Verständnis Frage wegen Sicherheit? Port, VPN und Standard, (MatrixChat)

[ElaCorp]

Wer eine Synology kauft, bekommt doch Synology Fotos und diese ist doch von draußen erreichbar. Da schaltet man auch einen Port frei, so dass darauf zugegriffen werden kann. Ist das den gasneu so unsicher, wie wenn man nun selber Plex installiert und dort dann einen Port freischaltet?

Einerseits gibt es hier Apps, die von Haus diese Port Thematik verwenden. Vermutlich ist hier die Antwort, auch die Standard Apps soll man nicht über die POrtfreigabe verwenden, oder?

Was ist nun mit Matrix-Server (Chat) und BitWarden?
Die müssen doch von außen zugreifbar sein, oder? Vor allem bei einem Chat. Wenn sich da jemand registriert, wie soll der sonst darauf zugreifen? Dem gebe ich doch nicht mein VPN.

Und ihr sagt, dass ich nie die Standart Ports verwenden soll. Hilft es dann, die Ports einfach in höheren Zahlen zufällig zu vergeben? Sperrt der Router einen PortScann? Weil sonst kann man die doch schnell herausfinden.

 

[Jim_OS]

Moin,

die Anwendung oder App spielt keine Rolle und was das ändern der Standard-Ports betrifft: Wenn ein "böser Bube" nach Lücken (offenen Ports) sucht werden üblicherweise nicht alle zehntausende von möglichen Ports gescannt, sondern man sucht sich gezielt bestimmte Ports heraus. Üblicherweise deshalb weil die meisten "bösen Buben" bereits bekannte Sicherheitslücken ausnutzen und somit wissen nach welchen Ports sie scannen müssen.

Mal mit einfachen Worten erklärt: Wenn es also z.B. bei dem Dienst Webserver xyz eine Sicherheitslücke gibt und dieser Webserver xyz kommuniziert standardmäßig über den Port 8888, dann scannt ein "böser Bube" im Internet nach offenen 8888 Ports, eber weil er weiß das er dann ggf. über den Port 8888, in Verbindung mit der Sicherheitlücke, bei Dir ins LAN "einbrechen" kann.

Wenn der Webserver xyz es aber auch ermöglicht statt dem Standardport 8888 einen anderen Port zu benutzen und man den frei einstellen kann, stellt man z.B. den Port 9999 ein, sodass der "böse Bube" beim scannen nach offenen 8888 Ports den/Deinen Webserver xyz nicht findet.

Ansonsten empfehle ich Dir Dich noch ein wenig mehr mit den Grundlagen von Routern, Routing, NAT und Portfreigaben zu befassen, da Deine Fragen darauf hindeuten das es da noch gewissen Lücken gibt. Das ist ja auch nicht schlimm, aber da Du Dich ja mit den Möglichkeiten und Einstellungen Deines Synology Routers befasst und scheinbar auch mit dem Thema Portweiterleitungen/-freigaben, solltest Du genau wissen was Du tust und besser nicht "im Nebel stochern".

Hier mal eine leicht verständliche Info zu dem Thema Portfreigaben.

VG Jim

 

[NSFH]

Ds klassische Problem von Systemen wie die von Synology.
Die kleinen Kisten können alles, wofür man in einer richtig abgesicherten Betriebsumgebung DMZ mit mehreren Firewalls und verschiedenen Servern (auch Virtuellen!) arbeitet.
Die Syno kann zwar alles aber man sollte sich tunlichst überlegen alles damit zu machen.
Die sicherste Lösung ist immer VPN und dabei nicht das VPN der Syno nutzen sondern dass des Routers!
Ohne VPn bleibt nur wie du beschrieben hast die genutzten Standardports vermeiden und in den hohen 5-stelligen Bereich verlegen, im Router und der Syno wirklich alles mit der Firewall verrammeln was geht um dann mit dem Restrisiko zu leben, dass das eigene System unter Umständen kompromittiert wird aber auch mit der Garantie, dass es gescannt und angegriffen wird.
Man muss allerdings auch sagen, dass meist nur die Standardports gescannt werden und dass die Mehrheit aller gehackten Systeme nicht durch Kompromittierung der Sicherheitsregeln im Netzwerk sondern durch Schadsoftware innerhalb der Nutzer-PC erfolgt!

 

[Jim_OS]

sondern durch Schadsoftware

Das würde ich ergänzen um: oder durch Sicherheitslücken in genutzer Software ... Das Schadsoftware in Summe meist die Ursache ist ist richtig, aber gerade in Verbindung mit Diensten und entsprechenden Portweiterleitungen, sind es Lücken in der genutzen Software die ursächlich dafür sind. Dafür braucht es keine Schadsoftware.
Ich möchte mit dieser Ergänzung nur vermeiden das ein "Otto-Normal-Anwender" ggf. denkt: Wenn ich aufpasse und mir keine Schadsoftware einfange, kann mir ja auch nichts passieren.

PS: ElaCorp hat nicht nur ein Synology NAS sondern nutzt auch einen Synology Router.

VG Jim