Standardmäßig steht nach der Installation der Synology, der Port 5000 für den ungesicherten Zugriff http und der Port 5001 für den Zugriff über das https Protokoll zur Verfügung.

Allerdings sind diese Ports bereits weltweit bekannt und werden natürlich auch von Cyberkriminellen gerne abgehört um ungeschützte Synology NAS Systeme im Internet zu entdecken.
Das wäre nur dann nicht weiter schlimm, wenn weitere Schutzmaßnahmen, wie SecureSignIn oder OTP usw. getroffen wurden. Jedoch sollte der Anwender die Angriffsfläche, oder auch die “einfachen” Sicherheitslecks, so schnell wie möglich stopfen. Dazu zählt neben dem “schwer zu erratenden Passwort” ebenfalls auch den Standard-Port 5001 der Verwaltungswebseite der Synology etwas zu verstecken, oder gleich abzuändern.

Im Klartext bedeutet das, wenn die Synology aus dem Internet erreichbar sein soll und dazu eine entsprechende Port-Weiterleitungsregel im Router eingerichtet wird, kann die Sicherheit an dieser Stelle – zumindest ein wenig – dadurch erhöht werden, wenn der Standardport von 5001 in einen anderen beliebigen Port verändert wird. Natürlich sollte es sich dabei um einen freien und noch nicht für andere Zwecke, oder Dienste reservierten Port handeln.

Wie man den Standardport in der Synology ändern kann und die Freigabe in der Fritz!Box, oder anderem DSL-Router einrichten kann, habe ich bei YouTube bereits ausführlich erklärt: Video anzeigen (im neuen Fenster)

Eine ausführliche Liste über die bereits “belegten Ports” und was es damit auf sich hat,  findet sich auf der Wikipedia Seite.

• Die Port-Adressen werden von der IANA vergeben und sind für alle Netzwerksysteme als bindend anzusehen.
• Dabei sind die Ports in drei Bereiche aufgeteilt. Well Known Ports (1-1023), sowie die Registred Ports (1024 -49151) und die Dynamic Allocated Ports (49152-65535).
• Die Portbereiche bis 49151 sind weitgehend für die Kommunikation von Anwendungen und Protokollen belegt und sollten daher nicht ohne weitere Prüfung verwendet werden.
• Die Ports – oder auch Anschluss-Nummern – die größer als 49152 und kleiner als 65535 sind dynamisch verwendbare Ports und können soweit bedenkenlos genutzt werden, sofern diese nicht bereits von anderen Synology Anwendungen pder anderen Netzwerkgeräten verwendet werden.

Ein Liste der  für die Synology-Anwendungen “reservierten Ports” findet sich hie in unserem Artikel.

Update 03-2021

Immer wieder sehe ich im Coaching, dass die Port 5000 und 5001 unmaskiert in dem DSL-Router verwendet werden. Das ist allerdings ein großes Sicherheitsrisiko und passiert in vielen Fällen eher unbewusst und automatisch durch den Synology-Assisistenten für die “automatische Routerkonfiguration“.

Wer diese Funktion verwenden möchte, sollte vorher den HTTPS-Port ändern und dies im Router kontrollieren und unbedingt bei der “automatischen Konfiguration” die Freigabe für das http-Protokoll 5000 deaktivieren!
Grundsätzlich sollten nur die Ports, die unbedingt benötigt werden, am Besten zu Fuß eingerichtet werden. Somit erhält man deutlich mehr Kontrolle und ist vor “ungewollten” oder “unabsichtlich” erstellten Portregeln am Besten geschützt.

Maskiert / Unmaskiert

Maskiert bedeute, dass extern ein anderer Port verwendet wird als intern. Also im Router wird der Port 5588 für die Öffentichkeit angegeben, der wiederum INTERN auf den Port 5001 zu der Synology zeigt. Das kann allerdings beim Erstellen von Freigabelinks zu fehlerhaften links führen, da in der URL der Port für die Anwendung (z.B. 5001) eingetragen wird und nicht der maskierte Port (5588) der im Router definiert worden ist.

Im Zweifel muss also jeder erzeugte Freigabelink vor der Bekanntgabe erst einmal angepasst werden. Das ist u.U. viel Aufwand und kann durch die Verwendung eines unmaskierten Ports umgangen werden.

Portregel maskiert in der Fritz!Box

Unmaskiert bedeutet, das extern wie auch intern der gleiche Port verwendet wird und damit eine Anpassung der erzeugten Freigabelinks nicht mehr notwendig ist. z.B. Im Router wird der Port 5001 auf die Synology am Port 5001 zeigen. Oder in geänderter Form, wie im Router der Port 5588 und auf der Synology ebenfalls der Port 5588.

Unmaskierte Portregel in der Fritz!Box

Das erspart viel Aufwand und behebt zugleich eine der beliebtesten Fehlerquellen bei der Datenfreigabe.

Wann ist eine Änderung des Standard-Ports nötig ?

Grundsätzlich sollte die Änderung der Verwaltungswebseite immer dann erfolgen, wenn ein Zugriff auf die Synology über das Internet heraus geplant ist. Dabei spielt es auch keine Rolle ob der DynDNS Name ganz kryptisch zu lesen ist, oder bei welchem DDNS-Provider der Name regestriert worden ist. Fakt ist: Sobald die Synology aus dem externen Netzwerk (also Internet) erreichbar ist, wird Sie mit dem tandard-Port 5000 und 5001 innerhalb von wendigen Sekunden im Visier von Cybergangstern landen.

Die Onlinedienste der Kriminellen scannen das Internet weltweit nach bestimmte Ports, um einen ersten Angriff vorbereiten zu können. Dazu gehören zum einen die Ports für Webserver 443, 80 und 8080, sowie auch die beliebten Synology Ports 5000 und 50001. Wenn dann auch noch das Passwort schnell zu erraten ist, sind die Verbrecher innerhalb wendiger Minuten oder auch Sekunden im System und können die Synology in Ihren Besitz nehmen, ohne das der Besitzer etwas davon merkt.

Unbemerkter Zugriff durch Hacker

Ein Hackerangriff auf die Synology geschieht meist unbemerkt und wird oftmals erst dann entdeckt oder bemerkt, wenn es schon zu spät ist. Gelangt ein Hacker auf das System, hat er so den Zugriff auf alle Ihre Daten und könnte diese für weitere kriminelle Zwekce missbrauchen. Das wäre schon mal super ärgerlich, wenn plötzlich “pikante Fortos” bei Facebook oder anderen Plattformen auftauchen. Oder geheime und brisante Daten plötzlich weltweit zu Versteigerung angeboten werden.

Aber der noch schlimmere Fall, der auch allzuoft eintritt, ist das Verschlüsseln der Synology, oder Ihren Daten. Diese werden damit für den Benutzer unbrauchbar und erst nach einer dubiosen Lösegeldzahlung (vielleicht) wieder zu entschlüsseln und nuzbar. In diesen Fällen hilft natürlich ein gutes Backup-Konzept und nicht nur das Umstellen der Ports. Etwas mehr an Sicherheitsoptionen, sollten dafür schon ausgereitzt werden.

DynDNS immer mit selbst definierten Ports verwenden

Im Gegensatz zum Quick-Connect Dienst, hat man beim Verwenden einer DynDNS-Adresse die Möglichkeit seine eigenen Ports für ALLE ANWENDUNGEN selbst zu definieren und diese vom Standard abweichen zu lassen. Damit wird es für den Angreifer schon mal etwas schwerer zu erkennen, welche Anwendung sich an welchem Ort befindet und erschwert damit den Angriff deutlich.

Das ist natürlich nur eine der vielen Sicherheitsma?nahmen, die zum Schutz der Synology beitragen. Noch etwas sicherer wird der Zugang über den Reverse Proxy, da so der Angreifer gar nicht abschätzen kann, was sich hinter der URL verbirgt und im Router keine expliziten Freigaben mehr eingerichtet werden müßen.

Online Kurse zum Thema

Wer bislang noch keine Erfahrungen mit DDNS, Zertifikaten, Portregeln und der Firewall gemacht hat, sollte sich jetzt intensiv damit beschäftigen und lernen wie der externe Zugriff richtig abgesichert wird.

Wie können wir Ihnen helfen ?