Beveiliging bij Port forward icm uitgeschakeld apparaat

Een poortforward forward een poort in de WAN naar een IP adres/poort in de LAN. Als dat IP adres niet bereikbaar is omdat het apparaat uitstaat, loopt de forward dood. Dus dat lijkt me tamelijk onschuldig.

S023 schreef op woensdag 1 december 2021 @ 21:08:
Nu hoor ik van een collega dat hij zijn nas uitschakelt als iemand binnen probeert te komen.

Of je wordt ontzettend in de maling genomen of je collega heeft er wel enig verstand van...

Waarvoor denk je een port forward nodig te hebben?

Kan natuurlijk maar het is wel een soort van extreme daad, je zet die poort in eerste instantie met een reden open. Als je vertrouwen hebt in je beveiliging dan lijkt het mij een overdreven reactie.

Nee is niet afdoende
Ik zet altijd de stroomgroep uit waar de NAS op zit als ik een aanval zie binnen komen. Je weet nooit of ze ook via powerline proberen binnen te komen he! Helaas zit de woonkamer verlichting op dezelfde groep dus zitten wel altijd in het donker tot de aanval voorbij is

Ook de aluminium gordijnen sluiten om het Wifi signaal te blokkeren


..........
/s

Best practice:
- Poort niet open zetten maar bv gebruik maken van quickonnect
- Default usernames vervangen door unieke usernames
- Default wachtwoor vervangen door unieke wachtwoorden
- MFA inschakelen
- Je nas updates
- Fail2ban aanzetten

[ Voor 10% gewijzigd door laurens0619 op 02-12-2021 16:11 ]

S023 schreef op woensdag 1 december 2021 @ 21:08:
Ik heb trouwens mijn collega aanbevolen om met een ip whitelist te werken, dat is ook het enige wat ik ervan weet en kan bedenken

Want?

Echt superhandig; ben je een keer op vakantie, breek je je been (of erger) en je moet op je NAS zijn voor documeten bijvoorbeeld. Oh, sta je niet op je eigen whitelist want je was vergeten het WAN-IP van de camping op te voeren. Balen zeg. Zelfde geldt overigens voor alles wat je buitenshuis doet. Jouw smartphone heeft op 4G ook "bijna altijd" een ander IP. Kan je wel het hele subnet van je provider gaan whitelisten maar dat is ook beetje moedeloos.

En daarnaast, ook nog, zijn er hosting-partijen die een x aantal IP's hebben zoals 400 Nederlandse, 400 Italiaanse en 400 Finse. En dan whitelist jij alleen de Nederlandse IP's. Best toch? Bel ik de hoster dat ik een VPS wil met een Nederlands IP want blijkbaar mag ik vanaf een Fins IP jou niet hacken.

Ja, het zal vast allemaal onwaarschijnlijk klinken maar of je nou IP's toestaat of IP's niet toestaat; er valt altijd wel een scenario te bedenken dat je er zelf altijd bij inschiet.

Klopt maar een VPN is dan wel aan te raden ipv services direct te exposen

Als je echt de poorten wil dichtzetten kun je ook kijken naar port-knocking
Een beetje nerdy maar wel tof

In computer networking, port knocking is a method of externally opening ports on a firewall by generating a connection attempt on a set of prespecified closed ports. Once a correct sequence of connection attempts is received, the firewall rules are dynamically modified to allow the host which sent the connection attempts to connect over specific port(s). A variant called single packet authorization (SPA) exists, where only a single "knock" is needed, consisting of an encrypted packet.[1][2][3][4]

[ Voor 14% gewijzigd door laurens0619 op 02-12-2021 16:55 ]

Je NAS diensten direct adverteren op Internet met port forwarding raad iedereen af om een boel redenen.
Een veel beter alternatief, mijn Syno NAS heeft in de app/add-on store ook een VPN server package.
Als je dan op de router alleen die VPN poort forward naar je NAS IP, kun je buiten de deur inbellen met een VPN dialer (beschikbaar voor verschillende platforms) om bij al je diensten van je NAS te geraken op een veilige manier.
Tenminste dat is als je publieke ISP IP niet steeds veranderd anders zul je via een externe dienst zoiets als hieronder moeten toepassen om op DNS naam te verbinden ipv pubieke IP:
Wikipedia: Dynamic DNS

En ik geloof ook dat er routers zijn die als VPN client als zowel server kunnen worden ingesteld.
DD-WRT, Asuswrt-Merlin etc.

laurens0619 schreef op donderdag 2 december 2021 @ 16:10:
Nee is niet afdoende
Ik zet altijd de stroomgroep uit waar de NAS op zit als ik een aanval zie binnen komen. Je weet nooit of ze ook via powerline proberen binnen te komen he! Helaas zit de woonkamer verlichting op dezelfde groep dus zitten wel altijd in het donker tot de aanval voorbij is

Ook de aluminium gordijnen sluiten om het Wifi signaal te blokkeren


..........
/s

Best practice:
- Poort niet open zetten maar bv gebruik maken van quickonnect
- Default usernames vervangen door unieke usernames
- Default wachtwoor vervangen door unieke wachtwoorden
- MFA inschakelen
- Je nas updates
- Fail2ban aanzetten

Synology adviseert voor quickconnect het openzetten van onderstaande porten lijkt me niet zo’n handig advies.

For better QuickConnect performance, it is recommended that you go to Control Panel > External Access > Router Configuration to configure port forwarding for each service:
DSM: 5000 (HTTP); 5001 (HTTPS)
Photo Station: 80 (HTTP); 443 (HTTPS)
Cloud Station：6690

Zoals gezegd. Geen apparaten naar buiten toe exposen met port forwarding. Dat is gewoon veel te gevaarlijk. Je maakt jezelf totaal afhankelijk van de fabrikant van je NAS. Voor je het weet staan al je foto's op een of andere website. Of wordt je NAS gebruikt om spam te versturen.

Gebruik een VPN server. Als je router dat ondersteunt ben je klaar, maar zorg dan wel dat je regelmatig de firmware van je router update. Als je van knutselen houdt en het echt goed wilt doen, gebruik dan Wireguard op een Raspberry Pi. Beetje werk, maar hoop plezier van. Uiteraard moet je dan wel een port forwarden naar de Raspberry Pi, gebruik een maf hoog poortnummer dat niet makkelijk te raden is.

[ Voor 10% gewijzigd door PhilipsFan op 03-12-2021 02:35 ]

Het is natuurlijk altijd maar net wat je met je server doet en welke functionaliteit je gebruikt. Als je hem als webserver gebruikt is het wel handig om poort 80 of 443 te forwarden. Maar denk goed na en zoals hierboven voor alles wat jij alleen mag zien gebruik VPN.

Frogmen schreef op vrijdag 3 december 2021 @ 10:51:
Het is natuurlijk altijd maar net wat je met je server doet en welke functionaliteit je gebruikt. Als je hem als webserver gebruikt is het wel handig om poort 80 of 443 te forwarden. Maar denk goed na en zoals hierboven voor alles wat jij alleen mag zien gebruik VPN.

Alleen als deze in een DMZ zit gescheiden van je LAN data.
En dan zou ik dit nog niet overlaten aan de web services van een NAS.

Terechte vraag.
je kan gehackt op de open poort worden als
- ze de toeganssleutel weten (credentials)
- er een kwetsbaarheid misbruikt wordt

Voordeel van vpn is dat het met certificaten kan werken voor authenticatie, stuk veiliger dan wachtwoord

Ander voordeel is dat de functionaliteit van vpn heel beperkt en uitontwikkeld is. Daardoor minder kans op fouten en dus kwetsbaarheden

Een webserver is veel complexer en heeft veel more functies. De kans op kwetsbaarheden is dus groter

De code van vpn is geschreven met veilige netwerktoegang als hoofddoel

De code van de webserver heeft als hoofddoel vaak functionaliteit, security is een subdoel

[ Voor 14% gewijzigd door laurens0619 op 03-12-2021 22:52 ]

Ow, wanneer je een NAS hebt maak geen gebruik van het Admin account, sterker nog: schakel 'm uit. De meeste inbrekers komen voor een Admin account omdat dit bijna een vast gegeven is dat die aanwezig is. Wanneer die er niet is hebben de inbrekers het al een stuk lastiger, tenzij je jouw online gebruikersnaam ook als gebruikersnaam op internet hebt en flink wat sporen achterlaat.

Ik was een aantal keren betrokken bij het opzetten van een publieke web server.
De winkel ging in een chroot met minimale functionaliteit en ik moest alles compileren van laatste stabiele source en in de chroot kwakken wat alleen nodig was.
Ook specifieke configuraties aanpassen voor minimale functionaliteit.
En in de DMZ.
Dat is wat anders als een NAS die "feature rich" is ingericht met allemaal extra libs/modules etc waarvan de meesten overbodig zijn voor het functioneren van een public facing web site.
Deze onnodige "dependencies" vergroten de "attack surface" aanzienlijk!

[ Voor 4% gewijzigd door deHakkelaar op 04-12-2021 00:06 . Reden: wiki ]

S023 schreef op vrijdag 3 december 2021 @ 22:36:
Maar met een vpn zet je toch net zo goed een poort open? En ook dan is de beveiliging meestal een gebruiksnaam en wachtwoord. Dus dat is toch net zo onveilig? Ik begrijp niet wat het verschil is tussen de webserver of vpn, helemaal als dat fysiek hetzelfde apparaat betreft.

(vpn met certificaat heb ik wel eens gezien, bedoel je uitsluitend zoiets gebruiken?)

Terug naar de basisvraag: dus als een open poort doodloopt omdat een nas/pi/vpn/etc etc uitgeschakeld is, ben je opzich veilig?

Sorry voor de noob vragen, maar begrijp de materie nog niet helemaal en wil toch een bewuste keuze maken wat gemak vs beveiliging betreft

Klopt, dat is inderdaad het geval. Maar bij VPN zijn er een aantal extra mechanismen die voor veiligheid zorgen. Zoals al genoemd werken de meeste VPNs met certificaten. Een wachtwoord zou je inderdaad nog kunnen bruteforcen (hoewel de meeste VPN servers ook daartegen beveiligd zijn), met een certificaat is dat nagenoeg onmogelijk.

Je VPN server zou ook een kwetsbaarheid kunnen bevatten. Maar die kans is een stuk kleiner dan dat de webserver van je NAS een kwetsbaarheid bevat. Een VPN wordt namelijk ontworpen met het oog op security. Een webserver op een NAS wordt meestal als extra toegevoegd, het is niet de belangrijkste functionaliteit van een NAS. En een aparte VPN server gebruiken heeft nog een voordeel: zelfs al zou dez worden gehacked, dan hebben ze nog alleen de VPN server en daar staat als het goed is verder geen bruikbare informatie op. Ze kunnen hem wellicht gebruiken voor het versturen van spam, maar hebben niet meteen je privebestanden te pakken.