Vraag


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Beste Tweakers,
Ik ben van plan om een NAS aan te schaffen, maar ben een beetje nerveus
om dit aan mijn reguliere netwerk (lees: met internet toegang) te hangen.

Nu snap ik dat je vanalles softwarematig kunt instellen om benadering naar
de NAS te blokkeren, maar hier wil ik eigenlijk niet alleen afhankelijk van zijn.
Daarom dacht ik het netwerk wat meer secure maken door een hardware firewall
toe te voegen aan het reguliere netwerk, zodat risico's van buitenaf kleiner worden.

Daarnaast wil ik de NAS zelf op een apart netwerk zetten om hiermee nog wat meer security drempels
op te werpen. Ik geef de twee desktops een extra netwerkkaart om zo een apart netwerk te creëren
waar de NAS direct op aangesloten wordt (mogelijk met een switch om m'n laptop ook tijdelijk toegang
te kunnen geven). Hierdoor zit er altijd een computer (met software firewall) tussen de twee netwerken
mocht er iets of iemand toch binnen willen dringen met ransomware of erger.


Relevante software en hardware die ik gebruik:
- De NAS wordt waarschijnlijk een Synology DS920+
- De netwerkkaarten worden simpele USB dongels zoals de TP-Link UE300
- De hardware firewall wordt mogelijk een Ubiquiti Unifi Security Gateway
Een alternatief hiervoor is ook prima zoals bijvoorbeeld hier benoemd worden.
(waar ik eigenlijk niet meer dan €150,- voor wil neerleggen)


Is dit een goed set-up of denk ik veel te moeilijk/makkelijk
om de NAS zoveel mogelijk af te sluiten van het web?

Ik heb weinig kaas gegeten van netwerken
en hoop dat iemand mij hiermee kan helpen.
Bij voorbaat veel dank! :)

[ Voor 60% gewijzigd door Mative op 19-12-2021 19:54 ]

Beste antwoord (via Mative op 19-12-2021 19:52)


  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 18:42

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Ik snap je punt van veiligheid, maar imho maak je het jezelf veel te moeilijk. Zolang je geen poorten op je router forward naar je NAS is deze eigenlijk al niet te bereiken. Daarnaast kan je op de Synology de interne firewall zo configureren dat hij bijvoorbeeld alleen IP's uit Nederland accepteert. Mocht je hem alleen intern willen gebruiken, dan laat je bijv, alleen je interne 192.168 netwerk toe en blokkeer de rest.
Mocht je de NAS toch vanaf internet willen bereiken, dan kan je dit altijd nog via een VPN doen.
Een extra goede firewall bij de voordeur kan sowieso nooit kwaad. De standaard mogelijkheden van bijv een Ziggo modem of Asus routertje zijn slechts basis. Ik heb daar zelf een pfSense firewall voor draaien. Een USG kan natuurlijk ook. Of een kant en klare pfSense firewall? (https://shop.netgate.com/products/1100-pfsense)

[ Voor 33% gewijzigd door Microkid op 18-12-2021 20:58 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

Alle reacties


Acties:
  • Beste antwoord
  • +2 Henk 'm!

  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 18:42

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Ik snap je punt van veiligheid, maar imho maak je het jezelf veel te moeilijk. Zolang je geen poorten op je router forward naar je NAS is deze eigenlijk al niet te bereiken. Daarnaast kan je op de Synology de interne firewall zo configureren dat hij bijvoorbeeld alleen IP's uit Nederland accepteert. Mocht je hem alleen intern willen gebruiken, dan laat je bijv, alleen je interne 192.168 netwerk toe en blokkeer de rest.
Mocht je de NAS toch vanaf internet willen bereiken, dan kan je dit altijd nog via een VPN doen.
Een extra goede firewall bij de voordeur kan sowieso nooit kwaad. De standaard mogelijkheden van bijv een Ziggo modem of Asus routertje zijn slechts basis. Ik heb daar zelf een pfSense firewall voor draaien. Een USG kan natuurlijk ook. Of een kant en klare pfSense firewall? (https://shop.netgate.com/products/1100-pfsense)

[ Voor 33% gewijzigd door Microkid op 18-12-2021 20:58 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.


Acties:
  • +1 Henk 'm!

  • Sharky
  • Registratie: September 1999
  • Laatst online: 16:27

Sharky

Skamn Dippy!

