:strip_icc():strip_exif()/u/26406/crop605f61193c885_cropped.jpg?f=community)
Ik wil een Synology DS418 via internet laten backuppen naar een DS414 die ik bij de buren zou zetten. (Voorlopig staan beide nog thuis)
Ik bied hen in ruil voor het stroomverbruik ook een fileshare voor hun eigen backups aan (ook al vroegen ze daar niet om).
Veiligheid voor alles, dus zitten nog veiligheidsgaten in mijn setup?
Voorlopig gebruiken beide NASen het default self-signed cert. Ik zou eventueel eentje van Let's Encrypt! kunnen genereren. Maar een cert is een cert, toch? Dit is niks wat derden moeten trusten, gewoon encryptie tussen 2 van m'n eigen NASen...
Heeft het opzetten van een VPN tussen de 2 NAS'en nog een meerwaarde? Ik moet dan sowieso nog met portforwarding werken... Verplaats ik dan niet het probleem van eventuele vulnerabilities in HyperBackupVault naar de VPN server? Het lijkt me zelfs nog erger: als iemand toegang zou krijgen tot de VPN, kan ie misschien nog doorhoppen naar eender wat op het netwerk van de buren. Terwijl toegang krijgen tot HBV toch meer geïsoleerd is tot die app, of bij uitbreiding de NAS? En mijn data is sowieso encrypted...
Ik bied hen in ruil voor het stroomverbruik ook een fileshare voor hun eigen backups aan (ook al vroegen ze daar niet om).
Veiligheid voor alles, dus zitten nog veiligheidsgaten in mijn setup?
- De backups zijn eenrichting, dus ik doe enkel portforwarding op de ISP router van m'n buren. Ik kies een random port en laat die forwarden naar de poort voor HyperBackupVault op de DS414.
- De firewall is actief. De rule voor HBV heeft geolocation: enkel 'Belgium' is allowed. Dat zou de meeste port scans al moeten tegenhouden
Daarnaast heb ik nog een rule voor een paar default DSM applicaties die allowed zijn op het lokale subnet. Al de rest wordt dropped - De AutoProtect feature waarbij brute-force login attempts worden blocked is actief, en zelfs nog wat aangescherpt tov de defaults.
- Ik gebruik de DDNS van Synology zelf. (maar wellicht brengt dat qua veiligheid niet zozeer iets bij)
- De NAS bij de buren heeft enkel m'n eigen administrator account, met 2FA. En een gewone user voor hen met als enige rechten SMB R/W op hun eigen file share.
- HyperBackup op de source DS418 heeft client-side encryption aan. De connectie tussen beide NASen zelf is ook nog eens encrypted (overkill??).
- Ik heb auto-update van zowel DSM als alle packages aangezet. Dan moet ik er minder manuele maintance aan.
Voorlopig gebruiken beide NASen het default self-signed cert. Ik zou eventueel eentje van Let's Encrypt! kunnen genereren. Maar een cert is een cert, toch? Dit is niks wat derden moeten trusten, gewoon encryptie tussen 2 van m'n eigen NASen...
Heeft het opzetten van een VPN tussen de 2 NAS'en nog een meerwaarde? Ik moet dan sowieso nog met portforwarding werken... Verplaats ik dan niet het probleem van eventuele vulnerabilities in HyperBackupVault naar de VPN server? Het lijkt me zelfs nog erger: als iemand toegang zou krijgen tot de VPN, kan ie misschien nog doorhoppen naar eender wat op het netwerk van de buren. Terwijl toegang krijgen tot HBV toch meer geïsoleerd is tot die app, of bij uitbreiding de NAS? En mijn data is sowieso encrypted...