145971
Jan 03, 2021
2031
10
0
Ports extern öffnen - Sicherheitsfrage
Guten Abend und nachträglich ein frohes neues Jahr! 
Ich habe eine Frage im Bereich "Netzwerksicherheit".
Im Einsatz ist eine Synology NAS.
Diese ist von extern nicht über Drittanbieter erreichbar - lediglich via openVPN.
Der Port der Festplatte ist 1000 (Beispielport).
Nun wollte ich darauf gerne einen WebServer betreiben, welcher auch für Externe (one VPN) zugänglich sein soll.
WebServer ist installiert und hat einen eigenständigen Port erhalten : 2000
Der WebServer ist nun für Externe erreichbar unter einer Domain https://domain.de:2000
Port 2000 habe im Router geöffnet.
Auf dem Webserver liegt eine PHP Datei, welche Informationen vom cardDAV Server (welcher ebenfalls auf der NAS läuft mit Port 3000), abruft.
Bis hier klappt soweit alles gut.
Nun meine Frage.
Ist das sicherheitstechnisch soweit "sicher"?
Ich stelle mir natürlich die Frage:
Wenn der externe durch Port 2000 auf meinen WebServer kommt und mit Hilfe der PHP Datei Daten abfragen kann, welche intern unter Port 3000 erreichbar sind, kann hier was "schlimmes" passieren, z.B. das er über diesen Weg auch auch an die eigentlichen Daten (Port 1000) kommt?
Ich habe eine Frage im Bereich "Netzwerksicherheit".
Im Einsatz ist eine Synology NAS.
Diese ist von extern nicht über Drittanbieter erreichbar - lediglich via openVPN.
Der Port der Festplatte ist 1000 (Beispielport).
Nun wollte ich darauf gerne einen WebServer betreiben, welcher auch für Externe (one VPN) zugänglich sein soll.
WebServer ist installiert und hat einen eigenständigen Port erhalten : 2000
Der WebServer ist nun für Externe erreichbar unter einer Domain https://domain.de:2000
Port 2000 habe im Router geöffnet.
Auf dem Webserver liegt eine PHP Datei, welche Informationen vom cardDAV Server (welcher ebenfalls auf der NAS läuft mit Port 3000), abruft.
Bis hier klappt soweit alles gut.
Nun meine Frage.
Ist das sicherheitstechnisch soweit "sicher"?
Ich stelle mir natürlich die Frage:
Wenn der externe durch Port 2000 auf meinen WebServer kommt und mit Hilfe der PHP Datei Daten abfragen kann, welche intern unter Port 3000 erreichbar sind, kann hier was "schlimmes" passieren, z.B. das er über diesen Weg auch auch an die eigentlichen Daten (Port 1000) kommt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 637207
Url: https://administrator.de/contentid/637207
Printed on: April 19, 2024 at 22:04 o'clock
10 Comments
Latest comment
Diese Frage wird dir keine beantworten können weil wir die Seite nicht kennen. Generell ist jeder offene Port natürlich ein Sicherheitsproblem - andersrum sind im Apache jetzt keine so grundlegenden Probleme drin das eine normale 08/15-HTML-Seite da schon gross was mahen kann (sofern die restliche Konfig stimmt). ABER: Wir wissen nicht was deine Webseite macht - ggf. machst du ja irgendwelche lustigen internen Re-Directs auf das Admin-Frontend, hast als Admin-Zugang zu deiner Seite admin/admin gelegt,... DAS kann dir eben keine beantworten. Und natürlich:Wenn es ein Problem gibt wäre der Angreifer direkt auf deinem NAS - ob das jetzt so gut ist...
N'Abend.
Ohne eingehende Kenntnis über die sonstige Konfiguration deiner Syno lässt sich das leider nich detaillierter beantworten.
Cheers,
jsysde
Zitat von @145971:
[...]Nun meine Frage.
Ist das sicherheitstechnisch soweit "sicher"?
Nein. Jeder offene Port ist per se ein Risiko und kann nicht als "sicher" bezeichnet werden.[...]Nun meine Frage.
Ist das sicherheitstechnisch soweit "sicher"?
Ohne eingehende Kenntnis über die sonstige Konfiguration deiner Syno lässt sich das leider nich detaillierter beantworten.
Cheers,
jsysde
Man müsste mindestens die Software des Webservers kennen und dessen Konfig. Auch die Gesamtkonfig des NAS wäre nicht unwichtig.
Grundsätzlich würde ich jedoch kein Synology am öffentlichen Internet erreichbar machen. Es gab zu häufig krasse Lücken und teilweise waren die inhaltlich so unverantwortlich, dass ich überhaupt kein Synology kaufen würde.
Grundsätzlich würde ich jedoch kein Synology am öffentlichen Internet erreichbar machen. Es gab zu häufig krasse Lücken und teilweise waren die inhaltlich so unverantwortlich, dass ich überhaupt kein Synology kaufen würde.
Moinsen,
lässt Du deine Haus / Wohnungstür auch immer auf, damit dir Jeder in die Kajüte laufen kann? Wohl kaum, wie ich annehme.
Also Ports dicht holen und VPN benutzen. Das ist für mich allemal die bessere Wahl. Muss aber jder Anwender für sich selbst entscheiden.
Grüße...
Uwe
lässt Du deine Haus / Wohnungstür auch immer auf, damit dir Jeder in die Kajüte laufen kann? Wohl kaum, wie ich annehme.
Also Ports dicht holen und VPN benutzen. Das ist für mich allemal die bessere Wahl. Muss aber jder Anwender für sich selbst entscheiden.
Grüße...
Uwe
Zitat von @transocean:
Moinsen,
lässt Du deine Haus / Wohnungstür auch immer auf, damit dir Jeder in die Kajüte laufen kann? Wohl kaum, wie ich annehme.
Also Ports dicht holen und VPN benutzen. Das ist für mich allemal die bessere Wahl. Muss aber jder Anwender für sich selbst entscheiden.
Grüße...
Uwe
Moinsen,
lässt Du deine Haus / Wohnungstür auch immer auf, damit dir Jeder in die Kajüte laufen kann? Wohl kaum, wie ich annehme.
Also Ports dicht holen und VPN benutzen. Das ist für mich allemal die bessere Wahl. Muss aber jder Anwender für sich selbst entscheiden.
Grüße...
Uwe
Und du hast deine (offentliche) Webseite auch nur via VPN erreichbar? Denn das war doch die Frage -eine Webseite öffentlich stellen. Und da würde ich mal vermuten das die meisten Webserver für einen öffentlichen Zugriff ganz ohne VPN laufen....
1
Nein, das habe ich selbstverständlich nicht. Die ist extern gehostet. Aber bei einem NAS kann es ja durchaus sein, dass da noch andere Sachen drauf laufen, die eben nicht für die Öffentlichkeit bestimmt sind. Und ich schrieb ja auch, dass das jeder User für sich entscheiden muss.
Ist das sicherheitstechnisch soweit "sicher"?
Verabschiede dich mal von dem Wort Sicher. Das Einzige, was sicher ist, dass nichts sicher ist. Die Frage, die im Raum steht ist, ob du mit dem Risiko leben kannst, welches du erzeugt hast. Jeder offene Port ist ein Problem. Die Sicherheit hängt davon ab, ob der Webserver regelmäßig gepatcht wird und ob es Misskonfigurationen gibt (Scripte, PHP und Webserver(module), die man ausnutzen kann.- Musst du wirklich eine Erreichbarkeit über das Internet haben oder wäre nicht doch eine VPN-Verbindung möglich?
- Kannst du ggf. nach Source-IPs/Subnetzen eingrenzen?
- Wäre sowas die Pfblocker-ng und Snort eine Denkbarkeit?
- Kannst du einen Reverse Proxy hinzufügen und Clientzertifikate einsetzen?
Für externe (ohne VPN) würde ich den Webserver mindestens über zwei Punkte absichern:
1) in eine DMZ Zone setzen (wo er nicht auf andere wichtige Strukturen Deines Netzwerks zugreifen kann). Wenn er da gehackt wird und kaputt geht, kann er nicht mehr anstellen. Neu installieren, fertig.
2) Eine WAF vorschalten.
1) in eine DMZ Zone setzen (wo er nicht auf andere wichtige Strukturen Deines Netzwerks zugreifen kann). Wenn er da gehackt wird und kaputt geht, kann er nicht mehr anstellen. Neu installieren, fertig.
2) Eine WAF vorschalten.
Die DMZ bringt aber wenig wenn der Webserver aufm NAS selbst läuft - weil dann stehen bereits ALLE Daten in der DMZ drin. Ggf. wäre es da aber durchaus Sinnvoll zu überlegen für sowas nen kleinen Raspberry zu nutzen - so hat man NAS und Webserver sauber getrennt.
Die DMZ bringt aber wenig wenn der Webserver aufm NAS selbst läuft
Richtig. Damit meinte ich auch indirekt, dass er die Idee mit dem NAS verwerfen sollte.
