WinFuture-Forum.de: Synology NAS von extern erreichen - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
  • 2 Seiten +
  • 1
  • 2

Synology NAS von extern erreichen

#16 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 28. Juli 2017 - 21:26

Y'know, ich fang echt langsam an, diese Zertifikatsparanoia, die da überall propagiert wird, zu hassen. :huh:

Eine Verbindung ohne das S in HTTPs ist nicht unsicher. Eine Verbindung mit dem S in HTTPs ist auch nicht (notwendigerweise) sicher. Schon gar nicht sicherer als ohne das S.


WENN
+ Sichergestellt sein soll, daß Kommunikation von und zu Deinem freigegebenen Rechner nicht unterwegs belauscht wird; UND
+ Es irgendein Vertrauensverhältnis gibt zwischen Dir und den Figuren, die da zugreifen sollen von außen (und damit ist ein reales Vertrauensverhältnis gemeint); UND
+ In irgendeiner Form die Gefahr besteht, daß dieses Vertrauen unterwandert und damit jemandem schaden könnte;

DANN - und mehr oder weniger nur dann wird ein Zertifikat sinnvoll, ALLERDINGS reicht an dieser Stelle ein selbstsigniertes mehr als aus.

In allen anderen Fällen kannst Du Dir das komplett sparen. Egal was irgendein Browser meint. Schmeiß lieber den scheiß Browser weg.

Grad erst gestern Chrome wieder in der Hand gehalten. Zertifikat anschauen von HTTPS? .... Fehlanzeige. Das ist in den DEVELOPER TOOLS verbuddelt.

Da krieg ich SO. NEN. HALS.


Übrigens, Ports gehören zu jeder (Internet-)Adresse dazu, stecken aber normalerweise implizit im Protokoll mit drin und wenn da HTTP: davor steht, versucht der Browser automagisch Port 80/tcp und nicht 21/tcp; das wäre nämlich ftp.

Port Forwarding ohne Ports wäre dementsprechend auch albern. Das ist allerdings notwendig wegen Network Address Translation, damit jeder Privato zuhaus seinen eigenen DHCP mit seiner eigenen privaten Netzwerkadresse rumhantieren kann. Ohne NAT ginge dies nicht und jeder(!) müßte eine öffentliche IP-Adresse haben für jedes(!) der am Netzwerk angeschlossenen Geräte.

Für die Kommunikation nach draußen (bzw von draußen nach drinnen) daher das Portforwarding: der Besucher weiß ja nur die Adresse vom Telekom-Router und kann die vom NAS aber weder ermitteln noch erreichen, also muß der Telekomrouter gesagt kriegen, daß Anfragen an Port X auf seiner eigenen Adresse an wen anders durchgereicht werden sollen. Es ist deshalb auch nicht ohne weiteres möglich, zwei Webserver im Privatnetz freizugeben: einer kann noch an Port 80/tcp am Router geknoppelt werden, aber dann ist dieser belegt und der zweite Webserver muß zwangsläufig einen anderen (externen) Port kriegen.


Ansonsten, ja. Je weniger, desto besser.

Adminoberflächen freigeben... muß ich jetzt nicht zu kommentieren, oder? Natürlich NICHT! Außer es besteht dringendster Bedarf daran und in dem Fall bestenfalls über SSH mit (Client-)Zertifikaten und ohne Paßwörter.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Anzeige



Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0