Beveiliging NAS

[ErwinKuipers]

Hoe kan ik mijn NAS 216 II maximaal beveiligen.

Ik wil mijn NAS graag maximaal beveiligen, maar wel graag vanaf Internet toegankelijk houden voor mijn kinderen.
Maar ik krijg dagelijks meldingen van tot dusverre geblokkeerde inlogpogingen uit allerlei landen.

Ik heb hiervoor al de volgende stappen gedaan.

1 Standaard Admin account vervangen en uitgeschakeld
2 2 staps verificatie ingeschakeld
3 DDNS toegang via https verbinding.
4 na 3 pogingen binnen 5 minuten word het IP adres geblokkeerd.


Heeft het zin om een ssl certificaat te gebruiken ? ik heb wel een geregistreerde domeinnaam, die ik dan kan gebruiken om te forwarden naar mijn NAS, kan dan niet gewoon via het IP adres alsnog via Http toegang tot mijn NAS worden verkregen ?
Word dan niet alleen de verbinding tussen de gebruiker en webadres versleuteld en niet tussen gebruiker en NAS.
Kan ik poort 5000 dan afsluiten voor toegang van buitenaf, of kan ik het beste via een VPN verbinding maken, ik heb al wel een VPN verbinding naar mijn Fritzbox, maar krijg een VPN naar mijn NAS niet voor elkaar om de juiste poorten open te zetten.

Kan iemand mij vertellen hoe ik stap voor stap kan aanpakken, e.e.a. is mijn nog niet helemaal duidelijk.

Alvast bedankt voor je reactie

 

[Babylonia]

Firewall regels aanmaken die de connectie van buitenuit beperken "per regio" (bijv. alleen Nederland).

Lees ook aanbevelingen n.a.v. een gehackte NAS < HIER > + verdere info bij het forumdraadje.

[Briolet]

Ik wil mijn NAS graag maximaal beveiligen, maar wel graag vanaf Internet toegankelijk houden

Dit is in elk geval onmogelijk. Je zult toch een compromis moeten maken op maximale beveiliging.

Met F2A ben je goed beveiligd tegen inbraak via de officiële weg. Je bent niet beveiligd tegen de nog onbekende lekken in de webinterface. De webinterface achter een vpn zetten is het beste als je nog internet toegang wilt houden.

Via de firewal toegang beperken is het een na beste en vriendelijker voor de inloggers.

[spikehome]

Vpn naar je Nas of firewall.
Zelf heb ik l2tp naar mijn firewall en vervolgens kan ik naar mijn Nas ook weer met 2fa

[Robert Koopman]

En 3 pogingen binnen 5 minuten is wat ruim.
3 pogingen in 3-4 uur is wat beter, vang je ook diegene af die het niet zo vaak achtereen proberen.

[André PE1PQX]

En 3 pogingen binnen 5 minuten is wat ruim.
3 pogingen in 3-4 uur is wat beter, vang je ook diegene af die het niet zo vaak achtereen proberen.

Hackers gaan voor een snel resultaat, dus die 3-4 uur lijkt mij wel heel erg ruim....

[Briolet]

Op de smtp server heb ik wel vaker gezien dat men maar eens per uur een poging doet. De hackers kiezen er dan blijkbaar voor niet per apparaat te proberen tot het niet meer lukt, maar elke poging eerst naar misschien wel miljoenen IP adressen te sturen en dan pas een volgende combinatie te proberen.

In elk geval verbaasde het mij eens op dat een bepaald adres nooit geblokkeerd werd, totdat ik naar de afstand tussen de pogingen keek.

[Robert Koopman]

Precies.
Viel mij op dat sommige adressen niet geblokkeerd werden maar toch steeds weer inlogpogingen ondernemen.
Zelfs eentje met exact 24 uur ertussen. Die vang ik nu ook nog niet eens af.....
Zet ik er dan maar handmatig in 

Zij die wel bij mij mogen inloggen heb ik het ip adres op de veilige lijst gezet.
Kunnen ze af en toe een typefoutje maken zonder gevolgen.

[André PE1PQX]

Blijkbaar ben ik dan 'gezegend' met weinig tot geen pogingen tot nu toe... Hooguit 3 dit half jaar nog maar.

(klopt op onbewerkt hout om de goden niet te verzoeken....)

[Dyslexia]

Zij die wel bij mij mogen inloggen heb ik het ip adres op de veilige lijst gezet.
Kunnen ze af en toe een typefoutje maken zonder gevolgen.

Dag Robert,

Ik krijg de laatste tijd ook vaker geblokkeerde inlog pogingen, en ben bezig e.e.a. 'strakker' in te stellen.
Nu heb ik de situatie dat ikzelf via Quickconnect vanaf verschillende 'random' externe adressen die ik op voorhand niet ken en dus niet in een veilige lijst kan zetten voor het geval dat ik zélf tikfouten maak (zou niet de eerste keer zijn  ).

Moet ik nu het Quickconnect (client?) adres in de 'Lijst toestaan' opnemen?
Aangezien ik ook wel eens vanuit andere landen (Duitsland, Frankrijk, enz) verbinding moet maken is dat niet altijd hetzelfde Synology adres, dacht ik. De URL is tenminste niet altijd dezelfde, soms is het <......>.de, soms <.......>.fr enz.

En waar kan ik detail-informatie vinden over 'Accountbeveiliging'?
DSM help vertelt ook niet meer dan wat er in de GUI staat geschreven 

Dank voor je toelichting.
Dyslexia