Algemene informatie over beveiliging Synology Nas?

[Jaspov]

Goedenavond, een generieke vraag, zijn er goede sites/blogs/draadjes hier over hoe je je Synology het best veilig kan gebruiken? Ik vond niet heel veel, met name veel posts over problemen met instellingen die niet werken e.d. en deze post: http://www.synology.com/en-uk/support/tutorials/478

Ik heb de meeste adviezen al ingesteld maar twijfel nog wat om alles extern open te zetten (zou graag audio, video en fotos op de iPhone en iPad benaderen extern over Wifi ergens maar twijfel doordat je dan ook de management UI, filestation en andere zaken open zet met dezelfde poorten. Ik krijg niet echt een beeld hoe (on)veilig dat nu is, en of het niet veiliger is dat via VPN te doen? Sluit je met VPN het rommelen aan alle draaiende diensten helemaal uit?


Achtergrond, wat heb ik al ingesteld:
-Nieuw admin account gemaakt en default admin uitgeschakeld
-alle accounts hebben een sterk wachtwoord
-auto ip block aan
-account gemaakt wat ik (nu nog op LAN) op iDevices gebruik voor DS Audio/video/photo met enkel leesrechten
-(voor nu) alle poorten op de router dicht
-(voor nu) Firewall blokkeert alles behalve LAN adressen

Nog niet gedaan
-two step authentication, lees her en der issues als de klok net goed staat, dat je er niet meer in komtt
-Encryptie )begrijp dit nog onvoldoende en DS214Play ondersteunt dat nog niet hardwarematig

[tommienator]

Hey,

Je moet jezelf eerst even de vraag stellen.. Waarom allemaal? Kijk, als je al bedrijf zo iets doet.. Dat is nog aannemelijk (ben zelf mijn master-proef over beveiliging van netwerken op pro-it vlak aan het doen). Maar als consument rendeert het niet echt bepaald. Of je moest het gewoon 'puur voor de fun' doen zoals ik doe dan is het ook nog begrijpelijk.
Maar laat je niet teveel van stapel lopen door de verhalen van de media over NSA en spionagge etc.
En om je persoonlijk wat bang aan te jagen.. Weet dat er in vele consumentengrade routers echt beveiligingsflaters in de firmwire zitten.

Maar soit, hier w3 meest basic tips die eigenlijk wel vrij belangrijk zijn.

- Werk altijd met een VPN verbinding, vermijd pptp maar als er geen andere keuze is vanwege de eventuele kennis niet te hebben, gebruik dan beter pptp. Iets is beter als niets!
- log nooit remote aan met je admin account. Ik log enkel met mijn admin account in op mijn vaste computer die met een crossover cable meteen verbonden is met mijn nas.
- Geen enkel defaultpoort forwarden, verander deze eerst en die poorten forward je.

Nu, met een vpn creëer je een geëncrypteerde tunnel naar je thuisnetwerk (lees je gewoon even op wikipedia in over vpn verbindingen) en je kan dan alles benaderen met de adressen die er thuis aan gegeven waren.
bv. jouw router zal waarschijnlijk ip adres 192.168.1.1, wel als je in je vpn tunnel zit op een ander netwerk kan jij je router gewoon bereiken via 192.168.1.1.

Dan qua forwarding, zet upnp uit (kan je je gewoon over inlezen op het internet) en forward enkel de poorten die jij wenst te forwarden naar het gegeven interne ip-adres.

in een zeer kleine notendop wat hulp hopelijk.. Ik kan hier nog uren typen en zeveren over beveiliging.. Maar daar heeft niemand bepaald iets aan.

Maar, overdrijf er niet in.. Want ik zal je 1 ding zeggen.. Ook al mag jij alles zo veilig doen, ik ken mensen die er zonder problemen binnen geraken hoor . Niets is 100% veilig, 100% zekerheid bestaat ook niet, gewoon niets in het leven is 100% (kleine les filosofie.. Feest ).
Maar beveilig zodanig dat je jezelf niet in problemen brengt met onderhoudsgemak. Als je bv. een map rechten bent vergeten in te stellen dat je dit alsook van op afstand kan doen en niet dat je dan met de gebakken peren zit.

Hoop dat dit wat helpt .

[Jaspov]

Dank voor je reactie! Zeer hulpvol!

Ik begrijp dat 100% bescherming niet bestaat, maar het is niet mijn stijl om zomaar wat poorten open te gooien, dan wil ik snappen wat ik doe en wat de risico's zijn. Ik heb geen belangrijke geheimen maar het is meer het idee dat wat prive is (foto's, digitale belastingaangiftes e.d.) prive moet blijven.  Hiermee wil ik in elk geval het niet al te makkelijk maken voor alle poortscannende mensen die hopen op een easy way in.

Blij dat je ook voor de VPN route gaat, dat gevoel had ik al een beetje. Ik twijfel tussen L2TP (zit standaard in ios) en Openvpn (schijnt net iets beter te zijn en draait met een app), ik ga eerst openvpn proberen.

Idee is dan om op IOS alleen DS Audio/Video/photo te gebruiken met een account met enkel leesrechten op audio/foto/video, en zeker geen admin rechten. Enige poorten die ik dan forward zijn dan voor vpn, zal kijken of ik die inderdaad op een andere poort kan gebruiken.

Dank voor de info en goede tip van de wikipedia links. Ik vind het ook ergens wel erg leuk om dit goed te doen en beter te snappen dan ik nu doe.