Archiv

Remotezugriff auf DiskStation: Denn sicher ist sicher

Mittwoch, 05. August 2009 19:10

Da sich viele Leute mit dem Thema "Sicherheit im Web" nicht so wirklich auskennen und es darüber auch so viel zu lesen gibt, dass man gar nicht weiß wo man anfangen soll, will ich hier mal eine kleine Übersicht geben. Ich beziehe mich auf den Remotezugriff übers Internet auf eine DiskStation von Synology. Die DS bietet eine ganze Palette an Diensten die man auch von außerhalb nutzen kann wenn man das möchte. Da wären z.B.

- Die WebStation

- PhotoStation

- Telnet

- SecureShell (SSH)

- Konfiguration

- FileStation

- DownloadStation

und noch einige andere. Im eigenen Netzwerk ist die Frage nach der Sicherheit noch nicht so dramatisch. Wird jedoch über das Internet zugegriffen sollte man einige Sachen unbedingt beachten. Das Tolle: die DiskStations bieten von Haus aus eine ganze Menge Sicherheitsfeatures, die in Verbindung mit einem "richig" konfigurierten Router schon einiges bewirken können. Ich geh nun ganz kurz auf ein paar (meiner Meinung nach) häufig benutzte Dienste ein (alle Ports sind TCP):

 

 

Telnet / SSH:

Telnet kann im internen Netzwerk ohne große Bedenken genutzt werden. Wollt ihr über internet auf die Shell der DS zugreifen empfiehlt sich jedoch die verschlüsselte SecureShell (SSH). Diese kann natürlich auch im internen Netzwerk genutzt werden. Daher kann man die Telnetünterstützung im Management getrost abschalte und nur SSH nutzen.

Wollt ihr übers Internet darauf zugreifen müsst ihr diesen Dienst am Router weiterleiten. SSH benutzt Port 22 - das wissen leider viele Leute. Da ihr es aber zu 99,99% nicht als öffentlichen Dienst benutzen wollt bietet sich hier eine Portumleitung an. Die meisten Router unterstützen das. D.h. ihr leitet einen von euch gewählten öffentlichen Port (>1024) an den privaten Port 22 auf die DS weiter. Soll nicht heißen dass jetzt nichts mehr passieren kann. Aber immerhin muss der "Angreifer" jetzt erst mal ne ganze Menge Ports durchprobieren bevor er endlich auf eurer DS rauskommt.

 

 

Konfiguration der DS:

Die Konfiguration sollte man am besten gar nicht vom Internet aus verfügbar machen. Falls es aber doch sein muss dann NUR per https.

Dazu müsst ihr https im Managment aktivieren (Webdienste). Am besten aktiviert ihr direkt noch das Häkchen bei "alle http-Verbindungen nach https umleiten". Die ist im internen Netzwerk brauchbar. Solltet ihr in eurem Netz das Management über Port 5000 (Standard) aufrufen, so werdet ihr automatisch zu 5001 (verschlüsselt) weitergeleitet. Am Router bietet sich wieder eine Umleitung an, da man ja überall nachlesen kann welche Ports die DS benutzt. Also auch hier wieder von einem beliebigen öffentlichen Port (>1024) auf den privaten Port 5001 (auf keinen Fall auf die 5000 da diese Verbindung dann nicht verschlüsselt wird) zur DS weiterleiten.

 

 

WebStation:

Da die WebStation meist öffentlich für alle zugänglich sein soll nimmt man hier nur eine Portweiterleitung vor. Man kann entweder Port 80 (zu 80 - http, unverschlüsselt) oder Port 443 (zu 443 - https, verschlüsselt) weiterleiten.

Der Nachteil bei einer verschlüsselten Verbindung über https ist das Zertifikat. Die meisten von euch werden kein eigenes Zertifikat besitzen und müssen so das voreingestellte benutzen. Dies ist aber leider nicht von einer Verifikationsstelle "unterschrieben" und somit zeigen die gängigen Browser beim Aufrufen eurer Seite über https an, das diese Seite durch ein unsicheres Zertifikat gesichert ist. Die kann man akzeptieren und erreicht so trotzdem die Seite (verschlüsselt), aber es nervt doch ein wenig. Hier muss man man also entscheiden was einem wichtiger ist - mehr Komfort für Besucher  oder eine sichere Verbindung. Das hängt sicherlich ganz davon ab was man auf seiner WebStation bereit stellt und muss von jedem selber entschieden werden.

 

All das macht eure DiskStation nicht unverwundbar, aber ihr legt so einem bösen Menschen doch wenigstens noch ein paar Steine in den Weg ;-)