Select Page

Wichtige Ports für Synology Systeme

Was es mit den Ports überhaupt auf sich hat, erkläre ich einmal etwas genauer ...

Einige fest definierten Ports (auf Deutsch: Anschluss-Nummer) werden von Synology-Anwendungen bereits verwendet und sollten daher nicht für eigene Zwecke verwendet werden.

 

Ports für Synology Anwendungen und Pakete

Kurze Einleitung zum Thema Ports

 

Was sind Ports überhaupt und wofür werden sie benötigt.?

Computersysteme nutzen zur Datenübertragung, unabhängig davon, welches Betriebssystem sie verwenden, ein Transportprotokoll und einen definierten “Port“. Man könnte diese Port auch in Deutsch als Anschluß-Nummer benennen.

Das Transportprotokoll ist eher wie ein Transportdienst, der für die Übermittlung der Daten (IP-Pakete) im Netzwerk und Internet, verantwortlich ist.

Anwendungen (also Programme und Dienste) nutzen eine von der IEEE als Standard definierte Kombination aus Protokoll und Port. Also eine Kombination aus Übertragungsweg (das Protokoll) und der Anschluss-Nr. (der Port).

Ich versuche einmal das Grundprinzip hier an einem der meistverbreiteten Dienste, wie dem Versenden und Empfangen einer E-Mail, zu verdeutlichen.

Für den E-Mail-Nachrichten Verkehr wurden von der IEEE gleich mehrere Protokolle und mehrere Ports als Standard definiert, ich greife hier einfach mal die bekanntesten Protokolle heraus und erkläre, wofür diese eingesetzt werden.

Fritz-Box Portfreigaben

 – SMTP (Simple Mail Protokoll)

Für das Protokoll SMTP wurde der Port 25 von der IEEE als Standard festgelegt:

  • Um eine E-Mail von einem Computer aus zu versenden, nutzen wir den Port 25, um Kontakt mit dem Postfachserver aufzunehmen.
  • Dieser verwendet ebenfalls SMTP und damit ebenfalls den Anschluss 25, um die Nachricht zum Ziel (sprich Empfänger Mail-Server) zu versenden.
  • Weitere Ports wie 465 und 587 finden Anwendung, wenn eine gesicherte Verbindung (SSL oder TLS) genutzt wird.
  • Allerdings setzt der Port 587 eine vorherige Authentifizierung voraus, was aber heute eh schon zum Standard geworden ist und in jedem E-Mail-Client eingestellt werden kann.

Diese Ports müssen ggfs. beim Einsatz eines eigenen Mail Plus Servers auf der Synology auch entsprechend im Router konfiguriert werden, andernfalls können die Mailnachrichten nicht an den Mail-Plus Server übergeben werden.

– POP3 (Post Office Protokoll Vers. 3)

Das POP3 Protokoll verwendet standardmäßig den Port 110 zum Empfang von E-Mail-Nachrichten.

Ein E-Mail-Client wie Outlook, Windows Mail, oder die Mail-App von macOS, nutzen oftmals POP3 und somit den Port 110, um E-Mails vom Postfachserver aus dem Internet oder von dem eigenen Mailserver (z.B. Synology Mail Plus Server) herunterzuladen.

Da sämtliche DSL-Router schon ab Werk eine Firewall verwenden und alle eingehenden Verbindung von Außen (also aus dem Internet) blockieren würden, muss der Client (sprich der E-Mail Client z.B. Outook also zuerst eine Verbindung zum Mailserver über den Port 110 initiieren, damit die E-Mails aus dem Internet den Weg zu dem heimischen PC finden.

Der E-Mail-Server im Internet könnte also von alleine keine aktive Verbindung zum Outlook oder Thunderbird aufbauen, da er an der integrierten Firewall vom DSL-Router abgelehnt werden würde. Der Computer-Client im lokalen Netzwerk muss also die Verbindung über den Port 110 also erst aufbauen, damit er die Nachrichten via POP3 abholen kann.

– POP3 mit SSL oder TLS Verschlüsselung

Verwendet der E-Mail-Client (z.B. Outlook, Thunderbird u.ä.)  Jedoch eine gesicherte Verbindung über SSL oder TLS dann muss der Port auf 995 umgestellt werden, da der Mail-Server im Internet sonst eine gesicherte Verbindung über den Port 110 ablehnen würde. Dabei wird zusätzlich eine verschlüsselte Kommunikation vom Client zum Mail-Server verwendet.

 – IMAP4 (Internet Message Access Protokoll Version 4)

Für das E-Mail Protokoll IMAP4 wurde der Port 143 und 993 von der IEEE festgelegt.

Im Unterschied zum POP3 werden die Mail-Nachrichten dabei aber nicht abgerufen und vom Postfachserver entfernt, sondern lediglich ein Spiegelbild vom Postfach zum Client übertragen. Bei der verschlüsselten Kommunikation muss der Port von 143 auf 993 umgestellt werden. 

Wie funktioniert das überhaupt mit den E-Mails und was hat das mit den Ports zu tun?

