NAS beveiligen binnen thuisnetwerk

[Postvoordennis]

Hallo allemaal,

Ik ben enkele jaren in het bezit van een DS220+. Vanaf mijn laptop kan ik in de verkenner de NAS benaderen vanaf 'Deze PC' en 'Netwerk' zonder iedere keer een wachtwoord in te hoeven vullen. Wellicht dat ik in het verleden eenmalig een wachtwoord heb moeten invullen, maar dat kan ik me niet meer herinneren. Voor toegang vanaf buitenaf is altijd een wachtwoord + tweestapsverificatie nodig, ADMIN heb ik uitgeschakeld.

Binnenkort krijg ik buiten een laadpaal welke met een netwerkkabel wordt aangesloten op mijn router. Als een kwaadwillende zijn laptop aansluit op de ethernet kabel van de laadpaal, dan mag deze uiteraard geen toegang krijgen tot mijn thuisnetwerk en de NAS.

Hoe beveilig ik dit?

[dirklammers]

Is die netwerkaansluiting in de laadpaal dan zo simpel te bereiken?
Volgens mij weigert je router standaard alle connecties van buiten als er van binnenuit niet om zon’n connectie is gevraagd.
Bovendien kun je denk ik in de firewall van de NAS connecties vanaf het IP-adres van de laadpaal blokkeren.
Het zal dus niet zo’n vaart lopen.

Groet, Dirk

[Briolet]

connecties vanaf het IP-adres van de laadpaal blokkeren.

Die heeft natuurlijk nog geen IP. Dit probleem is vergelijkbaar met IP camera's die buiten hangen.  Een vreemde kan de ethernetstekker uit het apparaat trekken en die (via een verlengkabel) in zijn laptop prikken.  Die laptop krijgt dan pas een IP van de router toegewezen.

Wat ik thuis gedaan heb ik alleen het IP van mijn hoofd-desktop en laptop speciale rechten toewijzen in de firewall. Alle andere desktops en telefoons hebben dezelfde, lagere, rechten van een externe inlogger. En aangezien de router deze IP's reserveert voor mijn mac-adressen, zal iemand die dat kabeltje aftapt nooit dat IP krijgen.

Volgens mij weigert je router standaard alle connecties van buiten

Die laadpaal staat dan wel buiten, maar voor de router is dat gewoon intern verkeer.

[Tazmanian]

Ik heb buiten ook camera's hangen, aan de hand van het MAC adres krijgen deze toestellen een IP adres toegewezen door de DHCP van mijn router, elk gekend toestel heeft een vast IP.  Deze range is ingegeven in de firewall van mijn NAS zodat enkel gekende toestellen toegang kunnen krijgen tot de NAS (mits ze het wachtwoord kennen en 2FA hebben).  Elk nieuw toestel krijgt een IP dat buiten deze range valt en zal nooit de NAS kunnen bereiken.

En de camera's zitten dan nog eens op een ander netwerk dan de privétoestellen.

Meer veiliger kan je het niet maken denk ik 

[Postvoordennis]

Is het wellicht mogelijk om in de NAS in te stellen dat voor ieder nieuw apparaat bij de eerste keer om een wachtwoord wordt gevraagd alvorens toegang tot de NAS te krijgen? Als dat mogelijk is, dan zou dat een perfecte oplossing zijn.

EDIT: De vraag stellen is hem beantwoorden... Ik heb het wachtwoord van de gebruiker van mijn NAS gewijzigd en nu vraagt mijn laptop automatisch om het nieuwe wachtwoord. Met andere woorden, ik had dit blijkbaar ooit al beveiligd alleen het systeem onthoud het wachtwoord nadat je dit eenmaal hebt ingevoerd. Topic vraag is opgelost, mocht een kwaadwillende de ethernetkabel van mijn laadpaal aansluiten op zijn laptop dan heeft hij dus niet zomaar toegang tot de NAS. Je kunt dit in de NAS instellen door in het configuratiescherm naar 'gebruikers' te gaan en onder de betreffende gebruiker een wachtwoord aan te maken en eventueel tweefactorverificatie te activeren.

[Basalt]

Strikt genomen heeft @Postvoordennis zijn eigen vraag als beste beantwoord.

Toch raad ik aan bovenstaande andere suggesties ter harte te nemen, om netwerk toegang te beperken vanaf aansluitingen buiten de buitenmuren.

[Briolet]

Ik heb het wachtwoord van de gebruiker van mijn NAS gewijzigd en nu vraagt mijn laptop automatisch om het nieuwe wachtwoord. Met andere woorden, ik had dit blijkbaar ooit al beveiligd alleen het systeem onthoud het wachtwoord nadat je dit eenmaal hebt ingevoerd.

Jij hebt het niet zo beveiligd, maar de nas zal altijd om een wachtwoord vragen. Dit kun je niet eens uitschakelen.  Dat jij niets hoeft in te vullen betekend niet dat er geen wachtwoord verstuurd wordt.

Alleen bepaalde shares die via de mediaserver gepubliceerd worden kun je, afhankelijk van de instellingen, wachtwoordloos benaderen. Dan kun je via de TV een film streamen zonder steeds een wachtwoord te moeten opgeven.