Je maakt het inderdaad complexer en kostbaarder dan nodig. Updates installeren, een sterk wachtwoord kiezen en de juiste beveiliging instellen op je NAS is 95% van de maatregelen. Als je je data veilig wilt stellen voor incidenten maak je nog een back-up naar een tweede medium (een externe usb bijvoorbeeld, wellicht elders in je huis) en nog een back-up naar een clouddienst. Support daarvoor is standaard aanwezig op je NAS.

This too shall pass


Acties:
  • +1 Henk 'm!

  • FreakNL
  • Registratie: Januari 2001
  • Laatst online: 15:07

FreakNL

Well do ya punk?

Je NAS is inderdaad standaard helemaal niet te benaderen van buitenaf.

Wat @Sharky zegt.

Acties:
  • +1 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 07:53

MAX3400

XBL: OctagonQontrol

En dan wel username+password voor de NAS opslaan op de PC's zeker?

Over welk protocol wil je trouwens gaan "file sharen" want allicht kan je daar ook nog eens over nadenken of dat (extra / nog meer) authenticatie op zit.

En vergeet ook niet eerst je NAS te beveiligen en in principe altijd accounts te maken met "least privilege"; dus niet 8 full admins opvoeren omdat je 7 apparaten wil verbinden, bijvoorbeeld.

/edit: dank @Microkid want type-fout... ;)

[ Voor 5% gewijzigd door MAX3400 op 18-12-2021 22:02 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • +1 Henk 'm!

  • sypie
  • Registratie: Oktober 2000
  • Niet online
En, voor een extra laagje veiligheid, schakel net Admin account uit en gebruik je eigen account als beheerder. Veel inlogpogingen (mocht je NAS bereikbaar zijn) worden gedaan op het Admin account.

Acties:
  • +4 Henk 'm!

  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 18:42

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Kan je die huren? ;) Least privilege :)

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.


Acties:
  • +2 Henk 'm!

  • peter-rm
  • Registratie: Juni 2015
  • Laatst online: 18:09
gebruik een admin account alleen voor admin taken, en gebruik standaard een normaal user account met (least privilige) lees en schrijfrechten.

je kunt daarnaast ook de volumes/shares met belangrijke documenten read-only maken, en periodiek met het aparte adminaccount updaten

Acties:
  • +2 Henk 'm!

  • Red Boll
  • Registratie: Maart 2005
  • Laatst online: 07:04

Red Boll

Kick Ass!

Effe hardop denken:

Wanneer je werkstation naar het internet kan en naar je NAS kan dat toch nog steeds een bron van besmetting zijn/worden. Ik denk aan drive mappings/unc paden en dat urgente mailtje openen over dat UPS/DHL pakje met die vreemde bijlage op je werkstation.

Acties:
  • +1 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Bedenk wel hoeveel moeite zal iemand doen om wat te stelen. natuurlijk wil je niet dat je privé foto's zomaar op internet komen, maar bedenk ook dat iemand eerst moet weten dat er boeiende privé foto's zijn en dat er mee te verdienen valt. Als je NAS niet vanaf internet bereikt kan worden dan wordt het al heel erg moeilijk. Een standaard modem die geen poorten open heeft staan is niet zomaar gehackt, ik wil niet zeggen dat het onmogelijk is maar er zijn geen bekende gevallen.
Dus jouw standaard router voldoet prima, pas als je je NAS bereikbaar wil hebben vanaf internet wordt het een ander verhaal.
Een fysiek gescheiden netwerk is zoals ook eerder gezegd onzin en geeft schijn veiligheid.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • +1 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:10

sh4d0wman

Attack | Exploit | Pwn

Red Boll schreef op zaterdag 18 december 2021 @ 22:20:
Ik denk aan drive mappings/unc paden en dat urgente mailtje openen over dat UPS/DHL pakje met die vreemde bijlage op je werkstation.
Dit inderdaad... Je kunt het beste RO mounten en eenmaal in de zoveel tijd een backup wegschrijven naar je NAS. Veel consumenten ransomware werkt automatisch dus die pakken een drivemapping mee.

Een aanvaller aan de knoppen zal proberen een vulnerability in de NAS te vinden of geduldig wachten tot jij inlogt. Maar de kans dat die je treft is bijna 0. Die pakken liever grote bedrijven met veel centjes 8)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • +1 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

sh4d0wman schreef op zondag 19 december 2021 @ 14:30:
[...]

Dit inderdaad... Je kunt het beste RO mounten en eenmaal in de zoveel tijd een backup wegschrijven naar je NAS. Veel consumenten ransomware werkt automatisch dus die pakken een drivemapping mee.

Een aanvaller aan de knoppen zal proberen een vulnerability in de NAS te vinden of geduldig wachten tot jij inlogt. Maar de kans dat die je treft is bijna 0. Die pakken liever grote bedrijven met veel centjes 8)
Hmmz, ook de consumenten ransomware is ondertussen al een stuk verder, hoor. Die zijn echt niet meer afhankelijk van drive mappings. Die inventariseren alle UNC paden die er in je netwerk te vinden zijn en proberen daar alle passwords die windows trouwhartig voor ze bewaart

Of als je weer eens zo'n issue hebt als laatst met synology waar een developer FF snel een backdoor root account had gecreëerd met de credentials in een comment regel in de code

QnJhaGlld2FoaWV3YQ==


Acties:
  • +1 Henk 'm!

  • sypie
  • Registratie: Oktober 2000
  • Niet online
@Mative Het is misschien handiger om je nieuwe bericht onderaan in het topic te zetten, dat leest in ieder geval een stuk prettiger omdat het de chronologische volgorde van een topic aanhoudt.

In ieder geval: goed dat je de punten oppikt en daar mee aan de slag gaat bij de aanschaf/instellingen van een NAS.

Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Allereerst heel erg bedankt voor de reacties, dit maakt al een hoop duidelijk! _/-\o_

@Microkid
- Check: Geen poorten forwarden, IP's blokkeren
- Is er een groot verschil tussen bijvoorbeeld de USG en PFsense wat
securitylevel, set-it and forget-it auto updates en long term support betreft?

@Sharky
- Check: updates bijhouden, sterke wachtwoorden, beveiliging op de NAS zelf.
- Back-ups ben ik sowieso van plan inderdaad.

@FreakNL
Dat is sowieso fijn om te horen al weet ik niet in hoeverre bugs of broad scale
hackpogingen een toekomstige onverwachte factor kunnen zijn in een security breach.

@MAX3400
- Passwords houdt ik bij in een encrypted password safe.
- Ik heb geen idee, ik was van plan om 'gewoon' de files te benaderen
via de vaste netwerkverbindingen. Als dat is wat je bedoeld?

@peter-rm
De meest belangrijke documenten/administratie
heb ik gelukkig op een air-gapped systeem staan.

@Red Boll
Klopt, dat is nooit perfect dicht te gooien. Daar moet ik dan ook alert op blijven.
Ik probeer nu zoveel mogelijk de directe toegang vanaf het web te blokkeren.

@Frogmen
Zo waardevol zijn mijn files inderdaad niet. Ik was voornamelijk bang dat wanneer
er bijvoorbeeld een lek in de router firmware ontdekt werd dat dan op grote schaal
iedereen in één sweep compromized zou zijn en in bulk gehackt zou kunnen worden.

@sh4d0wman @Brahiewahiewa
- Ik was eigenlijk van plan om direct vanaf de NAS te werken/editen
en op een externe schijf de backup regelmatig weg te schrijven.
- Hoe kan ik die passwords beveiligen?

@MAX3400 @sypie @peter-rm
Check: 'least privilege' accounts gebruiken, Admin account uitschakelen.

@sypie
Check ;)

Acties:
  • +1 Henk 'm!

  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 18:42

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Mative schreef op zondag 19 december 2021 @ 19:53:
Allereerst heel erg bedankt voor de reacties, dit maakt al een hoop duidelijk! _/-\o_

@Microkid
- Check: Geen poorten forwarden, IP's blokkeren
- Is er een groot verschil tussen bijvoorbeeld de USG en PFsense wat
securitylevel, set-it and forget-it auto updates en long term support betreft?
Die detailinfo moet je even opzoeken. Zover ik wel weet is de USG onderdeel van de Ubiqity infrastructuur en heb je dus ook een controller nodig. USG is redelijk standaard. Een pfSense firewall biedt enorm veel features en is onafhankelijk en kan je zo in je omgeving hangen.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.


Acties:
  • +1 Henk 'm!

  • lazybones
  • Registratie: December 2001
  • Laatst online: 08-05 23:14
Je zou een Ubiquiti EdgeRouter 4 (iets duurder maar een stuk sneller) of een Ubiquiti EdgeRouter X kunnen toepassen. Dan hoef je geen 2e netwerkkaarten toe te passen op je computers, maar je maakt gewoon VLAN's aan waar je de NAS in hangt en definieert de regels in de router wie waar bij mag. Dan kun je prima het verkeer geheel scheiden van elkaar. EdgeRouters hebben geen controller nodig.

[ Voor 5% gewijzigd door lazybones op 19-12-2021 20:02 ]


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
@Microkid
Ik zal ze eens vergelijken.
De onafhankelijke werking van pfSense staat me eigenlijk wel aan.

@lazybones
Check: VLAN's

Acties:
  • +1 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Nu online
Ik zou veel meer op identity, nas en endpoint security focussen dan een firewall

Een firewall is geen magische security fixer, het is een doosje waarin bepaalt wat naar binnen en naar buiten mag

Standaard provider firewall mag niets naar binnen, alles naar buiten (wel ff upnp uitzetten). Als je ditzelfde op een usg zou configureren, bespaar je de moeite en kosten :)

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
@laurens0619
Een goede router waarin ik al het nodige kan configureren is misschien beter ja.

[ Voor 29% gewijzigd door Mative op 21-12-2021 00:07 ]


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Ik denk dat ik inderdaad toch maar ga voor een goedkopere optie. Met een router
die alles zo goed mogelijk kan dichttimmeren (al is het maar om bugs/leaks/foutieve
settings in de standaard router voor te zijn en voor mijn eigen gemoedstoestand :p ).

Ik heb hiernaast nog een oude wifi router liggen die dan alleen het wifi verkeer
af hoeft te handelen. Dan gebruik ik de wifi van de provider router alleen voor gasten.

Alle security opties op de NAS ga ik goed doornemen, poorten, vlan, accounts
instellen, sterke wachtwoorden, alles up-to-date houden en back-ups bijhouden.

Ik kan misschien ook nog een oude switch tussen de nieuwe router en de NAS zetten
waarvan ik de stroom simpelweg kan uitzetten wanneer ik niet bij de NAS hoef te zijn
(als ik alleen mijn mail hoef te checken of de nieuwssites doorneem). In de toekomst
kan ik desgewenst altijd nog een pfSense box tussen de standaard router zetten.

Ik ben er trouwens nog niet uit welke router ik hiervoor het beste kan gebruiken.
Zitten er nog grote voordelen/verschillen tussen, ook wat betreft 'futureproofness'?

Acties:
  • +1 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Nu online
Euh ik bedoelde koop juist geen firewall/router :p

Je kan een onderwerp pas goed beveiligen als je er complete kennis van hebt en het doorgrond.
Als je een edgerouter/mikrotik beginner bent en veiligheid is belangrijk: gebruik je provider router :)
Ja daar kunnen bugs oid inzitten maar het risico dat je als beginner bij een complexe setup fouten maakt is groter :)

Mbt je guest wifi: dat is wel een goede om die compleet te isoleren van je netwerk. De guest wifi van provider is daar wel ok in

CISSP! Drop your encryption keys!


Acties:
  • +2 Henk 'm!

  • donny007
  • Registratie: Januari 2009
  • Laatst online: 29-04 09:59

donny007

Try the Nether!

Synology's hebben een mooi security center waarin je allerlei checks kunt doen om de NAS te hardenen, op standje "Enterprise" krijg je de meest stricte lijst.

Overigens mis ik de belangrijkste maatregel nog: off-site backups! Wat doe je wanneer de NAS en de lokale back-up drive worden gestolen, of wanneer de boel in brand vliegt?

Als je dit echt goed aan wil pakken begin je met een stukje threat modeling om (potentiële) dreigingen in kaart te brengen, vervolgens ga je op basis daarvan kijken naar passende mitigerende maatregelen.

/dev/null


Acties:
  • +1 Henk 'm!

  • W1ck1e
  • Registratie: Februari 2008
  • Laatst online: 18:35
wat ik in het verleden (denk aan de tijd toen windows xp niet meer werd geupdate) nog wel eens deed was: op het betreffende apparaat geen gateway adres instellen. waardoor het apparaat in kwestie niet wist hoe naar internet kon.
dan is het wel nog steeds mogelijk om viezigheid op te lopen via de andere apparaten in het netwerk

Acties:
  • +4 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 16:35
De standaard router van je provider wordt door professionele support van je provider voorzien van nieuwe firmware en fixes van eventuele security leaks.
Als je die vervangt door je eigen router moet je dat zelf doen en vergeet niet dat de meeste consumenten routers slechts firmware updates krijgen totdat ze een nieuw model uitbrengen wat tegenwoordig heel snel is.

Dus tenzij je echt weet wat je aan het doen bent en goed alle security issues die er nieuw rondgaan in de gaten houd is het echt heel onverstandig je provider router in bridge mode te zetten.

Verder roepen veel mensen dat ze te weinig kunnen instellen in hun provider router, maar als je dan vraagt wat ze in willen stellen komt er geen antwoordt.

Als mensen weten wat ze nodig hebben komen ze hier niet vragen welke router ze moeten nemen, dan weten ze het antwoordt ook wel, weten ze dat niet dan voldoet hun provider router prima.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
laurens0619 schreef op dinsdag 21 december 2021 @ 04:28:
Euh ik bedoelde koop juist geen firewall/router :p

Je kan een onderwerp pas goed beveiligen als je er complete kennis van hebt en het doorgrond.
Als je een edgerouter/mikrotik beginner bent en veiligheid is belangrijk: gebruik je provider router :)
Ja daar kunnen bugs oid inzitten maar het risico dat je als beginner bij een complexe setup fouten
maakt is groter :)
Ok, edgerouter/mikrotik zijn sowieso te complex voor mijn noob status dus die vallen af.

Is de tp-link nog een optie of is dat eigenlijk ook teveel risico aangezien
de standaard router dan waarschijnlijk(?) alleen een bridge mag zijn?
(sorry dat ik een beetje op extra hardware blijf plakken)

Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
donny007 schreef op dinsdag 21 december 2021 @ 08:26:
Synology's hebben een mooi security center waarin je allerlei checks kunt doen om de NAS te hardenen, op standje "Enterprise" krijg je de meest stricte lijst.

Overigens mis ik de belangrijkste maatregel nog: off-site backups! Wat doe je wanneer de NAS en de lokale back-up drive worden gestolen, of wanneer de boel in brand vliegt?

Als je dit echt goed aan wil pakken begin je met een stukje threat modeling om (potentiële) dreigingen in kaart te brengen, vervolgens ga je op basis daarvan kijken naar passende mitigerende maatregelen.
Gezien de complexiteit van netwerktech zal ik mijn 'stranger danger' kramp misschien toch wat
moeten ontspannen en mij focussen op de 'normale doch uitgebreide' settings van de NAS zelf.

Off-site backups staan in de planning. Ik heb op het moment ook de
meest belangrijke data al op een externe HD bij mijn ouders liggen.

Acties:
  • +1 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Nu online
Bedoel je die oude tplink? Dacht dat je die voor wifi wilde inzetten :)

Als jij denkt dat je die tplink beheerst, waarom niet :)
Ik zou gewoon lekker dubbel nat doen dat je kunt leunen op je provider router

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
@W1ck1e

Mmm, geen gateway adres. Dat ga ik ook even checken.

Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
@laurens0619
De tplink die ook in de vergelijklijst stond bedoelde ik.

Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Ben(V) schreef op dinsdag 21 december 2021 @ 10:46:
De standaard router van je provider wordt door professionele support van je provider voorzien van nieuwe firmware en fixes van eventuele security leaks.
Als je die vervangt door je eigen router moet je dat zelf doen en vergeet niet dat de meeste consumenten routers slechts firmware updates krijgen totdat ze een nieuw model uitbrengen wat tegenwoordig heel snel is.

Dus tenzij je echt weet wat je aan het doen bent en goed alle security issues die er nieuw rondgaan in de gaten houd is het echt heel onverstandig je provider router in bridge mode te zetten.[/i][/b]
Moet ik hem persé in bridge modus zetten?
Ik dacht eigenlijk 'gewoon' een extra nauwe tunnel er achter te
kunnen hangen. Zonder veel gevolgen voor de standaard router.

In dat geval moet ik wel nog steeds mijn eigen router up-to-date houden.

Acties:
  • +1 Henk 'm!

  • MikeOO
  • Registratie: Augustus 2007
  • Laatst online: 07:43
Microkid schreef op zaterdag 18 december 2021 @ 20:48:
Daarnaast kan je op de Synology de interne firewall zo configureren dat hij bijvoorbeeld alleen IP's uit Nederland accepteert.
Of een kwaadwillende zet een VPN verbinding op naar een NL-server zodat hij een ip-adres uit NL krijgt en dan omzeil je dat ook weer.

Volgens mij laat de Synology firewall het dan als nog toe en creëer je meer schijnveiligheid.

Acties:
  • +1 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 16:35
Het hele idee van een apart netwerk voor je Nas is zinloos.
Ook die hardware firewall is zinloos.

100% veilig is alleen de boel niet aan het internet hangen.
En aangezien dat niet werkbaar is niet aan portforwarding richting je lan te doen.


Wil je perse vanaf het internet je Lan bereiken, gebruik dan een VPN, die Synology heeft een prima VPN server.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Ik kan een beetje hogere veiligheid dan normaal simpelweg vergeten als ik niet van plan ben
om er een hele studie van te maken zo blijkt. Het ziet er (door verder tutorials door te pluizen)
inderdaad allemaal ontzettend complex uit. Ik kom ontelbare termen tegen waar ik nog
ooit van gehoord heb tegen, waarbij de moed me gelijk in de schoenen zinkt ;(
(Zojuist ook even gekeken hoe OpenWRT te flashen op de Edgerouter voor een
langere levensduur, maar daar vlogen de mitsen-en-maren me ook om de oren.)

Ik dacht blijkbaar te veel in Windows termen:
OS instellen > Firewall instellen > Antivirus instellen >
Automatische updates instellen en Klaar!

Is er dan werkelijk geen relatief simpele manier om je beveiliging een
stapje hoger te krijgen behalve door volledig netwerkbeheerder te worden
of een duur 'mannetje' in te huren die alles voor je instelt en bijhoudt?

Is de TP-Link nog een mogelijkheid voor een noob om iets degelijks te fabriceren
of misschien dan een kant en klare pfsense box waar ik (hopelijk) weinig setting bij
moet wijzigen? Of kan ik dan toch beter gewoon focussen op de instellingen die de NAS
zelf biedt en gewoon vertrouwen op de dingen die ik nu al kan doen en ben ik veel te
paranoïde geworden door de toenemende berichten over data leaks en ransomware :S ?

Acties:
  • 0 Henk 'm!

  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 03-03 16:19
Ben(V) schreef op dinsdag 21 december 2021 @ 14:59:
Het hele idee van een apart netwerk voor je Nas is zinloos.
Ook die hardware firewall is zinloos.

100% veilig is alleen de boel niet aan het internet hangen.
En aangezien dat niet werkbaar is niet aan portforwarding richting je lan te doen.

Wil je perse vanaf het internet je Lan bereiken, gebruik dan een VPN, die Synology heeft een prima VPN server.
Het aparte netwerk heb ik losgelaten en een hardware firewall
doet met mijn skills waarschijnlijk meer kwaad dan goed.

Ik zal de poorten zoveel mogelijk dichtzetten en op dit moment
heb ik geen rede om de NAS buitenshuis te willen bereiken.

Acties:
  • 0 Henk 'm!

  • FRANQ
  • Registratie: Juli 2017
  • Laatst online: 15:50
Ik heb mijn synology gewoon achter mijn t-mobile router aan het internet hangen met diverse poorten geforward voor dsfile dscloud dsget en dscam.

DsCam gebruik ik buitenshuis vooral om de beveiligingscamera te zien.
Thuis gebruik ik dat nooit omdat ik dan toch thuis ben.

DSFile is echt ideaal om je foto's te uploaden naar de nas. Zodra ik wifi heb (waar ook ter wereld) upload hij automatisch foto's naar de nas.

Ook vind ik het wel praktisch om via de quickconnect.to link vanaf mijn werk in te kunnen loggen om bestandjes te kopieëren of even wat op te zoeken (vakantiefoto's bijvoorbeeld)

Nu met thuiswerk heb ik een map op mijn thuis pc en werk pc die met dscloud gesynchroniseerd word.
Dropbox is gratis te beperkt.

Op de synology ingesteld dat je 3 inlogpogingen mag hebben in een x periode (meen een uur) en dat bij 5 pogingen je ip geblokkeerd is.

Daarnaast 2 factor authenticatie ingesteld met de google authenticator app, werkt super goed.
Je komt er dan alleen nog in met de code uit je telefoon.
Heb deze app op meerdere devices staan zodat ik er ook nog in kom als ik mijn telefoon kwijt ben.

Verder niet echt veiligheidsmaatregelen genomen omdat ik er eigenlijk gewoon te weinig vanaf weet.
Maar ik heb wel het gevoel dat ik het goed ingesteld heb.

[ Voor 29% gewijzigd door FRANQ op 21-12-2021 15:54 ]


Acties:
  • 0 Henk 'm!

  • lazybones
  • Registratie: December 2001
  • Laatst online: 08-05 23:14
Mative schreef op dinsdag 21 december 2021 @ 15:20:
Ik kan een beetje hogere veiligheid dan normaal simpelweg vergeten als ik niet van plan ben
om er een hele studie van te maken zo blijkt. Het ziet er (door verder tutorials door te pluizen)
inderdaad allemaal ontzettend complex uit. Ik kom ontelbare termen tegen waar ik nog
ooit van gehoord heb tegen, waarbij de moed me gelijk in de schoenen zinkt ;(
(Zojuist ook even gekeken hoe OpenWRT te flashen op de Edgerouter voor een
langere levensduur, maar daar vlogen de mitsen-en-maren me ook om de oren.)

Ik dacht blijkbaar te veel in Windows termen:
OS instellen > Firewall instellen > Antivirus instellen >
Automatische updates instellen en Klaar!

Is er dan werkelijk geen relatief simpele manier om je beveiliging een
stapje hoger te krijgen behalve door volledig netwerkbeheerder te worden
of een duur 'mannetje' in te huren die alles voor je instelt en bijhoudt?

Is de TP-Link nog een mogelijkheid voor een noob om iets degelijks te fabriceren
of misschien dan een kant en klare pfsense box waar ik (hopelijk) weinig setting bij
moet wijzigen? Of kan ik dan toch beter gewoon focussen op de instellingen die de NAS
zelf biedt en gewoon vertrouwen op de dingen die ik nu al kan doen en ben ik veel te
paranoïde geworden door de toenemende berichten over data leaks en ransomware :S ?
Als het veilig moet dan kost dat wat moeite ja. VPN op synology vereist nog steeds dat die open staat naar internet. Daarom adviseerde ik een EdgeRouter waarin je een gescheiden netwerk maakt en regels kunt instellen wie waarvandaan naar de nas mag. OpenWRT op een EdgeRouter is zonde ..
PFsense vereist ook een bepaalde mate van kennis om te snappen wat je doet.

Acties:
  • 0 Henk 'm!

  • RonnieKo
  • Registratie: December 2020
  • Laatst online: 13:01
Hoi,

Als ik het zo het hele draadje lees wil je alleen vanuit je thuisnetwerk toegang op je NAS. Je bent bang dat je als er een fout in de Router zit. En hackers zouden dan je thuisnetwerk kome. Dan al je bestanden op de NAS kwijt zijn. 100% garantie heb je nooit. Alles wat met de buitenwereld verbonden is zit een mogelijk potentieel gevaar. Dat geldt voor je eigen telefoon, computer of ander ding wat gekoppeld is met internet. En daar ook gebruik van maakt.

Over data-lekken: Tja, meestal is dat niet bij jezelf maar bij websites waar je zelf je gegevens achterlaat. Zoals webwinkels, overheidsinstellingen en andere bedrijven. Als daar iets gebeurd dan kunnen je gegevens ook op straat liggen. Is daar wat aan te doen? Niet veel. Deels, voorzichtig zijn wat je allemaal overal invult.

Over ransomware: Vaak moet daar een handeling van de mens nog tussen komen. Dus een mailtje / sms / Whatsapp ontvangen met een link naar een prijs, T&T-code voor een pakket dat je nooit besteld had, Een bank die een mailtje met een link stuurt. En dan toch op de link klikken. 9 van 10 keer ben je dan het haasje. Die technieken worden steeds geraffineerder. Je zal steeds meer moeten opletten van waar je op klikt.

Ben je bang om gegevens kwijt te raken dan is een goede backupstrategie van belang. Als er dan iets gebeurd ben je niet alle gegevens kwijt. Daar zijn complete strategieën voor te bedenken hoe je dat mag doen / instellen. Vergt wel een bepaalde discipline. Dit omdat een goede strategie uit meerdere "oplossingen" bestaat. Dan ben je minder kwetsbaar als het gaat om verlies van gegevens.

Een NAS kan een onderdeel zijn van die backupstrategie. Zelf heb ik al jaren ( 9+) een NAS-server in het thuisnetwerk hangen. De NAS wordt netjes voorzien van de nodige updates als die er zijn. Ik gebruik het ding als schijf om alle gegevens op te slaan. Daarnaast worden er regelmatig (versleutelde) backups gemaakt naar zowel externe (cloud)oplag als naar een USB-schijf.

Mijn NAS was ook een VPN-server om op afstand toegang tot de bepaalde bestanden te hebben. Dat heb ik jaren lang zo gebruikt. Deze optie heb ik laatst uitgezet omdat ik deze niet meer nodig had. Ik kan hem zo weer aanzetten. Daarvoor moet ik dan weer wat aanpassingen doen in het modem / router van de provider en in de NAS.

Als je bepaalde zaken wil gaan gebruiken dan zal je inderdaad een kleine studie moeten doen om kennis te krijgen van wat je allemaal mag / kan doen / instellen om het allemaal juist in te stellen en "veilig" te maken / te houden".

[ Voor 6% gewijzigd door RonnieKo op 22-12-2021 08:35 ]


Acties:
  • 0 Henk 'm!

  • Wachten...
  • Registratie: Januari 2008
  • Laatst online: 17:27
FRANQ schreef op dinsdag 21 december 2021 @ 15:49:
Ik heb mijn synology gewoon achter mijn t-mobile router aan het internet hangen met diverse poorten geforward voor dsfile dscloud dsget en dscam.

DsCam gebruik ik buitenshuis vooral om de beveiligingscamera te zien.
Thuis gebruik ik dat nooit omdat ik dan toch thuis ben.

DSFile is echt ideaal om je foto's te uploaden naar de nas. Zodra ik wifi heb (waar ook ter wereld) upload hij automatisch foto's naar de nas.

Ook vind ik het wel praktisch om via de quickconnect.to link vanaf mijn werk in te kunnen loggen om bestandjes te kopieëren of even wat op te zoeken (vakantiefoto's bijvoorbeeld)

Nu met thuiswerk heb ik een map op mijn thuis pc en werk pc die met dscloud gesynchroniseerd word.
Dropbox is gratis te beperkt.

Op de synology ingesteld dat je 3 inlogpogingen mag hebben in een x periode (meen een uur) en dat bij 5 pogingen je ip geblokkeerd is.

Daarnaast 2 factor authenticatie ingesteld met de google authenticator app, werkt super goed.
Je komt er dan alleen nog in met de code uit je telefoon.
Heb deze app op meerdere devices staan zodat ik er ook nog in kom als ik mijn telefoon kwijt ben.

Verder niet echt veiligheidsmaatregelen genomen omdat ik er eigenlijk gewoon te weinig vanaf weet.
Maar ik heb wel het gevoel dat ik het goed ingesteld heb.
Het is een wat ouder topic, maar omdat ik deze tegen kwam vanuit een toevallige search, wilde ik hier toch even op reageren.

Je bent al redelijk op weg qua veiligheid, maar er zijn wel heel wat verbeteringen die je (heel simpel) door kunt voeren.
  • Verander de standaard poorten (zeker voor DSM login). Dit voorkomt dat iemand op de "standaard poort" kan gaan scannen (iets wat ze meestal doen).
  • Stel firewall regels in (3 stuks) 1: met je lokale ip range 2: dat alles binnen NL mag connecten 3: de rest allemaal blokkeren.
  • De belangrijkste: Maak gebruik van een VPN zoals PiVPN of iets van Reverse proxy. Dit is wel iets meer werk, maar je hoeft hiermee maar 1 poort open te zetten. Een VPN heeft dan zeker de voorkeur, omdat dit helemaal gebouwd is op veiligheid.

Als je dit kunt lezen, dan werkt mij Signature!

Pagina: 1