Zugriff auf Audio Station aus dem Web ?

[MacBook]

Port-Weiterleitung DD-WRT

Besten Dank Götz, damit kann ich was anfangen. Werde es heute Abend probieren.

>>Überlege Dir genau ob Du den DSM Zugang unverschlüsselt ins Internet stellen willst.<<

Was kann im schlimmsten Fall passieren?

- Unbefugte dringen in meinen Router ein?
- Oder in meine DS110j?
- In unsere beiden MacBooks?
- Oder gar in unsere beiden iPhone 4 ?

Solange sie nur lesend Zugriff auf meine Musiksammlung hätten wär mir das egal.

Also, welches Hiobs-Szenario können Cyberkriminelle verursachen wenn ich diesen Port weiterleite?

Danke und Grüße

Andreas (47)

 

[jahlives]

Solange sie nur lesend Zugriff auf meine Musiksammlung hätten wär mir das egal.

Wenn sie sich als admin am DSM anmelden können, dann können diese User aber auch deine DS plätten. Zusätzlich ist das admin PW gleich dem PW für root. Wenn du also einen Shell Zugang (wie telnet oder ssh) aus dem Internet her offen hast, dann wäre deine DS übernommen.

 

[goetz]

Hallo,
es könnte jemand Zugriff auf DSM bekommen, man meldet sich ja direkt am DSM an. Sollte dazu noch der admin Zugang betroffen sein, so hätte er volle Kontrolle über Deine DS und die darauf befindlichen Daten.

Solange sie nur lesend Zugriff auf meine Musiksammlung hätten wär mir das egal.

selbst das sollte Dir nicht egal sein, die Abmahnanwälte stehen Schlange.

Gruß Götz

 

[MacBook]

Hacker

Wenn sie sich als admin am DSM anmelden können, dann können diese User aber auch deine DS plätten. Zusätzlich ist das admin PW gleich dem PW für root. Wenn du also einen Shell Zugang (wie telnet oder ssh) aus dem Internet her offen hast, dann wäre deine DS übernommen.

Aha, verstehe, zumindest ansatzweise. Bedeutet dass nun wenn ich Port 5000 öffne dass Hacker dann automatisch Zugang zu meiner DS bekommen? als admin? Nur, woher kennen die mein admin-Passwort?

Oder lässt sich die DS so leicht knacken? (auch ohne Passwort)

Danke und Grüße

Andreas (47)

 

[goetz]

Hallo,
mit einem Portscanner bekommt man sehr schnell raus welche Ports offen sind und Portscanner sind immer aktiv, dagegen kann man nichts machen, außer alle Ports dicht. Wenn Du ein langes, komplexes Passwort hast hilft das schon ganz gut. Aber, wenn Du Dich von extern anmeldest werden Username und Passwort im Klartext übermittelt was böse Buben mitlesen könnten (man in the middle). Abhilfe schafft nur https einschalten und nach extern nur Port 5001 weiterleiten.

Gruß Götz

 

[MacBook]

Bösen Buben im Internet

Besten Dank Götz. Soweit ist mir das nun klar.

Hmmm, wäre das Anlegen eines ordinären Benutzers (der kein Admin ist) und lediglich die Audio Station lesend befummeln darf ein sicherer Lösungsansatz?

Oder muss man sich dann über die App "DS audio" extern sowieso immer als Admin anmelden?

Ansonsten lass ich lieber die Finger davon und srnc mir die Musik direkt aufs iPhone. Hab eh soviel Speicherplatz über wo ich nicht wirklich weiß mit was ich den sonst zumüllen soll

Besten Dank und Grüße

Andreas (47)

 

[jahlives]

Und Autoblock im DSM zu aktivieren ned vergessen

 

[MacBook]

Anlegen Benutzer ohne Rechte

Hmmm, wäre das Anlegen eines ordinären Benutzers (der kein Admin ist) und lediglich die Audio Station lesend befummeln darf ein sicherer Lösungsansatz?

So. Hab jetzt mal testweise auf dem Synology Testserver einen einfachen Benutzer angelegt der nichts darf, außer lesend auf die Audio Station zugreifen, das Login dafür lautet:

http://demo.synology.com:5000
Benutzer: dilettant
Passwort: kretin

Wäre dies eine relativ sichere Möglichkeit seine Musik übers Internet zu streamen?

Oder mach ich damit meine DS der restlichen Welt auf wie ein Scheunentor?

Danke und Grüße

Andreas (47)

PS: wieso bei obigem Testfall der Ordner "home" neben "music" ebenfalls freigegeben ist entzieht sich meines Wissens

 

[jahlives]

Solange der DSM aus dem Internet erreichbar ist, ist es auch ein potentielles Einfallstor. Denn niemand wird gezwungen auch deinen testuser zu verwenden. Ein böser Zeitgenosse könnte sich also am PW deines admin Zugangs versuchen. Drum Autoblock und wie goetz sagte ein komplexes PW für admin. Dann bist du auf der relativ sicheren Seite.

 

[MacBook]

Aus. Schluss. Ende

Hab die Nase voll. Hab mir gestern Abend durch heftiges Konfigurieren auf der DS eine der beiden TimeMachine-Sicherungen zerschossen. Wollte lediglich einen Benutzer einrichten der außschließlich lesenden Zugriff auf den Ordner music hat. Danach ging nichts mehr. Hab dann noch die Nacht damit verbracht das Zeugs zu retten. Keine Chance. Die notwendige neuerliche Initialsicherung läuft nun schon seit Stunden, vermutlich heute auch noch den ganzen Tag.

