/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Åbne Porte i Firewall
Fra : Søren Pedersen


Dato : 26-01-07 08:51


Hej,

Har opsat en Synology Disk Station DS-106e til min router for at jeg på
arbejdet kan tilgå mine filer der hjemme.
Jeg har sat den op til FTP og i den forbindelse har jeg åbnet for port 3500
og port 3499
samt 65500 - 66560.

3500 og 3400 istedet for 21 og 20 for at få en lidt større sikkerhed på FTP
serveren, men ændre dem
selvfølgelig lidt efter jeg har skrevet dette

Jeg benytter en XyWall 2 Router og går ret meget op i sikkerhed, derfor vil
jeg høre her
om det er et sikkerhedsproblem for mit netværk (windows XP installation) at
jeg har åbnet
for de pågældende porte.
Det skal bemærkes at NAS Serveren har den samme LAN IP hele tiden, og den
SUA og Firewall
opsætning jeg har lavet (åbnet porte) kun fører til den LAN adresse.


Hilsen
Søren.



 
 
Michael Rasmussen (26-01-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 26-01-07 09:28

On Fri, 26 Jan 2007 08:50:46 +0100, "Søren Pedersen"
<soeren.k.p@ofir.dk> wrote:

>Har opsat en Synology Disk Station DS-106e til min router for at jeg på
>arbejdet kan tilgå mine filer der hjemme.

>Jeg har sat den op til FTP og i den forbindelse har jeg åbnet for port 3500
>og port 3499
>samt 65500 - 66560.

>Jeg benytter en XyWall 2 Router og går ret meget op i sikkerhed, derfor vil
>jeg høre her om det er et sikkerhedsproblem for mit netværk (windows XP installation) at
>jeg har åbnet for de pågældende porte.

Tja, der er altid en sikkerhedsrisiko ved at åbne porte i routeren...

I den aktuelle situation er den største risiko at du fjumrer med
Synology opsætningen og tillader anonyme brugere adgang til
ftp-serveren - Det værste der kan overgå dig ved det, er at disken
fyldes med porno og mp3 filer, men det overlever du nok

En anden mulighed er at hackere udnytter en svaghed i synology
ftp-serveren og overtager kontrollen over først Synology boksen og
senere hele dit lokalnet.

Bevares. Risikoen er der, men den er formentlig i samme størrelseorden
som sandsynligheden for at du løber med lotto puljen de næste 5
lørdage i træk

Hvis du er omhyggelig med Synology / ftp-server opsætningen mener jeg
godt du kan have serveren på de officielle porte, og så alligevel sove
roligt om natten...

<mlr>


Søren Pedersen (26-01-2007)
Kommentar
Fra : Søren Pedersen


Dato : 26-01-07 09:53


"Michael Rasmussen" <michael@invalid> skrev i en meddelelse
news:kndjr2d6s68iib5f2b5uji93ksnevfv9tu@4ax.com...
> On Fri, 26 Jan 2007 08:50:46 +0100, "Søren Pedersen"
> <soeren.k.p@ofir.dk> wrote:
>
>
> Tja, der er altid en sikkerhedsrisiko ved at åbne porte i routeren...
>
> I den aktuelle situation er den største risiko at du fjumrer med
> Synology opsætningen og tillader anonyme brugere adgang til
> ftp-serveren - Det værste der kan overgå dig ved det, er at disken
> fyldes med porno og mp3 filer, men det overlever du nok
>
> En anden mulighed er at hackere udnytter en svaghed i synology
> ftp-serveren og overtager kontrollen over først Synology boksen og
> senere hele dit lokalnet.
>
> Bevares. Risikoen er der, men den er formentlig i samme størrelseorden
> som sandsynligheden for at du løber med lotto puljen de næste 5
> lørdage i træk
>
> Hvis du er omhyggelig med Synology / ftp-server opsætningen mener jeg
> godt du kan have serveren på de officielle porte, og så alligevel sove
> roligt om natten...
>
> <mlr>

Tak for det hurtige svar

Jeg er opmærksom på at der er en Gæste konto, men den ser ikke ud til at
fungerer under
FTP, den eneste opsætning som jeg ser som farlig er annonym FTP adgang, som
jeg selvfølgelig
ikke har sat til. Det er iøvrigt et dejligt UI der er i Synology..

Men jeg har problemer med at tilgå den ude fra, har du en ide om hvorfor.

Loggen på FTP programmet som jeg bruger udefra ser ud som nedenstående, har
også prøvet via IE6, der kommer følgende:
Der opstod en fejl ved åbning mappen på FTP-serveren. Sørg for, at du har
tilladelse til at åbne denne mappe.
Detaljer:
200 Type set to A.
200 PORT command successful.
425 Cant build data connection: No route to host.

Og FTP programmets LOG:

WinSock 2.0

Connecting to 80.112.222.22
Connected to 80.112.222.22 Port 3500
220 Disk Station FTP server at NASServer ready.
USER Testbruger
331 Password required for Testbruger.
PASS (hidden)
230 User Testbruger logged in.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (192,168,1,100,218,242)
Data Socket Error: Connection timed out


Jeg har fundet ud af at der er noget der hedder Aktiv FTP og Passiv FTP,
og har derfor åbnet porte fra 65500 - 66560 i routeren
da de åbenbart bruges i passiv FTP. (fik 65500-66560 fra opsætningen i
DS-106e). Men det virker stadig ikke....

Hilsen
Søren



Michael Rasmussen (26-01-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 26-01-07 10:26

On Fri, 26 Jan 2007 09:52:35 +0100, "Søren Pedersen"
<soeren.k.p@ofir.dk> wrote:

>Jeg har fundet ud af at der er noget der hedder Aktiv FTP og Passiv FTP,
>og har derfor åbnet porte fra 65500 - 66560 i routeren
>da de åbenbart bruges i passiv FTP. (fik 65500-66560 fra opsætningen i
>DS-106e). Men det virker stadig ikke....

FTP er en besværlig protokol der kan drille som ind i .....

Mit forslag er at du beholder FTP serveren på de standardisede porte -
Det giver færrest problemer, og sikkerhedsrisikoen er til at overse...

Selv om FTP-protokollen anvender flere porte skal man normalt kun åbne
port 21, så klarer routeren normalt resten 'i baggrunden'.

Hvis du vælger at have ftp-serveren på en alternativ port skal du
enten åbne en extra port eet portnummer under FTP control porten,
eller alternativt køre i passiv (PASV) mode.

Det er ftp-clienten der starter PASV, så du må checke dokumentationen
til din ftp-client hvordan du gør det...

Men det er langt fra alle ftp-clienter der understøtter PASV - Mange
ftp-server mangler også PASV understøttelse, jeg ved ikke om Synologys
bokse har PASV understøttelse...

Vedr portene 65500 - 66560 har du misforstået situationen: Jo, portene
bruges (måske) i ftp-kommunikationen, men det er ikke nødvendigt at
åbne portene i routeren...

<mlr>


Søren Pedersen (26-01-2007)
Kommentar
Fra : Søren Pedersen


Dato : 26-01-07 10:57


> FTP er en besværlig protokol der kan drille som ind i .....
>
> Mit forslag er at du beholder FTP serveren på de standardisede porte -
> Det giver færrest problemer, og sikkerhedsrisikoen er til at overse...
>
> Selv om FTP-protokollen anvender flere porte skal man normalt kun åbne
> port 21, så klarer routeren normalt resten 'i baggrunden'.
>
> Hvis du vælger at have ftp-serveren på en alternativ port skal du
> enten åbne en extra port eet portnummer under FTP control porten,
> eller alternativt køre i passiv (PASV) mode.

Jeg benytter en XyWall 2 Router hvor jeg i første omgang åbnede op for port
3500 og 3499, svarende til port 21 og 20. Men for at
få en lidt større sikkerhed valgte jeg dem.

> Det er ftp-clienten der starter PASV, så du må checke dokumentationen
> til din ftp-client hvordan du gør det...

Jeg har prøvet flere, de prøver ofte først i Aktiv mode, men skifter så til
passiv.

> Men det er langt fra alle ftp-clienter der understøtter PASV - Mange
> ftp-server mangler også PASV understøttelse, jeg ved ikke om Synologys
> bokse har PASV understøttelse...

Det har den, og her henviser den til at den benytter porte fra 65500 til
66560, man kan så nedenunder
selv vælge nogle andre porte hvis man vil.

> Vedr portene 65500 - 66560 har du misforstået situationen: Jo, portene
> bruges (måske) i ftp-kommunikationen, men det er ikke nødvendigt at
> åbne portene i routeren...

Den skal jo modtage data på de porte udefra, så det virker slet ikke hvis
jeg ikke åbner for dem. De svarer jo til port 20 i Aktiv
mode.

Jeg mener at jeg har prøvet at fjerne fluebenet ud for disse porte i
Synologys, så den kører Aktiv FTP, men så kunne jeg ikke
tilgå den på LAN forbindelsen, hverken med Stifinderen eller IE, det kan jeg
når den er sat på til Passiv FTP.


Det er ret langhåret at få det til at fungerer... Det var ellers bare lige
at købe en NAS server og så lige tilgå den på FTP udefra..

Hilsen
Søren




Michael Rasmussen (26-01-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 26-01-07 11:23

On Fri, 26 Jan 2007 10:57:05 +0100, "Søren Pedersen"
<soeren.k.p@ofir.dk> wrote:

>> Vedr portene 65500 - 66560 har du misforstået situationen: Jo, portene
>> bruges (måske) i ftp-kommunikationen, men det er ikke nødvendigt at
>> åbne portene i routeren...
>
>Den skal jo modtage data på de porte udefra, så det virker slet ikke hvis
>jeg ikke åbner for dem. De svarer jo til port 20 i Aktiv
>mode.

