Sicherheit des Synology-Reverse Proxy: Gibt es eine Art öffentliches Verzeichnis von Subdomains?

[sinkpäd]

Hallo zusammen,

ich betreibe eine Synology NAS als kleine private Cloud, die via https://subdomain.meinedomain.de über den Synology-eigenen Reverse-Proxy erreichbar ist.

Die einzigen offenen Ports an meiner Fritzbox sind 80 und 443, auf denen der Reverse Proxy lauscht bzw. einen automatischen https-Redirect anleitet, wenn man über http kommt.

Wenn ein Angreifer nun meine öffentliche IP auf offene Ports scannt, 80 und 443 findet und anspricht, passiert erstmal nichts. Der Reverse-Proxy leitet dann nämlich auf den DS-internen http-Port (bei mir 8080 statt 5000) bzw. den internen https-Port (4433 statt 5001) um, bekommt aber einen Timeout weil die Ports nicht offen sind.

Die einzige Möglichkeit, ohne Sicherheitslücke beim Reverse Proxy, einen Angriff auf die (btw mit 2FA gesicherte) Diskstation zu starten, wäre ja dann über die korrekte zur Synology gehörende Subdomain.

Daher nun die Frage: Kann man irgendwo öffentlich einsehen, ob und wenn ja welche Subdomains zu einer bestimmten Domain angelegt bzw. vorhanden sind?

Und um die "Synology nur per VPN erreichbar machen-Schreier" gleich zu besänftigen: Die auf der Synology abgelegten Daten werden
1. auf 3 täglich wechselnde USB-Platten gesichert
2. sind nicht so relevant, dass mich ein Verlust sehr schmerzen würde

 

[Yuuri]

Kann man irgendwo öffentlich einsehen, ob und wenn ja welche Subdomains zu einer bestimmten Domain angelegt bzw. vorhanden sind?

Nein, das geht nur via Zonentransfer unter DNS Servern und da auch nur via Whitelisting der IPs. Öffentlich nur via Bruteforce oder vorhandenen Listen.

 

[madmax2010]

Daher nun die Frage: Kann man irgendwo öffentlich einsehen, ob und wenn ja welche Subdomains zu einer bestimmten Domain angelegt bzw. vorhanden sind?

joa

schau mal auf crt.sh

sonst halt, wenn axfr an ist:
dig domain axfr
Aber dazu hast @Yuuri schon was gesagt

 

[Rickmer]

Schau deine Domain mal hier nach: https://subdomains.whoisxmlapi.com/
Meine Subdomains hat's gefunden...

 

[sinkpäd]

schau mal auf crt.sh

Tatsache...

Naja aber immer noch schwerer zu finden als über nen regulären Portscan.

 

[madmax2010]

portscans zeigen dir keine Domains und 203 StGB hat dazu was zu sagen

 

[Testa2014]

crt.sh

https://subdomains.whoisxmlapi.com/

um das zu verstehen, ich habe subdomains, es wird allerdings nicht eine angezeigt. Woran liegt das? Alter, mehrere Jahre.

Domain liegt bei netcup, Zertifikat lets encrypt.

Oder liegt das wieder mal am schönen bekannten Umlaut der manchmal für Probleme sorgt?

 

[madmax2010]

ich bin versucht mir eine umlaut domain zu klicken und das zu testen

 

[sinkpäd]

ich habe subdomains, es wird allerdings nicht eine angezeigt. Woran liegt das? Alter, mehrere Jahre.

Hast du für die Subdomains Zertifikate? Falls nein, wäre das zumindest im Fall von cert.sh die Erklärung. Wie die andere Seite arbeitet, weiß ich nicht.

 

[Testa2014]

Hast du für die Subdomains Zertifikate?

Jupp, beide Seiten liefern mir aber keine Ergebnisse.

 

[madmax2010]

Gibt so ein paar dienste wie diese andere seite. Die schreiben mit was auf oeffentlichen DNS Servern eingetragen wird.\

@Testa2014 https://github.com/tdubs/crt.sh/blob/master/crt.sh mal probiert?

 

[sinkpäd]

portscans zeigen dir keine Domains und 203 StGB hat dazu was zu sagen

Ich meinte damit, es ist für einen Angreifer weniger offensichtlich, wenn meine DS über eine Subdomain+Reverse Proxy als über ne direkte Portweiterleitung erreichbar ist und für mein Empfinden dadurch auch etwas sicherer.

 

[madmax2010]

argh. vergiss das. gute nacht.

Ergänzung (8. November 2021)

e Subdomain+Reverse Proxy

depends. Apache als reverse proxy mit Sicherheitsluecke: -> Unsicher
$Dienst mit Sicherheitsluecke ohne Reverseproxy -> unsicher
Apache mit Apache als reversepreoxy -> unsicher, sobald eine Sicherheitsluecke aufkommt
Subdomains helfen auch nicht gegen angriffe, da es keine 15 Minuten dauert, den gesammten IPv4 space abszuscannen.
IPv4 abschalten hilft dagegen Den v6 space abzuscannen daurt was länger und ist etwas auffälliger

 

[DonConto]

Ich meinte damit, es ist für einen Angreifer weniger offensichtlich, wenn meine DS über eine Subdomain+Reverse Proxy als über ne direkte Portweiterleitung erreichbar ist und für mein Empfinden dadurch auch etwas sicherer.

Tja, es ist und bleibt halt security by obscurity. Auch wenn das bei 99,99% der Ziele im dynamischen Adressbereich der Provider unentdeckt bleibt, sollte man sich überlegen, ob man dem Service, der da seinen Dienst öffentlich anbietet, vertraut. Ansonsten kommen halt wieder die VPN Freunde um die Ecke - und haben Recht ;-)

Ergänzung (8. November 2021)

Subdomains helfen auch nicht gegen angriffe, da es keine 15 Minuten dauert, den gesammten IPv4 space abszuscannen.
IPv4 abschalten hilft dagegen Den v6 space abzuscannen daurt was länger und ist etwas auffälliger

Also entweder habe ich deine Antwort nicht verstanden oder du hast das Thema nicht verstanden. Was hat die IP des Anschlusses mit der Subdomain zu tun, auf die der Reverse Proxy (RP) lauscht? Wenn du am RP nur mit der IP an kommst, verwirft der die Anfrage oder leitet sie an eine Dummy Page weiter.

 

[Testa2014]

https://github.com/tdubs/crt.sh/blob/master/crt.sh mal probiert?

Eben kein Linux zur Hand und nur am Handy … aber nach einigen Versuchen doch eine Domain mit Zertifikat gefunden. Wofür ist der Bikini?

 

[foo_1337]

Also entweder habe ich deine Antwort nicht verstanden oder du hast das Thema nicht verstanden. Was hat die IP des Anschlusses mit der Subdomain zu tun, auf die der Reverse Proxy (RP) lauscht? Wenn du am RP nur mit der IP an kommst, verwirft der die Anfrage oder leitet sie an eine Dummy Page weiter.

Wenn es https ist, reicht es in der Regel sich die/den Common Name(s) des Certs anzuschauen um den Hostname für den NameBasedVirtualHost zu wissen. Also auch eher security by obscurity

 

[Marco01_809]

um das zu verstehen, ich habe subdomains, es wird allerdings nicht eine angezeigt. Woran liegt das? Alter, mehrere Jahre.

Domain liegt bei netcup, Zertifikat lets encrypt.

Oder liegt das wieder mal am schönen bekannten Umlaut der manchmal für Probleme sorgt?

Benutzt du vielleicht ein Wildcard-Zertifikat *.meinedomain.de? Da sind die Subdomains dann nicht gelistet, und daher werden sie auch nicht im Certificate Transparency Log veröffentlicht.

Die Theorie mit den Umlauten bin ich aber auch geneigt zu glauben

ich bin versucht mir eine umlaut domain zu klicken und das zu testen

Da müsstest du dann aber noch ne Zeit lang abwarten bis die Domain in öffentlichen Datenbanken auftaucht, die indexieren ja vielleicht nicht alle in Echtzeit.

 

[foo_1337]

Bei den Umlautdomains sollte es doch reichen den Punycode zu nehmen, oder?

 

[Testa2014]

doch reichen den Punycode zu nehmen

Au Man … klar! Jetzt sehe ich die auch.

hier eine versuchsdomain: xn--brste-lva.de

 

[DonConto]

Wenn es https ist, reicht es in der Regel sich die/den Common Name(s) des Certs anzuschauen um den Hostname für den NameBasedVirtualHost zu wissen. Also auch eher security by obscurity

Hmm, ich bewege mich hier auf dünnem Eis. Daher mal vorsichtig gefragt: Mein Reverse Proxy (nginx) liefert bei einer https Anfrage nur ein dummy Zertifikat aus. Daraus kann ich keine Rückschlüsse ziehen. Oder mache ich etwas falsch? Vielleicht ist das anders, wenn man den Apache direkt anspricht?!