Synology Cloudstation blootstellen aan internet verstandig?

VPN maar dat is niet voor iedereen te doen en vaak omslachtig.

Alles wat je aan internet hangt is 'onveilig' als je de poorten opengooid. Wat je kan doen (heb ik ook gedaan)

Zet bepaalde services zoals Cloudstion open voor bepaalde ip's of land. Cloudstation alleen nederland toegang.

Heb dit ook gedaan met DSM poort 5000 die is alleen van NL te vernaderen. Aantal poging om in de loggen is naar 0 gegaan, voorheen meerdere keren per dag, admin fout ingelogd.

RobbyTown schreef op zondag 20 september 2015 @ 03:02:
VPN maar dat is niet voor iedereen te doen en vaak omslachtig.

Alles wat je aan internet hangt is 'onveilig' als je de poorten opengooid. Wat je kan doen (heb ik ook gedaan)

Zet bepaalde services zoals Cloudstion open voor bepaalde ip's of land. Cloudstation alleen nederland toegang.

Heb dit ook gedaan met DSM poort 5000 die is alleen van NL te vernaderen. Aantal poging om in de loggen is naar 0 gegaan, voorheen meerdere keren per dag, admin fout ingelogd.

Ik zou nog een stapje verder gaan en andere poorten dan standaard gebruiken extern, hoge nummers bijvoorbeeld (wel zorgen dat ze niet ergens anders voor gebruikt worden). De bekende poorten openzetten geeft extra risico in mijn optiek.
Maar ik zou liever de VPN optie kiezen, eenmalig configureren voor de gebruikers is wel te doen toch?

darkrain schreef op zondag 20 september 2015 @ 09:50:
[...]

Ik zou nog een stapje verder gaan en andere poorten dan standaard gebruiken extern, hoge nummers bijvoorbeeld (wel zorgen dat ze niet ergens anders voor gebruikt worden). De bekende poorten openzetten geeft extra risico in mijn optiek.
Maar ik zou liever de VPN optie kiezen, eenmalig configureren voor de gebruikers is wel te doen toch?

Klopt alleen op een of andere manier 65+ is dat stuk moeilijker uit te leggen (ligt eraan hoe mobiel ze zijn). Het lijkt zo simpel eerst dit dan dit maar toch snappen ze dat niet.

Mooi voorbeeld afgelopen vakantie komt er een stel naar mij toe wilde een foto maken met smartphone ongeveer half uur bezig geweest om uit te leggen hoe je een foto maakt op een smartphone en terug kijkt (je zou zeggen dit volgt zichzelf)

Wellicht zou je mbt VPN eens hiernaar kunnen kijken: https://www.softether.org
Client screens: https://www.softether.org/3-screens/2.vpnclient

[ Voor 29% gewijzigd door VHware op 20-09-2015 12:22 ]

Een custom poort gebruiken kan met Cloud Station helaas niet

Verder heb ik op m'n Synology in de firewall ingesteld dat alleen IP-adressen uit NL erbij mogen. Dat gecombineerd met sterke wachtwoorden ("7SJ38yfsheSY3x") en ik geloof het wel.

ThinkPadd schreef op maandag 21 september 2015 @ 16:23:
Een custom poort gebruiken kan met Cloud Station helaas niet

Verder heb ik op m'n Synology in de firewall ingesteld dat alleen IP-adressen uit NL erbij mogen. Dat gecombineerd met sterke wachtwoorden ("7SJ38yfsheSY3x") en ik geloof het wel.

Kan je dat niet in de router doen dan? ik heb bv intern mijn ftp server op poort 21 draaien en extern op bv 1999

BlaBla1973 schreef op dinsdag 22 september 2015 @ 15:30:
[...]


Kan je dat niet in de router doen dan? ik heb bv intern mijn ftp server op poort 21 draaien en extern op bv 1999

Klopt, dat heb ik voor bepaalde services ook, maar je kunt het in de package op de NAS niet ingeven en op de client op je PC ook niet. Anders had je het via de router gewoon kunnen oplossen inderdaad.

ThinkPadd schreef op maandag 21 september 2015 @ 16:23:
Een custom poort gebruiken kan met Cloud Station helaas niet

Je kunt dat wel in je NAT doet. Maar het is een beetje security trough obscurity.
Anderzijds heb ik op deze manier wel Owncloud en de Webpagina gescheiden. De webpagina via internet is anders dan die via extern, welke namelijk Owncloud geeft ipv een hoop linkjes naar DSM/Sickbeard/Couchpotato...

Het beste wat je kan doen is het up-to-date houden van de NAS, offsite backups naar USB schijven. En je inschrijven voor de mailing list/twitter van Synology waarop ze updates en lekken bekend maken.
En inderdaad ook sterke wachtwoorden inschakelen om het risico op brute force aanvallen te verlagen.
Je zou ook OpenVPN kunnen gebruiken, dat vereist een certificaat op de client voordat er verbonden kan worden. Maar dat is alleen maar meer software wat moeilijke kan doen.

[ Voor 4% gewijzigd door jeroen3 op 22-09-2015 15:49 ]

Het ligt er eigenlijk aan hoeveel data je voor de vereniging nodig hebt.

Als het vrijwilligerswerk is dan zou ik toch een klein beetje zorgen maken over de belangrijkheid van data.
Je kunt in princiepe elke thuis nas gebruiken die een (s)ftp-functie heeft van goedkope tot dure met raid1 of 10. Maar let op want raid is geen backup op zichzelf en kan je in de steek laten. Dus je zult bij raid als nog de data moeten weg schrijven naar een externe schijf die je om de week omwisselt. Alleen dat fysiek mounten en loskoppelen geeft soms geautomatiseerde software of hardware problemen.

Je zou het beste een hosting kunnen gebruiken als (s)ftp kunnen gebruiken. Deze hebben minimale onderhoud nodig en de data retentie is vrijwel altijd beheerd door de hosting zelf (altijd even nachecken ook uitzoeken waar de fysiek data staat). Ook hierbij zou ik adviseren toch om kopieën te maken voor als het bedrijf failliet gaat.

Als je het laagdrempelig wilt gebruiken omdat de senioren wachtwoorden vergeten of kwijtraken dan zou ik adviseren om een keepass te gebruiken. In deze database kun je persoonlijke sleutels zetten met daarin het (s)ftp login gegevens. Ook kunt ook portable filezilla meegeven wat makkelijker is. Geef de senioren allemaal een A4 met uitleg mee.

Toevoeging:
Synology heeft een interessante web interface maar het bied misschien teveel ruimte. Je kunt met een beheer account de accounts minder rechten geven voor de senioren. VPN of FTP is niet nodig. De Synology GUI heeft "File Station".en "drag and drop" ondersteuning. Je kunt simpel een "My DS" url aanmaken een een gewenste quickconnect url, zoals bijvoorbeeld "jouwvereniging.quickconnect.to" je hoeft dan ook geen poorten te forwarden. Het enige is wat ik mezelf bedenk is dat je op locatie een fijne upload en download verbinding moet hebben als je met grote bestanden werkt. En onthoud dat backups, onderhoud en logs bekijken zijn erg belangrijk!

[ Voor 20% gewijzigd door donderdraak op 22-09-2015 15:59 ]