Auteur Topic: Nas extern bereikbaar hoe veilig is mijn setup?  (gelezen 7766 keer)

Offline Chris12

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 11
  • Berichten: 92
Nas extern bereikbaar hoe veilig is mijn setup?
« Gepost op: 20 december 2014, 15:05:09 »
Hallo,

Middels een aantal handleidingen op mysynology en wat post hier op het forum heb ik mijn NAS extern vanaf internet bereikbaar gemaakt. Via xxxx.quickconnect.to en (via DDNS) xxxx.synlogy.me

Ik vroeg me echter af of dit nu allemaal wel veilig is, en of ik niet teveel open heb staan, en of het wellicht nog veiliger kan.

Netwerk bij mij ziet er als volgt uit:
Ziggo Cisco modem <-> Draytek 2130n <-> 3COM Gbit switch <-> NAS DS 415


Het volgende heb ik oa allemaal ingesteld:

Op de NAS DS-415+ :
Firewall:
- Interne IP range 192.168.1.x toegestaan
- Ports tbv DSM/CP/SB/NZBGet toegestaan
- Port voor surveilance station/cloud station toegestaan
- NTP/NSF/DLNA toegestaan
- regio's  .nl , usa en .to en .me rest niet (12x regel met 15 countrycode erin)
- laatste/onderste FW regel is block al

Andere settings:
- Auto blokkeren na 5x poging in 5 min, opheffen na 1 dag.
- verbinden alleen met https (http wordt naar https omgezet)
- account admin disabled, ander admin account
- laatste DSM versie beschikbaar 5.1.xxxx
- account met password (>8, cijfer, hoofdleter, vreemd karakter)
- 2 steps verificatie met Google authenticator app op android phone


Draytek 2130n:
- admin account disabled, andere admin user/password
- laatste firmware (inlc Poodle bleed patch)
- netwerk/DHCP deelt 192.168.1.x met max 20 adressen uit
- DS415+ heeft vast IP adres
- Ports open voor DSM/CP/SB/NZBget/VPN etc naar NAS


Ziggo Cisco modem:
- default user/password disabled, andere user/password
- range 192.168.178.x
- Draytek vast IP
- Ports voor DSM/Video Station/VPN/ port 80 naar Draytek modem

Met bovenstaande instellen werkte het nog niet.
Pas na instellen DMZ op Ziggo Cisco modem naar de Draytek 2130n toe werkt extern benaderen via internet benaderen van DSM/CP/SB/NZBget.


Vragen waar ik mee zit:
- door DMZ in te stellen op Ziggo modem, zet ik dan niet teveel open?
- welke ports moet ik nog meer doorzetten in het Ziggo modem zodat DMZ disabled kan worden?
- via portscan op bv pcflank.com zie ik dat alles 'stealthed' is qua ports, behalve port 80/ 5001/5001/1723, waarom staat port 80 hier tussen?



  • Mijn Synology: DS415+
  • HDD's: 4x WD60EZRX
  • Extra's: 8GB RAM Corsair

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #1 Gepost op: 20 december 2014, 15:11:12 »
Het Ziggo modem/router in DMZ plaatsen is feitelijk niets anders dan een bridge mode.
De Draytek router heeft toch ook een firewall en NAT dus daar regel je de feitelijke doorgang naar de rest van je netwerk.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #2 Gepost op: 20 december 2014, 16:05:21 »
Met bovenstaande instellen werkte het nog niet.
Pas na instellen DMZ op Ziggo Cisco modem naar de Draytek 2130n toe…

Twee routers achter elkaar is soms verwarrend. Vaak wordt in de eerst router naar het verkeerde adres geforward. DMZ werkt het makkelijker omdat je effectief alle poorten gelijktijdig forward. Maar je kunt ook elke poort individueel naar het WAN-IP van de eigen router forwarden. Dat is dus exact hetzelfde IP dat je voor de DMZ instelling gebruikt.

Ik doe het ook zo. Je kunt dan nog net een paar apparaten in je eigen router forwarden zodat ze vanaf het Cisco netwerk bereikbaar worden, zonder dat ze vanaf het internet toegankelijk worden. Je maakt het jezelf wel moeilijk op die manier, maar sommigen onder ons houden wel van een uitdaging:

Waarom makkelijk doen als het ook moeilijk kan.  ;D
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Ben(V)

  • Gast
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #3 Gepost op: 20 december 2014, 16:39:33 »
Waarom maak je niet gebruik van de functionaliteit van je router.
Die Draytek is uitgerust met een VPN server. Gebruik die om via VPN op je netwerk te komen en al die andere poorten kunnen gewoon dicht.

