Veiligheid Synology van buitenaf

Voor privé toegang tot een Synology gebruik ik zelf een VPN.
Omdat er geen publieke diensten op draaien waar ik vreemde mensen toegang toe wil geven, heb ik geen port forwards open staan.

Hier ook vpn, portforwarding is een no-go (geen open-deur beleid)

Poort 5000, 5001 en/of UPnP is niet automatisch ultiem vreselijk gevaarlijk!!!1

Heb je niet 'gewoon' een zwak wachtwoord ingesteld op (1 van) je accounts?

2fa aanzetten, fatsoenlijk wachtwoord, automatische ip-blokkade bij herhaaldelijk verkeerde credentials, user "admin" gelijk uitzetten en je bent al een heel eind.

[ Voor 7% gewijzigd door Bushie op 11-02-2021 14:48 ]

wireguard draaien, nooit een upnp of port forwarden naar je NAS.

maar poort 5000/5001 presenteren naar buiten is toch wel erg risicovol. Stel er is een exploit beschikbaar voor de login dan zit je met je lange goeie wachtwoord.

VPN is natuurlijk een goeie optie, maar ik vind het zelf niet altijd nodig.

- zet je poorten naar buiten toe iig op een relatief weinig gebruikte, hoge poort. Dan wordt je waarschijnlijk niet eens gevonden. Is "security through obscurity" en dat is geen echte security maar in de praktijk helpt het.
- limiteer deze services op je syno tot bepaalde ip ranges of landen.

limiteer deze services op je syno tot bepaalde ip ranges of landen.

ja dat scheelt enorm, voordat ik deze had ingesteld, behoorlijk vaak Chinese en Russische bezoekers aan de poort van de Synology te rammelen.

In hoeverre is het uberhaupt nodig dat je vanaf afstand die beelden bekijkt?

In het algemeen denk ik dat de beveiliging van een Synology apparaat best in orde is. Jouw geval lijkt echt momenteel vrij slecht beveiligd te zijn. Een ISP gaat niet zomaar tot blokkade over.

op de synology zie ik wel van alles nu in het logboek staan.

mogen we ook weten wat er in staat?
wat geeft de security advisor van Synology voor uitkomst?

theorganiser schreef op donderdag 11 februari 2021 @ 14:33:
Vpn kan ik begrijpen. Maar stel je die dan ook in op de nas? En het gaat dus om meerdere locaties, waarbij ik makkelijk moet kunnen switchen er tussen

Niet de NAS naar buiten VPN'en naar een commerciele VPN, maar juist zelf een VPN opzetten op je eigen netwerk. Dat kan misschien op je router, anders misschien op je NAS zelf worden geregeld.

F_J_K schreef op donderdag 11 februari 2021 @ 15:08:
maar juist zelf een VPN opzetten op je eigen netwerk. Dat kan misschien op je router, anders misschien op je NAS zelf worden geregeld.

Op een Synology NAS is dat kinderspel. Paar klikjes en klaar. Ik gebruik L2TP/IPSec en VPN gewoon naar huis wanneer dat nodig is. Mijn "router" (OpenBSD machine, maar boeie) heeft een paar portforwards (500, 1701, 4500) en laat alleen een paar whitelisted IP's/IP-reeksen toe et voila.

[ Voor 21% gewijzigd door RobIII op 11-02-2021 15:11 ]

Ik heb op elk van de NASsen die ik beheer het programmaatje ZeroTier geïnstalleerd. Dat is een soort eigen VPN netwerkje waar al die NASsen dan in te bereiken zijn, waar ze fysiek ook staan.

Dit netwerkje gebruik ik voor datatransport (back-ups) tussen de NASsen zonder dat ik bij verschillende familieleden met portforwards hoef te klooien.

Om een Synology VPN op te zetten moet je toch ook een poort openzetten? Hoe is een open VPN poort veiliger dan https toegang op poort 5001 (met sterk wachtwoord en 2FA)?

Link to VPN ports for Synology

Moeilijk te zeggen zo maar ik denk dat VPN robuster is als protocol en de hele manier waarop de verbinding tot stand komt overigens geen PPTP vpn gebruiken want die is niet veilig.

Het is heel simpel.

Als je een VPN server op je Nas hebt draaien en daarvoor een poort forward doet naar die VPN server zal die VPN server alles afvangen wat naar die poort gestuurd wordt en alleen legitiem VPN verkeer doorlaten en de rest blokkeren.
Bedenk wel dat als je ooit die VPN server uitzet of de-installeert dat je dan die port forwarding weer verwijderd, anders heb je een open port zonder beveiliging op je Nas.

Als je poort 5000 of 5001 openzet kom je gewoon op de desktop van je Nas terecht met enkel inlog beveiliging, wat veel minder secuur is en dan heb ik het nog helemaal niet over allerlei andere poorten die te pas en te onpas geforward worden.

Er is maar een ding dat nog veiliger is en dat is een VPN server op je router draaien.

PS.
Gebruik ook geen LPT2 als VPN, die is al jaren niet meer veilig en simpel te kraken.
OpenVpn heeft sterk de voorkeur maar Ipsec kan ook nog wel.

[ Voor 9% gewijzigd door Ben(V) op 11-02-2021 16:07 ]

misschien een hele domme vraag maar ik kwam bij het zoeken dit topic tegen en heb een soortgelijke vraag. Ik draai nu ook Surveillance Station op mijn Synology en die vroeg ook om portforwarding (in de instellingen van de synology staat dit in het profiel van de firewall). Dit is ook voor bijv. DS Photo het geval..

ik heb in mijn router echter 0 poorten openstaan en ik weet dat ik met DS Photo bijv. ook niet zonder wifi verbinding op mijn tel in de Synology kan (niet van buitenaf dus).

Is dit dan gewoon veilig? anders moet ik het e.e.a. wellicht anders gaan instellen.

ls789 schreef op zondag 21 maart 2021 @ 01:55:
misschien een hele domme vraag maar ik kwam bij het zoeken dit topic tegen en heb een soortgelijke vraag. Ik draai nu ook Surveillance Station op mijn Synology en die vroeg ook om portforwarding (in de instellingen van de synology staat dit in het profiel van de firewall). Dit is ook voor bijv. DS Photo het geval..

ik heb in mijn router echter 0 poorten openstaan en ik weet dat ik met DS Photo bijv. ook niet zonder wifi verbinding op mijn tel in de Synology kan (niet van buitenaf dus).

Is dit dan gewoon veilig? anders moet ik het e.e.a. wellicht anders gaan instellen.

[Afbeelding]

Als je geen porten hebt geforward dan is er inderdaad niks aan de hand

kosz schreef op donderdag 11 februari 2021 @ 14:17:
Hier ook vpn, portforwarding is een no-go (geen open-deur beleid)

Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?

grote_oever schreef op zondag 21 maart 2021 @ 08:03:
[...]

Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?

Je zou dit kunnen overwegen: How-to schedule a VPN connection on Synology DSM 6

HKLM_ schreef op zondag 21 maart 2021 @ 07:07:
[...]


Als je geen porten hebt geforward dan is er inderdaad niks aan de hand

ja dus die instellingen daar in de Synology nas doen niks spannends in de router is mijn lijst van geforwarde ports leeg..

Camera kan ik dus waarschijnlijk niet op afstand benaderen (of Foscam moet iets via een app middels hun server of iets hebben lopen). Ga vandaag het e.e.a. instellen.

Mijn overige camera's zijn van Eufy en kan ik op afstand makkelijk benaderen middels hun app. Deze camera wil ik echter 24/7 laten opnemen dus dan schieten die batterij camera's te kort

HKLM_ schreef op zondag 21 maart 2021 @ 11:30:
[...]


Je zou dit kunnen overwegen: How-to schedule a VPN connection on Synology DSM 6

Bedankt; dit is precies wat ik zocht. Backup nu dagelijks, via VPN, de data naar een andere synology (zonder een poort open te zetten).

[ Voor 4% gewijzigd door grote_oever op 21-03-2021 21:54 ]

Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?

grote_oever schreef op zondag 21 maart 2021 @ 08:03:
[...]

Ik ben ook van dit beleid en heb op dit moment ook geen poorten geopend. Wel heb ik bij mij ouders een synology NAS staan waar ik elke week een backup heen wil sturen.

Hoe krijg je dit voor elkaar met vpn? Ik wil namelijk niet de hele dag door een vpn connectie hebben. Alleen wanneer de backup gemaakt moet worden. Kan hypervault dat?

Precies voor dit doel gebruik ik Zerotier: een point-to-point VPN die nergens portforwards nodig heeft. De beide NASsen kunnen met elkaar praten zonder dat het hele internet kan aankloppen.

LinkinTED schreef op maandag 22 maart 2021 @ 09:32:
Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?

Nee dat kan dan niet.

hans_lenze schreef op maandag 22 maart 2021 @ 10:02:
[...]


Precies voor dit doel gebruik ik Zerotier: een point-to-point VPN die nergens portforwards nodig heeft. De beide NASsen kunnen met elkaar praten zonder dat het hele internet kan aankloppen.

Zerotier gebruikt uPnP, wat je dan in je router aan moet zetten.

uPnP is bijzonder kwetsbaar voor hacking en sterk af te raken

LinkinTED schreef op maandag 22 maart 2021 @ 09:32:
Interessant topic!

Als je "alles" dichtzet, kun je de Android apps (DS Photo, DS file, etc) nog wel remote gebruiken?

Tenzij je continue een VPN open hebt staan en de DS "lokaal" benadert.

Ben(V) schreef op maandag 22 maart 2021 @ 10:34:
[...]


Zerotier gebruikt uPnP, wat je dan in je router aan moet zetten.

uPnP is bijzonder kwetsbaar voor hacking en sterk af te raken

Zerotier gebruikt geen uPnP en je hoeft er niets voor aan te passen in je router.
Hij gebruikt een control server om de verschillende endpoints aan elkaar te verbinden. Omdat er alleen een uitgaande verbinding naar buiten nodig is over TCP poort 443, werkt het zo goed als overal.

Ze schrijven op hun website dat ze uPnP gebruiken.

Beide

Zerotier kan zonder port mappings werken, dan loopt alles via een centrale server en is je verbinding ook trager. Soort synology quickconnect zonder nat

Het kan ook werken met port mappings/upnp. Dan gaat t direct

https://zerotier.atlassia...Router+Configuration+Tips