So mache ich mein NAS web-ready

[dst]

Wie Sie der FAQ-Seite entnehmen, sind bestimmte Portbereiche wie 5000/5001 und Port 80/21 unabdingbar, um überhaupt eine gesicherte Datenverbindung aufzubauen.

. Aus meiner Sicht falsch. Port 80 http und 5000 http und 21 FTP sind keine gesicherte Datenverbindung (a.D.R. "verschlüsselt"). Einzig 5001 ist https und verschlüsselt.

Wer das Webinterface Port 5000/5001 ins Internet stellt der handelt Fahrlässig. In der Vergangenheit gab es Schwachstellen mit der der Angreifer auf das ganze NAS Zugriff bekam. Wer z.B. die Mailstation ins Netz tut, der sollte gute Passwörter haben. Habe schon fälle von Spam-Missbrauch angetroffen. => Somit wer Dienste ins Internet stellt der muss sich bewusst sein was er tut und auch gute "Passwörter" vergeben.

Tragen Sie am besten genau diese Portweiterleitungen ein, um Zugriff auf die wichtigsten Grundfunktionen des NAS zu erlangen

Meine Güte, ich habe mich an dem Printscreen der horizon gewundert. Beispiele: 1723 (PPTP) sollte man auch lieber lassen. Gilt als nicht mehr sicher, bez. nur so wie das Passwort gut ist. Auch das SMB Protokoll 139 hat im Internet nicht zu suchen!

Nur so viele Ports wie nötig freigeben

Grundsätzlich wie im Artikel nur die Ports weiterleiten die man auch benötigt. Der Printscreen der horizon ist aber Irreführend. Hier wurde viel zu viele Ports geöffnet.

Das Beste, OpenVPN einrichten und Port 1194 via Router weiterleiten. Wenn man sich im VPN verbindet kann man alle Internen Dienste nutzen wie man will und muss keine weiteren Port-Weiterleitungen konfigurieren. Das klappt auch mit Streaming. Für Android/Windows/Mac OpenVPN, für iOS/Mac L2TP/IPSec.

Gruss Dany

 

[Simon Gröflin]

Berechtigte Einwände

Gut, mit nem VPN Access hast halt je nachdem auch wieder Overhead, oder nicht? Schlussendlich sitzt man immer noch hinter einem NAT. Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken. Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno. Klar: Ein sicheres Passwort ist immer oberste Devise. Zugegeben: Die Portauswahl könnte man noch etwas eingrenzen. Das hier sind exemplarisch einfach meine persönlichen Settings auf der Horizon-Box. Ich werde die gerne noch anpassen. Danke für den Kommentar.

Lg Simon

 

[Telaran]

Einerseits finde ich es super, dass ihr solche Anleitungen macht, aber andererseits sehe ich auch so, dass Thema Sicherheit doch sichtbarer/präsenter sein sollte (also eher als erster Absatz und mit Warnhinweis, Fett, etc pp). Gerne mehr solche Artikel (nur Fairerweise müsstet ihr ähnliche auch für die Konkurrenzprodukte online stellen)

Das mit dem VPN ist sicher eine Idee, aber ich denke auch, dass es für viele Anwender "zuviel" wäre und je nach Gerät/System kann man nicht so einfach eine VPN Verbindung zu sich nach Hause aufbauen (Port-Blocks, Gerätespezifische Probleme, etc pp). Vielleicht als erweiterter Artikel?

Was aber Sinn machen könnte: Sicherheit - Automatische Blockierung.
Sobald man Dienste nach Aussen öffnet, sollte dieser Schutz drin ein. Einerseits als Hürde, andererseits auch als kleiner Hinweis (ist meine URL bekannt, wissen die was ich drauf habe, etc pp).

Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken. Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno.

Man kann durchaus die Ports der Synology Box ändern: Systemsteuerung - Netzwerk - DSM Einstellung
Natürlich löst das nicht alle Probleme, aber es ist durchaus denkbar, dass Malware-Programmierer nicht zwingend einen Portscan machen (um nicht aufzufallen oder zu faul dafür sind) und eher die Standard-Ports abklappern.

Weiter funktioniert alles weiterhin. Portweiterleitungen können eingerichtet werden, Quickconnect geht, Apps funktionieren auch (entweder via Quickconnect ID oder in der URL den Port mitgeben)

Es spricht nichts dagegen und es ist zumindest eine "kleine" Sicherheitssteigerung.
Ich habe fast alle "Standardports" angepasst und bin damit bisher gut gefahren.

 

[dst]

Gut, mit nem VPN Access hast halt je nachdem auch wieder Overhead, oder nicht? Schlussendlich sitzt man immer noch hinter einem NAT. Den Zugriff auf den NAS kann man zusätzlich per Zeitplansteuerung einschränken.

Mit OpenVPN, VPN, SSH usw. hat man im allgemeinen immer Overhead, dafür hat man eben eine sichere Verbindung. Ich streame sogar Musik via OpenVPN auf mein Android von Unterwegs und habe da keine schlechten Erfahrungen gemacht.

Ohne Ports 5000/5001 kommst eben nicht auf den SSL-(Https-)Zugriff der Syno. Klar: Ein sicheres Passwort ist immer oberste Devise. Zugegeben: Die Portauswahl könnte man noch etwas eingrenzen. Das hier sind exemplarisch einfach meine persönlichen Settings auf der Horizon-Box. Ich werde die gerne noch anpassen. Danke für den Kommentar.

Lg Simon

Das Problem ist, das die Programmbibliotheken der Synology oftmals recht alt sind (Heartbleed) und wenn mal eine CVE http://www.cvedetails.com/vendor/11138/Synology.html rauskommt dann dauert es gefühlte Ewigkeit bis ein Update verfügbar ist. Gutes Beispiel warum man Port 5000 nicht ins Internet stellen soll: SynoLocker http://www.synology-forum.de/showth...M-Daten-auf-NAS-gecrypted-worden-durch-Hacker

Ich finde das Thema Portweiterleitung kann man schon bringen, dennoch wünsche ich mir etwas mehr "Sicherheit" und eine sensibilisierung zu diesem Thema. Zugriffsversuche aus China und Russland sind bei mir nicht wenige und es wäre fatal wenn ich ein System ins Netz stelle die potentiell Schaden nehmen könnte.

Bei der Quickconnect ID hast du übrigens den Nachteil das der Traffic via Relay Server geht, sofern du keine Port-Forwarding hast.

Gruss Dany