Wer etwas auf Zack ist, gewinnt in Neuigkeiten >> [FORUM] Der Netiquette zu Liebe eine Kleinigkeit von QNAP.

SSL Web Zugriff nur über Port 443 durch Router ?

Fragen rund um das Thema Sicherheit zu QNAP Produkten, Routereinstellungen, Netzwerkeinstellungen usw.
Eraser-EMC2-
Beiträge: 5741
Registriert: Fr 11. Apr 2008, 17:19
Vorname: Stefan
NAS/FW: Ich habe gar kein Auto ;-)
NAS/FW: TS-439 Pro zu verkaufen
Wohnort: Erde

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 06:11

Wieso sollte es mit SSL nicht funktionieren ?
SSL verschlüsselt doch "NUR" die Verbindung, an der einen Stelle ist der Browser, der ganzen Anfragen und Rückmeldungen verschlüsselt bzw. entschlüsselt.
Auf der Server/NAS Seite ist es der stunnel-Dienst (wird von der NAS-WebGUI genutzt) und reiccht es dem Web-Server (Apache) weiter.

Mit dem ändern der stunnel.conf wird nur die SSL-Verbindung von NAS-WebGUI auf den Apache umgebogen. Gut damit verliert man das Administrieren des NAS über SSL, aber eine einfache Alternative.

Schöne Grüße,
Stefan

Lichtlord
Beiträge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 10:28

Solange der Apache Server auch SSL anfragen auf Port 8080 / 80 annimmt, funktioniert es.
Du biegst ja sozusagen den Connect von Port 443 auf 80 um, der aber mit dem SSL Proctocol ankommt.
Wahrscheinlich erkennt das der Apache und schaltet dann auf SSL um, laienhaft gesprochen.

Ich bin aber schon einen Schritt weiter. Habe festgestellt, das alle Dienste des Qnap zusätzlich über SSL erreichbar sind ( Qmultimedia, Qrecord, usw. ), jedoch Dienste, jene per QPKG eingespielt wurden, reagieren nur auf Port 80 ( Joomla, XDove, PHPMyAdmin ) Dies hat folgenden Hintergrund. Es laufen 2 Apache Dienste/Prozesse, einmal qhttpd und einmal thttpd ( wobei das auch tiny httpd sein kann ) Der qhttpd ist auf SSL konfiguriert, der thttpd ist nicht auf SSL konfiguriert. Aus Gründen der Trennung zwischen in der Firmware enthaltenen Diensten und Diensten(Webshares :) ), die manuell per QPKG eingespielt wurden.
Da aber qhttpd, den port 443 hält, kann man thttpd natürlich nicht auf SSL schalten, da sonst ein Portkonflikt auftritt.
Somit muss man einfach in der konfig des qhttpd ein Virtuelles SSL Verzeichnis auf den Roundcube Pfad erstellen.
Ich versuche gerade den Teil aus der config des thttpd in die konfig des qhttpd zu kopieren und auf SSL umzumodeln.
Schade, dachte es würde ohne Frikelei gehen :) Musste leider gestern Abend abbrechen, ich halte euch aber einmal auf dem Laufenden.

Viele Grüße

Lichtlord :thumb:

PS: Roundcube unterstützt SSL, dies ist jedoch als Abholverfahren in Zusammenhang mit einem Imapserver zu verstehen. Die in Apache konfigurierte Webshare kann wahlweise/gleichzeitg SSL oder Standard HTTP sein, wobei der Inhalt immer transparent zu sehen ist. D. h. Roundcube selbst sind soz. PHP Dateien und haben nichts mit den unterstützten Zugriffsweisen des Apache auf die Webshare zu tun. Gut über bestimmte Module des Apache jetzt mal nicht zu sprechen.

Eraser-EMC2-
Beiträge: 5741
Registriert: Fr 11. Apr 2008, 17:19
Vorname: Stefan
NAS/FW: Ich habe gar kein Auto ;-)
NAS/FW: TS-439 Pro zu verkaufen
Wohnort: Erde

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 17:27

Der stunnel-Dienst entschlüsselt den Datentransfer und reicht ihn weiter,
dem stunnel ist auch entsprechend das (QNAP-)Zertifikat hinterlegt.
Wenn es anders wäre, würde ich es nicht vorschlagen.
Dann hast du das System noch nicht tief genug ergründet.

Zudem ist der thttpd für die WebGUI zuständig und bekommt vom stunnel die Daten, die verschlüsselt über SSL eintreffen.
Mit dem Qthttpd wird der Apache mitgestartet.
Dann schau mal in den /etc/init.d/thttpd.sh und /etc/init.d/Qthttpd.sh nach,
welcher für den Ordner Qweb zuständig ist.

Auf der Client-Seite gibt es die selbe Möglichkeit, ebenfalls mit stunnel.
stunnel gibt es auch für Windows.

Wenn der Apache selbst SSL könnte, wäre es natürlich einfacher.

