SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Fragen rund um das Thema Sicherheit zu QNAP Produkten, Routereinstellungen, Netzwerkeinstellungen usw.

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 06:11

Wieso sollte es mit SSL nicht funktionieren ?
SSL verschl├╝sselt doch "NUR" die Verbindung, an der einen Stelle ist der Browser, der ganzen Anfragen und R├╝ckmeldungen verschl├╝sselt bzw. entschl├╝sselt.
Auf der Server/NAS Seite ist es der stunnel-Dienst (wird von der NAS-WebGUI genutzt) und reiccht es dem Web-Server (Apache) weiter.

Mit dem ├Ąndern der stunnel.conf wird nur die SSL-Verbindung von NAS-WebGUI auf den Apache umgebogen. Gut damit verliert man das Administrieren des NAS ├╝ber SSL, aber eine einfache Alternative.

Sch├Âne Gr├╝├če,
Stefan
---
Wir sind alle auch nur Menschen und machen Fehler

TS-439 , 2x 3TB u. 2x 2TB , SAMBA als PDC, DNS/DHCP/LDAP
TS-220, 2x 2TB for Backup
TV Samsung UE37ES6710
AVM Fritz!Box 7390
Benutzeravatar
Eraser-EMC2-
 
Beitr├Ąge: 4985
Registriert: Fr 11. Apr 2008, 17:19
Plz/Ort: Obernkirchen, Niedersachsen
Name: Stefan
Ger├Ątebezeichnung NAS: TS-439 Pro
Ger├Ątebezeichnung NAS: TS-220

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 10:28

Solange der Apache Server auch SSL anfragen auf Port 8080 / 80 annimmt, funktioniert es.
Du biegst ja sozusagen den Connect von Port 443 auf 80 um, der aber mit dem SSL Proctocol ankommt.
Wahrscheinlich erkennt das der Apache und schaltet dann auf SSL um, laienhaft gesprochen.

Ich bin aber schon einen Schritt weiter. Habe festgestellt, das alle Dienste des Qnap zus├Ątzlich ├╝ber SSL erreichbar sind ( Qmultimedia, Qrecord, usw. ), jedoch Dienste, jene per QPKG eingespielt wurden, reagieren nur auf Port 80 ( Joomla, XDove, PHPMyAdmin ) Dies hat folgenden Hintergrund. Es laufen 2 Apache Dienste/Prozesse, einmal qhttpd und einmal thttpd ( wobei das auch tiny httpd sein kann ) Der qhttpd ist auf SSL konfiguriert, der thttpd ist nicht auf SSL konfiguriert. Aus Gr├╝nden der Trennung zwischen in der Firmware enthaltenen Diensten und Diensten(Webshares :) ), die manuell per QPKG eingespielt wurden.
Da aber qhttpd, den port 443 h├Ąlt, kann man thttpd nat├╝rlich nicht auf SSL schalten, da sonst ein Portkonflikt auftritt.
Somit muss man einfach in der konfig des qhttpd ein Virtuelles SSL Verzeichnis auf den Roundcube Pfad erstellen.
Ich versuche gerade den Teil aus der config des thttpd in die konfig des qhttpd zu kopieren und auf SSL umzumodeln.
Schade, dachte es w├╝rde ohne Frikelei gehen :) Musste leider gestern Abend abbrechen, ich halte euch aber einmal auf dem Laufenden.

Viele Gr├╝├če

Lichtlord :thumb:

PS: Roundcube unterst├╝tzt SSL, dies ist jedoch als Abholverfahren in Zusammenhang mit einem Imapserver zu verstehen. Die in Apache konfigurierte Webshare kann wahlweise/gleichzeitg SSL oder Standard HTTP sein, wobei der Inhalt immer transparent zu sehen ist. D. h. Roundcube selbst sind soz. PHP Dateien und haben nichts mit den unterst├╝tzten Zugriffsweisen des Apache auf die Webshare zu tun. Gut ├╝ber bestimmte Module des Apache jetzt mal nicht zu sprechen.
Lichtlord
 
Beitr├Ąge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 17:27

Der stunnel-Dienst entschl├╝sselt den Datentransfer und reicht ihn weiter,
dem stunnel ist auch entsprechend das (QNAP-)Zertifikat hinterlegt.
Wenn es anders w├Ąre, w├╝rde ich es nicht vorschlagen.
Dann hast du das System noch nicht tief genug ergr├╝ndet.

Zudem ist der thttpd f├╝r die WebGUI zust├Ąndig und bekommt vom stunnel die Daten, die verschl├╝sselt ├╝ber SSL eintreffen.
Mit dem Qthttpd wird der Apache mitgestartet.
Dann schau mal in den /etc/init.d/thttpd.sh und /etc/init.d/Qthttpd.sh nach,
welcher f├╝r den Ordner Qweb zust├Ąndig ist.

Auf der Client-Seite gibt es die selbe M├Âglichkeit, ebenfalls mit stunnel.
stunnel gibt es auch f├╝r Windows.

Wenn der Apache selbst SSL k├Ânnte, w├Ąre es nat├╝rlich einfacher.

Sch├Âne Gr├╝├če,
Stefan
---
Wir sind alle auch nur Menschen und machen Fehler

TS-439 , 2x 3TB u. 2x 2TB , SAMBA als PDC, DNS/DHCP/LDAP
TS-220, 2x 2TB for Backup
TV Samsung UE37ES6710
AVM Fritz!Box 7390
Benutzeravatar
Eraser-EMC2-
 
Beitr├Ąge: 4985
Registriert: Fr 11. Apr 2008, 17:19
Plz/Ort: Obernkirchen, Niedersachsen
Name: Stefan
Ger├Ątebezeichnung NAS: TS-439 Pro
Ger├Ątebezeichnung NAS: TS-220

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 18:06

Ahh, OK, das System wollte ich mir Heute zu Gem├╝te f├╝hren. Hmm, dann m├╝sste ich soz. einen neuen Tunnel legen, der z. B. ├╝ber stunnel Port 444 auf http://locahost:80 verbindet und belasse einfach das Admininterface auf 443.
Dann verbinde ich einfach mit https://lustigesnas.dyndns.org:444/roundcube/index.php auf das Webint.
Dann ist der stunnel Dienst/Deamon soz. quasi eine Art SSL Wrapper ?
Werde ich einmal testen, hat mir auf jedenfall sehr geholfen.

Danke und Entschuldigt, wenn ich ab und zu zu weit vorraus denke ;)

Lichtlord :thumb:
Lichtlord
 
Beitr├Ąge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 18:28

Lichtlord hat geschrieben:Danke und Entschuldigt, wenn ich ab und zu zu weit vorraus denke

Ist schon in Ordnung. :thumb:
---
Wir sind alle auch nur Menschen und machen Fehler

TS-439 , 2x 3TB u. 2x 2TB , SAMBA als PDC, DNS/DHCP/LDAP
TS-220, 2x 2TB for Backup
TV Samsung UE37ES6710
AVM Fritz!Box 7390
Benutzeravatar
Eraser-EMC2-
 
Beitr├Ąge: 4985
Registriert: Fr 11. Apr 2008, 17:19
Plz/Ort: Obernkirchen, Niedersachsen
Name: Stefan
Ger├Ątebezeichnung NAS: TS-439 Pro
Ger├Ątebezeichnung NAS: TS-220

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 21:43

So, Problem gel├Âst :)

/etc/config/stunnel/stunnel.conf ge├Ąndert ( wird beim reboot nicht ├╝berschrieben )
[https]
accept = 443
connect = 127.0.0.1:8080
TIMEOUTclose = 0

[https2]
accept = 444
connect = 127.0.0.1:80
TIMEOUTclose = 0

Danach /etc/init.d/stunnel.sh restart

Das Webinterface inkl. aller Qnap Urdienste sind wie bekannt erreichbar:
https://nasip/Qmultimedia
https://nasip/

Die ganzen QPKG Dienste sind ├╝ber 444 erreichbar:
https://nasip:444/roundcube
https://nasip:444/PHPMyAdmin
https://nasip:444/Joomla

Jetzt nur noch Port 443 und 444 durch den Router leiten und relativ hacksichere SSL Verbindungen geniessen und vom Inetcafe in Italien
Zuhause die Mails lesen oder mal auf die Cameras gucken ;) :thumb:
Webint: https://endlichwiederlustig.dyndns.org:444/roundcube/
Cameras https://endlichwiederlustig.dyndns.org:444/Survstation ( weiss Linknamen grade nicht )

Evtl noch den Port 443 auf 445 verschieben, dann kommt da wirklich nur ein Profiportscanner drauf, und durch den SSL Wrapper sollten auch Scripte nicht beeinflusst sein.
Finde das Qnap Design auf den zweiten Blick wohl durchdacht, dass eben in den httpds kein SSL eingescahltet ist und es ├╝ber den Wrapper gemacht wird.

Lustige Sache :P :thumb:

Lichtlord :D
Lichtlord
 
Beitr├Ąge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Lichtlord » Do 25. Jun 2009, 13:19

Um den Standard so wenig wie m├Âglich zu verlassen, und um die Sicherheit zu erh├Âhen, habe ich nun das SSL Interface auf 443 belassen, 444 f├╝r den normalen Webserver verwendet und nun am Router einfach die Portweiterleitung einen Port nach oben gesetzt.

Also 445 geht auf 444 und 444 geht auf 443, ├╝berlege mir auch, ├╝ber die 1024 Grenze zu gehen, um den Well-Known-Ports-Bereich zu verlassen, da Port-Scan meistens nicht ├╝ber Port 1024 scannen. Dann muss man nat├╝rlich die Urls entsprechend
anpassen. Also z. B. https://wahnsinniglustig.dyndns.org:1025/Qmultimedia/
Dann sollte man wirklich auf der sicheren Seite sein.

So, dann sollte sich alles gekl├Ąrt haben und ich kann in den Urlaub :D

:thumb:

Lightlord 8-) :thumb:
Lichtlord
 
Beitr├Ąge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Claudio » Do 27. Aug 2009, 08:46

Danke!
Claudio
 
Beitr├Ąge: 73
Registriert: Fr 16. Mai 2008, 13:24

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Sachse » Sa 19. Dez 2009, 18:13

Ist ja hier alles recht gut beschrieben. Was ich jedoch nicht verstehe "Wie komme ich an die stunnel.conf bzw. wo finde ich diese?"
Sachse
 
Beitr├Ąge: 1
Registriert: Sa 19. Dez 2009, 18:03

Re: SSL Web Zugriff nur ├╝ber Port 443 durch Router ?

Beitragvon Complicated » Sa 19. Dez 2009, 18:39

Eventuell ├╝berlegst du dir mal das ganze etwas einfacher zu gestalten mit OpenVPN als Proxy ;)
--port-share host port
When run in TCP server mode, share the OpenVPN port with another application, such as an HTTPS server. If OpenVPN senses a connection to its port which is using a non-OpenVPN protocol, it will proxy the connection to the server at host:port. Currently only designed to work with HTTP/HTTPS, though it would be theoretically possible to extend to other protocols such as ssh.
TS-239 Pro | Version 4.0.3 | 2TB Samsung F3 Ext3 |
eSATA Verbatim 1TB SAMSUNG HD103SI Ext3 | Scharkoon Quickport eSATA | AVM Fritzbox 7390
Benutzeravatar
Complicated
 
Beitr├Ąge: 1318
Registriert: Di 23. Jun 2009, 23:38

VorherigeN├Ąchste

Zur├╝ck zu Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast