SSL Lokaal gebruiken en Drive inrichten

[Mutant]

Goedemorgen, ik heb gisteren mijn DS211J vervangen voor een DS218 door toenemende eisen aan gebruik.
Wat een  verschil :-)

Ik heb wat specifieke vragen over inrichten van Drive en gebruik van SSL.

Op mijn DS is alleen PhotoStation extern bereikbaar via een beveiligde poort. Ik maak gebruik van Let's Encrypt certificaten met de 3 maandelijkse geldigheidsduur.

Voor intern gebruik wil ik bestanden naar meerdere PC's synchroniseren met Drive. Voorheen deed ik dit met CloudStation.
Dit ging slechts om een beperkt aantal bestanden.

Elke gebruiker had verder een eigen documentenmap op het een lokale PC, ik gebruikte een back up tooltje (Free File Sync) om periodiek te back-uppen naar een documentmap (per gebruiker) naar de /root map op de DS. Ook werkte gebruikers wel direct in deze map op de Synology middels een gemapte drive op de lokale PC.
Al die verbindingen legde ik vanuit één gebruikersaccount op de DS.

Dit werkte prima omdat het slechts twee gebruikers betrof, werkende vanaf twee pc's.

Nu wordt het wat complexer. Het worden 4 gebruikers met wisselende pc's binnen het netwerk.
Meerdere gebruikers moeten vanaf verschillende pc's hun bestanden kunnen benaderen.

Concrete vragen die ik heb:
1. Drive Station wordt alleen lokaal gebruikt (binnen het lokale netwerk), kan het dan kwaad om SSL in Drive uit te schakelen om te voorkomen dat ik voor alle gebruikers elke 3 maanden de verbinding weer opnieuw moet activeren omdat het certificaat veranderd is?

2. Ik heb gelezen dat het met oog op ransomware het niet verstandig is om middels 'gemapte drives' te werken aangezien eventuele ransomware zo eenvoudig de NAS kan bereiken.
Op welke manier kan ik dit voorkomen / beveiligen? Bied Drive hier een goede oplossing voor? Dit werkt immers ook met een gesynchroniseerde map.

3. Is het met Drive mogelijk een map in de /root van de DS te synchroniseren, of is het startpunt altijd de home/drive map van de betreffende gebruiker?

Alvast bedankt voor de reacties, ik hoop dat ik e.e.a. duidelijk heb omschreven en dit topic op de juiste plaats het gezet.

[André PE1PQX]

Van wat ik er van weet:

Als je je NAS alleen in je LAN benaderbaar wilt houden hoef je volgens mij geen externe partij voor de SSL certificaat te gebruiken. Het certificaat die standaard in Synology zit is veel langer geldig en prima bruikbaar voor LAN toegang alleen.

Verder is het ook onverstandig om te synchroniseren naar /root, de default aangewezen mappen zijn er niet voor niets. /root moet je zoveel mogelijk mijden vind ik, als je daar bij kunt, kun je je hele nas softwarematig de vernieling in helpen.

[Mutant]

Ik moet mijzelf helderder uitdrukken merk ik 😊.

Met /root bedoel ik gewoon de normale hoofddirectory van de DS.

En is SSL inloggen überhaupt relevant indien je alleen lokaal werkt?

[Briolet]

Concrete vragen die ik heb:
1. Drive Station wordt alleen lokaal gebruikt (binnen het lokale netwerk), kan het dan kwaad om SSL in Drive uit te schakelen om te voorkomen dat ik voor alle gebruikers elke 3 maanden de verbinding weer opnieuw moet activeren omdat het certificaat veranderd is?

Als je drive benaderd via je externe domein dat ook in het certificaat staat, hoef je niet elke 3 maand een uitzondering te bevestigen.

Maar je kunt ook het standaard Certificaat van DSM gebruiken. Nog beter is het om zelf een nieuw standaard certificaat aan te maken. Daar kun je tegenwoordig ook IP adressen in opnemen. (als je intern met IP adressen werkt).

Ga vervolgens naar de certificaat settings en wijs dit certificaat toe aan Drive:

[Birdy]

Betreft punt 2, ransomware kan op twee manieren binnen komen:

1 - via slecht beveiligde NAS, m.n. van buitenaf.
Zie hier wat richtlijnen over het beveiligen van de NAS.

2 - Via PC's (gemapte drives), dus de PC's moeten beveiligd zijn (antivirus) en gebruikers moeten niet zomaar op links klikken in emails.

[André PE1PQX]

Ik moet mijzelf helderder uitdrukken merk ik 😊.

Met /root bedoel ik gewoon de normale hoofddirectory van de DS.?

Dat zou ik dus absoluut nooit doen!! "/root" eenvoudig beschikbaar maken voor toegang vanaf LAN door drive (of andere applicaties, ook niet naar je "/home" of "/homes" mappen)
Nogmaals: de default mappen zijn er voor een reden. Mijn advies: blijf uit "/root" weg.

Veel beter is een share te maken waar alle clients toegang tot kunnen krijgen met juist ingestelde rechten.
In drive kun je dacht ik daarvoor je 'teams' map gebruiken.

[Mutant]

Concrete vragen die ik heb:
1. Drive Station wordt alleen lokaal gebruikt (binnen het lokale netwerk), kan het dan kwaad om SSL in Drive uit te schakelen om te voorkomen dat ik voor alle gebruikers elke 3 maanden de verbinding weer opnieuw moet activeren omdat het certificaat veranderd is?

Als je drive benaderd via je externe domein dat ook in het certificaat staat, hoef je niet elke 3 maand een uitzondering te bevestigen.

Werkt die verwijzing dan als Drive niet extern bereikbaar is?

[Mutant]

Betreft punt 2, ransomware kan op twee manieren binnen komen:

1 - via slecht beveiligde NAS, m.n. van buitenaf.
Zie hier wat richtlijnen over het beveiligen van de NAS.

2 - Via PC's (gemapte drives), dus de PC's moeten beveiligd zijn (antivirus) en gebruikers moeten niet zomaar op links klikken in emails.

Dank! Heb alles netjes volgens de regels dichtgetimmerd.

Is een gesynchroniseerde map via Drive dan niet hetzelfde als een gemapte drive in geval van Ransomeware?

[Briolet]

Werkt die verwijzing dan als Drive niet extern bereikbaar is?

Onder voorwaarden, maar bij jou is Drive wel extern bereikbaar, je doet het alleen niet. Je schrijft nml dat Photo Station extern bereikbaar is. Dan geldt dat volgens mij ook voor Drive.

In elk geval als je een alias instelt voor directe toegang, want dan loopt toegang tot het Drive inlogvenster ook via poort 80/443.

[Mutant]

Werkt die verwijzing dan als Drive niet extern bereikbaar is?

Onder voorwaarden, maar bij jou is Drive wel extern bereikbaar, je doet het alleen niet. Je schrijft nml dat Photo Station extern bereikbaar is. Dan geldt dat volgens mij ook voor Drive.

In elk geval als je een alias instelt voor directe toegang, want dan loopt toegang tot het Drive inlogvenster ook via poort 80/443.

Dat zal ik eens uitzoeken, ik hoop het niet eigenlijk, vermoedelijk staat de toegang nu uit via de firewall in de DS. Dank voor de hulp. Ik kan weer verder stoeien.