OpenVPN via synology, hoe veilig?

je kan natuurlijk OpenVPN op een Raspberry Pi installeren, dan hoef je je Syno niet naar internet te ontsluiten.

TweakerVincent schreef op woensdag 13 maart 2024 @ 17:41:
[...]


Maar dan moet ik ook mijn netwerk uitsluiten en dat is juist wel handig. Nu heb ik alleen openVPN port open staan, rest van de porten dicht.

En waarom zou dat bij een Raspberry anders zijn? Je forward alleen je OpenVPN poort vanaf je router naar de Raspberry. De rest blijft dicht.

Zolang je netjes update is dit prima veilig, niks om je druk over te maken.
De veranderde poort is onnodig en geeft 0 extra veiligheid. Nonsens om te doen dus, brengt enkel kans op hinder met zich mee.

Een extra veiligheid zou kunnen zijn om enkele Nederland (en wellicht wat omringende landen mocht je daar komen) open te zetten. Daarmee houd je een hoop rottigheid en standaard scans buiten de deur.

[ Voor 5% gewijzigd door Drardollan op 13-03-2024 17:58 ]

TweakerVincent schreef op woensdag 13 maart 2024 @ 18:16:
Dan ben ik 100% secure toch? (zit op een openbaar wifi netwerk)

100% secure ben je nooit. Je hotelkamer kan ook afgeluisterd worden

Zo te zien heb je een goede opzet zolang je maar zorgt dat OpenVPN bijgewerkt blijft met updates. Het is in ieder geval een betere optie dan je Synology aan het internet hangen.

Welk poort nummer je gebruikt maakt inderdaad niet heel veel uit. Als suggestie kun je overwegen om UDP/53 als VPN poort te hanteren, of TCP/443. Afwijkende / hoge poort nummers worden nog weleens geblokkeerd op hotel- en bedrijfsnetwerken. UDP/53 (DNS) wordt eigenlijk altijd toegestaan, als is het maar om een captive portal te laden en TCP/443 ook anders kun je geen website bezoeken. Dan werkt je VPN tenminste altijd. En heel soms kun je met UDP/53 gratis gebruik maken van een betaald netwerk met een captive portal.

En als alternatief voor OpenVPN is Wireguard intressant. En hele kleine library (en dus minder kans op kwetsbaarheden) en verbindingen worden snel opgezet. Ik weet alleen niet of Synology dat ondersteund.

Als je nu overigens nog druk in de opbouwfase bent dan zou ik Wireguard nemen i.p.v. OpenVPN.
Betere performance en ook beter voor de accuduur als je vanaf een mobiel device de VPN gebruikt.

Drardollan schreef op woensdag 13 maart 2024 @ 22:45:
[...]


Als de internet verbinding enigszins fatsoenlijk beveiligd is dan wordt er ook gekeken naar het verkeer wat er doorheen gaat op een poort. Op poort 53 wordt DNS verkeer verwacht, de rest kan dan prima geblokkeerd worden.

Gewoon OpenVPN op poort 1194 houden wat mij betreft.

Dat zie ik in de praktij weinig, en als ze dat blokkeren, blokkeren ze ook afwijkende poorten als 1194. Maar als je je daar druk over maakt zou ik hem op TCP/443 instellen. Daar verwacht ieder netwerk verstleuteld verkeerd.

BytePhantomX schreef op donderdag 14 maart 2024 @ 09:49:
[...]

Dat zie ik in de praktij weinig, en als ze dat blokkeren, blokkeren ze ook afwijkende poorten als 1194. Maar als je je daar druk over maakt zou ik hem op TCP/443 instellen. Daar verwacht ieder netwerk verstleuteld verkeerd.

Een beetje firewall pikt zonder moeite op dat het geen SSL verkeer is. Maar dan kan je dus alsnog beter gewoon poort 1194 gebruiken, die poort wordt verwacht voor OpenVPN verkeer. Er is geen zinnige reden te bedenken om een andere poort te gebruiken, het brengt geen extra veiligheid en ook niet meer kans op omzeilen van een blokkade (ik heb de afgelopen 10 jaar nog niet meegemaakt dat UDP/1194 geblokkeerd werd ergens, en ik kom op een hoop plekken).

TCP gebruiken voor OpenVPN zou ik overigens wél afraden. Dit is langzamer dan UDP en wordt ook actief afgeraden door de makers van OpenVPN. Dat gebruik je normaliter alleen in een situatie waarbij het echt niet anders kan.

Maar ik zou TS aanraden om gewoon eens te starten met OpenVPN op UDP/1194 en te zien wat het hem brengt. Vooraf allerlei doemscenario's bedenken voor een situatie die hoogstwaarschijnlijk nooit voor gaat komen maakt het allemaal onnodig complex.

Drardollan schreef op woensdag 13 maart 2024 @ 17:57:
Zolang je netjes update is dit prima veilig, niks om je druk over te maken.

Waar blijkt dat volgens jou dan uit? Want een nas is gewoonlijk niet zomaar geschikt om bereikbaar te maken voor het internet. Dus ook de services als openvpn niet. Ik zou dan minimaal verwachten dat ergens uit blijkt dat de nas ook voldoende updates van de leverancier krijgt. Bijvoorbeeld dat blijkt dat er geen end-of-life software in de updates zit, of dat je kunt rekenen op backporter software.

kodak schreef op donderdag 14 maart 2024 @ 16:31:
[...]

Waar blijkt dat volgens jou dan uit? Want een nas is gewoonlijk niet zomaar geschikt om bereikbaar te maken voor het internet. Dus ook de services als openvpn niet. Ik zou dan minimaal verwachten dat ergens uit blijkt dat de nas ook voldoende updates van de leverancier krijgt. Bijvoorbeeld dat blijkt dat er geen end-of-life software in de updates zit, of dat je kunt rekenen op backporter software.

Je hebt nog nooit van Synology gehoord of ermee gewerkt begrijp ik?

kodak schreef op donderdag 14 maart 2024 @ 16:31:
[...]