Forbindelsen klargøres 'indefra' af ftp-serveren inden ftp-clienten
åbner forbindelsen, så det er normalt ikke nødvendigt at åbne disse
porte i routeren.

>Jeg mener at jeg har prøvet at fjerne fluebenet ud for disse porte i
>Synologys, så den kører Aktiv FTP, men så kunne jeg ikke
>tilgå den på LAN forbindelsen, hverken med Stifinderen eller IE, det kan jeg
>når den er sat på til Passiv FTP.

>Det er ret langhåret at få det til at fungerer... Det var ellers bare lige
>at købe en NAS server og så lige tilgå den på FTP udefra..

Som jeg skrev tidligere: FTP er en besværlig protokol der kan drille
som ind i h....

Mange af detaljerne i FTP-protokollen håndterer routerne i baggrunden
uden at involvere brugerne - Men det gør de kun så længe ftp-trafikken
ligger på standard portene...

Når du vælger alternative porte skal du selv håndtere alle detaljer,
og det kræver altså et dybtgående kendskab til TCP/IP i almindelighed
og ftp-protokollen i særdeleshed.

Men hvorfor gøre livet surt for sig selv - Læg ftp-serveren på port
21, så tror jeg det kører uden problemer.

<mlr>

Michael Rasmussen (26-01-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 26-01-07 11:51

On Fri, 26 Jan 2007 10:57:05 +0100, "Søren Pedersen"
<soeren.k.p@ofir.dk> wrote:

>Det er ret langhåret at få det til at fungerer... Det var ellers bare lige
>at købe en NAS server og så lige tilgå den på FTP udefra..

Måske dette link kan hjælpe:

http://www.ncftp.com/ncftpd/doc/misc/ftp_and_firewalls.html

<mlr>

B. Nice (26-01-2007)
Kommentar
Fra : B. Nice


Dato : 26-01-07 10:31

On Fri, 26 Jan 2007 09:27:33 +0100, Michael Rasmussen
<michael@invalid> wrote:

>On Fri, 26 Jan 2007 08:50:46 +0100, "Søren Pedersen"
><soeren.k.p@ofir.dk> wrote:
>
>>Har opsat en Synology Disk Station DS-106e til min router for at jeg på
>>arbejdet kan tilgå mine filer der hjemme.
>
>>Jeg har sat den op til FTP og i den forbindelse har jeg åbnet for port 3500
>>og port 3499
>>samt 65500 - 66560.
>
>>Jeg benytter en XyWall 2 Router og går ret meget op i sikkerhed, derfor vil
>>jeg høre her om det er et sikkerhedsproblem for mit netværk (windows XP installation) at
>>jeg har åbnet for de pågældende porte.
>
>Tja, der er altid en sikkerhedsrisiko ved at åbne porte i routeren...
>
>I den aktuelle situation er den største risiko at du fjumrer med
>Synology opsætningen og tillader anonyme brugere adgang til
>ftp-serveren - Det værste der kan overgå dig ved det, er at disken
>fyldes med porno og mp3 filer, men det overlever du nok
>
>En anden mulighed er at hackere udnytter en svaghed i synology
>ftp-serveren og overtager kontrollen over først Synology boksen og
>senere hele dit lokalnet.
>
>Bevares. Risikoen er der, men den er formentlig i samme størrelseorden
>som sandsynligheden for at du løber med lotto puljen de næste 5
>lørdage i træk
>
>Hvis du er omhyggelig med Synology / ftp-server opsætningen mener jeg
>godt du kan have serveren på de officielle porte, og så alligevel sove
>roligt om natten...
>
><mlr>

Jeg er overvejende enig - måske lige med undtagelse af
risiko-vurderingen

Pointen er, at med det nævnte setup står og falder hele sikkerheden
med ftp-serverens opsætning OG eventuelle sårbarheder.

Kent Friis (26-01-2007)
Kommentar
Fra : Kent Friis


Dato : 26-01-07 16:20

Den Fri, 26 Jan 2007 08:50:46 +0100 skrev Søren Pedersen:
>
> Hej,
>
> Har opsat en Synology Disk Station DS-106e til min router for at jeg på
> arbejdet kan tilgå mine filer der hjemme.
> Jeg har sat den op til FTP og i den forbindelse har jeg åbnet for port 3500
> og port 3499
> samt 65500 - 66560.

Gad vide hvordan din firewall tolker 66560. Det er i hvert fald ikke
en port der eksisterer (max er 65535), så hvis den ikke melder fejl
ville jeg nok være bange for at den bare smider den ekstra bit væk,
så det bliver 1024 i stedet. Altså at den har åbnet for samtlige
officielle services.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409080
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste