Veilige manier om bij de NAS te komen

[Rubensky]

Zoals jullie weten is veiligheid hier een beetje mijn stokpaardje. Op dit moment heb ik mijn NAS aan een domein gekoppeld met een certificaat zodat er een veilige HTTPS verbinding is.

Daar ben ik niet helemaal tevreden over omdat hij dan open, en naar de standaard poort, aan het internet is gekoppeld.

De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

De echte vraag: Wat is het alternatief? Is dat Quickconnect waarvan ik de URL niet prettig vind. Of is dat de DynDNS via mijn eigen router?

Wie geeft mij tips?

[DSGebruiker]

De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

De echte vraag: Wat is het alternatief? Is dat Quickconnect waarvan ik de URL niet prettig vind. Of is dat de DynDNS via mijn eigen router?

Je opzet met certificaat is op zich niet onveilig, maar wat heb je dan allemaal aan services actief staan op die NAS ? Kan je eventueel met 2FA (2 Factor Authentication) werken ?
Eventueel zaken activeren als IPBan (indien teveel foute login-pogingen van een bepaald IP) etc ?
Je kan trouwens ook overwegen vb niet meer de "standaard" TCP/443 te gebruiken en iets anders vb 8443 ofzo te gebruiken. Kan wel enkele duizenden inlogpogingen van allerlei automatische scripts uitsparen. De "standaard" poorten 80/22/443 etc zie ik hier op m'n Firewall ook met hoooopen geprobed worden dagelijks.

Die "externe gebruikers" wat laat je die doen ?

[Birdy]

Een certificaat op zich maakt het niet veilig.
Het geeft de gebruikers alleen de zekerheid dat ze met jouw NAS (domein) verbonden zijn.

[Babylonia]

De vraag wat is echt veilig? Ik begrijp dat dit VPN is (zelf een voorstander van) maar dat kan ik hier niet inrichten omdat er teveel externe gebruikers van allerlei locaties inloggen.

En wat betekent voor jou "allerlei locaties" ??
Is dat alleen binnen Nederland, of mogelijk nog enkele andere landen,
of gaat het om connecties over de hele wereld verspreid?

Als het slechts beperkt is tot enkele landen, en je kent de Clients waar ze vandaan komen,
kun je als extra optie in de firewall toegang beperken voor bepaalde "regio's (= landen).
De rest uitsluiten.

Verder zoals al genoemd, het aantal inlogpogingen beperken. Als er teveel "probeer" pogingen zijn (zonder succes), het IP blokkeren.
Twee factor autorisatie is ook een goede optie om dat als extra methode in te zetten.

[Briolet]

Ik denk eerder dat hij tegen het maximaal aantal connecties aanloopt. Je kunt niet hoger dan 30 instellen. Als je een paar honderd gebruikers hebt, kan het best voorkomen dat er 30 gelijktijdig willen inloggen. Dat kan b.v. een school zijn waarvan een paar klassen gelijktijdig bij de data willen.

[Ben(V)]

Ik denk als je tegen het maximaal aantal gebruikers van de VPN aanloopt je ook niet veel meer met die Nas kunt doen.
Je moet al een behoorlijk zware Nas hebben wil je 30 gelijktijdige gebruikers aankunnen.

Maar als het echt zo is kun je beter een VPN router nemen die grote aantallen aan kan, zoiets als een Draytek 2960 of misschien wel een Synology RT2600Ac.

[Babylonia]

Een DrayTek 2960 kan officieel dan wel een groot aantal VPN verbindingen tegelijkertijd aan.
Er zit echter een zodanige "cap" op de snelheid (wat niet anders is in te stellen) dat je praktisch gezien er weinig aan hebt.
Zo traag is die snelheid, ook bij gebruik van slechts een enkele VPN-verbinding.

Naar aanleiding van het OpenVPN protocol waarmee de 2960 inmiddels met een firmware update is uitgerust.
En de de slechte ervaringen die ik ermee heb. Zowel qua snelheid, als stabiliteit, met vragen aan DrayTek Support.

        Dank u wel voor de uitgebreid verslag.

        Nu is maximale doorvoersnelheid van OpenVPN op een Vigor 2960 wel beperkt tot 5 Mbps door Hardware imitatie.
        Zie onderstaande link [ HIER ] voor de VPN vergelijking snelheid/security.


Naar aanleiding van de lage bitdipte van het gebruikte OpenVPN protocol, wat ook helemaal niet is in te stellen.
(Bij opzet van een verbinding krijg je daarover meldingen in de het logbestand):

        Wel wordt er door de fabrikant gekeken of de Security/Encryptie niveau van OpenVPN op de Vigor 2960/3900
        t.o.v huidige verbeterd kan worden. Dit zal middels firmware patch of upgrade worden aangeboden.


Ter vergelijking een simpele test met OpenVPN.  De DrayTek heeft een 500/500 Mbps glasvezelverbinding.

Mijn eigen netwerk waarmee ik de VPN-server benader een 100/100 Mbps glasvezelverbinding.
(Die is dus dus feitelijk bepalend met wat er maximaal mogelijk is aan een onderlinge connectie).

De OpenVPN verbinding met de ingestelde server draaiend op de Vigor 2960.  (Gebruik via poort 1194).
Snelheid variërend tussen pakweg ruim  700 kB p/s  en maximaal  1 MB p/s
Waarbij bij download van een videobestand na een korte tijd de verbinding wordt verbroken.

          


OpenVPN verbinding met de server geïnstalleerd op een Synology NAS DS218+ die achter diezelfde Draytek router hangt.
(Gebruik via poort 1195 ----> een mooie en strakke 10,7 MB p/s  =  85,6 Mbps).



Als alternatief helemaal geen OpenVPN verbinding, maar een WebDAV verbinding met diezelfde NAS.
En als Client software gebruik van  "RaiDrive"  is nog wat gunstiger in snelheid (11,3 MB p/s  =  90,4 Mbps).

[Ben(V)]

Je moet ook geen OpenVpn op zo'n Draytek gebruiken dat heeft veel te veel resources nodig.
De ipsec doet hij in hardware en dan kan hij makkelijk deze aantallen aan en dat weet ik uit ervaring.
Het ding heet niet voor niets een VPNrouter.

[Babylonia]

Die aantallen misschien wel, maar verdeelt die snelheden niet onder het aantal Clients en beschikbare bandbreedte.
Daar zit een cap op.   Eerder had ik verwacht dat je met QoS instellingen daar wel iets mee kunt regelen.
Maar VPN valt kennelijk buiten de mogelijkheden om daar iets met QoS mee te doen.  (Ja, het effect is alleen nog slechter).
De snelheden met andere VPN protocollen is ook niet om over naar huis te schrijven.

Als je de snelheid van fabriekswege maar genoeg knijpt, kun je daarmee het aantal VPN-verbindingen wel omhoog krijgen.
En daarmee adverteren.  Het heeft dus zeker wel zijn keerzijde. En ik snap best dat je niet altijd enorme snelheden nodig hebt.
(Wordt zakelijk gebruikt. Niet om er "films" mee te downloaden). Maar 5 Mbps is wel erg weinig om er "snappy" mee te kunnen werken.

Het gaat er mij bovendien om, dat alleen een VPN-verbinding met de NAS server wordt gemaakt.
Niet dat het hele internetverkeer via de VPN loopt. Dat is met andere protocollen nauwelijks of niet te regelen.
(Althans ik heb daar te weinig inzicht in om dat makkelijk te kunnen instellen. Met OpenVPN is dat juist heel eenvoudig).

[Ben(V)]

Ja maar dat is jouw situatie.
Normaal wil je alleen toegang to je lan met weinig benodigde bandbreedte.

[hanspaint]

Kijk is naar WebDav. Ik heb 32 gebruikers die WeDav gebruiken de internetpoort is een willekeurig nummer de interne poort 5006 (https). Er moet een sterk password gebruikt worden en het aantal inlogpogingen is beperkt.

[Briolet]

WebDav verkeer kun je ook via een virtual host doorsturen. Dat lijkt me nog veiliger dan een niet-standaard poort. Bij een niet-standaart poort kan er nog steeds iemand zijn die gewoon alle poorten scant.

Als je poort 443 via een virtual host naar je WebDav poort 5006 doorstuurt, help een poortscan niet. (Mits je die natuurlijk niet forward in de router). Een aanvaller moet dan ook weten welke url de nas gebruikt om bij WebDav uit te komen. Dat vereist meer kennis van het doelwit dan een poortscan. En als extra voordeel hoeven de gebruikers ook geen poortnummer mee te geven.

[DSGebruiker]

Maar het speelt toch geen rol dat je vanaf Internet mooi een login-pagina te zien krijgt ? Zelfs al draai je netjes op gewoon HTTPS/443
Indien het OS van Synology natuurlijk een fout zou bevatten waardoor je binnen kan zonder verder authenticatie door 1 of andere code-fout, tja ...

Maar een login-pagina gekoppeld met sterke wachtwoorden, beperking van inlog-pogingen etc. dan ben je al aardig op weg, eventueel 2FA.


Uiteindelijk verschil je dan niet veel van elke andere HTTPS website op Internet.

Met zo'n constructie laat je natuurlijk Internet verkeer al direct op je lokaal netwerk toe, mogelijks wil je dat niet en moet je overwegen iets van reverse-proxy ervoor te zetten of de VPN-route op te gaan, maar dat is allemaal case-by-case te bekijken wat wenselijk is.

[hanspaint]

Dit is nog veiliger en voor mijn gevoel ook mooier, maar dat is subjectief. Ik ga het nu niet veranderen
het password is 15 posities lang en genereerd door een password manager plus dat de gebruiker WebDav rechten moet hebben.  Verder gebruik ik Threat detection en kan ik derhalve zien welke poorten aangevallen worden.

[Babylonia]

Verder gebruik ik Threat detection en kan ik derhalve zien welke poorten aangevallen worden.

Vraag me af of je daar iets mee opschiet ten aanzien van de eigen services die je gebruikt?
Poorten waar geen services achter zitten, daar hoef je niet bang voor te zijn.
Het zijn doorgaans de poorten die open staan (als services worden doorgegeven middels port forwarding).
Die hebben dus automatisch al extra belangstelling.   Vandaar belangrijk om "regio filtering" in je firewall toe te passen.