Select Page

Wie können wir helfen?

Sie sind hier:
Drucken

Standard DSM Port ändern

Standardmäßig steht nach der Installation der Synology, der Port 5000 für den ungesicherten Zugriff http und der Port 5001 für den Zugriff über das https Protokoll zur Verfügung.

Allerdings sind diese Ports bereits weltweit bekannt und werden natürlich auch von Computerkriminellen gerne abgehört um ungeschützte Synology NAS Systeme im Internet zu entdecken. An und Für sich ist das auch nicht weiter schlimm, jedoch sollte der Anwender die Angriffsfläche, oder auch die „einfachen“ Sicherheitslecks, so schnell wie möglich stopfen. Dazu zählt neben dem „schwer zu erratenden Passwort“ ebenfalls auch den Standard-Port 5001 der Verwaltungswebseite der Synology etwas zu verstecken, oder gleich abzuändern.

http-2-aktiviren

Im Klartext bedeutet das, wenn die DiskStation oder RackStation aus dem Internet erreichbar sein soll und dazu eine entsprechende Port-Weiterleitungsregel im Router eingerichtet wird, kann die Sicherheit an dieser Stelle – zumindest ein wenig – dadurch erhöht werden, wenn der Standardport 5001 in einen anderen beliebigen Port verändert wird. Natürlich sollte es sich dabei um einen freien und noch nicht für andere Zwecke, oder Dienste reservierten Port handeln.

Wie man den Standardport in der Synology ändern kann und die Freigabe in der Fritzbox, oder anderem DSL-Router einrichten kann, habe ich in diesem Video bereits ausführlich erklärt: Video anzeigen (im neuen Fenster)

Eine ausführliche Liste über die bereits „belegten Ports“ und was es damit auf sich hat,  findet sich auf der Wikipedia Seite.

  • Die Port-Adressen werden von der IANA vergeben und sind für alle Netzwerksysteme als bindend anzusehen.
  • Dabei sind die Ports in drei Bereiche aufgeteilt. Well Known Ports (1-1023), sowie die Registred Ports (1024 -49151) und die Dynamic Allocated Ports (49152-65535).
  • Die Adressbereiche bis 49151 sind weitgehend für die Kommunikation von Anwendungen und Protokollen belegt und sollten daher nicht ohne weitere Prüfung verwendet werden.
  • Die Ports – oder auch Anschluss-Nummern – die größer als 49152 und kleiner als 65535 sind dynamisch verwendbare Ports und können soweit bedenkenlos genutzt werden, sofern diese nicht bereits von anderen Synology Anwendungen verwendet werden.

Ein Liste der „reservierten Ports“ findet sich hier in unserem Artikel

Update 03-2021

Immer wieder sehe ich im Coaching, dass der Standard-Port 5000 und 5001 unmaskiert in dem DSL-Router verwendet wird. Das ist allerdings ein großes Sicherheitsrisiko und passiert in vielen Fällen eher unbewusst und automatisch durch den Synology-Assisistenten für die „automatische Routerkonfiguration“.

Wer diese Funktion unbedingt verwenden möchte, sollte im Vorfeld den HTTPS-Port ändern und dies im Router kontrollieren und unbedingt bei der „automatischen Konfiguration“ die Freigabe für das http-Protokoll 5000 deaktivieren! Im Idealfall sollten die Ports, die unbedingt benötigt werden, nicht über den Synology-Assistenten, sondern zu Fuß eingerichtet werden. Somit erhält man deutlich mehr Kontrolle und ist vor „ungewollten“ oder „unabsichtlich“ erstellten Portregeln am Besten geschützt.

Maskiert / Unmaskiert

Maskiert bedeute, dass extern ein anderer Port verwendet wird als intern. Also im Router wird der Port 5588 freigegeben, der wiederum auf den Port 5001 zu der Synology zeigt. Das kann allerdings beim Erstellen von Freigabelinks und Dateianforderungs-links zum erzeugen eines fehlerhaften links führen, da in der URL der Port für die Anwendung (z.B. 5001) eingetragen wird und nicht der maskierte Port (5588) der im Router definiert worden ist. Im Zweifel muss also jeder erzeugte Freigabelink vor der Bekanntgabe erst einmal angepasst werden. Das ist u.U. viel Aufwand und kann durch die Verwendung eines unmaskierten Ports umgangen werden.

fritz-box-portregel

Portregel maskiert in der Fritz!Box

Unmaskiert bedeutet, das extern wie auch intern der gleiche Port verwendet wird und damit eine Anpassung der erzeugten Freigabelinks nicht mehr notwendig ist. z.B. Im Router wird der Port 5001 auf die Synology am Port 5001 zeigen. Oder in geänderter Form, wie im Router der Port 5588 und auf der Synology ebenfalls der Port 5588.

fritz-box-portregel

Unmaskierte Portregel in der Fritz!Box

 

Das erspart viel Aufwand und behebt zugleich eine der beliebtesten Fehlerquellen bei der Datenfreigabe.

Wie das geht und wie man es einstellt, habe ich Video bereits ausführlich gezeigt: Video anzeigen (im neuen Fenster)