Am einfachsten wird es deutlich, wenn wir das Ganze einmal mit dem Versenden eines Briefes vergleichen, dann wird schnell deutlich, warum die IEEE diese Standards festgelegt hat und sich jeder daran halten sollte.

  • Ich versende einen Brief (die E-Mail) und werfe den in einen speziellen Schlitz (Port 25, 465, 587) im öffentlichen Briefkasten (Übertragung zu meinem E-Mail-Provider)
  • Bei einer verschlüsselten Verbindung würde das so aussehen, als ob ich ein Rohrpost verwende, von meinem Schreibtisch bis zum Briefkasten (Ich bin sicher, der Brief landet unversehrt im Briefkasten)
  • Der Postdienstleister schaut in den Briefkasten und lädt den Brief (meine Mail) in sein Auto und bringt es zu der Stadt, wo sich der Empfänger befindet (Transport zum E-Mail-Provider des Empfängers, z.B. nach GMX.de).
    Dazu verwendet er das SMTP-Protokoll und in den meisten Fällen ebenfalls eine Verschlüsselung. (so hoffe ich doch)
  • Im Postverteilerzentrum in der Zielstadt (GMX.de) sortiert der Postfachdienstleister nun den Brief (meine Mail) in meinen Briefkasten (Postfach) und dort verbleibt der Brief jetzt, solange, bis der Empfänger die Nachricht aus seinem Postfach abholt.
  • Und das wird er dann mit POP3 oder IMAP4 und mit einem der angegeben Ports machen (Port 110, 995, 143, 993).

Portforwarding und Portweiterleitungen

Auch bei Synology sind bestimmten Anwendungen schon fest definierte Ports zugewiesen. Das hat den entscheidenden Vorteil, dass sich der Benutzer nicht erst mit den Protokollen herumschlagen muss, wenn er eine Anwendung oder ein Paket installiert, da der Standard bereits fest definiert ist.

Da aber die interne Firewall vom Router z.B. der Fritz.Box oder dem Speedport, von Werk aus so eingestellt sind, dass sie keine eingehenden Verbindung zulassen, müssen für jede Anwendung die benötigten Ports und das dazugehörige Transport Protokoll wie z.B. TCP oder UDP zuerst einmal konfiguriert werden.

In der Fachsprache sind das “Firewall-Regeln“, im Volksmund wird das auch gern als Port-Weiterleitung (Portforwarding) definiert.

Benötige ich also Zugriff über das Internet auf eine bestimmte Anwendung meiner DiskStation, z.B. auf das Drive oder die FileStation oder die rsync-Funktion, so muss ich die entsprechenden Regeln im Router einrichten und die Ports und Protokolle definieren. Dazu gibt es von Synology eine lange Liste mit Anwendungen und deren Ports, die von diesen standardmäßig verwendet werden. Allerdings sind diese Informationen öffentlich und man kann sehr wohl davon ausgehen, dass sich auch die Cyberkriminellen damit beschäftigt haben und diese Standard-Ports grundsätzlich im Internet absuchen.

Deshalb wäre es unbedingt notwendig, die “offiziellen Ports” nach “Außen” zu verschleiern (maskieren) oder einfach nicht zu verwenden, oder bei der Einrichtung gleich einen Netzwerkprofi wie uns ins Boot zu holen. Mit den “Richtigen Handgriffen”, kann über diesen Weg die Sicherheit der eigenen Synology schon mal etwas angehoben werden. Wenn auch einige andere Einstellungen ebenso beim Thema Sicherheit eine entscheidende Rolle spielen.

 Synology Ports und Dienste

Hier haben wir einmal die wichtigten Ports und Ihre Anwendungen, für den täglichen Gebrauch zusammen gestellt, damit Ihr die richtigen Portregeln im Internet-Router gleich einstellen könnt:

Anwendung und Standard Port für Synology

Anwendung Portnummer Protokoll
Synology Assistant 9999, 9998, 9997 UDP
rsync, remote time backup 873, 22 (bei Verschlüsselung über SSH) TCP
DSM 5000 (HTTP), 5001 (HTTPS) TCP
File Station 5000 (HTTP), 5001 (HTTPS) TCP
WebDAV, CalDAV 5005 (HTTP, (5006 (HTTPS) TCP
Calendar 38008,38443 TCP
CardDAV 8008 (HTTP), 8443 (HTTPS) TCP
Cloud Station 6690 TCP
Drive 5000 (HTTP), 5001 (HTTPS), 6690 TCP
Medien Server 1900 (UPnP), 50001 (Inhalte durchsuchen), 50002 (Inhalte übertragen) TCP/UDP
Hyper Backup 6281 Standard mit Versionierung
873 bei Remotekopie
ggfs. 22 wenn SSH zum Einsatz komt
TCP
Surveillance Station 9900 (HTTP), 9001 (HTTPS) TCP
Active Backup (ABB)

5510 (Standard Synology NAS)

