» Poradna » Počítačové sítě

Port Forwarding - bezpečnost

 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Dobrý den,rád bych se zeptal, když mám NAS Synology, na kterém mám spuštěný web server a otevřu port 80 a 443 za účelem hostování webové stránky, může to být nějaké bezpečností riziko pro síť?

Mohlo by vás také zajímat

Odpovědi na otázku

 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Teoreticky určitě.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X Safari 15.1

Ehm a prakticky ? Xd

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X Safari 0.0

No pokud ba tom synology je vporafku web server tak i prakticky je to ok. Kdyz otevres jeden port a ten ma na druhe straně bezpečný provoz a komunikaci tak he to v pohodě. Ale to ti nikdo nezaruci.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

No, dotaz je, zdali je bezpečné otevřít port 80 a 443 (tedy http a https) do Synology. Technická odpověď je, že nelze odpovědět, protože to znamená, že se pakety http a https dostanou do Synology a bezpečnost je dána zabezpečením toho webserveru v Synology (tedy zdali je napadnutelný, jak, zdali obsahuje známé zranitelnosti či ne, zdali jej lze zneužít k přeroutování paketů jinam atd.............)Odpověz si sám, zdali je Web server v Synolgy bezpečný. Howgh.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Jeste zalezi i na Web strance, pokud tam da stary WordPress tak je mozne prez nej napadnout cely synology a dostat vse,a le pokud tam bude mitt jen obyc statickou stranku, tak by to melo byt vklidecku.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

Pokud lze skrze PHP aplikaci na Synology, napadnout celý systém Synology, je skutečně něco hrozně špatně.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

No nevim v jake verzi, ale me jednou napadl tipek pres stary WP linux server, a pomoci nej nahral nejaky kod a zpustil a dostal se mi na linux do slozky file a podsrcil tam uplne neco jineho a i k systemu. to ale bylo pred 10 lety a mel jsem i stare ubuntu.... Nerikam, ze ted muze cely system napadnout, ale kdyz jsou treba prava zapisu pro vsechny nastavene na slozce kde se ukladaji soubory.... Ja jen chtel poukazat na stare neaktualizovane veci....

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

Od toho přeci existuje něco jako open_basedir...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Anebo pristup W jen pro admina a Rpro apache2/httpd.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

moc bych se divil kdyby http uživatel v DSM na Synology měl jakýkoliv práva mimo složky webserveru. To co popisuješ s tím WP se ti asi nestalo na Synology který si měl aktuální a se správně nastavenejma právama, tak nechápu proč to tu zmiňuješ.. Ano.. matlácky nastavenej Linux je taky napadnutelnej, ale to nic nedokazuje o bezpečnosti webserveru na Synology.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 96.0

To nebude chyba linuxu (a ze ho nemam rad), ale deraveho molochu Wordpress. Jenze ono je to tam strasne snadne, zadarmo a skoro bez prace. Vyvoj vlastniho redakcniho systemu na klic trva dlouho a stoji strasny penize a ano i v nem mohou byt chyby, ale budou se utocnikum hur hledat oproti WP s dostupnym zdrojakem... ale to jsou obecne rizika pouziti unifikovanych reseni - v soucasne kauze log4j by mohli miliony lidi vypravet. Staci jedna chyba v knihovne a razem je pruser na milionech zarizeni, kde ani lidi netusi, ze neco takoveho bezi...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Firefox 94.0

Bingo! něco je skutečně hrozně špatně. https://logging.apache.org/log4j/2.x/security.htmlTímto problémem se teď zabývají všichni, kdo v posledních deseti letech napsali nebo implementovali do svých zařízení nějaký webový server a ještě nezkrachovali. Takže Otázka nezní jestli je to bezpečné a jestli lze přes otevřený port napadnout synology NAS, ale spíš jak moc je pravděpodobné, že se objeví zranitelnost, že výrobce toho NASu vydá aktualizaci a že provozovatel NASu si ji nainstaluje dřív, než nějaký robot úspěšně otestuje jestli tady jsou dvířka pootevřená.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

Tohle je sice megaprusvih, ale klidni jsou vsichni, kdo svuj webserver nenapsali v Jave

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Firefox 94.0

Nevím sice jak přesně funguje mechanizmus této zranitelnosti, ale záplatují se kvůli ní i systémy, které v javě napsané nejsou. Předpokládám že stačí javu použít i na nějakou drobnost. Nicméně tohle byl jen příklad toho, že lze přes interpretr nějakého scriptu napadnout webový server a případně celý systém na kterém to běží. A v tomto případě ani nemusí být špatně napsaný ten script, nebo uživatelský kód.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

Tady je spis prusvih v tom, ze problem byl v logovaci komponente a logovani se pouziva fakt hodne a temer vsude. Navic se casto loguji uzivatelske vstupy, coz je prave vstupni vektor tehle zranitelnosti.Ja jsem jen reagoval na tvrzeni "všichni, kdo v posledních deseti letech napsali nebo implementovali do svých zařízení nějaký webový server", protoze nejpouzivanejsi webservery nejsou v Jave a to zranitelnosti nejsou postizene. Tvoje tvrzeni plati samozrejme pro spoustu webserveru typu Jetty, Tomcat apod. ktere v Jave napsane jsou (a casto jsou soucasti nejakych vetsich SW baliku).

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

Pardon, mohl jsem to popsat lepe - "protoze logovaci komponenta se pokousi interpretovat logovana data, coz muze mj. byt i primy vstup od uzivatele".

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.45

A ze jich neni malo Nejlepsi je ten seznam zranitelnych SW, HW a FW (a asi vsech dalsi *waru) na githubu Jak uz nekdo rekl, je tam kazdy, kdo v IT neco znamena Takova wall of shame... a nejlepsi je ze uz se to patchuje potreti za sebou v rozemezi par dnu a nekteri ti vehlasni vyrobci zatim uvadi, ze problem "analyzuji"... to je na pest - testovat a analyzovat meli nez to pustili do sveta.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

"testovat a analyzovat meli nez to pustili do sveta." - nejlepsi jsou ti co nikdy neudelali chybu, maji vse 100% zkontrolovane a muzou se s klidem smat tem ostatnim, drzic v pravacce sklenku s konakem

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.45

Pravda, proc to testovat, vzdyt tu knihovnu pouziva kazdy... taky pristup.A uz jsem v souvislosti s touhle kauzou slysel taky hezky moudro - "nemuzes si vsechno programovat sam". Lenost a setreni na beznych postupech vyvoje a hlavne dodrzovat release terminy...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

No jo, to je klasicke vyvojarske dilema - spolehnout se na chyby ostatnich, nebo investovat cas a vyrobit si svoje vlastni?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 96.0

Ano, pokud si neco muzu posrat,tak si to radsi poseru sam. A jinak jo, v pohode s cistim svedomim muzu hazet kamenama. Takovejhle pruser jsem jeste ani vzdalene nezpusobil

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.93

je to bezpečný jako každej jinej webserver na linuxu. (na kterejch běží asi 90% všech webů).Za předpokladu že máš aktuální DSM, nebudeš tam kreativně šachovat s právama v rootu webserveru atp. A nepotřebuješ 80 a 443 ale jen ten https port (+samozřejmě platnej a důvěryhodnej SSL certifikát). Proč bys jako měl dneska na webu nezabezpečenej port ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.93

Třeba ACME HTTP challenge pro získání toho SSL certifikátu?https://letsencrypt.org/docs/challenge-types/

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Těžko říct, samotné přesměrování portu na konkrétní zařízení riziko není, ale záleží na tom, jak bezpečný je ten NAS. Ovšem to ti nikdo věrohodně nezaručí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

ja na něklika Synology webserver v internetu používám už roky a nikdy žádnej problém (i s databázema). Rozhodně se tomu dá věřit víc než IIS webserveru na Windows serveru... to bych na stejnou úroveň snad ani nedával

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

Tak to vis hodne malo o IIS. Nebo to srovnavas s tou verzi, co bezela na Windows NT 4.0

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

Píšu to samozřejmě s nadsázkou, ale ne nadarmo běží většina webů na světě na linuxu. Asi tam nějakej důvod bude ne ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0
 |   |  Microsoft Windows 10 Chrome 96.0.4664.113

To je pravda, jsou tam zajímavé hodnoty:2021 20 DecUnix: 78.7%Windows: 21.5%78.7+21.5 = 100.2% !!Takže některé weby jedou na obou systémech zároveň.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

Ano, duvody tam jsou. Ale jen malo z nich souvisi z bezpecnosti.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Take ASP rozjet pod linuxem da se, ale je to porod, kor kdyz mas treba nejaky modul pod Win, ktery komunikuje jen s internimi daty a predava je na Web a bezi jen pod Win

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.110

Staré ASP možná, ale ASP.NET bez problémů.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Firefox 94.0

A bude to důvod spíš výkonnostní a licenční a taky z hlediska správy takových serverů, než že by to byl důvod bezpečnostní. I když ten tam bude taky hrát roli.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X Firefox 94.0

Áno, pokiaľ je ta webstránka písaná napríklad v PHP a obsahuje chyby, tak by sa dala zneužiť a s jej pomocou vytvoriť prístup do tvojej siete...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.93

takže podle tebe stránka která je v PHP a obsahuje "chyby" ti umí vytvořit přistup do lokální sítě na které běží webserver?? Každej linuxovej webserver je tedy zranitelnej pokud se chybně napíše PHP kód ? To jako myslíš vážně ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 91.0

A jeste navic ma pravdu, to je hruza, co?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X Firefox 94.0

A nevyužíva snáď webserver sieťovú kartu s IP adresou z lokálnej siete? Nedokáže snáď webserver vytvárať TCP spojenia na ľubovolné IP adresy vrátane tých z lokálnej siete?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.93

Nedokáže snáď webserver vytvárať TCP spojenia na ľubovolné IP adresy vrátane tých z lokálnej siete?Taková implikace neexistuje - ovládám webserver => mám veškerý IP přístup do lokální sítě.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 95.0

V počítačové bezpečnosti se hodnotí míra rizika a hodnota nákladů, které by nás stál bezpečnostní incident. Já jsem zastáncem oddělování infrastruktury tj. pokud mám NAS pro svoje ukládání souborů, tak na něm už nebudu mít web server. Pro ten si raději pronajmu nějaký hosting a v případě narušení jednoho či druhého nepřijdu o oboje

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 96.0.4664.45

Pripadne kdyz uz na jednom HW, tak to oddelit jaily nebo virtualizaci.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 96.0

Pánové a dámy,
Také jeden příspěvek do diskuse: Umí někdo říct, jestli by se bezpečnost zlepšila, kdyby WordPress běžel v non-privileged Docker kontejnerů?
Díky, že budou odpovídat jen ti kteří VÍ, ne ti kteří SI MYSLÍ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Sam si zhodnot rizika. Bojis se o data, ktera mas na tom NASu nebo jinych zarizenich v siti? Pokud jo, tak si pro webovky zrid webhosting. Par stovek rocne snad zvladnes. Navic nebudes muset resit technickou stranku veci, zabezpeceni atd. O prumerne dostupnosti tech stranek ani nemluve.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Hostování



Mexické drogové kartely používají drony s malými bombami. Odhození a zásah rovnou nafilmují

Mexické drogové kartely používají drony s malými bombami. Odhození a zásah rovnou nafilmují

** Mexické drogové kartely využívají pozoruhodné nekonvenční zbraňové systémy ** Patří mezi ně rovněž drony v mnoha podobách ** Nedávno zveřejněné video zachycuje útok dronu shazujícího malé bomby

Stanislav Mihulka
MexikoDrogyZbraně
QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

** Čtvercový grafický kód usnadňuje život už mnoho let ** S rostoucí oblibou a využitím přibývá i podvodů ** Nejčastěji jsou podvody zaměřeny na podstrčení falešného kódu

Martin Miksa
PodvodQR kódBezpečnost
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Organické látky slavného meteoritu z Marsu nevznikly biologicky. Žádné bakterie, žádný mimozenský život

Organické látky slavného meteoritu z Marsu nevznikly biologicky. Žádné bakterie, žádný mimozenský život

** V meteoritu ALH84001 byly nalezeny i organické látky, které měly být produktem živých organismů ** Nedávný výzkum ale vyloučil, že by tyto látky mohly mít biologický původ ** Podle vědců vznikly díky působení hydrotermální vody na čedičovou horninu

Stanislav Mihulka
MeteoritMarsGeologieChemie
Dead Drops: Nejpomalejší internet na světě je připravený pro planetu po apokalypse

Dead Drops: Nejpomalejší internet na světě je připravený pro planetu po apokalypse

** V roce 2010 se začala rodit síť mrtvých schránek Dead Drops ** Byly jich tisíce, časem se na ně ale zapomnělo ** Vypravili jsme se ke schránce č. 595, která funguje dodnes

Jakub Čížek
ZajímavostiÚložiště

Aktuální číslo časopisu Computer

Megatest 22 PC zdrojů 650 W

Test 4K monitorů s úhlopříčkou 32"

Jak přes zimu sportovat doma