Dus die ziggo router weer normaal zetten een IP adres laten uitdelen aan je Draytek router plus de VPN port forwarden naar de draytek router.

De Draytek als dhcp server laten functioneren en voor je NAS een "bind IP to MAc" opzetten zodat je NAS gewoon een IP adres van je router krijgt maar wel altijd hetzelfde.

Als je wilt kun je met dezelfde functie regelen dat alleen devices waarvan jij het macadres hebt ingevoerd een ipadres krijgen als extra beveiliging.


Mijn filosofie is dat je beveiliging altijd zo dicht mogelijk bij de ingang moet doen.

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #4 Gepost op: 20 december 2014, 17:05:11 »
Waarom makkelijk doen als het ook moeilijk kan.  ;D


 :) ;) :P :D :lol: ;D 8) ::) :| :o :( :'( :S :oops: :x :evil: :twisted: :geek: :ugeek: :idea: ??? :!:

Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #5 Gepost op: 20 december 2014, 17:19:43 »
 :!: :?: :idea: :ugeek: :geek: :twisted: :evil: :x :oops: :S :'( :( :o :| ::) 8) ;D :lol: :D :P ;) :)
.
.
 ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Chris12

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 11
  • Berichten: 92
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #6 Gepost op: 20 december 2014, 17:42:09 »
De ziggo modem/router staat nu als DMZ, en tevens staat dezelfde ports open als in de draytek. Dus ik zou verwachten dat het ziggo modem de ports toestaat naar de draytek en de draktek deze weer toestaat richting de NAS.

Draytek deelt via DHCP adressen uit, de NAS heeft reeds vast IP adres.

Verbinden via alleen VPN  heb ik ook als optie overwogen, maar wil eerst op beide manieren het kunnen benaderen. Enkel VPN is natuurlijk wel het veiligst.

ports ziggo router:


ports Draytek router:


Mis ik hier nu dan nog essentiële ports?


Als het werkt met enkel de ports open zetten (en DMZ uit op Ziggo router)ga ik me daarna verdiepen om VPN werkend te krijgen.



  • Mijn Synology: DS415+
  • HDD's: 4x WD60EZRX
  • Extra's: 8GB RAM Corsair

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #7 Gepost op: 20 december 2014, 18:28:37 »
Een geheel andere manier om de veiligheid te verhogen is om extern zelf altijd via een user account in te loggen en nooit via de admin account. Mocht dat wachtwoord ooit gecompromitteerd raken, dan heeft men nog steeds maar beperkte rechten zodat ze alleen bij files kunnen, maar de nas niet kunnen aanpassen.

Denk b.v. aan het inloggen via computers van derden waar een keylogger op kan zitten. In dat geval helpt vpn nog steeds niet als beveiliging.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline JosF

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 2
  • Berichten: 59
Re: Nas extern bereikbaar hoe veilig is mijn setup?
« Reactie #8 Gepost op: 20 december 2014, 19:09:54 »
Een geheel andere manier om de veiligheid te verhogen is om extern zelf altijd via een user account in te loggen en nooit via de admin account.
Dat zou ik graag ook zo doen, maar via een 'normaal' user account kan ik alleen-maar bij bestanden. Ik wil vaak nét "iets" méér. Zoals de status bekijken. Of het installeren van een update toestaan. En ik wil dan zelfs nog "iets" minder, want dan hoef ik niet bij bestanden te kunnen. Voorzover ik weet geeft Synolgy deze optie niet, dus rest mij niets anders dan "onveilig" met een account met admin rechten in te loggen.
Of heb ik ergens een optie over het hoofd gezien?


 

Hoe is mijn NAS ingesteld?

Gestart door imacolafBoard NAS hardware vragen

Reacties: 12
Gelezen: 5869
Laatste bericht 14 september 2014, 14:06:02
door Birdy
Sinds upgrade server verwijst 1 van mijn website's naar inlogpagina server

Gestart door HanssieBoard Web Station

Reacties: 1
Gelezen: 1269
Laatste bericht 30 november 2014, 23:18:26
door Hanssie
Mijn nieuwe DS214+ ziet 2e schijf niet

Gestart door JakusBBoard NAS hardware vragen

Reacties: 11
Gelezen: 4979
Laatste bericht 14 januari 2015, 12:27:10
door JakusB
Na update zijn mijn pagina niet meer zichtbaar

Gestart door jellerubenBoard Wordpress package

Reacties: 4
Gelezen: 2053
Laatste bericht 24 maart 2015, 16:43:56
door jelleruben
extern usbstation geen schrijfrechten

Gestart door bvdwoudeBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 2438
Laatste bericht 06 oktober 2008, 11:26:56
door Björn