Toon posts:

Veiligheid Synology van buitenaf

Pagina: 1
Acties:

Onderwerpen

Vraag


  • theorganiser
  • Registratie: juni 2007
  • Laatst online: 16:07
Goedemiddag beste mede tweakers,

op een aantal locaties heb ik een Synology Nas, deze wordt voornamelijk gebruikt voor het bekijken van camera beelden via de DS CAM app, hiervoor heb ik poort 5000 en 5001 geopend staan.

Tevens staat er een deel data op, maar dit zit voornamelijk tegenwoordig bij Onedrive.

nu ben ik onlangs geblokkeerd bij Ziggo op mijn prive adres, doordat er hack pogingen werden gedaan vanaf mijn thuis adres, op de synology zie ik wel van alles nu in het logboek staan. ( thuis stond waars ook upnp aan op mijn router)

nu vroeg ik mij af wat de meningen zijn van mede tweakers over de veiligheid van Synology.
uitgaande dat deze dan alleen open staat op poort 5000 en 5001.

ik hoor het graag !

Alle reacties


  • hans_lenze
  • Registratie: juli 2003
  • Laatst online: 17:02
Voor privé toegang tot een Synology gebruik ik zelf een VPN.
Omdat er geen publieke diensten op draaien waar ik vreemde mensen toegang toe wil geven, heb ik geen port forwards open staan.

while (! ( succeed = try ()));


  • kosz
  • Registratie: juni 2001
  • Laatst online: 18-09 22:50
Hier ook vpn, portforwarding is een no-go (geen open-deur beleid)

  • theorganiser
  • Registratie: juni 2007
  • Laatst online: 16:07
Vpn kan ik begrijpen. Maar stel je die dan ook in op de nas? En het gaat dus om meerdere locaties, waarbij ik makkelijk moet kunnen switchen er tussen

  • nescafe
  • Registratie: januari 2001
  • Laatst online: 16:33
Poort 5000, 5001 en/of UPnP is niet automatisch ultiem vreselijk gevaarlijk!!!1

Heb je niet 'gewoon' een zwak wachtwoord ingesteld op (1 van) je accounts?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Bushie
  • Registratie: juni 2015
  • Laatst online: 13:01
2fa aanzetten, fatsoenlijk wachtwoord, automatische ip-blokkade bij herhaaldelijk verkeerde credentials, user "admin" gelijk uitzetten en je bent al een heel eind.

[Voor 7% gewijzigd door Bushie op 11-02-2021 14:48]


  • Punkbuster
  • Registratie: november 2008
  • Laatst online: 18-09 21:51
wireguard draaien, nooit een upnp of port forwarden naar je NAS.

Intel Core i7 8700K | ASRock Z370M-ITX/ac | Corsair Vengeance LPX 3200Mhz | MSI GeForce GTX 1070 GAMING X 8G


  • maratropa
  • Registratie: maart 2000
  • Niet online
maar poort 5000/5001 presenteren naar buiten is toch wel erg risicovol. Stel er is een exploit beschikbaar voor de login dan zit je met je lange goeie wachtwoord.

VPN is natuurlijk een goeie optie, maar ik vind het zelf niet altijd nodig.

- zet je poorten naar buiten toe iig op een relatief weinig gebruikte, hoge poort. Dan wordt je waarschijnlijk niet eens gevonden. Is "security through obscurity" en dat is geen echte security maar in de praktijk helpt het.
- limiteer deze services op je syno tot bepaalde ip ranges of landen.

specs


  • Bushie
  • Registratie: juni 2015
  • Laatst online: 13:01
limiteer deze services op je syno tot bepaalde ip ranges of landen.
ja dat scheelt enorm, voordat ik deze had ingesteld, behoorlijk vaak Chinese en Russische bezoekers aan de poort van de Synology te rammelen.

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 13:34
In hoeverre is het uberhaupt nodig dat je vanaf afstand die beelden bekijkt?

In het algemeen denk ik dat de beveiliging van een Synology apparaat best in orde is. Jouw geval lijkt echt momenteel vrij slecht beveiligd te zijn. Een ISP gaat niet zomaar tot blokkade over.

  • Bushie
  • Registratie: juni 2015
  • Laatst online: 13:01
op de synology zie ik wel van alles nu in het logboek staan.
mogen we ook weten wat er in staat?
wat geeft de security advisor van Synology voor uitkomst?

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

theorganiser schreef op donderdag 11 februari 2021 @ 14:33:
Vpn kan ik begrijpen. Maar stel je die dan ook in op de nas? En het gaat dus om meerdere locaties, waarbij ik makkelijk moet kunnen switchen er tussen
Niet de NAS naar buiten VPN'en naar een commerciele VPN, maar juist zelf een VPN opzetten op je eigen netwerk. Dat kan misschien op je router, anders misschien op je NAS zelf worden geregeld.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • RobIII
  • Registratie: december 2001
  • Nu online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

F_J_K schreef op donderdag 11 februari 2021 @ 15:08:
maar juist zelf een VPN opzetten op je eigen netwerk. Dat kan misschien op je router, anders misschien op je NAS zelf worden geregeld.
Op een Synology NAS is dat kinderspel. Paar klikjes en klaar. Ik gebruik L2TP/IPSec en VPN gewoon naar huis wanneer dat nodig is. Mijn "router" (OpenBSD machine, maar boeie) heeft een paar portforwards (500, 1701, 4500) en laat alleen een paar whitelisted IP's/IP-reeksen toe et voila.

[Voor 21% gewijzigd door RobIII op 11-02-2021 15:11]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • hans_lenze
  • Registratie: juli 2003
  • Laatst online: 17:02
Ik heb op elk van de NASsen die ik beheer het programmaatje ZeroTier geïnstalleerd. Dat is een soort eigen VPN netwerkje waar al die NASsen dan in te bereiken zijn, waar ze fysiek ook staan.

Dit netwerkje gebruik ik voor datatransport (back-ups) tussen de NASsen zonder dat ik bij verschillende familieleden met portforwards hoef te klooien.

while (! ( succeed = try ()));


  • kwdr
  • Registratie: juni 2004
  • Laatst online: 18-09 14:35
Om een Synology VPN op te zetten moet je toch ook een poort openzetten? Hoe is een open VPN poort veiliger dan https toegang op poort 5001 (met sterk wachtwoord en 2FA)?

Link to VPN ports for Synology

  • Frogmen
  • Registratie: januari 2004
  • Niet online
Moeilijk te zeggen zo maar ik denk dat VPN robuster is als protocol en de hele manier waarop de verbinding tot stand komt overigens geen PPTP vpn gebruiken want die is niet veilig.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Ben(V)
  • Registratie: december 2013
  • Laatst online: 16:24
Het is heel simpel.

Als je een VPN server op je Nas hebt draaien en daarvoor een poort forward doet naar die VPN server zal die VPN server alles afvangen wat naar die poort gestuurd wordt en alleen legitiem VPN verkeer doorlaten en de rest blokkeren.
Bedenk wel dat als je ooit die VPN server uitzet of de-installeert dat je dan die port forwarding weer verwijderd, anders heb je een open port zonder beveiliging op je Nas.

Als je poort 5000 of 5001 openzet kom je gewoon op de desktop van je Nas terecht met enkel inlog beveiliging, wat veel minder secuur is en dan heb ik het nog helemaal niet over allerlei andere poorten die te pas en te onpas geforward worden.

Er is maar een ding dat nog veiliger is en dat is een VPN server op je router draaien.

PS.
Gebruik ook geen LPT2 als VPN, die is al jaren niet meer veilig en simpel te kraken.
OpenVpn heeft sterk de voorkeur maar Ipsec kan ook nog wel.

[Voor 9% gewijzigd door Ben(V) op 11-02-2021 16:07]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • ls789
  • Registratie: oktober 2012
  • Laatst online: 16:45
misschien een hele domme vraag ;) maar ik kwam bij het zoeken dit topic tegen en heb een soortgelijke vraag. Ik draai nu ook Surveillance Station op mijn Synology en die vroeg ook om portforwarding (in de instellingen van de synology staat dit in het profiel van de firewall). Dit is ook voor bijv. DS Photo het geval..

ik heb in mijn router echter 0 poorten openstaan en ik weet dat ik met DS Photo bijv. ook niet zonder wifi verbinding op mijn tel in de Synology kan (niet van buitenaf dus).

Is dit dan gewoon veilig? anders moet ik het e.e.a. wellicht anders gaan instellen.


Acties:
  • +1Henk 'm!

  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 15:18
ls789 schreef op zondag 21 maart 2021 @ 01:55:
misschien een hele domme vraag ;) maar ik kwam bij het zoeken dit topic tegen en heb een soortgelijke vraag. Ik draai nu ook Surveillance Station op mijn Synology en die vroeg ook om portforwarding (in de instellingen van de synology staat dit in het profiel van de firewall). Dit is ook voor bijv. DS Photo het geval..

ik heb in mijn router echter 0 poorten openstaan en ik weet dat ik met DS Photo bijv. ook niet zonder wifi verbinding op mijn tel in de Synology kan (niet van buitenaf dus).

Is dit dan gewoon veilig? anders moet ik het e.e.a. wellicht anders gaan instellen.

[Afbeelding]
Als je geen porten hebt geforward dan is er inderdaad niks aan de hand

  • grote_oever
  • Registratie: augustus 2002
  • Laatst online: 15:04
kosz schreef op donderdag 11 februari 2021 @ 14:17:
Hier ook vpn, portforwarding is een no-go (geen open-deur beleid)
Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?

Acties:
  • +1Henk 'm!

  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 15:18
grote_oever schreef op zondag 21 maart 2021 @ 08:03:
[...]

Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?
Je zou dit kunnen overwegen: How-to schedule a VPN connection on Synology DSM 6

  • ls789
  • Registratie: oktober 2012
  • Laatst online: 16:45
HKLM_ schreef op zondag 21 maart 2021 @ 07:07:
[...]


Als je geen porten hebt geforward dan is er inderdaad niks aan de hand
ja dus die instellingen daar in de Synology nas doen niks spannends :) in de router is mijn lijst van geforwarde ports leeg..

Camera kan ik dus waarschijnlijk niet op afstand benaderen (of Foscam moet iets via een app middels hun server of iets hebben lopen). Ga vandaag het e.e.a. instellen.

Mijn overige camera's zijn van Eufy en kan ik op afstand makkelijk benaderen middels hun app. Deze camera wil ik echter 24/7 laten opnemen dus dan schieten die batterij camera's te kort 8)

Acties:
  • +1Henk 'm!

  • grote_oever
  • Registratie: augustus 2002
  • Laatst online: 15:04
Bedankt; dit is precies wat ik zocht. Backup nu dagelijks, via VPN, de data naar een andere synology (zonder een poort open te zetten).

[Voor 4% gewijzigd door grote_oever op 21-03-2021 21:54]


  • LinkinTED
  • Registratie: juli 2010
  • Laatst online: 14:49
Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?

  • hans_lenze
  • Registratie: juli 2003
  • Laatst online: 17:02
grote_oever schreef op zondag 21 maart 2021 @ 08:03:
[...]

Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?
Precies voor dit doel gebruik ik Zerotier: een point-to-point VPN die nergens portforwards nodig heeft. De beide NASsen kunnen met elkaar praten zonder dat het hele internet kan aankloppen.

while (! ( succeed = try ()));


Acties:
  • +1Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 13:34
LinkinTED schreef op maandag 22 maart 2021 @ 09:32:
Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?
Nee dat kan dan niet.

Acties:
  • +1Henk 'm!

  • Ben(V)
  • Registratie: december 2013
  • Laatst online: 16:24
hans_lenze schreef op maandag 22 maart 2021 @ 10:02:
[...]


Precies voor dit doel gebruik ik Zerotier: een point-to-point VPN die nergens portforwards nodig heeft. De beide NASsen kunnen met elkaar praten zonder dat het hele internet kan aankloppen.
Zerotier gebruikt uPnP, wat je dan in je router aan moet zetten.

uPnP is bijzonder kwetsbaar voor hacking en sterk af te raken

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • +1Henk 'm!

  • Coach4All
  • Registratie: januari 2003
  • Laatst online: 17-09 16:54

Coach4All

I'm a Coach 4 All

LinkinTED schreef op maandag 22 maart 2021 @ 09:32:
Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?
Tenzij je continue een VPN open hebt staan en de DS "lokaal" benadert.

--- Systeembeheerdersdag --- Voedselintolerantie ---


  • hans_lenze
  • Registratie: juli 2003
  • Laatst online: 17:02
Ben(V) schreef op maandag 22 maart 2021 @ 10:34:
[...]


Zerotier gebruikt uPnP, wat je dan in je router aan moet zetten.

uPnP is bijzonder kwetsbaar voor hacking en sterk af te raken
Zerotier gebruikt geen uPnP en je hoeft er niets voor aan te passen in je router.
Hij gebruikt een control server om de verschillende endpoints aan elkaar te verbinden. Omdat er alleen een uitgaande verbinding naar buiten nodig is over TCP poort 443, werkt het zo goed als overal.

while (! ( succeed = try ()));


  • Ben(V)
  • Registratie: december 2013
  • Laatst online: 16:24
Ze schrijven op hun website dat ze uPnP gebruiken.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • laurens0619
  • Registratie: mei 2002
  • Laatst online: 15:15
Beide

Zerotier kan zonder port mappings werken, dan loopt alles via een centrale server en is je verbinding ook trager. Soort synology quickconnect zonder nat

Het kan ook werken met port mappings/upnp. Dan gaat t direct

https://zerotier.atlassia...Router+Configuration+Tips

CISSP! Drop your encryption keys!

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee