Auteur Topic: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?  (gelezen 10288 keer)

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Gepost op: 20 februari 2018, 11:14:53 »
Hoi,

Voor de driemaandelijkse update van het letsencrypt certificaat zet ik, op het moment dat ik een herinnerinsemail ontvang dat het certificaat gaat verlopen, poort 80 op mijn router even open naar de Synology NAS om de update mogelijk te maken.

Ik vraag me nu af hoe gevaarlijk het is die forward continu open te laten staan.
Poort 80 is toch wel een van de meest gebruikte poorten bij het afscannen van netwerken naar draaiende services.
Als je poort 80 open hebt staan trek je eigenlijk sowieso al onnodig 'aandacht' van het internet.

Bovendien is DSM zo gebouwd dat als je naar poort 80 gaat op je NAS je automatisch wordt doorgestuurd naar de werkelijke DSM poort die je in het configuratiepanel hebt ingesteld.
M.a.w, er draait dus een process op poort 80 (volgens mij 'nginx') die dat regelt.

Mijn vraag is: hoeveel risico loop ik en hoe gevaarlijk is het om poort 80 open te laten staan zodat ik niet telkens het letsencrypt certificaat met de hand hoef te updaten.

Wat zijn jullie ervaringen?
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #1 Gepost op: 20 februari 2018, 11:20:24 »
Waarom moet die poort op de router opengezet worden? Of kan je NAS normaal gesproken niet het internet op?




Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #2 Gepost op: 20 februari 2018, 11:34:14 »
Ik gebruik de firewall van de NAS niet maar wel de firewall op mijn router en heb dus mijn DSM poort vanaf de router naar de NAS open gezet. Voor de Letsencrypt update moet ik dat ook doen met pport 80.
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #3 Gepost op: 20 februari 2018, 11:56:30 »
Ok. Ik lees nu dat dat voor het vernieuwen van het certificaat inderdaad nodig is. Hoe raar ook.

Ik zou sowieso ook de firewall op de NAS activeren als extra beveiliging als je port-forwarding vanaf je router naar de NAS doet.




Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #4 Gepost op: 20 februari 2018, 12:20:47 »
…Bovendien is DSM zo gebouwd dat als je naar poort 80 gaat op je NAS je automatisch wordt doorgestuurd naar de werkelijke DSM poort die je in het configuratiepanel hebt ingesteld.…

Tenzij je de webserver activeert. Dan gaat poort 80 naar een "lege" pagina op de webserver als je geen website installeert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #5 Gepost op: 20 februari 2018, 12:43:01 »
Om speciaal daarvoor de webserver te laten draaien gaat me wat te ver.
Ik heb hem nu lekker aan het hibernaten en wil dus niet te veel draaien dat hem daaruit houdt.

Als ik het goed begrijp is dus het antwoord op mijn vraag: als ik poort 80 open laat staan is dat dus voor een onwelkome bezoeker makkelijk mijn DSM poort te vinden omdat hij vanuit poort 80 gelijk naar de goede DSM poort wordt doorverwezen (tenzij ik een webserver station ga draaien zonder content).
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #6 Gepost op: 20 februari 2018, 12:53:47 »
Eigenlijk maakt dat weinig uit. want tegenwoordig scannen ze ook standaard naar de DSM poort.

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #7 Gepost op: 20 februari 2018, 12:55:58 »
Ja maar die draai ik ook al op een andere poort, dus die vinden ze niet als ze op de standaard poorten kijken
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #8 Gepost op: 20 februari 2018, 13:39:04 »
Als je het heel moeilijk wilt doen, dan forward je poort x naar de nas. maar zet dsm op poort y. Vervolgens maak je een virtual host aan op poort x die alleen één specifieke url naar poort y doorstuurt.

Bij een scan op poort x vinden ze dan niets en poort y is niet te scannen omdat die niet geforward is.

----

Alleen een specifiek IP toelaten op poort 80 voor Let's Encrypt werkt ook niet. Let's Encrypt wil nml niet garanderen dat ze altijd dezelfde IP adressen blijven gebruiken voor hun verificatieserver.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #9 Gepost op: 20 februari 2018, 13:49:10 »
Tja dan blijft er dus niet veel over dan door gaan op de huidige manier; elke 3 maand even poort 80 forwarden, letsencrypt updaten en de poort weer dichtgooien.
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #10 Gepost op: 20 februari 2018, 14:09:03 »
Je kunt ook voor een paar euro een certificaat aanschaffen voor je domein....

Ben je voor een paar jaar van het probleem verlost.

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #11 Gepost op: 20 februari 2018, 14:10:45 »
Wat is 'een paar euro'? En over welke toko heb je het dan?
Volgens mij is dat tot nu toe altijd 'een paar veel euros' geweest.
Vandaar dat letsencrypt een mooi alternatief is.
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #12 Gepost op: 20 februari 2018, 14:16:37 »
Ik heb een jaar geleden een certificaat voor mijn domein gekocht, dat drie jaar geldig is, voor 15 euro . Dus 5 euro per jaar.

Offline zakhooi

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 1
  • Berichten: 182
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #13 Gepost op: 20 februari 2018, 14:17:55 »
Waar heb je dat gekocht?
  • Mijn Synology: DS415play
  • HDD's: 2xWD20EFRX,1xWD40EFR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe (on)veilig is het poort 80 open te houden voor Letsencrypt?
« Reactie #14 Gepost op: 20 februari 2018, 14:19:49 »
Je kunt ook voor een paar euro een certificaat aanschaffen voor je domein....

Of gewoon een self-signed certificaat maken met lange geldigheid. Want eigenlijk snap ik het nut niet van een extern geverifieerd certificaat als je toch elke externe inlog wilt blokkeren.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Permissies voor Photo map herstellen

Gestart door gbroekBoard Synology DSM algemeen

Reacties: 7
Gelezen: 990
Laatste bericht 26 september 2020, 14:52:16
door Birdy
Prullenbak in Drive onzichtbaar voor 'normale' gebruikers

Gestart door Peter van HeunBoard Cloud Station & Drive

Reacties: 10
Gelezen: 1358
Laatste bericht 15 januari 2021, 13:05:59
door dirklammers
Geen package voor cloudstation server

Gestart door MarcKiBoard Cloud Station & Drive

Reacties: 7
Gelezen: 2205
Laatste bericht 07 juni 2021, 15:05:21
door MarcKi
Pc voor SS systeem met 28 camera's

Gestart door Henk-ieBoard The lounge

Reacties: 0
Gelezen: 541
Laatste bericht 01 september 2021, 12:27:36
door Henk-ie
Time Machine zegt dat er geen ruimte is voor backup

Gestart door HansZBoard Mac OS X

Reacties: 2
Gelezen: 1154
Laatste bericht 29 december 2021, 13:46:52
door HansZ