Waarschuwingen security advisor: LAN services en Firewall

[Jack90210]

Hallo,

Ik ben geen specialist op het gebied van security, maar (daarom juist) vind het wel reuze belangrijk dat mijn gegevens volledig veilig staan op mijn NAS. Ik heb de Security Advisor gedraait en die kwam met 2 meldingen:

1. LAN Services zijn toegankelijk vanaf internet.
Ik heb toen Wizard internet gebruik gedraaid, en kreeg een foutmelding bij de DNS server. Als ik kijk naar Externe toegang zijn er 2 poorten doorgeschakeld maar ik krijg ook een melding dat UPnP service bezet is.
Wat moet ik doen om het veiligheidsrisico te minimaliseren? Overigens staat in mijn Ziggo model UPnP service ingeschakeld.

2. Standaardfirewallbeleid staat op toestaan voor interfaces met openbare IP.
Ik ben hier nog niet ingedoken.

Graag advies voor deze leek!
Jack.

[Ben(V)]

Die wizard moet je nooit meer gebruiken.
Die werkt alleen als je uPnp op je router ingeschakelt hebt en dat is iets wat je nooit wilt doen.
Upnp maakt het mogelijk dat een stukje software dat ergens op je Lan draait de router te laten configureren, precies wat die wizard ook probeert te.
Je snap natuurlijk wel dat als je op wat voor manier dan ook ergens op je lan (dus PC, telefoon, tablet, of wat dan ook) iets van malware binnenkrijgt je die niet in staat wil stellen je hele router open te gooien.

Dus het advies is al die vinkjes weer weg te halen.

Verder moet je gewoon eventuele portforwarding zelf doen in je router als je dat beslist nodig hebt.
Als je dus vanaf het internet photo Station wilt bereiken zul je de poort(en) die photo station nodig heeft moeten forwarden.
Maar je moet je altijd afvragen of die toegang vanaf het internet het risico dat je loopt waard is.

[Jack90210]

Hoi Ben, bedankt voor je snelle reactie.
Het lijkt er dus op dat het eerste dat ik moet doen, het uitzetten van UPnP in mijn Ziggo modem is.
(Ik heb dat nooit zelf aangezet overigens, schijnbaar een standaard instelling...)
Dit dus gedaan, maar nog steeds krijg ik bij de routerconfiguratie in DiskStation de melding 'UPnP service is bezet. Probeer het later opnieuw' (zie originele bijlage). Ik kan de vinkjes daarom niet uitzetten...
Wat nu...?

[Birdy]

Routerconfiguratie van de NAS dus niet gebruiken en eventueel poorten zelf forwarden op je Router.

[Ben(V)]

Hoi Ben, bedankt voor je snelle reactie.
Het lijkt er dus op dat het eerste dat ik moet doen, het uitzetten van UPnP in mijn Ziggo modem is.
(Ik heb dat nooit zelf aangezet overigens, schijnbaar een standaard instelling...)
Dit dus gedaan, maar nog steeds krijg ik bij de routerconfiguratie in DiskStation de melding 'UPnP service is bezet. Probeer het later opnieuw' (zie originele bijlage). Ik kan de vinkjes daarom niet uitzetten...
Wat nu...?

Nee je Ziggo modem heeft standaard zeker geen Upnp aanstaan en die melding van je router configuratie geeft dat ook aan, daarom mislukt het (prima dus)
Je moet alleen nooit die router configuratie wizard willen gebruiken en die vinkjes daar dus uitzetten.

[Jack90210]

Bedankt Ben en Birdy!
In eerste instantie kon ik de vinkjes niet uitzetten, maar na opstarten wel.
UPnP staat uit op de router en geen enkele port forwarding aan. Hopelijk zijn daarmee alle achterdeurtjes dicht.

Ik krijg echter nog wel de volgende 2 meldingen (zie bijlage), enig idee wat er nog mis kan zijn?

[Birdy]

Dat betekent, dat je NAS niet op Internet kan komen om de Beveiligingsdatabase eventueel te updaten.
Check: Wat staat er achter Status in Configuratiescherm > Bijwerken en herstellen > DSM bijwerken ?


Kennelijk heb je toch 1 of meer van die Services (Poorten) forwarded in je Router richting je NAS.
Ga naar Resultaten en sta op die melding en klik op Weergeven, misschien komt er dan meer duidelijkheid.

[Jack90210]

Er staat inderdaad en foutmelding bij DSM bijwerken (1e bijlage). Ik heb echter wel gewoon een werkende internetverbinding.

En de foutmelding ziet eruit als bij de 2e bijlage...

Overigens krijg ik ook een foutmelding als ik de scan opnieuw probeer uit te voeren (3e bijlage).

Hopelijk heb je nog ideeën....

==>> UPDATE

In een ander onderwerp op dit forum vond ik het advies om de DNS-server adressen te wijzigen in 8.8.8.8. en 4.4.4.4. Dat gedaan en beide fouten zijn hiermee opgelost (zie 4e bijlage). Echter... ik begrijp graag wat ik zou heb gedaan, waarom werkt 192.168.1.1 en leeg niet? Is deze oplossing volledig veilig?

[Briolet]

Er staat inderdaad en foutmelding bij DSM bijwerken (1e bijlage). Ik heb echter wel gewoon een werkende internetverbinding.

Het gaat er niet om of jouw PC een goed werkende verbinding heeft, maar dat de nas géén goed werkende verbinding heeft. Maar ik lees dat het inmiddels opgelost is.

[Jack90210]

Terechte opmerking Briolet!

Toch nog even over het wijzigen van DNS-server adressen in 8.8.8.8. en 4.4.4.4. Is deze oplossing volledig veilig? Waarom werkt de 'default' niet (192.168.1.1 en leeg)?

[Briolet]

192.168.1.1 is de router. VIa DHCP kan de nas daar ook de DNS adressen ophalen, maar soms loopt dit spaak. Bij mijn router weet ik dat als ik de DNS aanpas in de router, al mijn PC's ook een paar minuten van slag zijn en even helemaal geen DNS kennen.
De echte DNS server invullen voorkomt problemen.

Overigens speelt dit probleem al sinds DSM 3.2. Maar omdat dit probleem alleen bij de nas speelt en niet bij mijn PC's, vermoed ik dat Synology (of de gebruikte linux versie) iets niet goed doet.