Schöne Grüße,
Stefan

Lichtlord
Beiträge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 18:06

Ahh, OK, das System wollte ich mir Heute zu Gemüte führen. Hmm, dann müsste ich soz. einen neuen Tunnel legen, der z. B. über stunnel Port 444 auf http://locahost:80 verbindet und belasse einfach das Admininterface auf 443.
Dann verbinde ich einfach mit https://lustigesnas.dyndns.org:444/roundcube/index.php auf das Webint.
Dann ist der stunnel Dienst/Deamon soz. quasi eine Art SSL Wrapper ?
Werde ich einmal testen, hat mir auf jedenfall sehr geholfen.

Danke und Entschuldigt, wenn ich ab und zu zu weit vorraus denke ;)

Lichtlord :thumb:

Eraser-EMC2-
Beiträge: 5741
Registriert: Fr 11. Apr 2008, 17:19
Vorname: Stefan
NAS/FW: Ich habe gar kein Auto ;-)
NAS/FW: TS-439 Pro zu verkaufen
Wohnort: Erde

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Eraser-EMC2- » Mi 24. Jun 2009, 18:28

Lichtlord hat geschrieben:Danke und Entschuldigt, wenn ich ab und zu zu weit vorraus denke

Ist schon in Ordnung. :thumb:

Lichtlord
Beiträge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Lichtlord » Mi 24. Jun 2009, 21:43

So, Problem gelöst :)

/etc/config/stunnel/stunnel.conf geändert ( wird beim reboot nicht überschrieben )
[https]
accept = 443
connect = 127.0.0.1:8080
TIMEOUTclose = 0

[https2]
accept = 444
connect = 127.0.0.1:80
TIMEOUTclose = 0

Danach /etc/init.d/stunnel.sh restart

Das Webinterface inkl. aller Qnap Urdienste sind wie bekannt erreichbar:
https://nasip/Qmultimedia
https://nasip/

Die ganzen QPKG Dienste sind über 444 erreichbar:
https://nasip:444/roundcube
https://nasip:444/PHPMyAdmin
https://nasip:444/Joomla

Jetzt nur noch Port 443 und 444 durch den Router leiten und relativ hacksichere SSL Verbindungen geniessen und vom Inetcafe in Italien
Zuhause die Mails lesen oder mal auf die Cameras gucken ;) :thumb:
Webint: https://endlichwiederlustig.dyndns.org:444/roundcube/
Cameras https://endlichwiederlustig.dyndns.org:444/Survstation ( weiss Linknamen grade nicht )

Evtl noch den Port 443 auf 445 verschieben, dann kommt da wirklich nur ein Profiportscanner drauf, und durch den SSL Wrapper sollten auch Scripte nicht beeinflusst sein.
Finde das Qnap Design auf den zweiten Blick wohl durchdacht, dass eben in den httpds kein SSL eingescahltet ist und es über den Wrapper gemacht wird.

Lustige Sache :P :thumb:

Lichtlord :D

Lichtlord
Beiträge: 13
Registriert: Sa 13. Jun 2009, 17:37

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Lichtlord » Do 25. Jun 2009, 13:19

Um den Standard so wenig wie möglich zu verlassen, und um die Sicherheit zu erhöhen, habe ich nun das SSL Interface auf 443 belassen, 444 für den normalen Webserver verwendet und nun am Router einfach die Portweiterleitung einen Port nach oben gesetzt.

Also 445 geht auf 444 und 444 geht auf 443, überlege mir auch, über die 1024 Grenze zu gehen, um den Well-Known-Ports-Bereich zu verlassen, da Port-Scan meistens nicht über Port 1024 scannen. Dann muss man natürlich die Urls entsprechend
anpassen. Also z. B. https://wahnsinniglustig.dyndns.org:1025/Qmultimedia/
Dann sollte man wirklich auf der sicheren Seite sein.

So, dann sollte sich alles geklärt haben und ich kann in den Urlaub :D

:thumb:

Lightlord 8-) :thumb:

Claudio
Beiträge: 73
Registriert: Fr 16. Mai 2008, 13:24

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Claudio » Do 27. Aug 2009, 08:46

Danke!

Sachse
Beiträge: 1
Registriert: Sa 19. Dez 2009, 18:03

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Sachse » Sa 19. Dez 2009, 18:13

Ist ja hier alles recht gut beschrieben. Was ich jedoch nicht verstehe "Wie komme ich an die stunnel.conf bzw. wo finde ich diese?"

Benutzeravatar
Complicated
Beiträge: 1318
Registriert: Di 23. Jun 2009, 23:38

Re: SSL Web Zugriff nur über Port 443 durch Router ?

Beitragvon Complicated » Sa 19. Dez 2009, 18:39

Eventuell überlegst du dir mal das ganze etwas einfacher zu gestalten mit OpenVPN als Proxy ;)
--port-share host port
When run in TCP server mode, share the OpenVPN port with another application, such as an HTTPS server. If OpenVPN senses a connection to its port which is using a non-OpenVPN protocol, it will proxy the connection to the server at host:port. Currently only designed to work with HTTP/HTTPS, though it would be theoretically possible to extend to other protocols such as ssh.


Zurück zu „Sicherheit“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast