Welche Ports sind unsinnig und kann ich schliessen?

Status
Für weitere Antworten geschlossen.

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Seit Jahren habe ich untenstehende Ports freigeschaltet um DS Video, Photo, Filestation von Aussen öffnen zu können, um auf DSM von Aussen zugreifen zu können und für VPN. Jetzt möchte ich sicherheitshalber nur VPN zulassen und alles andere blockieren.

Das heisst ich muss ein paar Ports schliessen, weiss aber nicht welche. Ausserdem weiss ich nicht ob die Apps wie DS Video dann mit dem Smartphoen bedient werden können, wenn ich die Ports schliesse?

Ich zeige mal meine Router Portforwarding Config... hoffentlich kann mir jemand sagen welche Ports ich schliessen kann, was unsinnig und gefährlich ist. Wie gesagt, ich will nur VPN. All die Portforwardings hab ich vor Jahren so eingerichtet, mal gegoogelt und dann gleich freigeschaltet. Da waren noch viel mehr Ports offen, weil ich einfach blind alles geöffnet habe. Ich wusste nicht dass das gefährlich sein kann. Vielleicht sind einige Ports zu viel offen. Danke für die Hilfe.

 

salusina

Benutzer
Mitglied seit
04. Dez 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hi,

Wie hast du den deinen VPN-Zugang eingerichtet?
Generell kannst du eigentlich dann alle löschen, weil du durch die VPN-Verbindung quasi im Heimnetz unterwegs bist und so gar keinen Zugriff von außen durchleiten musst.

Gruß
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Bei mir sind zwei VPNs aktiviert PPTP und L2TP/IPSec. Ich weiss aber nicht welches ich brauche. Auf dem Smartphone weiss ich dass PPTP aktiviert wird, wenn ich mich ins VPN einlogge. Ist das für PCs auch so? Weiss leider nicht mehr wieso ich das andere aktviert habe.

Kann ich dann auch die Apps von unterwegs verwenden, wenn ich mich ins VPN einlogge? Oder gehen die nur mit den freigeschalteten Ports?
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Bei mir sind zwei VPNs aktiviert PPTP und L2TP/IPSec.
Ich würde L2TP/IPSec benutzen :)

Ports 500 1701 4500 UDP an die Diskstation

und die ganzen Clients einrichten
Windows 8
iPad
Android

solltes mal nachsehen, das die Clients es auch unterstützen :)
Kann ich dann auch die Apps von unterwegs verwenden, wenn ich mich ins VPN einlogge?
Wenn Du alles via VPN machst, dann musst Du die Apps auf die interne IP Adresse der DS ändern.

Gruß Jo
 

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Ich würde L2TP/IPSec benutzen :)
Warum das?

Ich habe gerade versucht mich mit dem Smartphone ins L2TP VPN einzuloggen und es ging nicht. Vielleicht hat es nie funktioniert und ich habe es vergessen zu deaktiviert. Das PPTP geht problemlos. Mit Smartphone, iPad und Laptop. Grad getestet. Aber warum empfiehlst du trotzdem das andere?

Wenn Du alles via VPN machst, dann musst Du die Apps auf die interne IP Adresse der DS ändern.

Das mit der internen IP habe ich grad im Heimnetz getestet und es funktioniert. Wusste ich nicht mal, dass es so geht :)

Allgemeine Frage: Ist es denn seeehr gefährlich wenn ich die Ports offenlassen und mich von Aussen direkt in die Apps einlogge statt den Umweg via VPN mache? Ich lese überall dass man alles verbieten soll ausser VPN.
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Es ist sicherer :)

Vergleichen Sie VPN Protokolle - PPTP gegen L2TP gegen OpenVPN ™ gegen Chameleon ™

Aber warum empfiehlst du trotzdem das andere?
Wegen der Sicherheit, aber ich benutze auch PPTP, wenn es nicht anderes möglich ist.

Allgemeine Frage: Ist es denn seeehr gefährlich wenn ich die Ports offenlassen und mich von Aussen direkt in die Apps einlogge statt den Umweg via VPN mache?.
Ich benutze VPN nur für mich, was keiner von aussen sehen muss, DSM zB.
Den Webserver ( PhotoStation, Port 80 ) habe ich auch in Betrieb.
Das ist jedem seine Sache, klar geht beides.
Jedes offen Port ist eine Angriffmöglichkeit mehr.

Gruß Jo
 

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Es ist sicherer :)

Vergleichen Sie VPN Protokolle - PPTP gegen L2TP gegen OpenVPN ™ gegen Chameleon ™


Wegen der Sicherheit, aber ich benutze auch PPTP, wenn es nicht anderes möglich ist.

Cooler Link.

Ich denke ich bleibe trotzdem beim PPTP. Es funktioniert gut und wenn ich nicht gerade Angela Merkel bin dann wird mich auch niemand angreifen.


Das ist jedem seine Sache, klar geht beides.
Jedes offen Port ist eine Angriffmöglichkeit mehr.

Aber wie funktioniert so ein Angriff? Wenn er meine DDNS oder meine IP nicht kennt kann er mich auch nicht angreifen. WIe will jemand das herausfinden? Wie will er mich angreifen wenn er mich gar nicht kennt? Wenn jemand mein Smartphone klaut wo all meine wichtigen Adressen drauf sind dann würde ich es vorher ohnehin sperren. Das ist doch so wie beim Bank Konto. Keiner kennt deine Kontonummer also kann er dich auch nicht hacken. Ich verate auch niemandem meine VPN, DDNS oder IP Adresse. Wozu auch. Bin allein der das braucht.
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Ich denke ich bleibe trotzdem beim PPTP.
Ein gutes Passwort ist da schon hilfreich :)

Aber wie funktioniert so ein Angriff? Wenn er meine DDNS oder meine IP nicht kennt kann er mich auch nicht angreifen.
Die greifen nicht Dich an, sondern scannen einen IP Bereich und eine Reihe von Ports.
Dann versuchen sie mit Benutzernamne und Passwörtern in das System einzudringen.
Sollte das gelingen, dann haben sie Zugriff auf alles mögliche.
DDoS Attacken legen das System lahm.

Gruß Jo
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
pptp ist knackbar, siehe Heise Artikel. Die Artikelverweise am Ende unter "Siehe dazu auch:" gleich mitnehmen. Aber der Aufwand ist schon enorm und ob es eine Bedrohung für eine private DS ist muß jeder für sich selbst entscheiden.

Gruß Götz
 

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Ein gutes Passwort ist da schon hilfreich :)

Das habe ich


Die greifen nicht Dich an, sondern scannen einen IP Bereich und eine Reihe von Ports.
Dann versuchen sie mit Benutzernamne und Passwörtern in das System einzudringen.
Sollte das gelingen, dann haben sie Zugriff auf alles mögliche.
DDoS Attacken legen das System lahm.

ok die scannen jetzt den IP Bereich von 120.0.0.1 - 130.255.255.255 mit den Ports 5001 und 80. Ich habe keine Ahnung ob das so einfach ist, aber im Moment machst du mir grad eine Scheiss Angst dass ich die Synology nur noch über USB in Betrieb nehme :D

Hallo,
pptp ist knackbar, siehe Heise Artikel. Die Artikelverweise am Ende unter "Siehe dazu auch:" gleich mitnehmen. Aber der Aufwand ist schon enorm und ob es eine Bedrohung für eine private DS ist muß jeder für sich selbst entscheiden.

Was ist schon nicht knackbar. Der Pin eines Smartphones ist knackbar, der Code am Bankomat ist knackbar, das Kennwort am PC ist knackbar, der Schlüssel fürs e-banking ist knackbar... ich weiss nur, dass es keine 100% Sicherheit gibt. Aber bei jemandem einzubrechen der nichts wertvolles hat ist ganz schön blöd. Ob der Chinese in seiner Baracke wohl das Weisse Haus hacken will und dann zufällig meine IP erwischt?


Kann ich da meine DDNS finden? Ich trau mich nicht das in die Suche einzugeben, vielleicht wird es dann gespeichert und dort aufgelistet. Kann das jemand für mich probieren? :D
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Ja die suchen einfach das Netzt ab, natürlich erst mal auf bekannten Ports! Von daher ist es schon mal gut wenn da nicht viel nach außen offen ist!
Und einige sind nicht auf die Daten selber aus. Kannst ja mal nach "SynoLocker" suchen.
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
aber im Moment machst du mir grad eine Scheiss Angst dass ich die Synology nur noch über USB in Betrieb nehme :D
Warum, ich habe täglich Besuch, schalte im DSM / Systemsteuerung / Automatische Blockiereung ein.
5 x falsches Logins in 5 min, löschen nach einem Tag :)


Kann ich da meine DDNS finden? Ich trau mich nicht das in die Suche einzugeben, vielleicht wird es dann gespeichert und dort aufgelistet. Kann das jemand für mich probieren? :D
Ich glaube eher nicht :)
Und nach jemanden da suchen, das ist für mich unseriös.

Gruß Jo
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Die welche diese Seite mit den Daten versorgen :)
Die Seite sucht selber, so wie google, aber eben auch auf andere Ports.
https://en.wikipedia.org/wiki/Shodan_(website)
und daraus
The primary users of Shodan are cybersecurity professionals, researchers and law enforcement agencies.
While cybercriminals can also use the website, some typically have access to botnets that could accomplish the same task without detection

Aber ich habe einige Dienste auch nach außen offen.
Über die Photostation will ich ja z.B. anderen einige Photos zugänglich machen, da hilft mir auch kein VPN.
CloudStation, Card/CalDAV will ich ja gerade von außen nutzen. Gutes Passwort und die Hoffnung das dort keine zu großen Lücken in den Diensten klaffen ;-)
 

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
Also ich habe jetzt etliche Ports geschlossen und nur noch 80 TCP, 5000 TCP, 5001 TCP und 1723 TCP zugelassen. Damit funktionieren VPN, DS File und auch DS Video. Das reicht mir fürs Erste. Alle HTTP Anfragen auf Port 5000 werden automatisch auf HTTPS 5001 weitergeleitet.



Mir ist überhaupt nicht klar wofür ich den Port 80 brauche? Jeder hat den offen. Brauch ich den? Hier steht, er wird für e-mails und DS Photo gebraucht:
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

DS Video lässt sich leider nicht per HTTPS nutzen. Wozu wurde beim Login überhaupt HTTPS eingebettet wenn man mit dieser sicheren Verbindung keine Videos schauen kann. Kein einziger Player kann die Videos abspielen.

Ich glaube jetzt habe ich eine sichere DS und niemand kann sich einhacken :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat