Port Forwarding - bezpečnost

Teoreticky určitě.

Ehm a prakticky ? Xd

No pokud ba tom synology je vporafku web server tak i prakticky je to ok. Kdyz otevres jeden port a ten ma na druhe straně bezpečný provoz a komunikaci tak he to v pohodě. Ale to ti nikdo nezaruci.

No, dotaz je, zdali je bezpečné otevřít port 80 a 443 (tedy http a https) do Synology. Technická odpověď je, že nelze odpovědět, protože to znamená, že se pakety http a https dostanou do Synology a bezpečnost je dána zabezpečením toho webserveru v Synology (tedy zdali je napadnutelný, jak, zdali obsahuje známé zranitelnosti či ne, zdali jej lze zneužít k přeroutování paketů jinam atd.............)Odpověz si sám, zdali je Web server v Synolgy bezpečný. Howgh.

Jeste zalezi i na Web strance, pokud tam da stary WordPress tak je mozne prez nej napadnout cely synology a dostat vse,a le pokud tam bude mitt jen obyc statickou stranku, tak by to melo byt vklidecku.

Pokud lze skrze PHP aplikaci na Synology, napadnout celý systém Synology, je skutečně něco hrozně špatně.

No nevim v jake verzi, ale me jednou napadl tipek pres stary WP linux server, a pomoci nej nahral nejaky kod a zpustil a dostal se mi na linux do slozky file a podsrcil tam uplne neco jineho a i k systemu. to ale bylo pred 10 lety a mel jsem i stare ubuntu.... Nerikam, ze ted muze cely system napadnout, ale kdyz jsou treba prava zapisu pro vsechny nastavene na slozce kde se ukladaji soubory.... Ja jen chtel poukazat na stare neaktualizovane veci....

Od toho přeci existuje něco jako open_basedir...

Anebo pristup W jen pro admina a Rpro apache2/httpd.

moc bych se divil kdyby http uživatel v DSM na Synology měl jakýkoliv práva mimo složky webserveru. To co popisuješ s tím WP se ti asi nestalo na Synology který si měl aktuální a se správně nastavenejma právama, tak nechápu proč to tu zmiňuješ.. Ano.. matlácky nastavenej Linux je taky napadnutelnej, ale to nic nedokazuje o bezpečnosti webserveru na Synology.

To nebude chyba linuxu (a ze ho nemam rad), ale deraveho molochu Wordpress. Jenze ono je to tam strasne snadne, zadarmo a skoro bez prace. Vyvoj vlastniho redakcniho systemu na klic trva dlouho a stoji strasny penize a ano i v nem mohou byt chyby, ale budou se utocnikum hur hledat oproti WP s dostupnym zdrojakem... ale to jsou obecne rizika pouziti unifikovanych reseni - v soucasne kauze log4j by mohli miliony lidi vypravet. Staci jedna chyba v knihovne a razem je pruser na milionech zarizeni, kde ani lidi netusi, ze neco takoveho bezi...

Bingo! něco je skutečně hrozně špatně. https://logging.apache.org/log4j/2.x/security.htmlTímto problémem se teď zabývají všichni, kdo v posledních deseti letech napsali nebo implementovali do svých zařízení nějaký webový server a ještě nezkrachovali. Takže Otázka nezní jestli je to bezpečné a jestli lze přes otevřený port napadnout synology NAS, ale spíš jak moc je pravděpodobné, že se objeví zranitelnost, že výrobce toho NASu vydá aktualizaci a že provozovatel NASu si ji nainstaluje dřív, než nějaký robot úspěšně otestuje jestli tady jsou dvířka pootevřená.

Tohle je sice megaprusvih, ale klidni jsou vsichni, kdo svuj webserver nenapsali v Jave

Nevím sice jak přesně funguje mechanizmus této zranitelnosti, ale záplatují se kvůli ní i systémy, které v javě napsané nejsou. Předpokládám že stačí javu použít i na nějakou drobnost. Nicméně tohle byl jen příklad toho, že lze přes interpretr nějakého scriptu napadnout webový server a případně celý systém na kterém to běží. A v tomto případě ani nemusí být špatně napsaný ten script, nebo uživatelský kód.

Tady je spis prusvih v tom, ze problem byl v logovaci komponente a logovani se pouziva fakt hodne a temer vsude. Navic se casto loguji uzivatelske vstupy, coz je prave vstupni vektor tehle zranitelnosti.Ja jsem jen reagoval na tvrzeni "všichni, kdo v posledních deseti letech napsali nebo implementovali do svých zařízení nějaký webový server", protoze nejpouzivanejsi webservery nejsou v Jave a to zranitelnosti nejsou postizene. Tvoje tvrzeni plati samozrejme pro spoustu webserveru typu Jetty, Tomcat apod. ktere v Jave napsane jsou (a casto jsou soucasti nejakych vetsich SW baliku).

Pardon, mohl jsem to popsat lepe - "protoze logovaci komponenta se pokousi interpretovat logovana data, coz muze mj. byt i primy vstup od uzivatele".

A ze jich neni malo Nejlepsi je ten seznam zranitelnych SW, HW a FW (a asi vsech dalsi *waru) na githubu Jak uz nekdo rekl, je tam kazdy, kdo v IT neco znamena Takova wall of shame... a nejlepsi je ze uz se to patchuje potreti za sebou v rozemezi par dnu a nekteri ti vehlasni vyrobci zatim uvadi, ze problem "analyzuji"... to je na pest - testovat a analyzovat meli nez to pustili do sveta.

"testovat a analyzovat meli nez to pustili do sveta." - nejlepsi jsou ti co nikdy neudelali chybu, maji vse 100% zkontrolovane a muzou se s klidem smat tem ostatnim, drzic v pravacce sklenku s konakem

Pravda, proc to testovat, vzdyt tu knihovnu pouziva kazdy... taky pristup.A uz jsem v souvislosti s touhle kauzou slysel taky hezky moudro - "nemuzes si vsechno programovat sam". Lenost a setreni na beznych postupech vyvoje a hlavne dodrzovat release terminy...

No jo, to je klasicke vyvojarske dilema - spolehnout se na chyby ostatnich, nebo investovat cas a vyrobit si svoje vlastni?

Ano, pokud si neco muzu posrat,tak si to radsi poseru sam. A jinak jo, v pohode s cistim svedomim muzu hazet kamenama. Takovejhle pruser jsem jeste ani vzdalene nezpusobil

je to bezpečný jako každej jinej webserver na linuxu. (na kterejch běží asi 90% všech webů).Za předpokladu že máš aktuální DSM, nebudeš tam kreativně šachovat s právama v rootu webserveru atp. A nepotřebuješ 80 a 443 ale jen ten https port (+samozřejmě platnej a důvěryhodnej SSL certifikát). Proč bys jako měl dneska na webu nezabezpečenej port ?

Třeba ACME HTTP challenge pro získání toho SSL certifikátu?https://letsencrypt.org/docs/challenge-types/

Těžko říct, samotné přesměrování portu na konkrétní zařízení riziko není, ale záleží na tom, jak bezpečný je ten NAS. Ovšem to ti nikdo věrohodně nezaručí.

ja na něklika Synology webserver v internetu používám už roky a nikdy žádnej problém (i s databázema). Rozhodně se tomu dá věřit víc než IIS webserveru na Windows serveru... to bych na stejnou úroveň snad ani nedával

Tak to vis hodne malo o IIS. Nebo to srovnavas s tou verzi, co bezela na Windows NT 4.0

Píšu to samozřejmě s nadsázkou, ale ne nadarmo běží většina webů na světě na linuxu. Asi tam nějakej důvod bude ne ?

vtipná statistika...https://w3techs.com/technologies/history_over...

To je pravda, jsou tam zajímavé hodnoty:2021 20 DecUnix: 78.7%Windows: 21.5%78.7+21.5 = 100.2% !!Takže některé weby jedou na obou systémech zároveň.

Ano, duvody tam jsou. Ale jen malo z nich souvisi z bezpecnosti.

Take ASP rozjet pod linuxem da se, ale je to porod, kor kdyz mas treba nejaky modul pod Win, ktery komunikuje jen s internimi daty a predava je na Web a bezi jen pod Win

Staré ASP možná, ale ASP.NET bez problémů.

A bude to důvod spíš výkonnostní a licenční a taky z hlediska správy takových serverů, než že by to byl důvod bezpečnostní. I když ten tam bude taky hrát roli.

Áno, pokiaľ je ta webstránka písaná napríklad v PHP a obsahuje chyby, tak by sa dala zneužiť a s jej pomocou vytvoriť prístup do tvojej siete...

takže podle tebe stránka která je v PHP a obsahuje "chyby" ti umí vytvořit přistup do lokální sítě na které běží webserver?? Každej linuxovej webserver je tedy zranitelnej pokud se chybně napíše PHP kód ? To jako myslíš vážně ?

A jeste navic ma pravdu, to je hruza, co?

A nevyužíva snáď webserver sieťovú kartu s IP adresou z lokálnej siete? Nedokáže snáď webserver vytvárať TCP spojenia na ľubovolné IP adresy vrátane tých z lokálnej siete?

Nedokáže snáď webserver vytvárať TCP spojenia na ľubovolné IP adresy vrátane tých z lokálnej siete?Taková implikace neexistuje - ovládám webserver => mám veškerý IP přístup do lokální sítě.

https://github.com/walkor/php-socks5

V počítačové bezpečnosti se hodnotí míra rizika a hodnota nákladů, které by nás stál bezpečnostní incident. Já jsem zastáncem oddělování infrastruktury tj. pokud mám NAS pro svoje ukládání souborů, tak na něm už nebudu mít web server. Pro ten si raději pronajmu nějaký hosting a v případě narušení jednoho či druhého nepřijdu o oboje

Pripadne kdyz uz na jednom HW, tak to oddelit jaily nebo virtualizaci.

Pánové a dámy,
Také jeden příspěvek do diskuse: Umí někdo říct, jestli by se bezpečnost zlepšila, kdyby WordPress běžel v non-privileged Docker kontejnerů?
Díky, že budou odpovídat jen ti kteří VÍ, ne ti kteří SI MYSLÍ...

Sam si zhodnot rizika. Bojis se o data, ktera mas na tom NASu nebo jinych zarizenich v siti? Pokud jo, tak si pro webovky zrid webhosting. Par stovek rocne snad zvladnes. Navic nebudes muset resit technickou stranku veci, zabezpeceni atd. O prumerne dostupnosti tech stranek ani nemluve.