Website ohne port aufrufen geht nicht

  • Hallo an alle,


    hab mir ein qnap 453b gekauft und bin neu hier.


    Natürlich gleich mit einem Problem wir sind ja nicht aus Spaß hier :)


    Der Zugriff von außen auf drei Demo Seiten funktioniert durch DynDns und Portgfreigaben (8081 und 443 ) in der FritzBox

    Zertifikat von lets encrypt ist auch drauf.

    Leider muss ich immer den Port mit angeben ist das irgenwie zu umgehen?



    so sieht es aus:


    Code
    1. https://subdomain.domain.de:8081/seite1
    2. https://subdomain.domain.de:8081/seite2
    3. https://subdomain.domain.de:8081/seite3


    sollte so aussehen:


    Code
    1. https://subdomain.domain.de/seite1
    2. https://subdomain.domain.de/seite2
    3. https://subdomain.domain.de/seite3



    die Virtual Host:


    Code
    1. seite1.subdomain.domain.de
    2. seite2.subdomain.domain.de
    3. seite3.subdomain.domain.de



    Hoffe die Infos sind ausreichend und danke im voraus.


    Gruß Kosta



    ne doch nicht ..... Problem besteht immer noch......

    3 Mal editiert, zuletzt von kos_ta ()

  • Willkommen im QNAPclub.

    Natürlich gleich mit einem Problem wir sind ja nicht aus Spaß hier :)

    Bist Du Dir da sicher, bei Deiner Konfiguration?

    Da gibt es bereits interessantes Lesefutter für Dich. Löst noch nicht Deine Wünsche aber gibt Anregung für weitere Nebenbedingungen:


    NAS offen im Internet

  • Hey,

    dankeschön:)


    Werde durchlesen aber ist doch nicht offen.

    Als Privatperson ne Fritzbox davor ist doch ok oder?

    Firewall ist dabei , für ne Seite im privaten Bereich müsste es doch in Ordnung sein.


    Gruß Kosta

  • Als Privatperson ne Fritzbox davor ist doch ok oder?

    Firewall ist dabei , für ne Seite im privaten Bereich müsste es doch in Ordnung sein.

    Du leitest ja Ports weiter .. also nix mit Firewall hier...


    Gibt UTM Systeme die den Datenverkehr auf Exploits etc untersuchen können .... aber nicht die Fritz


    Und du meinst Hacker/Bots unterscheiden ob die nen Privaten oder nen Firmen Server verschlüsseln ?

  • ja stimmt..... die unterscheiden es nicht..... und wo wäre die Lösung?

    Bzw. Welche Möglichkeiten gibt es im privaten Bereich um etwas sicherer zu sein?


    Gruß Kosta

  • Am besten nen geunstigen Webspace anmieten, die kümmern sich dann um Updates.


    Und falls der gehackt wird, sind nicht alle Daten im privaten NAS oder Netzwerk in Gefahr.

  • Und wenn man doch von außen auf das NAS will: nur per VPN!


    Gruss

  • ja gut auf die Daten komme ich von aussen mit der vpn der fritzbox und die Seite werde ich später auf ne vmware legen ..... da geht eh jeder ins Leere .... von einer vmware zum host ist glaube ich noch niemand gekommen ...

    Ach so das Problem oben habe ich gelöst..... lag am cache ......

  • Na dann schnalle dich mal lieber an, denn es wurde vor Jahren schon vorgeführt, wie man über was System die VM Tools den Hypervisor darunter komplett übernehmen konnte.

    War nicht einfach aber das hindert den Bösen ja nicht daran es zu versuchen und auch zu schaffen.


    Hast du bei deinem Anbieter nicht ein paar MB Webspace dabei, ist doch bei vielen schon gleich mit inbegriffen.

    Dann brauchst du dir das ganze verschlüsseltwerden nicht antun.

  • echt jetzt.... wow....

    Schon .... will aber lieber alles bei mir haben.

    Na ja und die andere Sache ist wozu solte jemand bei mir rein da gibt es eh nix zu holen:)

    Wäre absolute Zeitverschwendung:)

    Die Empfindlichen Daten sind eh in verschlüsselten Containern .

    Und die paar Bilder.....

  • Wie gesagt .. das ist den Bots doch egal ob bei dir was zu "holen"gibt, da wird einfach alles verschlüsselt, ne Nachricht hinterlassen und auf Zahlung gehofft.. wie bei Viagra Spam .. wenn nur einer von 1000 zahlt.. hat es sich gelohnt

    Ransomware ist nicht die einzige Option, wenn es nichts zu holen gäbe. Auch der Mißbrauch von Identitäten, oder die Resourcennutzung als Client in einem Botnetz um größere Firmen unter Druck zu setzen sind beliebte Alternativen. Damit kannst Du Dir auch eine Hausdurchsuchung samt Rechnerbeschlagnahmen durch die Polizei einhandeln. Wie Du die Polizei davon überzeugen willst, dass nichts zu holen sei, wenn diese beschließt, Deine Rechner zu beschlagnahmen und mitzunehmen, kann ich noch nicht erkennen. Lösen sich die Rechner etwa bei polizeilicher Beschlagnahme in Luft auf, damit diese nicht von der Polizei mitgenommen werden können?

  • ist ja alles richtig..... trotzdem müssen Ports weitergeleitet werden.... die großen machen es auch nicht anders.

    Seiten sind online.... mit etwas vorsicht und öfter mal ein Backup sollte es funktionieren:)

  • ist ja alles richtig..... trotzdem müssen Ports weitergeleitet werden.... die großen machen es auch nicht anders.

    Da geht die Pakete auch über professionelle Firewalls.

  • ok..... bedeutet also .... es kann niemand auf einem nas eine Webseite betreiben. Wird nicht empfohlen bzw. davon abgeraten. Stimmt's?

  • Na klar kann man das, doch nur weil man es kann ist es nicht automatisch eine gute Idee.


    Man kann auch von einer Brücke springen, ist aber auch keine gute Idee.

    Man kann auch an einer Steilküste baden gehen, ist aber auch keine gute Idee.

    Man kann auch auf der Autobahn bei voller Fahrt aus dem Auto ausstiegen, ist aber auch keine gute Idee.


    Wie fit bist du, was die Wartung, Pflege und vor allem das security assessment angeht?


    Untersuchst du deine eigenen System regelmäßig auf bekannt gewordene Lücken? Bewertest diese auf mögliche Angreifbarkeit und handelst entsprechend?


    Wenn du das alles erfüllst, kannst du gefahrlos auch @home eine Seite auf deinem NAS hoste.


    Wenn dir aber Tools wie openVAS nichts sagen, dann überlasse das doch besser jemandem der davon etwas versteht.


    Zudem die Webserver im Profi Umfeld mindestens in einer DMZ stehen und nicht im normalen Home Network mit rum hängen.


    Bei den richtig guten, ist da ein Software Defined Network dahinter und das Regelwerk inkl. Verhaltsschutz hängt an der VM.

    Wenn also hier irgendwas passiert, was die VM normalerweise nicht macht, dann wird die gleich vom Host genommen, ins Lab verschoben und ein Admin schaut sich das ganz genau an.

    Wir merken davon nur einen kurzen Aussetzer der Seit, weil gleich eine neue VM aus dem Snapshot davor an den Start geht.


    Damit das alles läuft, musst aber ein paar Mil in die Hand nehmen und damit ist das erst was für Firmen in der Größe groß bis gigantisch umsetzbar.


    Kannst ja mal bei IBM anrufen und fragen ob die dir fürs Heimnetz das Immune System anbieten wollen.

  • ok..... bedeutet also .... es kann niemand auf einem nas eine Webseite betreiben. Wird nicht empfohlen bzw. davon abgeraten. Stimmt's?

    So allgemein stimmt es nicht. Und eine Website betreiben und Dein spezifisches Setup sind auch zwei verschiedene Stiefel. Eine Art der Antwort hat Dennis bereits geschrieben. Eine andere Art fragt danach, welche Website Du für wen betreiben willst, um Optionen zu prüfen, in wie fern der Einsatz Deines NAS damit kombiniert werden kann, ohne gleich mit vielen Sicherheitsrisiken konfrontiert zu werden. Ebenfalls abhängig davon ist, wie sinnvoll ein Teil der Absicherung mit Deiner FritzBox oder überhaupt einer FritzBox erreicht werden kann.


    Solange Du eine Website in Deinem Intranet betreiben willst, braucht es keine Freigaben auf dem Internetrouter, und fallen die entsprechenden Sicherheitsrisiken bereits weg.


    Und wenn Du eine Website im Internet betreiben willst, sollte nicht Dein NAS zu Hause die Website betreiben. Da kannst Du Dein NAS bei Deinem Internet Service Provider oder einem anderen Webhoster im Rechenzentrum diesen Dienstleisters betreiben, wenn dieser ein solches NAS dafür erlaubt. Dein häusliches NAS könnte als Referenz dienen, das regelmäßig prüft, ob die offizielle Instanz im Internet noch immer Deinen Webcontent enthält, oder bereits von unberechtigten Dritten manipuliert wurde, so dass Du Deinen Referenzinhalt vielleicht erneut ins Internet aufspielen willst.


    Dann gibt es noch den Fall von Multi-Site corporate network, bei dem die verschiedenen Standorte ihre Websites ebenfalls hinter VPN und Firewall betreiben, ohne Angebote für externe. Dies stellt je nach Art der Websites, der Nutzungsprofile, des Nutzer- und Datenumfangs dann schon höhere Anforderungen, wie Dennis bereits angerissen hat.


    Erst wenn Du öffentliche Websites für Dritte von Deinem Netzwerk betreiben willst, kommt die höchste Stufe an Anforderungen, von denen Dennis ebenfalls eine einfache Variante aufgezeigt hat, mit nur einem ISP. Selbst die großen Konzerne betreiben ihre offiziellen, öffentlichen Websites in einem DMZ-Umfeld, meist ausgestaltet als Rechnerfarm, nicht im internen Intranet, und eventuell gespiegelt in verschiedenen Kontinenten, mit diversen Gateways für die Versorgung mit dynamischen und/oder personalisierten Daten.

    Wenn also hier irgendwas passiert, was die VM normalerweise nicht macht, dann wird die gleich vom Host genommen, ins Lab verschoben und ein Admin schaut sich das ganz genau an.

    So professionell geht es nicht bei jedem Großkonzern zu, zumindest wenn es sich um interne Informationssysteme für eine Abteilung im Intranet handelt. Da habe ich auch schon erlebt, dass die Warnungen der Endpunktsicherheitssysteme über bis zu drei Monate unquittiert angezeigt werden, und auch eine eigene Anfrage beim Support nur zögerlich beantwortet wird, nicht entsprechend meinen Erwartungen, selbst bei Ausrüstern für kritische Systeme von kritischer Infrastruktur. Ich würde jetzt nicht vermuten, dass bei jenen Symptomen diese kritischen Systeme gefährdet seien, aber ein Datenabfluss zu nicht-autorisierten Dritten in Kopie würde mich nicht wundern.

  • ist ja alles richtig..... trotzdem müssen Ports weitergeleitet werden.... die großen machen es auch nicht anders.

    Da geht die Pakete auch über professionelle Firewalls.

    Und selbst dann geht oft noch was schief. Jeden Tag liest man von korrumpierten Netzwerken und Diensten von Firmen von denen man glauben würde, die wissen schon wie es funktioniert.

  • verstehe..... :/


    Und danke für die Infos


    Und nochmals vielen vielen Dank hat mir sehr weitergeholfen:)

    Einmal editiert, zuletzt von kos_ta ()