Synology-Forum.nl
Firmware => Synology DSM 5.1 en eerder => Topic gestart door: pekelvlees op 06 februari 2013, 13:02:42
-
Ik zit met een probleem waar ik niet uit kom,het volgende :
Ik heb in het configuratiescherm van DSM 4.1 mijn Routerpoorten open gezet (5000,5005,80),staan netjes aangevinkt en kan via DS File prima mijn nas bereiken.
Totzo ver geen probleem !Maar om de 2 dagen moet ik alles op nieuw aanvinken ,alle vinkies weg.....
Ik kom er niet uit,iemand ???
-
En in de router gewoon zelf die poorten open zetten?
-
En in de router gewoon zelf die poorten open zetten?
Idd dit maar geprobeerd,hoop dat die het nu wel blijf doen.
Iedergeval bedankt .
Verstuurd van mijn GT-I9000 met Tapatalk
-
Qua veiligheid is het sowieso beter om port-forwarding in de router in te stellen en UPnP in de router uit te zetten. Ook het Nationaal Cyber Security Centrum (https://www.ncsc.nl/actueel/nieuwsberichten/upnp-beperk-het-gebruik.html) heeft vorige week een advies in die strekking doen uitgaan. De nas gebruikt UPnP om voor jou die poorten in te stellen.
-
Idd, en voor zover mogelijk zou ik in de firewall van je nas regels instellen voor poorten die open staan. Als je bijv alleen vanaf een bepaalde locatie backups maakt heeft het geen nut om de hele wereld toegang te geven tot poort 873 of 22.
-
Het forum staat vol met berichten waarbij mensen hun NAS niet kunnen benaderen.
In veel gevallen komt dit door, onkundig, gebruik van de firewall.
Er moet wel een applicatie "luisteren" op een open poort, is die er niet wat is dan het gevaar?
Sterke wachtwoorden gebruiken is uiteraard wel van belang.
Ik gebruik twee NASsen en door een beperking in mijn router staat er eentje in de DMZ.
Dat is volgens vele levensgevaarlijk maar het gaat al twee jaar goed.
Ja, je ziet veel "inbraak" pogingen voorbij komen maar die ip adressen komen vanzelf in de blokkade lijst.
Is inmiddels al een aardig lijstje 8)
-
DMZ in kunnen stellen is altijd handig. Ik heb alles doorgezet naar de "DMZ" behalve de poorten die ik geforward heb naar mijn LAN. Als ze een keer scannen dan is het voor de persoon die erin wilt een stuk lastiger om steeds op een time-out te wachten dan elke keer netjes te horen te krijgen dat de poort dicht zit. DMZ staat tussen haakjes omdat ik geen apparaat in mijn DMZ hebt. Alles wordt dus doorgestuurd naar niets.....
-
Tja, hoe gevaarlijk het echt is vind ik slecht in te schatten. Voor beginners zou ik zeggen dat het meer problemen met zich meebrengt en de zaak wellicht onnodig gecompliceerd maakt. Met een goed wachtwoord en niet zomaar elke applicatie open voor het hele internet zal het wel goed gaan. Maar een applicatie kan ook een fout bevatten waarmee ze makkelijk binnen kunnen komen. De kans daarop maak je een stuk kleiner als je in de firewall instelt welke IP-adressen van een bepaalde poort gebruik mogen maken (voor zover mogelijk natuurlijk, als je altijd vanaf een andere locatie inlogt heeft dat natuurlijk geen zin).
Toegegeven, het blijft theoretisch geneuzel, maar voor mensen die hele administraties erop knallen, prive foto's en noem het allemaal maar, zou ik niet zomaar het risico lopen door dingen open te zetten.
-
Qua veiligheid is het sowieso beter om port-forwarding in de router in te stellen en UPnP in de router uit te zetten. Ook het Nationaal Cyber Security Centrum (https://www.ncsc.nl/actueel/nieuwsberichten/upnp-beperk-het-gebruik.html) heeft vorige week een advies in die strekking doen uitgaan. De nas gebruikt UPnP om voor jou die poorten in te stellen.
Hi,
Interessant draadje!!!
Ik heb via de UPnP setting AAN (Sitecom 300N-X2) met EZ-internet mijn router makkelijk geinstalleerd [zie viewtopic.php?f=148&t=12845 (http://synology-forum.nl/viewtopic.php?f=148&t=12845) ] Wat is de beste manier om je modem/router/NAS te testen op kwetsbaarheid mbt poorten? Ik heb het o.a. met http://www.ipscanner.nl/port_scan_mijn_ipadres.html (http://www.ipscanner.nl/port_scan_mijn_ipadres.html) gedaan.
-
Maar UpNp sluit toch ook weer poorten indien niet nodig?
En vanaf de buitenkant gaan ze nooit vanzelf open dacht ik.
Kan het totaal mish hebben hoor.
UpNp schijnt een veiligheidslek te zijn. Daarom stel ik mijn poorten zelf in.
OK, open poorten zijn altijd een "veiligheidslek" 8)
Maar een NAS en alle poorten dicht is ook niet handig, ik heb dat ding juist om vanaf de buitenkant bereikbaar te zijn.
-
Maar UpNp sluit toch ook weer poorten indien niet nodig? :?:
En vanaf de buitenkant gaan ze nooit vanzelf open dacht ik. :?:
Kan het totaal mish hebben hoor.
UpNp schijnt een veiligheidslek te zijn. Daarom stel ik mijn poorten zelf in.
OK, open poorten zijn altijd een "veiligheidslek" :shock:
Maar een NAS en alle poorten dicht is ook niet handig, ik heb dat ding juist om vanaf de buitenkant bereikbaar te zijn.
:mrgreen:
-
UPnP bevat een aantal lekken. Maar die lekken kunnen alleen benut worden als een hacker toegang heeft tot het UPnP protocol vanaf het internet. En normaliter worden de poorten voor UPnP niet geopend naar externe verbindingen omdat dat weinig nut heeft. Tenzij men bijvoorbeeld zijn mediaserver op afstand wil aanspreken. Maar daarvoor heeft de Synology betere opties zoals Audiostation.
-
UPnP bevat een aantal lekken. Maar die lekken kunnen alleen benut worden als een hacker toegang heeft tot het UPnP protocol vanaf het internet. En normaliter worden de poorten voor UPnP niet geopend naar externe verbindingen omdat dat weinig nut heeft. Tenzij men bijvoorbeeld zijn mediaserver op afstand wil aanspreken. Maar daarvoor heeft de Synology betere opties zoals Audiostation.
Is er een tool om dat te checken?
-
Door upnp worden de UDP poort 1900 en TCP poort 2869 gebruikt. Als je een poortscan van je externe IP adres doet en hij geeft deze poorten niet aan als open is er dus geen probleem.
-
Door upnp worden de UDP poort 1900 en TCP poort 2869 gebruikt. Als je een poortscan van je externe IP adres doet en hij geeft deze poorten niet aan als open is er dus geen probleem.
BEDANKT voor je snelle antwoord!
----------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2013-02-25 at 16:44:44
Results from scan of ports: 1900, 2869
0 Ports Open
0 Ports Closed
2 Ports Stealth
---------------------
2 Ports Tested
ALL PORTS tested were found to be: STEALTH.
TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
:D
-
Op de GRC (Shieldsup) site die je gebruikt zit ook een Instant UPnP Exposure test.
Die doet dus dezelfde test.
-
Maar UpNp sluit toch ook weer poorten indien niet nodig?
En vanaf de buitenkant gaan ze nooit vanzelf open dacht ik.
Van de buitenkant behoren ze niet te openen zijn. Er is echter apparatuur dat stiekem de poorten opent zonder dat de gebruiker het door heeft. Zo liet het programma Reporter van dec 2012 zien dat diverse scanner/printers zichzelf op het net publiceren in de default configuratie. Ook bleek de Iomega nas zichzelf te publiceren. Er zijn heel wat mensen die het ding gewoon aanschaften om uitsluitend op hun thuisnetwerk te gebruiken en niet door hadden dat hij door iedereen vanaf het internet zichtbaar was. En omdat ze dachten dat het interne net veilig was vonden ze wachtwoorden ook maar lastig. :mrgreen:
Lekker makkelijk voor de leek omdat je dan ook de problemen vermijd zoals bij Synology waar je juist moeite moet doen om je data van buiten te benaderen. Ik denk echter dar de mensen die zo slim zijn om UPnP uit te zetten, ook de mensen zullen zijn die zulk soort apparatuur niet in zijn default configuratie laat draaien. Dus voor hun had UPnP ook wel aan mogen blijven. :D
In principe mag poort 1900 UDP van buiten niet benaderbaar zijn. Maar je weet het nooit met bugs in routers, dus heb ik hem ook expliciet in de router geblokkeerd.
-
Op de GRC (Shieldsup) site die je gebruikt zit ook een Instant UPnP Exposure test.
Die doet dus dezelfde test.
THE EQUIPMENT AT THE TARGET IP ADDRESS DID NOT RESPOND TO OUR UPnP PROBES! (That's good news!)
There is no question whether hackers are, in fact, currently sweeping the Internet for the presence of exposed and vulnerable consumer Internet routers in order to gain access to the private networks residing behind them. Just such hacking packets are now being detected across the Internet. Scanning is underway and the threat is real.
Whenever changes are made to your network configuration, whenever you update your router's firmware, and also from time to time just to be sure, you should consider re-running this quick test to confirm that your Internet-facing equipment is continuing to ignore all attempts at its subversion though the Universal Plug n'Play (UPnP) protocols.
-
Nog ff een testje gedaan na mijn laatste tweak in mijn router!
----------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2013-03-01 at 09:58:38
Results from scan of ports: 0-1055
0 Ports Open
3 Ports Closed
1053 Ports Stealth
---------------------
1056 Ports Tested
NO PORTS were found to be OPEN.
Ports found to be CLOSED were: 21, 443, 873
Other than what is listed above, all ports are STEALTH.
TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
----------------------------------------------------------------------
Hoe krijg ik die poorten 21, 443, 873 STEALTH? Ideetje?
-
Jij wilt helemaal niet vanaf de buitenkant in je NAS kunnen komen?
-
Mogguh Robert,
Betekend STEALTH dan dat je er niet meer in komt als admin?????? :shock:
-
Betekend STEALTH dan dat je er niet meer in komt als admin?????? :shock:
Volgens mij niet....
Maar nu breng je me wel aan het twijfelen.
Als je erbij wilt vanaf het internet moeten de poorten open staan.
Uiteraard als je wilt inloggen heb je ID en wachtwoord nodig.
Behalve als je een website draait, dat is altijd open.
Bij mij staat eigenlijk alles open, NAS staat in de DMZ.
Dat moest wel omdat ik twee NASsen heb en ik niet genoeg forward regels in mijn router kwijt kon.
Dus de hoofd-NAS in de DMZ en de tweede met alternatieve poorten in de poort forwarding.
Open poorten wil niet zeggen onbeperkt toegang, je moet echt eerst inloggen.
Ja, op open poorten krijg je "inbraak pogingen"...
Maar die IP adressen neem ik op in de blokkade lijst.
Stand vanaf 28-12-12 : 588 geblokkeerde IP adressen 8)
-
Betekend STEALTH dan dat je er niet meer in komt als admin?????? :shock:
Volgens mij niet....
Maar nu breng je me wel aan het twijfelen.
Als je erbij wilt vanaf het internet moeten de poorten open staan.
Uiteraard als je wilt inloggen heb je ID en wachtwoord nodig.
Behalve als je een website draait, dat is altijd open.
Bij mij staat eigenlijk alles open, NAS staat in de DMZ.
Dat moest wel omdat ik twee NASsen heb en ik niet genoeg forward regels in mijn router kwijt kon.
Dus de hoofd-NAS in de DMZ en de tweede met alternatieve poorten in de poort forwarding.
Open poorten wil niet zeggen onbeperkt toegang, je moet echt eerst inloggen.
Ja, op open poorten krijg je "inbraak pogingen"...
Maar die IP adressen neem ik op in de blokkade lijst.
Stand vanaf 28-12-12 : 588 geblokkeerde IP adressen 8)
Weer een hoop nieuwe info! Dat gaan we ff uitpluizen... :wink:
-
Er zijn vele manieren om ports te scannen. Zie bijv. hier (http://nmap.org/bennieston-tutorial/).
Als je het hebt over "stealth" zal je dus moeten aangeven voor welke wijze van scannen.
Zijn al je poorten "stealth" voor alle manieren van scannen (een zéééér langdurige en dus onpraktische manier van scannen ...), dan is je systeem off-line :mrgreen:
of totaal niet van buiten te bereiken (ook niet op eventueel gewenste manieren).
Plerry
-
Er zijn vele manieren om ports te scannen. Zie bijv. hier (http://nmap.org/bennieston-tutorial/).
Bedankt je uitleg en voor het leesvoer Plerry, leuk voor de aankomende 'regenachtige zondag'! :D
Misschien zijn er GOODGUY-hackers hier op het forum die het een keer bij willen proberen? :mrgreen: