Security advisor adviseert standaardwaarde SSH-poort te wijzigen

[Donkeyman]

Mijn Security Advisor adviseert mij om de standaardwaarde van de SSH-poort te wijzigen. Is het de bedoeling om een andere poort te kiezen, en zo ja, welke poort?

[Birdy]

Bekende poorten worden door hackers benaderd/scanned, dus ja, wijzig deze naar bijvoorbeeld 2120.

[Donkeyman]

Poort is gewijzigd naar 2120, thanks Birdy!

[Birdy]

 

[DSGebruiker]

Als je NAS niet aan "Internet" hangt met al z'n poorten hoef je niets aan te passen. En ik mag hopen dat je een NAS niet gewoon voor SSH direct aan Internet hangt vrij bereikbaar voor de hele wereld....
Die Security Advisor zijn van die standaard dingskes die niet altijd voor iedereen van toepassing zijn...

[Donkeyman]

Ik heb mijn Nas gewoon aan het internet hangen, want ik gebruik DS file, DS audio, photos etc. en dat zou ik niet graag willen missen onderweg. Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd, wat kan ik nog meer doen?

[Birdy]

Maar SSH poort 22 nu 2120 toch niet ?

[Donkeyman]

Birdy, jij bedoelt dat mijn NAS nu gewoon veilig is?

[Birdy]

Ik probeer uit te leggen, dat de SSH poort juist niet voor de buiten wereld moet openzetten, dus niet forwarden.
SSH is alleen bedoelt om in het OS (DSM) te komen via, bijvoorbeeld, PuTTY of WinSCP, gevaarlijk poortje dus.

Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd

Dat is perfect.

[Donkeyman]

Birdy, ik heb SSH nu uitgeschakeld en kan gelukkig gewoon nog steeds gebruik maken van de mobiele DS progjes. Welke beperkingen zijn er nu SSH uitgeschakeld is?

[Birdy]

SSH is alleen om in het OS te komen om dingen te kunnen doen, die je in de DSM interface niet kunt doen.
Hiervoor is Linux (DSM) kennis voor nodig.
Dus, voor een gewone gebruiker heeft het uitschakelen van SSH geen beperkingen.

[DSGebruiker]

Als ik zo een inschatting maak denk ik dat jij eerder een "gewone gebruiker" bent.
Door SSH af te zetten ga jij niets missen of beperkingen hebben.
Los daarvan, zolang jij TCP/22 op de router niet "forward" tot op de NAS is geen enkel probleem, ZELFS als SSH gewoon opstaat.
Indien je het IP van de NAS op je router in "DMZ" hebt staan (=ALL poorten geforward) is dat wel een aandachtsdingetje.

[Donkeyman]

Bedankt mensen, weer wat geleerd. Ik heb verstand van veel zaken, maar ben helaas nergens expert in!

[sciurius]

Ik heb het zo ingesteld dat na 3 mislukte inlogpogingen de boel geblokkeerd wordt. Ik gebruik ook een sterk wachtwoord. Ook heb ik de meeste riskante landen geblokkeerd

Dat is perfect.

Nog perfecter is om login alleen toe te staan via een SSH key. Dan is het onmogelijk om een username/password te kraken. Ik vind het vreemd dat Synology die optie niet biedt (maar je kunt hem handmatig aanzetten).

Overigens wordt er getwijfeld aan het nut van het wijzigen van de SSH poort. Natuurlijk begint de attacker met poort 22, maar het uitzoeken welke poorten toegankelijk zijn (een zg. portscan) is ook snel (en geautomatiseerd) uitgevoerd.

[jr212]

Nog perfecter is om login alleen toe te staan via een SSH key. Dan is het onmogelijk om een username/password te kraken. Ik vind het vreemd dat Synology die optie niet biedt (maar je kunt hem handmatig aanzetten).

Hier klopt iets niet. Wordt niet aangeboden maar kan wel handmatig aangezet worden!
Hoe kan je iets activeren dat er niet is?

Als het wel aangeboden wordt leg eens uit hoe te doen aub. JE kan niet veilig genoeg zijn

Jan