zondag 28 januari 2024 22:56

Acties:
  • 0 Henk 'm!
  • mcp-mario
  • Registratie: Maart 2005
  • Laatst online: 17-05-2024

mcp-mario

Topicstarter
Op Synology NAS geeft 'security advisor' aan om SSH naar internet uit te schakelen, maar dat niet alleen gevolgen voor Lan services maar ook voor sFTP.
Want ik gebruik sFTP om o.a Back-up bestanden te uploaden over internet naar de NAS.
In de firewal van de NAS heb ik SSH verkeer ingesteld als geweigerd, maar de poorten in modem kunnen nog gebruikt worden voor (s)FTP verkeer van andere systemen.

Voor FTP verkeer van en naar de NAS over het internet heb ik het volgende gedaan:
VPN server ingeschakeld en geconfigureerd en gebruikers eraan toegevoegd.
Standaard FTP ingeschakeld en geconfigureerd in bestandsservices.
Op een systeem van een vriend heb ik eerst een VPN client aangemaakt met publiek IP-adres en opgestart met succesvolle verbinding naar de NAS.
In FileZilla heb ik FTP als protocol ingesteld, de dynamische IP-reeks (toegepaste VPN protocol) ingesteld met vereiste poort.
Getest met gebruikersnaam en wachtwoord in FileZilla en het verhaal werkt.
Voortaan moet er dus eerst een VPN verbinding gemaakt worden, daarna pas FileZilla inschakelen voor verkeer door VPN tunnel.

Security advisor is blij met de aanpassing, geen problemen meer gevonden.

Maar is FTP over VPN het beste alternatief voor sFTP?

[ Voor 7% gewijzigd door mcp-mario op 28-01-2024 23:33 ]

zondag 28 januari 2024 23:19

Acties:
  • 0 Henk 'm!
  • Illusion
  • Registratie: November 2000
  • Nu online

Illusion

(the art of)

Ik draai een sftp server in een docker container. Scheelt een vpn-stap.

Wil je beperkt aantal clients dan de Atmoz image. Wil je wat uitgebreider userbeheer dan drakkan/sftpgo.

Soms ben ik er wel, en soms ook weer niet.

maandag 29 januari 2024 11:20

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 18:58

MasterL

Moderator Internet & Netwerken
Ik snap waarom de 'security advisor' dit aangeeft maar om nou FTP te gebruiken...
Denk ook dat je jezelf een beetje onnodig moeilijk hebt gemaakt, IMO had je prima SSH open kunnen zetten voor 1 IP-adres/hostname (DDNS ofzo). VPN is veiliger/beter maar ook omslachtiger, mochten jouw routers het ondersteunen kun je nog eens proberen om bijvoorbeeld een Wireguard tunnel tussen de routers op te zetten (site-to-site) dan heb je het probleem tenminste niet met (lokale) VPN clients.

maandag 29 januari 2024 11:38

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 20:12

Ben(V)

Een Vpn is zelfs een veel betere optie dan sftp.
En uiteraard kun je prima ftp door een Vpn tunnel gebruiken, sftp door een Vpn tunnel is natuurlijk weinig zinvol.
En die Vpn server kun je het beste op die Nas draaien, want bijna alle routers hebben daar niet voldoende cpu capaciteit voor.

[ Voor 28% gewijzigd door Ben(V) op 29-01-2024 11:40 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 29 januari 2024 11:42

Acties:
  • 0 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Nu online

DukeBox

loves wheat smoothies

Ben(V) schreef op maandag 29 januari 2024 @ 11:38:
sftp door een Vpn tunnel is natuurlijk weinig zinvol.
Hangt wel van je type VPN tunnel af, sFTP kan native (in-line) compressie aan. Bij VPN is dat niet altijd beschikbaar.

Duct tape can't fix stupid, but it can muffle the sound.

maandag 29 januari 2024 11:47

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 20:12

Ben(V)

Ftp kan ook compressie gebruiken daar heb je geen sftp voor nodig.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 29 januari 2024 11:52

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 23:19

laurens0619

@mcp-mario
Een synology advsisor kan alleen high-level advies geven,

Remote Access services spelen vaak een rol bij gehackte devices zoals RDP, SSH maar ook VPN.

Wanneer gaat het mis?
- Verouderde/kwetsbare protocollen
- Zwakke wachtwoorden.

Als je SSH up2date is en je gebruikt key-authentication (certificaten) dan zie ik daar security technisch niet direct problemen in.

CISSP! Drop your encryption keys!

woensdag 31 januari 2024 16:03

Acties:
  • 0 Henk 'm!
  • mcp-mario
  • Registratie: Maart 2005
  • Laatst online: 17-05-2024

mcp-mario

Topicstarter
laurens0619 schreef op maandag 29 januari 2024 @ 11:52:
@mcp-mario
Een synology advsisor kan alleen high-level advies geven,

Remote Access services spelen vaak een rol bij gehackte devices zoals RDP, SSH maar ook VPN.

Wanneer gaat het mis?
- Verouderde/kwetsbare protocollen
- Zwakke wachtwoorden.

Als je SSH up2date is en je gebruikt key-authentication (certificaten) dan zie ik daar security technisch niet direct problemen in.
Dank voor je reactie, alleen wordt de uitgever van het certificaat niet altijd erkend.
Dat is de hoofdreden om over te stappen naar FTP over VPN.
Maar ik maak ook geen gebruik van de standaard poorten.
Voor RDP gebruik ik TV.

woensdag 31 januari 2024 16:09

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 20:12

Ben(V)

ftp over VPN is en blijft gewoon de beste oplossing, zeker omdat die Synology Nas standaard een VPN app heeft.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 31 januari 2024 16:14

Acties:
  • 0 Henk 'm!
  • BernardV
  • Registratie: December 2003
  • Laatst online: 15:09

BernardV

@mcp-mario Ik ben het met @laurens0619 eens. En wat je aangeeft dat certificaten niet erkend worden gaat niet op voor ssh, daar heb je een keypair die je aanmaakt op je eigen PC. Daarna zet je op de server je public key in de "authorized_keys" en zorg je ook dat gewoon wachtwoord login via SSH uitgeschakeld is.
Nu kun je inloggen op ssh.

Enige wat kan is dat je eigen PC gehackt wordt en je keys op straat liggen, maar dat probleem heb je dan ook bij een VPN connectie.

woensdag 31 januari 2024 16:15

Acties:
  • 0 Henk 'm!
  • mcp-mario
  • Registratie: Maart 2005
  • Laatst online: 17-05-2024

mcp-mario

Topicstarter
MasterL schreef op maandag 29 januari 2024 @ 11:20:
Ik snap waarom de 'security advisor' dit aangeeft maar om nou FTP te gebruiken...
Denk ook dat je jezelf een beetje onnodig moeilijk hebt gemaakt, IMO had je prima SSH open kunnen zetten voor 1 IP-adres/hostname (DDNS ofzo). VPN is veiliger/beter maar ook omslachtiger, mochten jouw routers het ondersteunen kun je nog eens proberen om bijvoorbeeld een Wireguard tunnel tussen de routers op te zetten (site-to-site) dan heb je het probleem tenminste niet met (lokale) VPN clients.
Dank voor je reactie.
Maak al gebruik van DDNS voor Synology.
VPN en in bestandsservices zijn voor het lokaal netwerk standaard (niet met standaard poorten) ingeschakeld op de NAS, maar FTP via internet werkt met aangepaste poorten over VPN.
Hoefde voor FTP over internet naast de VPN client alleen nog het protocol voor FTP en de gebruikte poorten te wijzigen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq