-) Wenn der VPN abstürzt stehst du genau so da wie wenn sich bei mir der SSH verabschiedet. Wobei ich hängengebliebene VPNs schon gesehen habe, bei SSH ist mir das noch nie untergekommen.
Und im Notfall gibt es bei mir noch einen LAN2Serial Adapter mit dem ich zur Not noch auf alle Server zu Hause kommen würde