Grundsatzfrage: Portweiterleitung

ebu

Hallo Netzwerk-Profis

Im Docker meines NAS läuft Bitwarden in der 'Selfhosting Version' seit einiger Zeit problemlos. Damit das reibungslos funktioniert - und das tut es - müssen der Port 80 und 443 ans NAS weitergeleitet werden, ein DynDNS-Service mit Zertifikat aktiv, und der Proxy eingerichtet sein.

Wenn ich nun mit 2 unterschiedlichen Port-Scannern meine Ports prüfe, was ich ab und zu mache, werden keine Risiken/offene Ports angezeigt, bzw. auch die beiden weitergeleiteten Ports werden als 'nicht offen' angezeigt.

Die beiden Port-Scanner sind:

www.dnstools.ch

www.heise.de

Wieso werden die beiden Ports nicht als 'offen' erkannt?

Beste Grüsse

Erich

Tschamic

Hallo ebu

Du hast die Ports in der Verwaltung der IB schon weiter geleitet? oder

Inetwa so

Tschamic

ebu

Hallo @Tschamic

Ja, genau so. Nur dass ich die DS720+ habe 🙂

Beste Grüsse

Tschamic

@ebu

Du kennst den Beitrag?

Tschamic

ebu

@Tschamic

Ich kennen einige Beiträge von idomix, jedoch diesen nicht.

Danke für den Hinweis.

Wie gesagt, ich habe eine gut funktionierende Installation, die basierend auf den beiden Services auch keine Sicherheitslücke aufweist.

Mir ging es nur darum, meinen Horizont dahingehend zu erweitern, warum meine weitergeleitete Ports von den erwähnten Tools nicht als 'geöffnet' oder 'weitergeleitet' erkannt werden.

Soweit ich das überhaupt beurteilen kann, ist das ja eine gute Sache, denn wenn ein böser Bube (oder ein automatisches System) meine externe IP scannen würde, bekäme er auch so ein Ergebnis. Was natürlich nicht heisst, dass ein ganz, ganz böser Bube nicht durchkommen würde.

Beste Grüsse

Tux0ne

Scannst du überhaupt mit der richtigen IP bzw gleich mit FQDN zB mit diesem Tool? https://pentest-tools.com/network-vulnerability-scanning/network-security-scanner-online-openvas

Weil die 2 erwähnten grottigen Portscanner nehmen per default die IP mit der du da ankommst. Was im Zusammenhang mit einem Booster ja nicht die IP ist, mit der dein Bitwarden erreichbar ist.

ebu

Tux0ne

hmmm... das ist doch mal eine Antwort die meinen Horizont in mehrfacher Weise erweitert.

Bildschirmfoto 2022-02-04 um 08.53.00.png

Die Ports werden erwartungsgemäss so erkannt, wie ich es erwartet hätte.

Vielen Dank!

Beste Grüsse

KMDD

Ob man ein NAS aus dem Internet erreichbar machen sollte oder nicht, ist keine ganz einfache Frage. Es gibt ja schon einige Anwendungsfälle, wo das sehr praktisch ist. Auf der anderen Seite steigt das Risiko extrem. Das kann man gerade (mal wieder) an der aktuellen Attacke auf QNAP-NAS sehen. Ob Synology nun so viel besser als QNAP ist, kann ich nicht beurteilen.

Auf alle Fälle würde ich ein Backup empfehlen und das Backup-Laufwerk sollte nicht direkt mit dem NAS verbunden sein, wenn es nicht gebraucht wird. Denn sonst wird auch das Backup-Laufwerk Opfer der Attacke.

ebu

@KMDD

Da gebe ich Dir recht.

Im Synology-Forum DE bin ich auch öfters unterwegs. Es gibt auch dort belegte Fälle, dass Zugriffe und Datenverschlüsselungen erfolgt sind. Ob es so eine Lücke war wie bei QNAP kann ich nicht beurteilen.

Grundsätzlich mache ich meine Backups nach dem 3-2-1 Prinzip. Aber ja, das Backup-NAS läuft auch 24/7 und ist mit dem Haupt-NAS verbunden. Klar, ich könnte das Backup-NAS zeitgesteuert für das täglich Backup laufen lassen. Könnte es mit einer Zeitschaltuhr sogar stromlos machen. Das hatte ich vor längerer Zeit mal so eingerichtet. Da ich aber auf dieses NAS auch Time-Machine laufen lasse, müsste ich auf TM verzichten. Muss mal etwas in mich gehen und entscheiden, ob TM wirklich notwendig ist.

Werner

@ebu

Die sicherere Alternative um aus dem Internet auf das Heimnetz (inkl. NAS etc.) zuzugreifen ist immer eine VPN Verbindung.

Entweder via den VPN-Server der Internetbox oder einen VPN-Server im eigenen Netz (z.B. den Synology-eigenen Open VPN-Server direkt auf dem NAS oder einem eigenen zusätzlichen Netzwerkgerät)

hed

@ebu

Ein Backup sollte grundsätzlich nicht von aussen erreichbar sein. Zudem empfiehlt sich ein weiteres Backup an einem anderen Ort, denn wenn das Haus abbrennt oder ausgeraubt wird, hilft dir das beste 3-2-1 Konzept nicht.

ebu

Schon wieder @hed

Woher willst Du wissen, dass eines meiner Backups nicht ausser Haus ist? Wenn Du das Konzept kennen würdest, wüsstest Du, dass damit auch Deine skizzierten Horrorszenarien abgedeckt sind.

Beste Grüsse

hed

@ebu

Ich habe das primär als generelle Information/Empfehlung auch an andere Besucher des Forums geschrieben.

Und nein, Horrorszenarien sind es leider nicht, dass es Brände, Naturereignisse und Einbrüche gibt.