Waar blijkt dat volgens jou dan uit? Want een nas is gewoonlijk niet zomaar geschikt om bereikbaar te maken voor het internet. Dus ook de services als openvpn niet. Ik zou dan minimaal verwachten dat ergens uit blijkt dat de nas ook voldoende updates van de leverancier krijgt. Bijvoorbeeld dat blijkt dat er geen end-of-life software in de updates zit, of dat je kunt rekenen op backporter software.

Je maakt ook niet je NAS beschikbaar aan het internet, maar OpenVPN die op je NAS draait. Als je bijvoorbeeld 443 open zet voor een website naar het internet, maak je niet Linux of Windows beschikbaar, maar Apache of IIS.
Die NAS kan dan zo kwetsbaar zijn als maar kan, zolang OpenVPN dat maar niet is.

Anders gezegd, een hacker moet er wel bij kunnen. Als je OpenVPN aan het internet hangt, dan kan hij bij OpenVPN niet bij de onderliggende infra, of dat nu een NAS of wat anders is. De hacker zal dan eerst die OpenVPN moeten hacken voor hij daar bij kan.

BytePhantomX schreef op donderdag 14 maart 2024 @ 20:37:
[...]

Anders gezegd, een hacker moet er wel bij kunnen. Als je OpenVPN aan het internet hangt, dan kan hij bij OpenVPN niet bij de onderliggende infra, of dat nu een NAS of wat anders is. De hacker zal dan eerst die OpenVPN moeten hacken voor hij daar bij kan.

Veelal lopen die packages op embedded apparaten wat meer achter en hebben ze ook niet de meest handige of veilige defaults.

Plus ik weet niet hoe Synology het doet, op QNAP draait alles onder UID 0. Vanuit dat perspectief valt er zéker wat te zeggen voor een VPN server op een edge device of eventueel een Raspberry Pi.

Geen enkele software is helemaal veilig, daarom is een goed security beleid iets wat uit meerclagen bestaat.

En wat anseren al aangaven: als je nog uitzoekendd bent, Wireguard is een wat logischere keuze. Moderner, kleinere codebase en minder complexiteit

Het nadeel van de VPN server direct op de NAS draaien is dat wanneer er een kwetsbaarheid in die VPN server package zit, een aanvaller direct op je NAS kan inbreken. En als er daadwerkelijk een kwetsbaarheid in de OpenVPN package van Synology wordt ontdekt, kan je er vergif op innemen dat er actief gescand gaat worden naar kwetsbare systemen om er dan ransomware op los te laten of iets dergelijks.

Als je je NAS netjes up to date houdt is dat risico beperkt, maar zeker niet 0.

Draai je de VPN server op een ander apparaat, dan is primair enkel dat apparaat kwetsbaar voor een aanval vanaf het internet. Als dat gebeurt is een aanvaller niet direct ook binnen op je NAS (aannemende dat je daar nog beveiliging met user/pass ingesteld hebt staan en dergelijke). Een geavanceerde aanvaller zal mogelijk die stap wel kunnen maken, maar tegen grootschalige generieke aanvallen geeft het een behoorlijke extra veiligheid voor de data op je NAS.
Let wel: als je de VPN server bijvoorbeeld op je router draait en die slachtoffer wordt van een aanval kan dat ook de nodige risico's opleveren, omdat al je verkeer daar doorheen gaat en bijvoorbeeld ook stiekem naar kwaadaardige sites gedirigeerd kan worden. Dus ook daar: updates zijn key!

Wat dat betreft kan je het misschien nog het beste op een los apparaat draaien (raspberry pi met PiVPN (wireguard) bijvoorbeeld). Ook die moet je natuurlijk beveiligen en updaten, maar gaat dat mis, dan is primair enkel dat device geraakt en niet een cruciaal onderdeel als NAS/router.

[ Voor 24% gewijzigd door Orion84 op 15-03-2024 13:24 ]

kodak schreef op vrijdag 15 maart 2024 @ 13:05:
[...]

Uit mijn reactie kan je opmaken ervaring te hebben dat de beweringen over updaten niet zomaar genoeg zijn. En aangezien de TS zich terecht zorgen maakt dat een nas niet zomaar genoeg veiligheid geeft lijkt een inhoudelijke onderbouwing veel relevanter dan suggestief doen alsof je maar vertrouwen in een merk en hun updates moet hebben.

Ik heb vooral opgemaakt uit je reactie dat je een beetje interessant probeert te doen, maar eigenlijk niet zo goed weet hoe de vork in de steel zit.

Synology is een gerenommeerd bedrijf welke zijn klanten bijzonder serieus neemt. Jarenlange updates en een bewezen track record. Tevens is OpenVPN een product waar weinig bekende problemen bij zijn, het is behoorlijk uitgekristalliseerd en het is niet dat de CVE scores van >9 je wekelijks om de oren vliegen.

Prima dat jij er geen vertrouwen in hebt, maar dat is absoluut nergens op gebaseerd. Als je het dan hebt over onderbouwen, waarom onderbouw je het zelf niet even? Kom bijvoorbeeld eens met wat voorbeelden waarbij Synology in combinatie met OpenVPN kwetsbaar was en welk niet binnen afzienbare tijd opgelost zijn?

Zolang je Synology in support is en je netjes de updates installeert (wat eenvoudig automatisch gedaan kan worden indien gewenst) dan loop je een zeer laag risico. Nooit "geen risico" uiteraard, dat is een utopie en bestaat niet in de IT.

kodak schreef op vrijdag 15 maart 2024 @ 13:20:
[...]

De nas is wat mij betreft het gehele product van hardware, os en services zoals opslag en vpn, dat is immers wat de TS wil gebruiken. Een probleem met een van de services, zoals een openvpn service die end-of-life is en slecht onderhouden, kan dan hele grote gevolgen geven voor de TS. Daarom is het belangrijk antwoord te hebben waaruit blijkt dat het updaten voldoende zou zijn. Want het zal niey de eerste keer zijn dat een fabrikant verouderde software levert of deze pas laat voorziet van updates. En dan gaat een goed bedoeld advies er op te vertrouwen of een firewall te gebruiken de TS echt niet zomaar helpen.

Volgens mij is een aantal keer gezegd in het topic dat het belangrijk is om OpenVPN bijgewerkt te houden. Daarmee wel cruciaal bijgewerkt met een versie die niet kwestsbaar is. Als de NAS leverancier alleen een kwetsbare OpenVPN versie levert, dan moet je wel drie keer nadenken om het te willen gebruiken en online te houden.

Ik blijf echter bij het argument dat als OpenVPN bij is qua updates, dat de onderliggende infra niet zoveel uitmaakt en je daarmee in dit geval geen NAS aan het internet hangt. Een NAS aan het internet hangen zou ik sterk afraden gezien alle recente kwetsbaarheden die zijn misbruikt.

Kortom een bijwerkte OpenVPN op je NAS is prima. Daarvoor hoef je echt geen extra hardware aan te schaffen puur alleen voor de veiligheid.

Drardollan schreef op vrijdag 15 maart 2024 @ 13:22:
[...]


Ik heb vooral opgemaakt uit je reactie dat je een beetje interessant probeert te doen, maar eigenlijk niet zo goed weet hoe de vork in de steel zit.

Synology is een gerenommeerd bedrijf welke zijn klanten bijzonder serieus neemt. Jarenlange updates en een bewezen track record. Tevens is OpenVPN een product waar weinig bekende problemen bij zijn, het is behoorlijk uitgekristalliseerd en het is niet dat de CVE scores van >9 je wekelijks om de oren vliegen.

Prima dat jij er geen vertrouwen in hebt, maar dat is absoluut nergens op gebaseerd. Als je het dan hebt over onderbouwen, waarom onderbouw je het zelf niet even? Kom bijvoorbeeld eens met wat voorbeelden waarbij Synology in combinatie met OpenVPN kwetsbaar was en welk niet binnen afzienbare tijd opgelost zijn?

Zolang je Synology in support is en je netjes de updates installeert (wat eenvoudig automatisch gedaan kan worden indien gewenst) dan loop je een zeer laag risico. Nooit "geen risico" uiteraard, dat is een utopie en bestaat niet in de IT.

toon volledige bericht

Als je zo op de man wilt gaan spelen, kaats ik 'm even terug.
Was jij niet diegene die amper een week geleden zat te ranten op Open Source dat het altijd troep is omdat je zaken niet voor elkaar kreeg?
Bij mij heb je je geloofwaardigheid wel een beetje verspeelt met zo'n post.

---

Het is gewoon een jarenoude security principle dat je je attack surface verkleind door te spreiden en via meerdere vendoren toegang te verlenen.
Ergo, OpenVPN op Synology draaien voor toegang tot de Synology is minder verstandig dan OpenVPN op een alternatief draaien (zoals de genoemde RPi) en daarmee toegang tot de Synology verkrijgen.
Ik kan niet oordelen over de ervaring en kennis van @kodak maar hij/zij zegt hierin niets wat binnen de breed gebruikte standaarden raar of onlogisch is.

Orion84 schreef op vrijdag 15 maart 2024 @ 13:20:
Het nadeel van de VPN server direct op de NAS draaien is dat wanneer er een kwetsbaarheid in die VPN server package zit, een aanvaller direct op je NAS kan inbreken. En als er daadwerkelijk een kwetsbaarheid in de OpenVPN package van Synology wordt ontdekt, kan je er vergif op innemen dat er actief gescand gaat worden naar kwetsbare systemen om er dan ransomware op los te laten of iets dergelijks.

Als je je NAS netjes up to date houdt is dat risico beperkt, maar zeker niet 0.

Draai je de VPN server op een ander apparaat, dan is primair enkel dat apparaat kwetsbaar voor een aanval vanaf het internet. Als dat gebeurt is een aanvaller niet direct ook binnen op je NAS (aannemende dat je daar nog beveiliging met user/pass ingesteld hebt staan en dergelijke). Een geavanceerde aanvaller zal mogelijk die stap wel kunnen maken, maar tegen grootschalige generieke aanvallen geeft het een behoorlijke extra veiligheid voor de data op je NAS.
Let wel: als je de VPN server bijvoorbeeld op je router draait en die slachtoffer wordt van een aanval kan dat ook de nodige risico's opleveren, omdat al je verkeer daar doorheen gaat en bijvoorbeeld ook stiekem naar kwaadaardige sites gedirigeerd kan worden. Dus ook daar: updates zijn key!

Wat dat betreft kan je het misschien nog het beste op een los apparaat draaien (raspberry pi met PiVPN (wireguard) bijvoorbeeld). Ook die moet je natuurlijk beveiligen en updaten, maar gaat dat mis, dan is primair enkel dat device geraakt en niet een cruciaal onderdeel als NAS/router.

toon volledige bericht

Als je OpenVPN kwetsbaar is, dan maakt het niet uit waar het draait, een aanvaller krijgt een foothold in je netwerk. Het maakt uit wat die foothold is. Als dat meteen root rechten op het onderliggende OS is, dan maakt dat niet uit of dat dit de NAS of een extern device is. Een aanvaller heeft dan genoeg mogelijkheden om verder te gaan.

Eerder is ergens genoemd dat de NAS applicaties vaak onder verhoogde rechten draait, dat is zeker een nadeel. Alleen moet je dat nadeel dan niet zelf introduceren op een apart device, anders schiet je er nog niets mee op.

Maar ik vind dat allemaal vrij theoretisch. OpenVPN en Wireguard worden volgens mij continu beoordeeld op security en de kans dat daar een kwetsbaarheid in zit is m.i. zeer klein. En daarmee de impact van de onderliggende infra nog kleiner.

Orion84 schreef op vrijdag 15 maart 2024 @ 13:20:
Het nadeel van de VPN server direct op de NAS draaien is dat wanneer er een kwetsbaarheid in die VPN server package zit, een aanvaller direct op je NAS kan inbreken. En als er daadwerkelijk een kwetsbaarheid in de OpenVPN package van Synology wordt ontdekt, kan je er vergif op innemen dat er actief gescand gaat worden naar kwetsbare systemen om er dan ransomware op los te laten of iets dergelijks.

Als je je NAS netjes up to date houdt is dat risico beperkt, maar zeker niet 0.

Draai je de VPN server op een ander apparaat, dan is primair enkel dat apparaat kwetsbaar voor een aanval vanaf het internet. Als dat gebeurt is een aanvaller niet direct ook binnen op je NAS (aannemende dat je daar nog beveiliging met user/pass ingesteld hebt staan en dergelijke). Een geavanceerde aanvaller zal mogelijk die stap wel kunnen maken, maar tegen grootschalige generieke aanvallen geeft het een behoorlijke extra veiligheid.

En dat "andere apparaat" is hoogstwaarschijnlijk iets als een Raspberry Pi waar nooit naar omgekeken wordt. En hoogstwaarschijnlijk maandenlang (of erger) kwetsbaar zal zijn om die reden. Daar waar een leverancier als Synology er zo snel mogelijk een oplossing voor zal uitrollen en deze zelfs, indien ingesteld, automatisch geïnstalleerd zal worden. En vergeet niet dat een partij als Synology vaak veel eerder informatie zal ontvangen van OpenVPN dan jij en ik, zeer regelmatig fixt een bedrijf als Synology (net als anderen overigens) een probleem veel eerder dan het publiek bekend wordt. En pas als het publiek bekend wordt én jij als beheerder van het andere apparaat dit leest zal je actie ondernemen, dan kan het al veel en veel te laat zijn.

Als ze in weten te breken via OpenVPN op het andere apparaat dan zou ik er niet van uit gaan dat ze dan niet in je netwerk los gaan. Misschien niet je NAS, maar dat is maar een klein onderdeel van een gemiddeld thuisnetwerk. Als ze binnen zijn ben je de sjaak, ga daar maar vanuit. Maar goed nieuws, de gemiddelde consument is hiervoor gelukkig niet zo interessant. Er zijn andere methodes die eenvoudiger uitgevoerd kunnen worden en meer dan voldoende geld opbrengen voor een hacker.

0 risico bestaat niet, daar heb je gelijk in.

Wil je het overigens echt goed doen dan raad ik aan om een commerciële partij te zoeken waarbij je support contract kan afsluiten met daarin bepaalde garanties. Een leuke Fortigate, Sophos XGS of wellicht Draytek. Dat gaat een stuk verder dan de support van Synology. Maar daar betaal je dan ook goed voor, die heb je niet voor 200 euro.

True schreef op vrijdag 15 maart 2024 @ 13:26:
[...]


Als je zo op de man wilt gaan spelen, kaats ik 'm even terug.
Was jij niet diegene die amper een week geleden zat te ranten op Open Source dat het altijd troep is omdat je zaken niet voor elkaar kreeg?
Bij mij heb je je geloofwaardigheid wel een beetje verspeelt met zo'n post.

Ik was in zijn geheel vergeten dat DSM van Synology Open Source is... Oh wacht... Dat is het niet. En dat maakt het ook zo'n goed product, er zit een commerciële organisatie achter die erop gebrand is om kwaliteit te leveren en een gezonde cashflow heeft (voor zover mijn inzicht in hun cijfers het toelaat dat te beoordelen).

Volgens mij zijn de topic titels duidelijk genoeg om onderscheid te maken. De post waar je naar refereert komt uit een topic waarin PROBLEMEN besproken worden die de IT'er ervaart. Als je daar problemen hebt met een post van mij dan stel ik voor dat je dat in dat topic bekritiseerd.

---

Het is gewoon een jarenoude security principle dat je je attack surface verkleind door te spreiden en via meerdere vendoren toegang te verlenen.

En dat is nu precies wat je doet met OpenVPN op een Synology. Dat zijn 2 vendoren. Net als OpenVPN op een RPi of welke oplossing met OpenVPN dan ook.

Ergo, OpenVPN op Synology draaien voor toegang tot de Synology is minder verstandig dan OpenVPN op een alternatief draaien (zoals de genoemde RPi) en daarmee toegang tot de Synology verkrijgen.

Zoals ik al aangaf, dat is in nagenoeg alle gevallen een slechtere oplossing. Die RPi beland in de kast en wordt nooit naar omgekeken, hij werkt toch? Daar moet je actief beheer op gaan voeren en ook nog eens goed weten wat je aan het doen bent.

Maar ik ben benieuwd naar wat voorbeelden waarin Synology in combinatie met OpenVPN kwetsbaar was (en dus niet enkel OpenVPN) en dat dit niet binnen afzienbare tijd is opgelost door Synology (in samenwerking met OpenVPN).

[ Voor 11% gewijzigd door Drardollan op 15-03-2024 13:42 ]

TweakerVincent schreef op vrijdag 15 maart 2024 @ 13:32:
Thanks all, ik heb zojuist WireGuard geinstalleerd op mijn router en het werkt super makkelijk (phone/ipad/macos). De NAS openvpn uitgeschakeld.

En uiteraard de ASUS router up to date houden.

Uit nieuwsgierigheid, welke poort wordt dan standaard gebruikt en heb je die nog aan kunnen passen?

TweakerVincent schreef op vrijdag 15 maart 2024 @ 13:32:
Thanks all, ik heb zojuist WireGuard geinstalleerd op mijn router en het werkt super makkelijk (phone/ipad/macos). De NAS openvpn uitgeschakeld.

En uiteraard de ASUS router up to date houden.

Het probleem waar je hierin tegenaan kunt lopen is dat als er een vulnerability in WireGuard zou zitten die gedicht wordt je zult moeten wachten op handelen van ASUS voor een nieuwe versie van software. Voor consumentenrouters kan dit weken of eerder maanden duren. En als de 'supporttermijn', voor zover die er überhaupt is op dit niveau voor consumentenrouters, verlopen is kun je al helemaal fluiten naar updates.

En ga je zelf bijhouden dat er updates zijn voor WireGuard en hierop inspelen door actief te kijken/vragen bij ASUS voor een update? En hoe frequent kijk je dan?
Weet je nu überhaupt welke versie van WireGuard er onderwater gebruikt wordt op je ASUS router?

TweakerVincent schreef op vrijdag 15 maart 2024 @ 13:32:
Thanks all, ik heb zojuist WireGuard geinstalleerd op mijn router en het werkt super makkelijk (phone/ipad/macos). De NAS openvpn uitgeschakeld.

En uiteraard de ASUS router up to date houden.

Ook nog iets met firewall regels ingevoerd?

TweakerVincent schreef op vrijdag 15 maart 2024 @ 14:09:
[...]


Firewall staat aan in de router. Weet niet wat ik nog kan instellen?

Eventuele landen uitsluiten of beter nog enkele landen toestaan. Maar geen idee of je apparaat dat kan?

TweakerVincent schreef op vrijdag 15 maart 2024 @ 14:09:
[...]


port 51820 is standaard.

Zal ik die naar 443 zetten, of gewoon zo laten? (las hierboven dat een firewall verkeer kan detecteren dus 433 dan niet nuttig is)?

Verschillende mensen, verschillende ervaringen. Ik zie dat hoge / afwijkende poort nummers nog weleens geblokkeerd worden en dat ik daardoor de VPN niet kon gebruiken. Nu die op UDP/443 (ik zei TCP, maar gebruik zelf UDP, iets te snel getypt) heb ik nog geen blokkade ervaren.

Maar als het voor jouw werkt in de standaard prima. Qua veiligheid geen verschil.

Drardollan schreef op vrijdag 15 maart 2024 @ 13:22:
[...]
Synology is een gerenommeerd bedrijf welke zijn klanten bijzonder serieus neemt. Jarenlange updates en een bewezen track record. [..]
Prima dat jij er geen vertrouwen in hebt, maar dat is absoluut nergens op gebaseerd. Als je het dan hebt over onderbouwen, waarom onderbouw je het zelf niet even?

Nogal teleurstellend dat je een inhoudelijke kritische vraag meteen opvat als ongewenste kritiek. Het lijkt me een vrij normale vraag dat als iemand stelt dat updaten voldoende is dat dan inhoudelijk ergens uit blijkt. Het probleem van je argumenten is dat het nog steeds niet blijkt. Je stelt eigenlijk dat als iemand een bedrijf gerenomeerd noemt het dus maar voldoende moet zijn. Want ik lees je geen antwoord geven dat het updaten werkelijk voldoende blijkt, en (weer) mijn inhoudelijke argumenten over eol of op tijd updates leveren negeren alsof dat irrelevant is. Ik vind het zeer bijzonder als we hier liever vertrouwen hebben dan krititische vragen over beveiliging inhoudelijk willen beantwoorden. Dan kunnen we het net zo goed het securitymarketingtopic van maken.

BytePhantomX schreef op vrijdag 15 maart 2024 @ 14:36:
[...]


Verschillende mensen, verschillende ervaringen. Ik zie dat hoge / afwijkende poort nummers nog weleens geblokkeerd worden en dat ik daardoor de VPN niet kon gebruiken. Nu die op UDP/443 (ik zei TCP, maar gebruik zelf UDP, iets te snel getypt) heb ik nog geen blokkade ervaren.

Maar als het voor jouw werkt in de standaard prima. Qua veiligheid geen verschil.

Die ervaring deel ik, soms bij een klant of als ik (bewust) wat eerder in een (hotel)lobby zit om nog even wat uit te werken wil het nog wel eens zijn dat er wat zaken geblokkeerd zijn.

BytePhantomX schreef op vrijdag 15 maart 2024 @ 13:25:
[...]
Daarmee wel cruciaal bijgewerkt met een versie die niet kwestsbaar is. Als de NAS leverancier alleen een kwetsbare OpenVPN versie levert, dan moet je wel drie keer nadenken om het te willen gebruiken en online te houden.

En of de fabrikant daaraan voldoet is precies wat ik niet terug lees. Het punt is dat er aannames gedaan worden alsof het updaten op zich voldoende is op basis dat het een gerenomeerde fabrikant is enz. Maar ik lees niet dat ze hun nas-updates betrouwbaar genoeg zijn om het als vpn te gaan gebruiken.
Terwijl er oplossingen kunnen zijn die voor de TS meer geschikt zijn. De fabrikant verkoopt de nas namelijk niet als beveiligingsproduct of om aan het internet te koppelen, maar vooral voor de opslag en toegang op het eigen netwerk.

kodak schreef op vrijdag 15 maart 2024 @ 15:54:
[...]
En of de fabrikant daaraan voldoet is precies wat ik niet terug lees. Het punt is dat er aannames gedaan worden alsof het updaten op zich voldoende is op basis dat het een gerenomeerde fabrikant is enz. Maar ik lees niet dat ze hun nas-updates betrouwbaar genoeg zijn om het als vpn te gaan gebruiken.
Terwijl er oplossingen kunnen zijn die voor de TS meer geschikt zijn. De fabrikant verkoopt de nas namelijk niet als beveiligingsproduct of om aan het internet te koppelen, maar vooral voor de opslag en toegang op het eigen netwerk.

Andersom worden precies dezelfde aannames gedaan, dat iemand het op een Raspberry PI zet en het wel van updates voorziet en het bij default veiliger is, terwijl je alleen meer controle krijgt en niets meer. Daarnaast heb ik niet verwezen naar een gerenommeerde fabrikant, alleen aangegeven dat je de VPN oplossing up-to-date moet houden. En nee een fabrikant verkoopt de NAS niet als beveiliginsproduct, net zo min als dat een RaspberryPI verkocht wordt al beveiligingsproduct (overigens een router zou je misschien nog wel als beveiliginsproduct kunnen zien, maar laat ik daar maar geen waarde aan ontlenen). Alle systemen zijn een vorm van hardware + os waarin een VPN oplossing zit of kan zitten.

Mijn kern is, dat het risico simpelweg klein is en het gaat om de kwetsbaarheid in het VPN product en niet om kwetsbaarheden in de NAS of de Router. Wat dat betreft hebben OpenVPN en Wireguard een zeer sterk track record en zou ik er op durven vertrouwen dat je dit kan gebruiken als het in een NAS of Router zit. Er zijn op dit moment ook geen enkele aanwijzingen dat OpenVPN en Wireguard kwetsbaar zijn. Dan voegt het m.i. weinig toe om op dit moment te zeggen dat de opzet niet goed is en je beter op een Raspberry kan draaien. Pas als het kwetsbaar blijkt heb je een voordeel met de Rapsberry omdat je het dan zelf kan updaten en je maar moet afwachten of je NAS of Router leverancier dat snel genoeg doet. In beide gevallen moet TS het nieuws bijhouden of er kwetsbaarheden zijn. In de ene situatie zal hij kunnen updaten en in de ander moet hij de VPN uitgooien.

TS stelt de vraag of zijn oplossing veilig is en ik denk dat hij uit alle posts ondertussen wel wat nuance kan halen of het veilig genoeg is voor hem en wat hij moet doen. Daarbij kun je ook verwachten dat als Wireguard of OpenVPN een kwetsbaarheid hebben, dit de nodige aandacht gaat krijgen als ik kijk naar het gebruik in de wereld van deze tools. Ook dan is nog maar de vraag of TS snel een van de personen gaat zijn die aangevallen wordt, aangzien de schaal waarop deze oplossingen worden gebruik gigantisch is.

Kortom theoretisch heb je zeker een punt, praktisch is de kans heel klein en zal de impact ook niet groot zijn. En dat is voor veel consumenten acceptabel genoeg.

[ Voor 9% gewijzigd door BytePhantomX op 15-03-2024 16:27 ]

kodak schreef op vrijdag 15 maart 2024 @ 15:54:
[...]
En of de fabrikant daaraan voldoet is precies wat ik niet terug lees. Het punt is dat er aannames gedaan worden alsof het updaten op zich voldoende is op basis dat het een gerenomeerde fabrikant is enz. Maar ik lees niet dat ze hun nas-updates betrouwbaar genoeg zijn om het als vpn te gaan gebruiken.
Terwijl er oplossingen kunnen zijn die voor de TS meer geschikt zijn. De fabrikant verkoopt de nas namelijk niet als beveiligingsproduct of om aan het internet te koppelen, maar vooral voor de opslag en toegang op het eigen netwerk.

Niet vergeten dat we in deze gehele discussie niet eens gevraagd hebben of @TweakerVincent wel een Synology heeft die nog support heeft én dus ook nog updates krijgt t.b.v. security.
Dat staat er wel in, maar we hebben het over een DS1821+ die in 2020 op de markt kwam.
Her en der lees ik dat Synology officieel 5 jaar support geeft na aankoop maar dat er ook NASsen zijn die al langer dan dat gesupport worden. Maar met de insteek van 5 jaar kan support volgend jaar al vervallen.

De ASUS RT-AX86U had wel een leuke, op 18 sept 2023 was een behoorlijke lek gepubliceerd: https://github.com/advisories/GHSA-xqpv-jvpq-xjvc en de fix hiervan in de vorm van nieuwe firmware door ASUS was op
7 nov 2023 https://www.asus.com/netw...-Series-RT-AX86U-RT-AX86S dan zit je dus twee maanden met een vulnerable lek.

Dit geeft enkele al aan dat je je moet afvragen of je zulke services wel wilt draaien op iets wat je zelf niet volledig onder beheer kunt hebben én de vervolgvraag is hoe zorg je ervoor dat de tijd tussen een nieuwe release én het moment van updaten zo kort mogelijk is?

kodak schreef op vrijdag 15 maart 2024 @ 15:42:
[...]
Nogal teleurstellend dat je een inhoudelijke kritische vraag meteen opvat als ongewenste kritiek. Het lijkt me een vrij normale vraag dat als iemand stelt dat updaten voldoende is dat dan inhoudelijk ergens uit blijkt. Het probleem van je argumenten is dat het nog steeds niet blijkt. Je stelt eigenlijk dat als iemand een bedrijf gerenomeerd noemt het dus maar voldoende moet zijn. Want ik lees je geen antwoord geven dat het updaten werkelijk voldoende blijkt, en (weer) mijn inhoudelijke argumenten over eol of op tijd updates leveren negeren alsof dat irrelevant is. Ik vind het zeer bijzonder als we hier liever vertrouwen hebben dan krititische vragen over beveiliging inhoudelijk willen beantwoorden. Dan kunnen we het net zo goed het securitymarketingtopic van maken.

Er is en was geen "inhoudelijk kritische vraag". Ik heb gezegd dat als je de Synology netjes update (en deze dus binnen support valt) het veilig te gebruiken is. Jij blijft roepen van niet en ik heb je al uitgenodigd om maar wat voorbeelden te noemen waaruit blijkt dat Synology i.c.m. OpenVPN ooit kwetsbaar zijn geweest en dit niet binnen afzienbare tijd is opgelost. Dat kan je niet, want dat is nooit zo geweest.

Dan kan je allerlei dingen bedenken als eol of ander gedoe, maar dat is in geen geval van toepassing zolang je updates krijgt van Synology. Het is dus inderdaad compleet irrelevant.

Dus nogmaals, kom eens met wat voorbeelden van kwetsbaarheden die niet binnen afzienbare tijd opgelost zijn. Want dat is namelijk mijn argument: die ga je niet vinden. Omdat het gewoon goed geregeld is.

True schreef op vrijdag 15 maart 2024 @ 16:12:
[...]


Niet vergeten dat we in deze gehele discussie niet eens gevraagd hebben of @TweakerVincent wel een Synology heeft die nog support heeft én dus ook nog updates krijgt t.b.v. security.
Dat staat er wel in, maar we hebben het over een DS1821+ die in 2020 op de markt kwam.
Her en der lees ik dat Synology officieel 5 jaar support geeft na aankoop maar dat er ook NASsen zijn die al langer dan dat gesupport worden. Maar met de insteek van 5 jaar kan support volgend jaar al vervallen.

De ASUS RT-AX86U had wel een leuke, op 18 sept 2023 was een behoorlijke lek gepubliceerd: https://github.com/advisories/GHSA-xqpv-jvpq-xjvc en de fix hiervan in de vorm van nieuwe firmware door ASUS was op
7 nov 2023 https://www.asus.com/netw...-Series-RT-AX86U-RT-AX86S dan zit je dus twee maanden met een vulnerable lek.

Dit geeft enkele al aan dat je je moet afvragen of je zulke services wel wilt draaien op iets wat je zelf niet volledig onder beheer kunt hebben én de vervolgvraag is hoe zorg je ervoor dat de tijd tussen een nieuwe release én het moment van updaten zo kort mogelijk is?

toon volledige bericht

Zat er daarnee ook een lek in de OpenVPN of Wireguard service?

Hetzelfde argument gaat op voor Linux op een raspberry pi. Die krijgt ook regelmatig updates, maar als je die niet update wil niet zeggen dat OpenVPN of Wireguard kwetsbaar is.

---edit
gereageerd voor ik naar de link keek:

ASUS router RT-AX88U has a vulnerability of using externally controllable format strings within its Advanced Open VPN function. An authenticated remote attacker can exploit the exported OpenVPN configuration to execute an externally-controlled format string attack, resulting in sensitivity information leakage, or forcing the device to reset and permanent denial of service.

Kern, authenticated, dus je had al credentials nodig (en kon dan toch al op het netwerk komen) en dan kun je kwaad doen.

Praktisch misbruik is dan vrij klein.

[ Voor 16% gewijzigd door BytePhantomX op 15-03-2024 16:35 ]

True schreef op vrijdag 15 maart 2024 @ 16:12:
[...]


Niet vergeten dat we in deze gehele discussie niet eens gevraagd hebben of @TweakerVincent wel een Synology heeft die nog support heeft én dus ook nog updates krijgt t.b.v. security.
Dat staat er wel in, maar we hebben het over een DS1821+ die in 2020 op de markt kwam.
Her en der lees ik dat Synology officieel 5 jaar support geeft na aankoop maar dat er ook NASsen zijn die al langer dan dat gesupport worden. Maar met de insteek van 5 jaar kan support volgend jaar al vervallen.

Als de Synology uit support gaat dan moet je je knopen tellen en overwegen om over te stappen op iets anders. Maar aangezien het koffiedik kijken is kan je er niet op acteren op dit moment, misschien is het 2025 en misschien is het 2035. Of iets ertussenin.

De ASUS RT-AX86U had wel een leuke, op 18 sept 2023 was een behoorlijke lek gepubliceerd: https://github.com/advisories/GHSA-xqpv-jvpq-xjvc en de fix hiervan in de vorm van nieuwe firmware door ASUS was op
7 nov 2023 https://www.asus.com/netw...-Series-RT-AX86U-RT-AX86S dan zit je dus twee maanden met een vulnerable lek.

Dit geeft enkele al aan dat je je moet afvragen of je zulke services wel wilt draaien op iets wat je zelf niet volledig onder beheer kunt hebben én de vervolgvraag is hoe zorg je ervoor dat de tijd tussen een nieuwe release én het moment van updaten zo kort mogelijk is?

Ik weet niet wat de definitie is van een behoorlijk lek, en het genoemde lek is natuurlijk niet goed te praten maar het is nou ook weer niet zo heel spannend. CVE <9 en behoorlijke randvoorwaarden zoals authenticated access. Mogelijke aanval is een reset van het device of laten vastlopen, vervelend maar niet wereldschokkend. Een hacker sluit zichzelf vooral uit en de access had hij blijkbaar al.

2 maanden oplostijd is niet vlot, maar het is ook niet heel langzaam.

BytePhantomX schreef op vrijdag 15 maart 2024 @ 16:06:
[...]
het gaat om de kwetsbaarheid in het VPN product en niet om kwetsbaarheden in de NAS of de Router.

Dit lijkt me een denkfout. Er is al jaren duidelijk dat als een belangrijke service problemen geeft het enorme gevolgen voor het systeem (en dus de TS) kan hebben. Kijk bijvoorbeeld maar naar de gevolgen van ernstige ssh-security bugs op systemen of hoe ransomware zich verspreid om bij bestanden te komen. Dat is niet zomaar af te doen met een vermeende lage kans. Zeker niet als de TS het zich niet kan veroorloven als die kans toch uit komt. En ik lees niet dat de TS er dan goed aan doet om voor de nas als vpn te kiezen in plaats van een oplossing die er voor gemaakt zijn om via het internet te gebruiken. Stellen dat de kans klein is of weinig uit zou verschillen lijkt mij nogal makkelijk als het niet je eigen gegevens zijn en geen verantwoordelijkheid hebt.

Aangezien niemand hier kennelijk kan aantonen dat de nas werkelijk voldoende updates geeft of zelfs een acceptabele vpn geeft die geschikt blijkt hoop ik vooral dat de TS in staat is het veilig te houden of het risico kan en wenst te accepteren als het mis gaat en een crimineel toch bij de bestanden komt of erger.

kodak schreef op vrijdag 15 maart 2024 @ 16:36:
[...]
Dit lijkt me een denkfout. Er is al jaren duidelijk dat als een belangrijke service problemen geeft het enorme gevolgen voor het systeem (en dus de TS) kan hebben. Kijk bijvoorbeeld maar naar de gevolgen van ernstige ssh-security bugs op systemen of hoe ransomware zich verspreid om bij bestanden te komen. Dat is niet zomaar af te doen met een vermeende lage kans. Zeker niet als de TS het zich niet kan veroorloven als die kans toch uit komt. En ik lees niet dat de TS er dan goed aan doet om voor de nas als vpn te kiezen in plaats van een oplossing die er voor gemaakt zijn om via het internet te gebruiken. Stellen dat de kans klein is of weinig uit zou verschillen lijkt mij nogal makkelijk als het niet je eigen gegevens zijn en geen verantwoordelijkheid hebt.

Aangezien niemand hier kennelijk kan aantonen dat de nas werkelijk voldoende updates geeft of zelfs een acceptabele vpn geeft die geschikt blijkt hoop ik vooral dat de TS in staat is het veilig te houden of het risico kan en wenst te accepteren als het mis gaat en een crimineel toch bij de bestanden komt of erger.

Ik verschil hier echt fundamenteel over van mening en dat was intussen wel duidelijk. Als je alles met kleine kansen wil voorkomen, dan zou ik je adviseren om geen hdmi kabels te gebruiken (want af te luisteren) geen bluetooth keyboard te gebruiken (want tot >100 meter af te luisteren en gevoelig voor replay attacks), geen netwerkkabels te gebruiken (af te luisteren) geen glasvezelkabel te gebruiken (er zijn duikboten die onderzeese kabels buigen om het verkeer af te luisteren) en bij alles wat je af kan luisteren kun je wachtwoorden afvangen en cookies stelen. Sterker nog, als je zo redeneert, dan verwacht ik dat een typemachine ook niet veilig is, want je zal vast door het geluid kunnen interperteren welke toetsen iemand aanslaat. (https://www.bleepingcompu...with-95-percent-accuracy/).

Iets is veilig als het past bij de context en het risicoprofiel van de gebruiker. En daar zijn kans en impact een cruciaal onderdeel in. En tenzij je journalist bent, je bezig houdt met politiek zaken van landen die actief zijn met een offensief cyber programma, dan ben je met name kwetsbaar voor bulk aanvallen en zou ik vooral niet al te paranoia worden. Maar eenieder moet daar zijn eigen keuzes in maken.

[ Voor 7% gewijzigd door BytePhantomX op 15-03-2024 16:51 ]

Drardollan schreef op vrijdag 15 maart 2024 @ 16:30:
[...]


Er is en was geen "inhoudelijk kritische vraag". Ik heb gezegd dat als je de Synology netjes update (en deze dus binnen support valt) het veilig te gebruiken is. Jij blijft roepen van niet

Op geen enkele wijze heb ik gezegd dat synology hoe dan ook maar onvoldoende updates zou geven. Mijn kritiek is dat het inhoudelijk niet blijkt en mij vraag is waar het inhoudelijk uit blijkt. Je reacties komen er steeds op neer dat het uit support en vertrouwen zou blijken. Maar inhoudelijk antwoord of ze binnen de support verouderde of eol packages voor openvpn leveren krijg ik niet. En hoe vlot ze zijn met leveren van up-to-date packages voor openvpn, zeker bij ernstige securitybugs, lijkt ook maar liever genegeerd te worden. Terwijl dat me juist lijkt wat iemand kan aantonen als deze voldoende support of reputatie als bewering geeft.

BytePhantomX schreef op vrijdag 15 maart 2024 @ 16:30:
[...]


Zat er daarnee ook een lek in de OpenVPN of Wireguard service?

Hetzelfde argument gaat op voor Linux op een raspberry pi. Die krijgt ook regelmatig updates, maar als je die niet update wil niet zeggen dat OpenVPN of Wireguard kwetsbaar is.

---edit
gereageerd voor ik naar de link keek:

[...]


Kern, authenticated, dus je had al credentials nodig (en kon dan toch al op het netwerk komen) en dan kun je kwaad doen.

Praktisch misbruik is dan vrij klein.

toon volledige bericht

(en tevens in reactie op @Drardollan )

Het gaat mij inhoudelijk niet om het lek in het specifiek, maar om de afhankelijkheid die @TweakerVincent heeft van de support en welwillendheid van ASUS of Synology. Ik was enkel opzoek naar de laatste versie van de firmware en merkte met twee google acties dat er een behoorlijke gap zat tussen de laatste vulnerability en de firmware van ASUS.
Als je beiden (router en NAS) zo dicht zet als het kan is het attack surface kleiner. Als je kiest voor een VPN oplossing op stukje hardware wat je zelf kunt beheren (en dan moet je dat ook doen*) maak je bewuste keuzes om de veiligheid te verhogen.

*geldt net zo goed voor die ASUS router natuurlijk, die update zichzelf vast en zeker ook niet.

Ik gebruik tegenwoordig Tailscale voor remote access. Basically draai je een agent die het apparaat deel maakt van een overlay netwerk waar je alleen maar inkomt als je aan het tailnet verbonden bent. Je hoeft geen poorten open te zetten. Een groot deel van de security moeilijkheden wordt door Tailscale gedragen en die hebben daar veel meer tijd en kennis van dan ik. Voor klein gebruik is het gratis. Onderliggende vpn tech is WireGuard.

[ Voor 4% gewijzigd door redfox314 op 15-03-2024 18:55 ]

Het probleem met security is dat 100% security niet bestaat en je het ook praktisch/risk based moet benaderen.

Toch zie je dat deze vraagstukken theoretisch en technisch worden benaderd en het eindigt in “niets is veilig”

Is ook beetje het probleem met security in mijn ogen in de industrie. Als dit de boodschap is van een security afdeling dan kun je verwachten dat mensen niet meer terugkomen en dus uiteindelijk potentieel een onveilige oplossing zelf verzinnen.

als openvpn lek zou zijn dan zou dit een prachtige vulnerability zijn voor hackers. Die gaan ze echt niet zomaar overal misbruiken want dan kunnen ze de exploit verliezen.
Ik zou m prima op een synology nas durven te draaien die in support is en je up2date houdt.
Op je router of pi kan ook maar moet je wel goed checken of die netjes up2date wordt gehouden. Over het algemeen zie je dat die vaker achterlopen (ivm geen update beschikbaar of niet geinstalleerd)