107+ enable Web File Manager op andere poort

[Anonymous]

Graag wil ik gebruik maken van de webbased filetransfers (Web File Manager) op mijn DS107+. Op zich werkt dit allemaal prima. Alle gebruiker kunnen via Internet Explorer of Firefox op 5000 bij hun bestanden. MAAR...
Tevens is het via deze pagina mogelijk om in te loggen als admin. DIT is iets wat ik om veiligheidsproblemen uiteraard niet wens. Ik wil louter dat users via het internet bij hun bestanden kunnen, maar niet dat de DS107+ via het web is te benaderen voor system management taken.

Een oplossing zou kunnen zijn het wijzigen van de poort die de Web File Manager gebruikt. Een andere dat je ergens kan aangeven dat de "admin" louter vanaf het locale netwerk mag inloggen en de andere gebruikers van overal. Ook zou het wijzen van de poort voor de

PS1 Uiteraard kan het gebruik van de secure FTP service van de NAS ook, maar dit vereist een aparte client. Dit is iets wat ik de gebruikers wil besparen en in sommige gevallen gewoon niet mogelijk is.
PS2 Ik doel dus niet op de Web Station (de apache web server van de DS107+) maar de Web File Manager, die je standaard via poort 5000 benaderd.

<Duplicaat vraag staat bij NAS, toch hier ook gepost omdat hij bij NAS waarschijnlijk op de verkeerde plek staat. Excuses hiervoor.>

[Björn]

Ehm.. Je kunt alleen maar inloggen als admin als je ook het admin wachtwoord weet... Veiligheidsrisico valt wel mee dan toch?

[Anonymous]

Nou, nee, dat valt helaas tegen. Mijn ervaring is dat toch veel met bruteforce wordt gehamerd op openstaande poorten.
Daarnaast is een gewoon een hele wenselijke feature om admin logins louter toe te staan op het interne IP. Bij ADSL modems is dit bijvoorbeeld standaard.
Het is uiteraard ook zo dat het best apart is dat de Managment Console (de admin login) op eenzelfde poort draait als de Web File Manager. Dit zou naar mijn mening gewoon gescheiden moeten worden.

Services zouden naar mijn mening beter los kunnen staan (lees: andere poorten) van de Administratieve toegang.

Verder is de "user" admin niet te veranderen of te verwijderen. Als ik de loginnaam van de administrator zou kunnen veranderen is de veiligheid al te verhogen. Dit is echter ook niet mogelijk.

[Björn]

Das waar... Ik zal 't toch eens doormailen aan Synology.. Op dit moment is 't standaard in ieder geval niet mogelijk. Wellicht dat mbv telnet nog een en ander gewijzigd kan worden, maar daar heb ik niet zoveel kaas van gegeten eerlijk gezegd..

[Anonymous]

Als je 5x fout wachtwoord geeft, blokkeert de station het ip-adres.
werkt heel effectief.

[Matr1x]

Is dat echt waar... oef, nu kan ik tenminste weer slapen  

[sfensen]

@ matr1x
in het admin menu kan je ip-blocking activeren of de-activeren (bij mijn ds207 iig) Groet, Sfensen

[Matr1x]

Ik had dat ook al gezien onder FTP Service, maar dat is dus alleen voor FTP toegang. Ik maak me meer een beetje zorgen dat iemand met Telnet op afstand aan de slag gaat en in Linux gaat rommelen...

[sfensen]

Hoi Matr1x,
telnet protocol kan volgens mij als je een goede router hebt in de router gedisabeled worden. ik kan me vergissen hoor, ik ben geen programmeur :-)

in mijn zyxel router kan ik telnet, ftp en web-based remote management control instellen. Dit zegt verder alleen iets over de toegang tot de router misschien.

Ik heb eigenlijk alleen het probleem als anderen grote bestanden van mij via ftp willen downloaden op en gegeven moment de verbinding foetsie is en dat zij de melding krijgen: "Connection closed. Server timeout."

Dan kunnen ze er bij, lukt het nog niet :-)
Sfensen

[Anonymous]

Beste bjorn, dank voor je antwoord en actie richting Synology.

Ik zal ook nog een via telnet kijken hoewel dit waarschijnlijk geen oplossing biedt. De web-interface van het inloggen op de admin èn de webbased file transfers is namelijk dezelfde. Deze pagina bevat beide logins.

Ik hoop van harte dat het admin gedeelte op een andere poort kan worden gezet (of de webbased file transfers). Beide moeten dus op een aparte pagina (en poort) worden aangeboden. Dit zorgt absoluut voor een veiliger en beter beheersbaar product.

[Matr1x]

Ik zet poort 5000 ook liever niet open vanwege de mogelijkheid om admin te kunnen hacken. Dat blocken van IP gebeurt namelijk alleen voor toegang via ftp, dus kan je via http oneindig keer een wachtwoord voor admin proberen. Dit zie ik ook duidelijk gebeuren in de log als ik deze poort open zet. Ik zet nu alleen maar tijdelijk poort 5000 open als ik iets op afstand moet doen.

Ik las overigens ergens een artikel van bjorn om de andere shares apart te kunnen benaderen via web (bijv. http:\myippublic of http:\myipmusic). Ik weet niet goed wat ik mij er bij voor moet stellen, want ik heb het nog niet geprobeerd. Maar misschien kan je hiermee wel File Manager starten voor een specifieke share en hier een poort aan hangen. Dus http:\myip:8081gedeeldemap opent direct de File Manager voor alleen share gedeeldemap. En hiervoor kan je dan en aandere poort voor gebruiken dan de standaard poort 5000.

[Björn]

Je kunt inderdaad anders shares via poort 80 benaderbaar maken (http://mijn-ip/share-naam)
Als je er dan ook nog een andere filemanager op zet (zie http://www.hotscripts.com) dan ben je inderdaad een heel eind..

[Matr1x]

Bjorn, wat gebeurt er als je dat doet en http://mijn-ip/share-naam gebruikt? Hetzelfde als je \mijn-ipsharenaam intikt? Of moet je dan in die map een index.htm zetten en er zelf iets omheen bouwen?

[Björn]

Versie 2.. Hij gooit 'm dan gewoon als webshare op 't net.. Standaard kun je dan gewoon alles downloaden.. Je zou een goede filemanager moeten downloaden en in die share moeten zetten om de boel te beveiligen..

[Matr1x]

Dat stukje waar ik het over had staat nog op het "oude" forum:
http://www.mobileforum.nl/viewtopic.php?t=1040