Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: Robertio op 18 augustus 2023, 09:04:07
-
Dag Allemaal,
Ik heb veel tijd geïnvesteerd de laatste tijd in mijn Synology 1522+ (en mijn Unifi netwerk, maar dat is een ander forum ;)). Ik heb gemerkt dat ik dat superleuk vind. Stap voor stap ben ik steeds bekwamer aan het worden. Mede door de moderators van dit forum. So, keep up the good work, want dit forum is onmisbaar voor de Syno liefhebber.
Nu ben ik aangekomen bij het hoofdstuk benaderen van de NAS (Bestandservices, SSH, Telnet...)
Het zijn allemaal protocollen en ik weet inmiddels wat ze doen. Mijn hoofdvraag; "wat adviseren jullie mij aan of juist niet aan te zetten met het oog op noodzaak versus veiligheid"?
SNMP en Telnet zijn behoorlijk verouderder protocollen heb ik gelezen, maar SSH is opvolger. Is het handig en veilig om SSH (en poort 22 op mijn router) aan te zetten voor het geval ik niet meer kan inloggen via DSM? Of heb ik deze als particulier met een familienetwerkje helemaal niet nodig?
Verder heb ik uiteraard SMB en SSDP aanstaan en FTP zet ik binnenkort aan als ik een simpele webserver ga hosten. AFP en NFS zijn voor Apple en Linux, die heb ik dus ook niet nodig want ik draai Windows.
Ik heb mijn HDD's in brtfs draaien, is snel klonen (onder geavanceerd) slim om te doen? En als laatste, Bonjour staat standaard aan, maar volgens mij is dit een Apple protocol voor Time Machine, heb ik dat wel nodig of kan het uit?
De echte vragen heb ik bold en schuin gemaakt. Benieuwd naar jullie setup advies.
-
Zet in ieder geval SSH/Telnet niet standaard aan en al helemaal niet poort 22/23 openen. Dan komt de hele wereld binnen :o
Binnen je eigen netwerk is de kans op het niet meer kunnen bereiken van de NAS nihil en je kunt als laatste maatregel altijd nog een reset 1 doen waardoor je een nieuw admin password kunt opvoeren.
Voor de andere vragen/antwoorden blijf ik dit item volgen, want ik herken je worsteling wat je nu allemaal beter wel/niet open kunt zetten in relatie tot veiligheid.
Groet, Dirk
-
Inderdaad SSH / Telnet NIET aanzetten.
Zelf heb ik al helemaal weinig kennis van zaken om specifiek op root niveau zaken aan te passen.
De kans dat je meer "kapot" maakt, dan goed is voor de installatie is daarmee erg groot.
Alleen bij Support Tickets en Synology programmeurs vragen of ze op root niveau zaken willen/mogen doorlopen.
Schakel ik het in, met aanpassing van de standaard poorten in een heel andere bereik, met "tijdelijke" port forwarding van de gebruikte poorten.
En dan (ook tijdelijk) expliciet / toevoeging van Firewall regels dat alleen het door Synology Support gebruikte externe IP-adres toegang geeft.
Verder niet meer instellen dan wat jezelf gebruikt. Gebruik je geen Bonjour - schakel het dan ook niet in.
Voor het draaien van een web-server op de NAS, hoef je FTP daarvoor niet in te schakelen.
Binnen je eigen netwerk thuis (of extern - bijv. via VPN) heb je reeds toegang tot de mappen van de NAS (SMB), via de Windows verkenner,
of anders wel via de DSM interface en kun je alle zaken m.b.t. opbouwen website uitvoeren.
M.b.t. veiligheid, zie enkele zaken wat belangrijk is - < bij een eerdere hack van een NAS > (https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574/#msg171574)
Gebruik géén "NAS wizard" om de poorten van een router in te stellen. < DEZE reactie > (https://www.synology-forum.nl/ddns-extern-benaderen/quickconnect-geen-verbinding-fritzbox-7530/msg319375/#msg319375) met achterliggende doorverwijzingen!!
Instellen firewall regels - leidraad ook voor een NAS < DIT onderwerp > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) Aanvullend nog enkele aanbevelingen < HIER > (https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722)
-
Ik heb mijn HDD's in brtfs draaien, is snel klonen (onder geavanceerd) slim om te doen?
Als je ruimte wilt besparen en als je veel wijzigingen maakt in bestanden, ja: Met Bestand snel klonen worden fysieke gegevensblokken alleen gekopieerd bij wijziging van de gekloonde bestanden. Op die manier wordt er opslagruimte gespaard.
Binnen je eigen netwerk is de kans op het niet meer kunnen bereiken van de NAS nihil en je kunt als laatste maatregel altijd nog een reset 1 doen waardoor je een nieuw admin password kunt opvoeren.
Om het even compleet te maken, zie hier voor reset Modes 1 (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_reset_my_Synology_NAS#x_anchor_id5).
-
…maar SSH is opvolger. Is het handig en veilig om SSH (en poort 22 op mijn router) …
Poort 22 is gevaarlijk dus zeker niet op de router open zetten en alleen voor intern gebruiken. Zelf heb ik nog een verdere restrictie in de firewall opgenomen dat alleen de 2 IP adressen van de PC's die ik gebruik, via deze poort op de nas kunnen komen.
Bonjour is een broadcast protocol waarmee de nas op het netwerk kenbaar maakt welke diensten het aanbied. Het gaat veel verder dan alleen TimeMachine backups. Apple gebruikt het intensief maar ook sommige andere apparaten kunnen er gebruik van maken. Als alle apparaten bonjour gebruiken, geeft dat netwerkbelasting, maar als de nas de enige is, zal dat verwaarloosbaar zijn. En als je dat toch ooit een apparaat hebt dat het gebruikt, dan is het actief.
-
Je kan ook een andere poort kiezen. Ik wijzig naar 2022, maar het staat uitsluitend aan op het moment dat ik het nodig heb en dat is heel zelden. Daarom kan ik het hier ok vertellen. :)
-
Thanks all. Ik ga de links van @Babylonia en @Birdy even goed doornemen. Vooral reset 1 mode is erg interessant.
Ik heb alleen SMB, SSDP en Bonjour nog aanstaan en poort 22 blijft dicht. Snel klonen twijfel ik nog over. Bonjour kon ik overigens niet sluiten, zie bijlage?!
Ik regel mijn poorten overigens via mijn Unifi router en op dit moment heb ik alleen 5001, 443, 80 openstaan en 6281 gebruik ik alleen als ik via DDNS backup. Er komen er wel nog een paar bij want ik wil op korte termijn een simpele website gaan hosten.
Wat mij betreft duidelijk. case closed en nogmaals dikke thanks. :-)
-
Voor het hosten van een simpele website, zijn de benodigde poorten 80 en 443 al doorgestuurd.