Welke poort is het beste om te forwarden?

[Arnold71]

Hallo allemaal!

Ik heb even een vraag die maar deels met Synology te maken heeft, vandaar dat ik het maar in de Lounge post. Mocht het toch onder een ander subforum horen (b.v. DSM 6) dan hoor ik het graag.

Ik ben al een tijdje een zeer tevreden gebruiker van Synology producten. Omdat ik mijn NAS nu ook wat vaker extern wil gebruiken heb ik DDNS geactiveerd en port forwarding geregeld in mijn router. Werkt als een zonnetje.

Op dit moment is het nog zo dat ik op mijn router de "Synology admin-poort" 5000 doorzet maar vanuit mijn werk mag ik alleen standaardpoorten als 80 en 443 openen. Ik zou er dus voor kunnen kiezen om op mijn router in te stellen dat externe poort 80 (b.v.) gemapt wordt naar interne poort 5000 maar ik vraag me af of daar beveiligingsrisico's aan zitten. Poort 80 zal in een gemiddelde poortscan waarschijnlijk snel gevonden worden en dan wordt er ook gelijk iets "levends" gevonden. Aan de andere kant zal zo'n poortscan misschien ook wel meerdere bekende poorten proberen. Daarnaast is het nog zo dat, als ik nu poort 80 extern ga gebruiken, het straks ook lastig wordt om eventueel een website op mijn NAS te gaan zetten. Niet dat ik daar nu direct plannen voor heb, maar je weet het nooit.

Heeft iemand een advies op dit gebied? Voors en tegens zijn meer dan welkom. Alvast hartelijk bedankt voor het meedenken!

Groet,
Arnold

[Hofstede]

Ik zal je mijn standaardadvies geven:

- Zet nooit poort 5000 open naar het internet, dat maakt je NAS kwetsbaar.

- Beter is het om een VPN tunnel te configureren zodat je via VPN kunt inloggen. Voordeel is ook dat VPN via poort 443 werkt.

Opmerking: Er is een reden waarom je werkgever het zo moeilijk maakt om jouw NAS thuis vanaf het werk te benaderen. Als jij op je werk je thuisnetwerk benaderd dan breng je de veiligheid van het bedrijfsnetwerk in gevaar. Bij mijn werk is het omzeilen van dit soort beperkingen een reden tot ontslag ....

[Arnold71]

Okee, bedankt voor het advies!

Toegang tot mijn thuis bestanden is hier niet direct reden tot ontslag, maar je maakt een terecht punt natuurlijk. Ik ga het nog eens heroverwegen.

Groet,
Arnold

[Briolet]

Via de nieuwe 'reverse proxy' optie in dsm-6 kun je b.v. één specifieke domeinnaam die op poort 80 (443) binnenkomt laten doorverwijzen naar poort 5000 (5001) intern. Iemand die gewoon op IP scant, zal dan nooit je inlogpagina zien.
In de router loopt alles via poort 80/443



Alleen als je "dsm.mijndomein.nl' in de browser intikt wordt je doorverwezen. De rest van het verkeer gaat naar de reguliere webserver op poort 80.
Deze optie zit onder 'Toepassingsportaal'.

Edit:
Extern zou ik nooit poort 5000 gebruiken, maar alleen de poort 5001 met versleuteld verkeer. Bij gewoon HTTP verkeer, weet je nooit of niet ook je wachtwoord als plain tekst over het netwerk gaat.
Bij dit forum wordt je ww locaal gehashed en gaat alleen de hash over het internet, maar in zijn algemeenheid wil ik niet steeds wireshark gebruiken om te zien of een http inlog toch veilig gebeurd.

[Arnold71]

Bedankt voor de aanvulling Briolet!

Als ik het goed begrijp regel je hiermee in dat alléén die specifieke URL mag redirecten van poort 443 naar 5001 intern? Als je b.v. in zou typen https://<mijn-publieke-ip-adres> dan blijft die gewoon op 443 door lopen?

Maar goed, ik ben het eerlijk gezegd ook wel met Hofstede eens dat dit vanuit mijn werkplek een beetje oneigenlijk gebruik van de toegestane poorten is. Ik zal het nog eens met onze systeembeheerder overleggen want de reden dat ik het wil gebruiken is functioneel wel uit te leggen. Er zijn dan echter wel betere opties dan platte tekst over poort 5000. Dat had ik zelf ook moeten bedenken natuurlijk.

Groet,
Arnold

[Briolet]

Ja, dit soort proxies is heel naam specifiek. Als een moderne browser inlogt op een IP adres, stuurt hij altijd ook de url zelf mee. Als de inlog dan op het IP binnenkomt, ziet je nas ook welke url bedoeld is en kan daar heel specifiek op reageren.
Dit is ook de manier waarop meerdere websites, via virtual hosts, op één IP gehost worden.