Auteur Topic: Veilige manier om bij de NAS te komen  (gelezen 4314 keer)

Offline Rubensky

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 16
  • Berichten: 353
Veilige manier om bij de NAS te komen
« Gepost op: 14 november 2018, 22:55:47 »
Zoals jullie weten is veiligheid hier een beetje mijn stokpaardje. Op dit moment heb ik mijn NAS aan een domein gekoppeld met een certificaat zodat er een veilige HTTPS verbinding is.

Daar ben ik niet helemaal tevreden over omdat hij dan open, en naar de standaard poort, aan het internet is gekoppeld.

De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

De echte vraag: Wat is het alternatief? Is dat Quickconnect waarvan ik de URL niet prettig vind. Of is dat de DynDNS via mijn eigen router?

Wie geeft mij tips?
  • Mijn Synology: DS214play
  • HDD's: 2

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 118
  • Berichten: 753
Re: Veilige manier om bij de NAS te komen
« Reactie #1 Gepost op: 14 november 2018, 23:17:11 »
De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

De echte vraag: Wat is het alternatief? Is dat Quickconnect waarvan ik de URL niet prettig vind. Of is dat de DynDNS via mijn eigen router?

Je opzet met certificaat is op zich niet onveilig, maar wat heb je dan allemaal aan services actief staan op die NAS ? Kan je eventueel met 2FA (2 Factor Authentication) werken ?
Eventueel zaken activeren als IPBan (indien teveel foute login-pogingen van een bepaald IP) etc ?
Je kan trouwens ook overwegen vb niet meer de "standaard" TCP/443 te gebruiken en iets anders vb 8443 ofzo te gebruiken. Kan wel enkele duizenden inlogpogingen van allerlei automatische scripts uitsparen. De "standaard" poorten 80/22/443 etc zie ik hier op m'n Firewall ook met hoooopen geprobed worden dagelijks.

Die "externe gebruikers" wat laat je die doen ?


Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.007
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Veilige manier om bij de NAS te komen
« Reactie #2 Gepost op: 14 november 2018, 23:24:16 »
Een certificaat op zich maakt het niet veilig.
Het geeft de gebruikers alleen de zekerheid dat ze met jouw NAS (domein) verbonden zijn.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Veilige manier om bij de NAS te komen
« Reactie #3 Gepost op: 15 november 2018, 02:34:40 »
De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

En wat betekent voor jou "allerlei locaties" ??
Is dat alleen binnen Nederland, of mogelijk nog enkele andere landen,
of gaat het om connecties over de hele wereld verspreid?

Als het slechts beperkt is tot enkele landen, en je kent de Clients waar ze vandaan komen,
kun je als extra optie in de firewall toegang beperken voor bepaalde "regio's (= landen).
De rest uitsluiten.

Verder zoals al genoemd, het aantal inlogpogingen beperken. Als er teveel "probeer" pogingen zijn (zonder succes), het IP blokkeren.
Twee factor autorisatie is ook een goede optie om dat als extra methode in te zetten.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Veilige manier om bij de NAS te komen
« Reactie #4 Gepost op: 15 november 2018, 08:27:38 »
Ik denk eerder dat hij tegen het maximaal aantal connecties aanloopt. Je kunt niet hoger dan 30 instellen. Als je een paar honderd gebruikers hebt, kan het best voorkomen dat er 30 gelijktijdig willen inloggen. Dat kan b.v. een school zijn waarvan een paar klassen gelijktijdig bij de data willen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Ben(V)

  • Gast
Re: Veilige manier om bij de NAS te komen
« Reactie #5 Gepost op: 15 november 2018, 09:16:22 »
Ik denk als je tegen het maximaal aantal gebruikers van de VPN aanloopt je ook niet veel meer met die Nas kunt doen.
Je moet al een behoorlijk zware Nas hebben wil je 30 gelijktijdige gebruikers aankunnen.

Maar als het echt zo is kun je beter een VPN router nemen die grote aantallen aan kan, zoiets als een Draytek 2960 of misschien wel een Synology RT2600Ac.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Veilige manier om bij de NAS te komen
« Reactie #6 Gepost op: 15 november 2018, 10:36:17 »
Een DrayTek 2960 kan officieel dan wel een groot aantal VPN verbindingen tegelijkertijd aan.
Er zit echter een zodanige "cap" op de snelheid (wat niet anders is in te stellen) dat je praktisch gezien er weinig aan hebt.
Zo traag is die snelheid, ook bij gebruik van slechts een enkele VPN-verbinding.

Naar aanleiding van het OpenVPN protocol waarmee de 2960 inmiddels met een firmware update is uitgerust.
En de de slechte ervaringen die ik ermee heb. Zowel qua snelheid, als stabiliteit, met vragen aan DrayTek Support.

        Dank u wel voor de uitgebreid verslag.

        Nu is maximale doorvoersnelheid van OpenVPN op een Vigor 2960 wel beperkt tot 5 Mbps door Hardware imitatie.
        Zie onderstaande link [ HIER ] voor de VPN vergelijking snelheid/security.



Naar aanleiding van de lage bitdipte van het gebruikte OpenVPN protocol, wat ook helemaal niet is in te stellen.
(Bij opzet van een verbinding krijg je daarover meldingen in de het logbestand):

        Wel wordt er door de fabrikant gekeken of de Security/Encryptie niveau van OpenVPN op de Vigor 2960/3900
        t.o.v huidige verbeterd kan worden. Dit zal middels firmware patch of upgrade worden aangeboden.



Ter vergelijking een simpele test met OpenVPN.  De DrayTek heeft een 500/500 Mbps glasvezelverbinding.

Mijn eigen netwerk waarmee ik de VPN-server benader een 100/100 Mbps glasvezelverbinding.
(Die is dus dus feitelijk bepalend met wat er maximaal mogelijk is aan een onderlinge connectie).

De OpenVPN verbinding met de ingestelde server draaiend op de Vigor 2960.  (Gebruik via poort 1194).
Snelheid variërend tussen pakweg ruim  700 kB p/s  en maximaal  1 MB p/s
Waarbij bij download van een videobestand na een korte tijd de verbinding wordt verbroken.

42933-0     42935-1     42937-2


OpenVPN verbinding met de server geïnstalleerd op een Synology NAS DS218+ die achter diezelfde Draytek router hangt.
(Gebruik via poort 1195 ----> een mooie en strakke 10,7 MB p/s  =  85,6 Mbps).

42939-3

Als alternatief helemaal geen OpenVPN verbinding, maar een WebDAV verbinding met diezelfde NAS.
En als Client software gebruik van  "RaiDrive"  is nog wat gunstiger in snelheid (11,3 MB p/s  =  90,4 Mbps).

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: Veilige manier om bij de NAS te komen
« Reactie #7 Gepost op: 15 november 2018, 10:42:34 »
Je moet ook geen OpenVpn op zo'n Draytek gebruiken dat heeft veel te veel resources nodig.
De ipsec doet hij in hardware en dan kan hij makkelijk deze aantallen aan en dat weet ik uit ervaring.
Het ding heet niet voor niets een VPNrouter.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Veilige manier om bij de NAS te komen
« Reactie #8 Gepost op: 15 november 2018, 10:46:59 »
Die aantallen misschien wel, maar verdeelt die snelheden niet onder het aantal Clients en beschikbare bandbreedte.
Daar zit een cap op.   Eerder had ik verwacht dat je met QoS instellingen daar wel iets mee kunt regelen.
Maar VPN valt kennelijk buiten de mogelijkheden om daar iets met QoS mee te doen.  (Ja, het effect is alleen nog slechter).
De snelheden met andere VPN protocollen is ook niet om over naar huis te schrijven.

Als je de snelheid van fabriekswege maar genoeg knijpt, kun je daarmee het aantal VPN-verbindingen wel omhoog krijgen.
En daarmee adverteren.  Het heeft dus zeker wel zijn keerzijde. En ik snap best dat je niet altijd enorme snelheden nodig hebt.
(Wordt zakelijk gebruikt. Niet om er "films" mee te downloaden). Maar 5 Mbps is wel erg weinig om er "snappy" mee te kunnen werken.

Het gaat er mij bovendien om, dat alleen een VPN-verbinding met de NAS server wordt gemaakt.
Niet dat het hele internetverkeer via de VPN loopt. Dat is met andere protocollen nauwelijks of niet te regelen.
(Althans ik heb daar te weinig inzicht in om dat makkelijk te kunnen instellen. Met OpenVPN is dat juist heel eenvoudig).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: Veilige manier om bij de NAS te komen
« Reactie #9 Gepost op: 15 november 2018, 10:57:19 »
Ja maar dat is jouw situatie.
Normaal wil je alleen toegang to je lan met weinig benodigde bandbreedte.

Offline hanspaint

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 5
  • Berichten: 64
  • Grondregel ICT Keep It Simple Stupid
Re: Veilige manier om bij de NAS te komen
« Reactie #10 Gepost op: 15 november 2018, 17:39:41 »
Kijk is naar WebDav. Ik heb 32 gebruikers die WeDav gebruiken de internetpoort is een willekeurig nummer de interne poort 5006 (https). Er moet een sterk password gebruikt worden en het aantal inlogpogingen is beperkt.
DS712+
DS718+
RT2600ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Veilige manier om bij de NAS te komen
« Reactie #11 Gepost op: 15 november 2018, 18:22:32 »
WebDav verkeer kun je ook via een virtual host doorsturen. Dat lijkt me nog veiliger dan een niet-standaard poort. Bij een niet-standaart poort kan er nog steeds iemand zijn die gewoon alle poorten scant.

Als je poort 443 via een virtual host naar je WebDav poort 5006 doorstuurt, help een poortscan niet. (Mits je die natuurlijk niet forward in de router). Een aanvaller moet dan ook weten welke url de nas gebruikt om bij WebDav uit te komen. Dat vereist meer kennis van het doelwit dan een poortscan. En als extra voordeel hoeven de gebruikers ook geen poortnummer mee te geven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 118
  • Berichten: 753
Re: Veilige manier om bij de NAS te komen
« Reactie #12 Gepost op: 15 november 2018, 18:27:59 »
Maar het speelt toch geen rol dat je vanaf Internet mooi een login-pagina te zien krijgt ? Zelfs al draai je netjes op gewoon HTTPS/443
Indien het OS van Synology natuurlijk een fout zou bevatten waardoor je binnen kan zonder verder authenticatie door 1 of andere code-fout, tja ...

Maar een login-pagina gekoppeld met sterke wachtwoorden, beperking van inlog-pogingen etc. dan ben je al aardig op weg, eventueel 2FA.


Uiteindelijk verschil je dan niet veel van elke andere HTTPS website op Internet.

Met zo'n constructie laat je natuurlijk Internet verkeer al direct op je lokaal netwerk toe, mogelijks wil je dat niet en moet je overwegen iets van reverse-proxy ervoor te zetten of de VPN-route op te gaan, maar dat is allemaal case-by-case te bekijken wat wenselijk is.

Offline hanspaint

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 5
  • Berichten: 64
  • Grondregel ICT Keep It Simple Stupid
Re: Veilige manier om bij de NAS te komen
« Reactie #13 Gepost op: 15 november 2018, 19:22:43 »
Dit is nog veiliger en voor mijn gevoel ook mooier, maar dat is subjectief. Ik ga het nu niet veranderen
het password is 15 posities lang en genereerd door een password manager plus dat de gebruiker WebDav rechten moet hebben.  Verder gebruik ik Threat detection en kan ik derhalve zien welke poorten aangevallen worden.
DS712+
DS718+
RT2600ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Veilige manier om bij de NAS te komen
« Reactie #14 Gepost op: 15 november 2018, 20:36:30 »
Verder gebruik ik Threat detection en kan ik derhalve zien welke poorten aangevallen worden.

Vraag me af of je daar iets mee opschiet ten aanzien van de eigen services die je gebruikt?
Poorten waar geen services achter zitten, daar hoef je niet bang voor te zijn.
Het zijn doorgaans de poorten die open staan (als services worden doorgegeven middels port forwarding).
Die hebben dus automatisch al extra belangstelling.   Vandaar belangrijk om "regio filtering" in je firewall toe te passen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Laatste versies, veilige download

Gestart door hans114Board SABnzbd (usenet)

Reacties: 3
Gelezen: 1847
Laatste bericht 10 maart 2014, 19:08:39
door Birdy
Veilige optie gezocht voor externe toegang NAS en NAS aan internet

Gestart door rimybroBoard VPN Server

Reacties: 12
Gelezen: 3144
Laatste bericht 21 december 2017, 12:05:07
door Briolet
Een veilige beveiliging en Backup van mijn gegevens en configuratie

Gestart door WouterBoard Data replicator & overige backupsoftware

Reacties: 10
Gelezen: 4491
Laatste bericht 18 juni 2016, 16:23:48
door Benjamin
Veilige verbinding met DSM maken

Gestart door Fred LindenBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 1
Gelezen: 494
Laatste bericht 27 juni 2024, 16:53:53
door Birdy
veilige verbinding maken

Gestart door chvbBoard Synology DSM algemeen

Reacties: 2
Gelezen: 1516
Laatste bericht 10 maart 2014, 22:28:25
door Robbedoes