Fragen zur Portfreigabe

[Don-DCH]

Guten Mittag,

Ich habe ein Synology NAS auf dieses habe ich bisher per DYNDNS und Portfreigabe zugegriffen.

Dafür hatte ich immer die Standard Ports Extern an die Ports intern weitergeleitet.

Nun habe ich testweise einfach mal 7777 genommen extern und entsprechend den internen port.
Nun ist die Frage ist das überhaupt so sicherer?

Denn jetzt habe ich bei den ganzen Synology apps HTTPS aktiviert gelassen und hinter die DYNDNS noch :7777 geschrieben und es hat funktioniert.

Sollte ich also irgendwelche Zahlenkombinationen ausdenken wie 4532 oder sollte ich bei den Standard Ports 5001 lassen ?

Was für vor bzw. Nachteile habe ich bei beiden Methoden?


Viele Grüße

und ein Schönes Wochenende

 

[1a2b3c4d5e]

Vorteil bei != Standardport: Jemand der einfach mal so versucht, ob bei dir ein NAS läuft und auf den Standardport testet findet es nicht
Nachteil: je nachdem von wo aus du zugreifst, sind viele Nicht-Standardports auch für ausgehende Anfragen gesperrt (manchmal sind sogar nur 80 und 443 frei)

 

[chrigu]

Ich habe meine Nas-ports in die Region 5000-7000 geändert, damit die Standard portscanner keine Antwort bekommen. In letzter Zeit wird Port 443 abgefragt, auch 5001 wird ab und zu von China abgesucht.

 

[Raijin]

Das ganze nennt sich "Security through obscurity". Heißt im Klartext, dass es eine gewisse Sicherheit durch Unklarheit gibt.

Standardport + Wörterbuchattacke = relativ gute Chancen irgendwo einloggen zu können. Wenn man Hunderte/Tausende IPs scannt, wird man früher oder später eine finden, die irgendeinen Standardlogin nutzt (zB admin/admin oder sowas). Die Portscans checken dabei aber in der Regel nur eine Liste von Standardports durch (zB 21 für FTP, 22 für SSH, etc). Es wäre relativ aufwändig/langsam, wenn man beispielsweise einen SSH-Login auf allen 65536 möglichen Ports sucht, um am Ende festzustellen, dass dort kein Standardlogin genutzt wird......

Nichtsdestotrotz ist das nicht wirklich ein Sicherheitsmerkmal im eigentlichen Sinne. Nur weil man seinen SSH-Zugang auf Port 13784 verlegt hat, heißt das nicht, dass man dann "passwort" als Passwort einstellen kann. Das Fenster ist für den Einbrecher quasi immer noch offen, nur dass es eben nicht direkt neben der Eingangstür ist, sondern irgendwo im 17. Stock auf der hinteren rechten Seite - wenn man lange genug sucht, findet man es auch ;-)

 

[Don-DCH]

Also ich habe auch SSL sprich HTTPS Verbindungen und starke Passwörter.
Würdet ihr Trotzdem noch empfehlen das ich von port 5001 auf port bsp 7678 wechsle oder reicht SSL+ starkes Passwort aus?

Wie würdet Ihr das machen?

 

[Raijin]

Wenn man sichere Passwörter hat, muss man den Port nicht unbedingt wechseln. Ich hatte meinen SSH-Zugang anfangs auch auf dem Standardport, aber nach einiger Zeit habe ich immer häufiger und deutlich hartnäckigere Angriffe bemerkt (viele Loginversuche). Ich habe dann kurzerhand IP Adressen nach 3 ungültigen Versuchen geblockt und nu is Ruhe. Bisher hab ich den Port noch nicht geändert.

Die Sicherheitsmechanismen sind nach wie vor der mit Abstand wichtigste Teil der Kette. Aber wenn die Security gar nicht erst aktiv werden muss, weil niemand ohne aufwändige Suche überhaupt den Eingang findet, ist es natürlich noch ne Ecke besser

Bei Diensten, die man problemlos auf andere Ports umziehen kann, ist der Konfugurationsaufwand überschaubar. Ob man bei putty nu den Port stehen lässt oder da ein paar Zahlen eingibt is ja egal. Zumal man das ja speichern kann. Wenn man aber Dienste hat, die nicht so ohne weiteres umziehen kann - zum Beispiel Dateifreigaben - ist es nicht mehr so einfach, weil man das in der Clientanwendung oftmals gar nicht eingeben kann. Sowas sichere ich dann beispielsweise über einen VPN-Tunnel. Abgesehen davon, dass man Freigaben eh nicht offen im Netz zur Schau stellt. Das war nur ein Beispiel für einen Dienst mit festen Ports.

 

[Don-DCH]

Danke dir für deine Antwort.
Kann ich da jeden Port nehmen also zb 7777 8888 9999 um das einfacher zu merken oder auch 12345 ?
Oder kann es da Probleme geben da 80 und 443 ja standartisiert sind für Websiten.

sind 7777 8888 oder auch 9999 denn auch sicher? oder sollte ich lieber 6978 nehmen wo eben nicht alle 4 zahlen gleich sind?

Vielen Dank und viele Grüße

PS: Juhu 2000 Beiträge

 

[Raijin]

Prinzipiell kannst du jeden Port nehmen. Probleme verursacht es nur, wenn du einen Port doppelt belegst. Tendenziell würde ich einen Port ab 10000 nehmen, weil dort eher selten Dienste laufen. Allerdings kann es sein, dass im Fremdnetz - Hotel, Büro, etc - Ports blockiert werden. Dann kann man von dort aus zB nicht skypen oder Filesharing betreiben. In der Regel sind dort dann nur Ports wie Port 80 oder 443 möglich damit man surfen kann.. Das musst du einfach ausprobieren.

 

[Don-DCH]

So habe jetzt umgestellt auf andere Ports
Danke an alle. Klappt auch alles Wunderbar!

Viele Grüße

 

[st0rax]

Es gibt eine Liste von ports die für bestimmte Anwendungen/Protokolle vorgesehen sind.
Ich würde einfach darauf achten das man welche nimmt die nich schon irgendwo vorgesehen sind.

 

[Don-DCH]

Hmm meinst du diese Liste?
http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

Wenn ja dann hab ich alles richtig gemacht weil mein Port nicht auf einem Port in dieser Liste liegt

 

[st0rax]

jau genau die meinte ich

 

[Raijin]

Daumen hoch!

So, abschließend postest du jetzt zusammenfassend einfach nochmal alles, DDNS-Adresse, Ports, Benutzernamen und Passworte.

Wir .. .. prüfen dann nochmal ob alles funktioniert *lach*

[Nur Spaß! ;-) ]