Nas extern bereikbaar hoe veilig is mijn setup?

[Chris12]

Hallo,

Middels een aantal handleidingen op mysynology en wat post hier op het forum heb ik mijn NAS extern vanaf internet bereikbaar gemaakt. Via xxxx.quickconnect.to en (via DDNS) xxxx.synlogy.me

Ik vroeg me echter af of dit nu allemaal wel veilig is, en of ik niet teveel open heb staan, en of het wellicht nog veiliger kan.

Netwerk bij mij ziet er als volgt uit:
Ziggo Cisco modem <-> Draytek 2130n <-> 3COM Gbit switch <-> NAS DS 415


Het volgende heb ik oa allemaal ingesteld:

Op de NAS DS-415+ :
Firewall:
- Interne IP range 192.168.1.x toegestaan
- Ports tbv DSM/CP/SB/NZBGet toegestaan
- Port voor surveilance station/cloud station toegestaan
- NTP/NSF/DLNA toegestaan
- regio's  .nl , usa en .to en .me rest niet (12x regel met 15 countrycode erin)
- laatste/onderste FW regel is block al

Andere settings:
- Auto blokkeren na 5x poging in 5 min, opheffen na 1 dag.
- verbinden alleen met https (http wordt naar https omgezet)
- account admin disabled, ander admin account
- laatste DSM versie beschikbaar 5.1.xxxx
- account met password (>8, cijfer, hoofdleter, vreemd karakter)
- 2 steps verificatie met Google authenticator app op android phone


Draytek 2130n:
- admin account disabled, andere admin user/password
- laatste firmware (inlc Poodle bleed patch)
- netwerk/DHCP deelt 192.168.1.x met max 20 adressen uit
- DS415+ heeft vast IP adres
- Ports open voor DSM/CP/SB/NZBget/VPN etc naar NAS


Ziggo Cisco modem:
- default user/password disabled, andere user/password
- range 192.168.178.x
- Draytek vast IP
- Ports voor DSM/Video Station/VPN/ port 80 naar Draytek modem

Met bovenstaande instellen werkte het nog niet.
Pas na instellen DMZ op Ziggo Cisco modem naar de Draytek 2130n toe werkt extern benaderen via internet benaderen van DSM/CP/SB/NZBget.


Vragen waar ik mee zit:
- door DMZ in te stellen op Ziggo modem, zet ik dan niet teveel open?
- welke ports moet ik nog meer doorzetten in het Ziggo modem zodat DMZ disabled kan worden?
- via portscan op bv pcflank.com zie ik dat alles 'stealthed' is qua ports, behalve port 80/ 5001/5001/1723, waarom staat port 80 hier tussen?

[Robert Koopman]

Het Ziggo modem/router in DMZ plaatsen is feitelijk niets anders dan een bridge mode.
De Draytek router heeft toch ook een firewall en NAT dus daar regel je de feitelijke doorgang naar de rest van je netwerk.

[Briolet]

Met bovenstaande instellen werkte het nog niet.
Pas na instellen DMZ op Ziggo Cisco modem naar de Draytek 2130n toe…

Twee routers achter elkaar is soms verwarrend. Vaak wordt in de eerst router naar het verkeerde adres geforward. DMZ werkt het makkelijker omdat je effectief alle poorten gelijktijdig forward. Maar je kunt ook elke poort individueel naar het WAN-IP van de eigen router forwarden. Dat is dus exact hetzelfde IP dat je voor de DMZ instelling gebruikt.

Ik doe het ook zo. Je kunt dan nog net een paar apparaten in je eigen router forwarden zodat ze vanaf het Cisco netwerk bereikbaar worden, zonder dat ze vanaf het internet toegankelijk worden. Je maakt het jezelf wel moeilijk op die manier, maar sommigen onder ons houden wel van een uitdaging:

Waarom makkelijk doen als het ook moeilijk kan. 

[Ben(V)]

Waarom maak je niet gebruik van de functionaliteit van je router.
Die Draytek is uitgerust met een VPN server. Gebruik die om via VPN op je netwerk te komen en al die andere poorten kunnen gewoon dicht.

Dus die ziggo router weer normaal zetten een IP adres laten uitdelen aan je Draytek router plus de VPN port forwarden naar de draytek router.

De Draytek als dhcp server laten functioneren en voor je NAS een "bind IP to MAc" opzetten zodat je NAS gewoon een IP adres van je router krijgt maar wel altijd hetzelfde.

Als je wilt kun je met dezelfde functie regelen dat alleen devices waarvan jij het macadres hebt ingevoerd een ipadres krijgen als extra beveiliging.


Mijn filosofie is dat je beveiliging altijd zo dicht mogelijk bij de ingang moet doen.

[TonVH]

Waarom makkelijk doen als het ook moeilijk kan. 

 

[Birdy]

 
.
.
 

[Chris12]

De ziggo modem/router staat nu als DMZ, en tevens staat dezelfde ports open als in de draytek. Dus ik zou verwachten dat het ziggo modem de ports toestaat naar de draytek en de draktek deze weer toestaat richting de NAS.

Draytek deelt via DHCP adressen uit, de NAS heeft reeds vast IP adres.

Verbinden via alleen VPN  heb ik ook als optie overwogen, maar wil eerst op beide manieren het kunnen benaderen. Enkel VPN is natuurlijk wel het veiligst.

ports ziggo router:


ports Draytek router:


Mis ik hier nu dan nog essentiële ports?


Als het werkt met enkel de ports open zetten (en DMZ uit op Ziggo router)ga ik me daarna verdiepen om VPN werkend te krijgen.

[Briolet]

Een geheel andere manier om de veiligheid te verhogen is om extern zelf altijd via een user account in te loggen en nooit via de admin account. Mocht dat wachtwoord ooit gecompromitteerd raken, dan heeft men nog steeds maar beperkte rechten zodat ze alleen bij files kunnen, maar de nas niet kunnen aanpassen.

Denk b.v. aan het inloggen via computers van derden waar een keylogger op kan zitten. In dat geval helpt vpn nog steeds niet als beveiliging.

[JosF]

Een geheel andere manier om de veiligheid te verhogen is om extern zelf altijd via een user account in te loggen en nooit via de admin account.

Dat zou ik graag ook zo doen, maar via een 'normaal' user account kan ik alleen-maar bij bestanden. Ik wil vaak nét "iets" méér. Zoals de status bekijken. Of het installeren van een update toestaan. En ik wil dan zelfs nog "iets" minder, want dan hoef ik niet bij bestanden te kunnen. Voorzover ik weet geeft Synolgy deze optie niet, dus rest mij niets anders dan "onveilig" met een account met admin rechten in te loggen.
Of heb ik ergens een optie over het hoofd gezien?