Ihr habt recht. Sämtliche Ports bleiben dicht. Keine Musik wird zum Streamen bereitgestellt. Wofür auch? Aus reinem Selbstzweck? Nein. Schluss. Ich versuche das ganze Geraffel wieder so halbwegs zum Laufen zu bringen. Danach ist Schluss, ich greif das Zeugs nicht mehr an.

Trotzdem Danke und übermüdete Grüße

Andreas (47)

 

[Matthieu]

Vielleicht könntest du ja auf andere Software umsteigen: MyWebJukebox gibt es hier im Forum, wird aber nicht mehr wirklich weiterentwickelt.

MfG Matthieu

 

[MacBook]

Sorry. Nett gemeint. Aber die letzte Nacht hat mir gereicht.

Trotzdem Danke und Grüße

Andreas (47)

PS: hoffe TimeMachine ist endlich fertig wenn ich heim komme. Ist ja unpackbar wie lange so eine Urladung über LAN-Kabel dauert. Dabei sind's ja diesmal "nur" 280GB

 

[fritte]

ich habe den gleichen Ansatz (web access auf Audio station) und frage mich, ob in dem neuen 3.1 DSM das problem nicht einfacher zu erledigen ist. Hier kann man schliesslich in der Firewall auf Basis von Ports/Anwendungen und IP Adresse regulieren wer was darf. Oder sehe ich das falsch??

 

[HPKsyn]

ich habe den gleichen Ansatz (web access auf Audio station) und frage mich, ob in dem neuen 3.1 DSM das problem nicht einfacher zu erledigen ist. Hier kann man schliesslich in der Firewall auf Basis von Ports/Anwendungen und IP Adresse regulieren wer was darf. Oder sehe ich das falsch??

scheint mir ein vernünftiger Ansatz zu sein. Folgenden Vorgehen würde ich als ziemlich sicher betrachten:

- Admin Zugriff erfolgt ausschliesslich über einen hohen HTTPS Port, z.B. mydsm.dyndns.com:98765
- Streamuser Zugriff läuft über mydsm.dyndns.com:5000
- Das Admin Passwort ist stark, IP wird nach 3 falschen Passworteingaben gesperrt.
- Gestreamt wird immer mit dem Streamuser und nie mit dem Admin (unverschlüsseltes Login)
- DS Firewall erlaubt nur Port 5000 und Port 98765, alle anderen Ports sind gesperrt.

 

[fritte]

@HPKsyn:
hast du schon Erfahrungen mit dem neuen DS Manager 3.1 diesbezüglich gesammelt und wie genau man die Einstellungen setzen muß? Mir ist das noch nicht 100% klar.

 

[HPKsyn]

Ich hab das in etwa so eingerichtet, wie oben beschrieben, wobei die Audio Station eher ein Nebenprodukt ist.

Ich betreibe für ein paar Kollegen einen Squeeze Server, auf den sie mit einer Squeezebox oder einem Squeezeplayer zugreifen können. Wer will, kann dann auch mit der DS Audio App Musik auf's iPhone oder Android Handy streamen.

Anbei 4 Screenshots der Konfiguration.

Der Adminzugriff erfolgt über https://xxx.dyndns.org:65432, die DS Audio App greift auf http://xxx.dyndns.org:5000 zu

Wenn du nur DS Audio anbieten möchtest, brauchst du in der Firewall nur den ersten Eintrag lediglich mit Port 5000,65432 zu aktivieren, die Ports 3483,9002 und 9090 werden für den Zugriff auf den Squeezeserver benötigt, der 2. Eintrag (UDP 3483) ebenfalls.

Da die DS ohne weiteren Schutz direkt am Internet hängt, mache ich keine weiteren Ports auf, neue Musik kommt nur via USB Stick drauf ...

Einfach aufpassen, dass du dich als Admin nicht aussperrst, den Schalter "Wenn keine Regel zutrifft: Zugriff verweigern' in der Firewall erst setzen, wenn alles läuft ...

 

[fritte]

danke! das werde ich ausprobieren. ich vermute mal das funktioniert auch wenn 2 DS im selben LAN hängen. Bei mir wäre die ideale Konfigurationen nämlich die, dass eine DS mit Musik freigegeben wird und über Internet angesprochen werden kann (portforwarding). die zweite DS jedoch nur vom LAN aus angesprochen werden kann.

 

[HPKsyn]

Da wird es noch einfacher, du brauchst dann nur per Port forwarding den Port 5000 auf die 'public' Synology weiterzuleiten, Admin Zugriff von aussen brauchst du dann ja nicht zwingend, administrieren tust du sie aus deinem Lan auf einen definierten Port. Auch die interne Firewall der Synology brauchst du nicht zu bemühen, es kommt ja nur Port 5000 durch. Einzig die Blockierung würde ich einschalten, damit es Hackern etwas schwerer gemacht wird, den Service unerwünscht zu nutzen.

 

[fritte]

... Admin Zugriff von aussen brauchst du dann ja nicht zwingend, administrieren tust du sie aus deinem Lan auf einen definierten Port. ....

wie kann ich das einstellen?

 

[HPKsyn]

Da brauchst du nichts speziell einzustellen. Sobald Port 5000 weitergeleitet wird, kommst du mit einem Browser immer auf die Login Seite. Von draussen würde ich mich aber nie als Admin einloggen, weil das Passwort unverschlüsselt übermittelt wird. Und immer darauf achten, ein sicheres Passwort für den Administrator zu verwenden.