443 (vCenter Server und ESXi-Host)
902 (ESXi-Host); 445 (SMB für Hyper-V-Host)
5985 (HTTP für Hyper-V-Host)
5986 (HTTPS für Hyper-V-Host)

TCP
Moments 5000 (HTTP), 5001 (HTTPS) TCP
Note Station 5000 (HTTP), 5001 (HTTPS) TCP
VPN Server (OpenVPN) 1194 UDP
VPN Server (PPTP) 1723 TCP
VPN Server (L2TP/IPSec) 500, 1701,4500 UDP (GRE)
POP3 (m. SSL) 110 (995) TCP
SMTP 25, 587, 465 TCP
IMAP 
IMAP m. SSL/TLS
143
993
TCP

Eine vollständige Liste befindet sich auf der Synology-Hilfe Seite

Einige der Standard-Ports können in einigen Fällen (Anwendungsportal) abweichend “von Hand” in der Synology eingerichtet werden.

.

Hilfsmittel und Werkzeuge für die eigene Prüfung

Wer eigene Port-Regeln oder Portweiterleitungen in seinem Router benötigt, sollte sich darüber im Klaren sein, dass er hierbei das Gefahrenpotential steigert. Hacker und Online-Kriminelle sind Tag für Tag auf der Suche nach solchen “Offenen Ports”, um in die Systeme einzudringen und die Besitzer zu erpressen oder anderweitig Schaden zuzufügen.

Von daher sollte man es den Online-Verbrechern nicht zu einfach machen und sofern es möglich ist, die Ports nach Außen verschleiern.

Auch wenn das natürlich kein hundertprozentiger Schutz vor einem Angriff ist, so wird sich die Zahl der Angreifer aber mit diesem kleinen Trick schon deutlich verringern. Natürlich sollten alle weiteren Schutzmechanismen, die so ein Synology-System zu bieten hat, ebenfalls einschalten, um das Risiko weiter zu minimieren.

Es gibt eine ganze Reihe von Sicherheitseinstellungen und Praktiken, die zum Schutz der eigenen Daten, oder besser der gesamten Synology beitragen können. Ein paar der wichtigsten Sicherheitseinstellungen habe ich hier in diesem Video zusammengestellt: Natürlich besteht hier kein Anspruch auf Vollständigkeit. Die Sicherheit der Synology und den Daten hängt nicht allein nur von der Synology ab, sondern auch von den anderen Beteiligten im Netzwerk.

 

Hilfreiche Links zu diesem Thema:

Ausführlicher Artikel zum Video 11 Sicherheitstipps für die Synology

Eine der ersten Anlaufstellen zum Prüfen der eigenen Port-Einstellungen ist sicherlich der Online-Scanner CanYouSeeMe.org
Eine umfangreiche Liste von verfügbaren, oder bereits belegten Ports und deren Anwendungen findet sich unter adminsub.net

Unterstützung vom Synology Experten

Wenn Sie ein ungutes Gefühl haben, dass Ihre Daten vielleicht doch nicht wirklich sicher sind, dann sollten Sie einfach mal einen Synology-Experten über Ihr System darüber gucken lassen. Gerade dann, wenn Ihr Synology-System auch aus dem Internet erreichbar ist, sind die Gefahren proportional hoch und der Verlust Ihrer Daten, könnte nicht nur finanzielle Folgen haben.

Sicherheit ist das oberste Gebot

Unser Synology-Experte prüft mit Ihnen die Sicherheitseinstellung direkt auf Ihrer eigenen Synology und gibt Ihnen wertvolle Tipps zum Thema Sicherheit.

Im gleichen Zuge lernen Sie – direkt vom Profi – wie Sie Ihre Einstellungen in Zukunft selbstständig sicher durchführen können und zum Schutz Ihrer wichtigen persönlichen Daten beitragen können.

Persönliches Coaching mit einem Experten

Das Thema Sicherheit und Datenschutz ist und bleibt auch in der Zukunft, ein Dauerbrenner in unseren Coachings.

Die Gefahren aus dem Internet steigen jeden Tag rasant an und viele Anwender sind den Online-Kriminellen fast schutzlos ausgeliefert.

Nutzen Sie das Know-How aus mehr als 25 Jahren Berufserfahrung und lassen Sie sich von unserem Coach, die Abwendung von Gefahren und die notwendigen Einstellungen zeigen.

Ihr Coach Frank hilft Ihnen bei den Experten Einstellungen und erklärt Ihnen im Detail welche Schutzkomponenten etwas bringen und wie Sie Ihr Netzwerk schützen können

Das sagen unsere Kunden zu unseren Synology-Coaching

“Suoer lieben Dank, für das tolle Coaching. Diese Stunde hat sich aber mal so richtig gelohnt …”

Jamein

RS816

“Sehr kompetente Leistung. Der Coach überzeugt direkt mit viel Fachwissen und Fähigkeiten …”

Martin H.W.

DS918+

“Vielen Dank für diese schnelle und sehr fachkundige Hilfestellung, die Sie bei mir geleistet haben. Ich empfehle Sie gerne weiter.”

Dr. H. Werner

DS216 II+