Auteur Topic: Feature request ingestuurd...  (gelezen 1493 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.359
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Feature request ingestuurd...
« Gepost op: 27 april 2018, 12:29:56 »
Vandaag heb ik een feature-request ingestuurd en wel het volgende:

Vaak wordt geadviseerd om 'admin' account uit te zetten en een alternatieve (lastig te gokken) accountnaam met admin rechten te gebruiken.
Helder allemaal... Echter bij verschillende zaken moet gewoon een admin account enabled zijn.
  • Denk bij het instellen van extra beveiliging van VPN-server (Zie dit prachtige topic: OpenVPN beter beveiligen, van MMD) en dan de dingen die je als 'root' moet doen via WinSCP/Putty.
  • aanpassingen met Config Editor kan ook niet ZONDER ingeschakelde 'admin'.
  • nClone werkt alleen met 'admin' ingeschakeld.
(waarschijnlijk omdat 'root' onlosmakelijk gekoppeld is aan 'admin')

Mijn suggestie was om een toegangscontrole op IP-adres, IP-range of GEO-locatie per user en/of group in te kunnen stellen naast de controle door de firewall.
Je firewall bepaalt de regeltjes voor ALLE users en groups in één keer. Ik zou ook graag dit per user/group willen kunnen instellen.

Ik kan me voorstellen dat je het account 'admin' (voor zover je die nodig bent) alleen lokaal in je eigen LAN omgeving toegang mag geven, maar niet als je vanaf het internet (WAN dus).

Voorbeelden: Zo zou je dus overal toegang moeten kunnen hebben met 'user1', maar 'user2' alleen vanuit Nederland en België en verder niet. 'user3' alleen toegang vanaf LAN en uit Duitsland (om iets te noemen)

Hoe kijken jullie hier tegen aan?? Goed idee, of onzinnig....
(Ik weet dat OpenVPN een prima alternatief is ten aanzien van veilig remote toegang krijgen tot de NAS, maar niet iedereen kan of wil een OpenVPN server draaien..)
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Ben(V)

  • Gast
Re: Feature request ingestuurd...
« Reactie #1 Gepost op: 27 april 2018, 12:51:10 »
Mijn persoonlijk mening is dat de naam admin in iets anders veranderen gewoon schijn veiligheid is.
Net als het gebruik van andere dan de standaard poorten.
Het klinkt veiliger maar maakt echt geen verschil.

De grootste potentiele ingang is gewoon de webinterface die je eigenlijk nooit naar het internet toegankelijk moet maken, daar zit te veel achter wat gehacked zou kunnen worden(remember synolocker).

De beste methode is en blijft een VPN verbinding opzetten en het is een beetje vreemd om te zeggen dat je geen VPN server kunt opzetten als het over een Synology Nas gaat.
Dat is een kwestie van het standaard package installeren.

VPN heeft alleen de VPN poort nodig en daar wordt al het verkeer afgevangen door een enkele applicatie namelijk de VPN server.
Dus alleen een VPN login komt daar doorheen in tegelstelling tot de web management interface waar van alles doorheen mag.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2671
  • Berichten: 16.560
Re: Feature request ingestuurd...
« Reactie #2 Gepost op: 27 april 2018, 13:00:20 »
Citaat
Echter bij verschillende zaken moet gewoon een admin account enabled zijn.

Dat zijn meer bugs in betreffende, niet-synology, programma's als ze met een hardcoded admin naam dan dat er een feature in de nas moet komen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.359
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Feature request ingestuurd...
« Reactie #3 Gepost op: 27 april 2018, 18:06:23 »
Met inlognamen als 'admin' of 'administrator', 'sysop' e.d.  is wel een stukje 'de kat op het spek binden', ga je dat veranderen wordt het wel een stukje lastiger.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Brainy

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 36
  • Berichten: 116
  • Kritisch AVRO lid
Re: Feature request ingestuurd...
« Reactie #4 Gepost op: 28 april 2018, 09:21:38 »
Als de enige manier van hacken zou zijn met een inlognaam dan heb je wel een punt.

Echter, alle gebruikers op je netwerk (in de breedste zin van het woord, dus ook alle IoT maar ook je router) zijn potentiële ingangen. Bugs in software op je computer en randapperatuur vormen een veel groter risico dan dat er rechtstreeks op je nas wordt ingelogd met het admin account. Ik vraag me wel eens af of je hackers niet help je nas te vinden door in je router al aan te geven welk ip die heeft (via port forwarding).

Je moet ook oppassen dat met alle extra instellingen er ook steeds meer mensen afhaken omdat ze geen idee hebben wat er ingesteld moet worden.

Ik heb zelf  openvpn op mijn router ingesteld, ik hou liever mijn voordeur dicht (in plaats van de kast met koekjes op slot te zetten).
Kritisch AVRO lid

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1388
  • -Ontvangen: 8017
  • Berichten: 44.073
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Feature request ingestuurd...
« Reactie #5 Gepost op: 28 april 2018, 10:37:28 »
Ik gebruik ook OpenVPN op mijn Router, is ook m. i. de beste methode.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2671
  • Berichten: 16.560
Re: Feature request ingestuurd...
« Reactie #6 Gepost op: 28 april 2018, 10:48:30 »
Als je de nas alleen zelf gebruikt kun je alles achter een vpn hangen. Als je echter veel meer gebruikers hebt, wordt het lastig.

Ik heb b.v. een mailserver, maar Google/hotmail etc gaan echt niet via VPN mijn mail afleveren. Dus die poorten moeten open staan en van een deugdelijk wachtwoord voorzien zijn. Dan is het handig als ze niet alvast de naam van een gebruiker kunnen raden. (Zodat ze de nas kunnen gebruiken voor het versturen van spam). Hoewel ze bij smtp vaak account namen als "kantoor", "fax" etc proberen in de hoop dat daar een simpel wachtwoord bij zit.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Ben(V)

  • Gast
Re: Feature request ingestuurd...
« Reactie #7 Gepost op: 28 april 2018, 10:48:40 »
Helemaal mee eens.
Gebruik al jaren alleen een VPN op mijn router en niks port forwarding en/of andere naam voor admin.
De poort dichthouden is gewoon de beste manier.

Tenslotte heb je niet alleen een Nas in je netwerk hangen, dus beter een keer goed beveiligen aan de poort dan al die zaken weer opnieuw op elk device te moeten regelen.
Dat is namelijk net zo iets als, ik doe de voordeur niet op slot want ik heb al de kasten in huis afgesloten.


 

Is er een full feature list van de laatste firmware?

Gestart door Kees.Board Synology DSM algemeen

Reacties: 4
Gelezen: 3886
Laatste bericht 15 september 2008, 23:21:47
door Kees.
let's encrypt een feature of een security bug

Gestart door hansiedownBoard Synology DSM BETA versies

Reacties: 1
Gelezen: 2768
Laatste bericht 17 februari 2016, 18:58:39
door Stephan296
Asterisk Feature codes

Gestart door PatrickvgBoard Overige 3rd party packages

Reacties: 0
Gelezen: 1854
Laatste bericht 17 maart 2015, 13:50:44
door Patrickvg
Feature nieuwe versie? Foto's downloaden als zip-file

Gestart door zwollenaarBoard Photo Station / Photos

Reacties: 0
Gelezen: 1594
Laatste bericht 01 oktober 2008, 20:35:22
door zwollenaar
Nieuwe dsphoto en "the passcode lock feature" to enhance security

Gestart door D4nnyBoard Android Apps

Reacties: 2
Gelezen: 3280
Laatste bericht 08 juni 2016, 09:53:36
door D4nny