Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: stapper op 09 augustus 2021, 11:48:41
-
Hallo,
Tegenwoordig volg ik wat tutorials hier en daar, probeer wat dingen te leren.
Ik zet het misschien wat neer in jip en janneke taal, maar daar moet je maar doorheen kijken ik ben maar een hobbyist. ;)
Tijdje terug over gegaan naar de 920+, die heeft weer meer mogelijkheden, en mijn data is me heilig.
Ik heb de admin en quest accounts uitgezet...
1 account die ik overal voor gebruik, ook extern, rechten gegeven van een gewone gebruiker
2 de account word dan naam_admin, met admin rechten, die gebruik ik alleen via DSM op de pc
( bestand met alle inlog gegevens voor de zekerheid maar van de nas gehaald en op 2 schijven extern opgeslagen)
Snapshot replication:
Ik heb 1 groot volume, en dat ingesteld op dagelijks, elk uur
Bewaren op
12 hourly snapshots ( one snapshot per hour)
3 daily snapshots (one snapshot per day)
1 weekly snapshot (onesnapshot per week)
0 monthly
0 yearly
Vraag: Dit doet hij dan voor een share die ongeveer 2 TB is, maar ik zie daaronder nog een lijst staan van shares, waarop dan geen geplande beveiliging zit....Zoals bv, music, movies en photo's
Dien ik dat zelfde verhaal voor die mappen dan ook weer uit te voeren?
Op mijn beide pc's doe ik van de week een clean install van w10, en die laat ik dan bijhouden door backup voor bisiness
Vraag: ik heb op die beide pc's de muziekmap als een netwerk locatie toegevoegd.
is het dan verstandig om daar een admin en een gebruikers account op te zetten, waarbij de gebruiker dus voor dagelijkse taken word gebruikt, maar dan met de rechten afgepakt voor het installeren van uitvoerende bestanden?
Nog een vraag; Ik gebruik portforwarding als ik extern inlog gebruik ik naamnas.synology.me
Wat is nou slimmer? het kan geloof ik ook via quickconnect, wat is nou beter veiliger? En heb ik dan portforwarding helemaal niet meer nodig?
Zo voor mij als leek best een heftig verhaal dit, al doende leert men :P
Zie ik verder nog essentiële dingen over het hoofd?
bvd
-
Uhm ik trap misschien een open deur in, maar zoals ik al aangaf, ik probeer wat te leren en zie soms door de bomen het bos niet meer.
Indien mogelijk had ik graag antw op de vragen :P
bvd
-
ohw en nog een vraag, hoe zie ik eigenlijk hoeveel ruimte snapshots in nemen, en waar zet hij ze exact, dat is me ook nog niet duidelijk
-
Ik gebruik portforwarding als ik extern inlog gebruik ik naamnas.synology.me
Wat is nou slimmer? het kan geloof ik ook via quickconnect, wat is nou beter veiliger? En heb ik dan portforwarding helemaal niet meer nodig?
Het veiligste is een OpenVPN verbinding, je hoeft dan maar 1 UDP port te forwarden en met die poort kunnen hackers niets mee.
Dan komt QuickConnect, kan soms wat langzamer zijn, maar er is geen port forwarding voor nodig.
-
Vraag: Dit doet hij dan voor een share die ongeveer 2 TB is, maar ik zie daaronder nog een lijst staan van shares, waarop dan geen geplande beveiliging zit....Zoals bv, music, movies en photo's
Dien ik dat zelfde verhaal voor die mappen dan ook weer uit te voeren?
Je kunt alle Gedeelde mappen selecteren door shift en aanklikken, dus dan heb je ze allemaal in 1 snapshot.
-
hoe zie ik eigenlijk hoeveel ruimte snapshots in nemen
Lees hier hoe het werkt (https://global.download.synology.com/download/Document/Software/WhitePaper/Firmware/DSM/All/enu/Synology_Data_Protection_White_Paper.pdf), de ruimte is namelijk zeer moeilijk te bepalen, dan wel niet te bepalen.
en waar zet hij ze exact
Dat kan je hier lezen. (https://kb.synology.com/nl-nl/DSM/help/SnapshotReplication/snapshots?version=6)
-
Merci... daar heb ik wat aan, ga ik morgen ff allemaal uitvogelen... :P
ik had er nog nooit van gehoord, snapshots..., voor mij nieuw.
Bied een mooi stukje extra veiligheid, ook als je zelf eens een foutje maakt.
-
Op voorhand: verkijk je niet op de properties (grootte) van de #snapshot, Synology gebruikt n.l. hard links, dus de files hebben dezelfde inodes, onder water.
[attachimg=1]
[attachimg=2]
[attachimg=3]
-
@Birdy Wou je daar mee zeggen dat de snapshot net zo groot is als hetgeen hij een snapshot van maakt? :o
Want als dat zo is, dan word het alleen een snapshot van de onmisbare data en dan sla ik de rest maar over....
Ik dacht dat hij alleen de Delta's nam...( tutorial) toen dacht ik daar bedoelen ze kennelijk de "pointers" naar die bestanden mee...
Dat klopt dus niet?
Als ik als voorbeeld een share van 2 terra neem, en daar een snapshot van maak, dan word die snapshot dus ook 2 terra? Of begrijp ik dit verkeerd?
bvd
-
@Birdy Wou je daar mee zeggen dat de snapshot net zo groot is als hetgeen hij een snapshot van maakt?
Juist het tegendeel. Zoek op wat 'hard links' zijn. Apple gebruikt dat ook voor zijn TimeMachine backup. Dan kun je ogenschijnlijk wel honderd TB aan backup files op een één TB schijf hebben. De uitgefaseerde TimeBackup van Synology werkte ook zo.
-
De White Paper al gelezen?
Ik niet, maar dat zal wel duidelijkheid geven.
-
Hallo,
Ik volgde een turtorial, rest ben ik aan het doornemen.
Maar staat nu in feite zo dat hij elk uur een snapshot maakt, en nog 1 per week per maand geloof ik.
Bewaarbeleid komt neer op 90 dagen.
Ik keek eens naar de ruimte die het innam, en ik heb de snapshots zo gezet dat ik ze in de mappen kan zien ter controle.
Het neemt idd totaal geen ruimte in :P
Ik gebruik de account van de gemaakte admin alleen hier intern.
extern gaat allemaal via een gebruikersaccount.
Zelfde doe ik ook op mijn pc... gebruik daar alleen een admin als ik wat moet installeren.
Je zou dan zeggen dat als er een aanval zou komen, dat dit dan eerder indirect zal plaatsvinden dan via bruteforce.
Https werkt inmiddels ook prima, dus een man in the middel aanval, is daarmee dan ook verkleind.
Die paar gebruikers die ik extern heb, heb ik zo gedaan dat ze een lang wachtwoord hebben, met tekens en zo, en niet toegestaan dat ze dat kunnen veranderen. Elk half jaar geef ik voor de zekerheid een nieuwe.
Stel er komt een aanval, dan zal dat dus hoogstwaarschijnlijk, niet via de admin account zijn, en dan heeft hij dus geen schrijfrechten.
Hij ziet dan die snapshots wel, maar zal ze niet kunnen verwijderen.
Komt er dan een injectie met ransomware, dan zou je zeggen dat ik heel rustig met die snapshot lijst zou moeten kunnen terugkeren naar een moment voor dat die gebeurtenis plaatsvond.
Klopt mijn verhaal een beetje, of maak ik ergens een denkfout?
bvd.
-
Ik mis nog wel een paar dingen in je verhaal.
Heb je tweestapsverificatie ingesteld voor de accounts? Het liefst voor allemaal maar in ieder geval voor de admin.
Worden ip adressen automatisch geblokkeerd bij een X aantal foute inlogpogingen?
Heb je de firewall netjes dichtgetimmerd? (Bijvoorbeeld met de befaamde 3 regels die veel gebruikers hier ook gebruiken).
Je zou er nog voor kunnen kiezen het uitgeschakelde admin account van een sterk wachtwoord te voorzien dat wordt ingesteld als je de NAS reset met de knop aan de achterzijde.
Als je data heilig is voor je heb je er dan ook voor gezorgd dat je een externe back-up hebt? Letterlijk buiten je woning.
-
1 backup van onmisbare data doe ik maandelijks.. enkel bij wijzigingen.. lift bij een vriend
2 uitgeschakelde admin met sterk wachtwoord heb ik.....
3 Verder de snapshots... ( voor herstelpunten)
4 ip nummers worden geblokt...
5 de befaamde 3 regels die veel gebruikers hier ook gebruiken ( die mag je me uitleggen, zeer gewaardeerd ;))
6 tweestapsverificatie, tja dat heeft voordelen, maar ook nadelen..( laatste denkt niemand over na)... Telefoon stuk of weg, en je hebt een hele bak gedonder.. Ik heb gewoon gekozen voor lange wachtwoorden, hoofdletters, vreemde tekens.. Dus een bruteforce geloof ik niet zo in..
Levensduur van een telefoontje, is niet lang.. en ff laten vallen en je zit in de shit.
bekijk dat verhaal hier maar eens.
-
Lange of korte wachtwoorden het helpt wel iets maar niet extreem veel. Kies voor tweestapsverificatie een app waar je een back-up van kan maken. Of sla de herstelcodes fatsoenlijk op.
Je eigen argumentatie is zwak als we het over (goede) beveiliging hebben.
De Firewall:
1 Regel alles toestaan vanaf de interne IP reeks.
2 Toestaan wat nodig is van buitenaf met een restrictie op de locatie. (Alleen Nederland toestaan tenzij meer landen noodzakelijk zijn).
3 Block alles.
Wat betreft je backup bij een vriend dan hoop ik dat je daar ook nog bij kunt als hem iets overkomt.
-
Mocht hem iets overkomen, dan draai ik wel een nieuwe. Lijkt me stug dat zoiets gelijktijdig gebeurt.
Ik heb geen zin in cloud opslag, ik haat de cloud vanuit de grond van mijn hart.
Daarom kocht ik een nas....
Ik zal eens kijken naar die tweestapsverificatie, maar ben niet overtuigd. Er zijn ook genoeg redenen te bedenken om dat juist niet te doen. Zoals die knaap in dat filmpje ook al duidelijk uitlegt, dat is niet voor iedereen geschikt.
En ja als je 1234 als wachtwoord neemt, dan is dat niet een heksenketel om te kraken, maar neem jee eentje van 10 tekens in combi met hoofdletters cijfers, en tekens, dan is dat praktisch onmogelijk ( Of het Pentagon moet achter je aan zitten met hun nieuwste Quantum pc ( bestaan die dingen al? Wie zal het zeggen :) )
ik zal eens naar die geoblocking kijken, maar dat is ook niet zaligmakend... VPN, en hopla, ze zitten plotseling in Nederland.
-
Geen enkele beveiliging is waterdicht. Maar om de firewall open te laten staan vanuit die gedachte... Hang het wachtwoord dan ook aan de gevel.
En ja, een sterk wachtwoord helpt en toch heb je geen kwantumcomputer nodig om zo'n wachtwoordje te kraken hoor.
En nee, ik ben het niet met die kerel eens dat 2 factor niet voor iedereen geschikt is. Juist door de eenvoud is dat het wel.
-
Tja dat is dan jou mening...
Die "vent" weet verdomde goed waar die het over heeft.
En hij heeft volkomen gelijk dat die zegt dat tweestapsverificatie niet voor iedereen een goede oplossing is.
Das een mooie idiotproof oplossing, voor lui die 1234 invullen :)
Een goed wachtwoord: "En een wachtwoord bestaande uit 12 tekens (3 hoofdletters, 4 kleine letters, 3 speciale tekens, 2 cijfers) heeft maar liefst 475 920 314 814 253 376 475 136 mogelijke combinaties. Een enkele computer heeft 7,5 miljoen jaar nodig om dit wachtwoord te kraken.
475 920 314 814 253 376 475 136!!
Terwijl zo'n bot er na 5 pogingen al uit word gedonderd...!
Nou kan zo'n ding natuurlijk sneller van IP veranderen, dan Rutte van mening, maar dat geld dan natuurlijk ook voor zijn geolocatie.
Ieder zijn mening, maar de jouwe deel ik niet.
Ik ga die oplossing met openvpn eens bekijken die hier al werd aangekaart.
merci.
-
Een goed wachtwoord: "En een wachtwoord bestaande uit 12 tekens (3 hoofdletters, 4 kleine letters, 3 speciale tekens,
En toch is dat niet foolproof. Een wachtwoord kan lekken. b.v. via mallware op je PC of het per ongeluk invullen op de verkeerde site. Dan helpt ook een sterk wachtwoord met é�én invulpoging niet meer.
Factor-2 is altijd de betere oplossing die beschermt tegen dit soort problemen.
Telefoon stuk of weg, en je hebt een hele bak gedonder.
Dat moet je voor beveiliging over hebben. Veel 2fa systemen hebben een optie van noodcode via mail. (De nas b.v.). Dan is een missende telefoon vrijwel geen extra probleem. Als het via sms loopt, zul je eerst weer een nieuwe simkaart voor je nummer moeten hebben.
E-mail accounts kunnen gehacked worden en telefoonnummers kunnen frauduleus op een andere telefoon gezet worden. Op die manier zijn ook wel eens 2fa codes omzeild.
Wat dat betreft doet GitHub het nog veiliger. Als je daar 2fa instelt, krijg je eerste een lijst met noodcodes die je veilig moet bewaren. Dus geen noodcodes meer via sms of mail.
-
Wel mee eens hoor ( deels)...
Anderzijds, ik heb gewoon voor syno Idioot lange wachtwoorden staan ook nergens opgeslagen, gebruik ze ook nergens...
Ik heb gewoon een soort ezelsbrug :) die ik al jaren gebruik ( Open en eindig met een bepaalde combi, landen waar ik ooit was, en volgnummers... Die dingen zijn 10/15 tekens lang....
Ik zal niet zeggen dat ik tweestapsverificatie niet zal uitvoeren...
Maar wat "die vent " in dat filmpje ook uitlegt, is dat juist dat mailverkeer (Veel 2fa systemen hebben een optie van noodcode via mail. (De nas b.v.). ........ wel eens mis kan lopen..
Als je dan net op dat moment met een kapotte tel in je handen staat, en die mail laat het om wat voor wonderlijke reden dan ook af weten, dan heb je een probleem.
Als je mij een lange spijker in mijn kop slaat, is het laatste wat mijn brein vergeet, die ezelsbrug :)
Afijn zonder gekheid, ik vind dat het verhaal van die knaap best wel hout snijd, het is niet voor iedereen, en een overweging die je moet maken.
Het probleem met een wachtwoord is lekken, of vergeten, of hergebruik , daar heb je gelijk in, maar als dat bewaarbeleid streng is, en het wachtwoord van die orde, dan kan dat niet lekken.
In andere gevallen is tweestaps weer een betere optie.
"Geen enkele beveiliging is waterdicht. Maar om de firewall open te laten staan vanuit die gedachte... Hang het wachtwoord dan ook aan de gevel."
Dit vind ik bv ook wat overdreven.. :)
Wat ik boven ook al aangaf, ik ga er zeker naar kijken, maar dan zie ik meer heil in openvpn, dan in geoblocking..
-
Google eens op gelekte wachtwoorden. Ga naar de wat minder makkelijk te vinden sites en koop eens een lijst. Mensen hebben wachtwoorden van 40 tekens het ontdekken of breken ervan is kinderspel. Ik raad je echt aan eens goed onderzoek te doen. En hoop dat je dan een stuk minder vertrouwen zult hebben in wachtwoorden zoals wij die kennen.
-
1 gelekt,,, klopt
2 40 tekens klopt niet.. zie voorbeeld hierboven
3 zoveel inlogpogingen hebben ze niet, omdat de nas dat afbreekt.
4 Tweestraps... is niet zaligmakend.... voor de 1 ok voor de ander niet.
5 meningen verschillen.
-
Aan punt 3 heb je niets als het om gelekte wachtwoorden gaat. Dan heb je maar één poging nodig, omdat je het wachtwoord kent.
Heel veel phishing mails berusten op dit principe. Bouw een fake website en zorg ervoor dat het slachtoffer daarop inlogt. En BINGO, je hebt zijn wachtwoord. En dat dit soort phishing werkt, blijkt uit het gegeven dat deze phishing mails nog steeds verstuurd worden. (Als het nooit succes had, stopten ze ermee)
-
40 tekens was ook maar een voorbeeld....
Persoonlijk vind ik dat je vertrouwen in wachtwoorden in de huidige vorm veel te groot is.
-
Daar ben ik het deels ook wel mee eens...
maar nogmaals, ik liet het even zien hierboven in een formule......
Mits het wachtwoord lang is, vreemde tekens en cijfers, valt het ( bijna) niet te kraken...
Een reeks van 8 letters is zo klaar.
Tel daarbij op, dat er naar zoveel wachtwoorden word geblokt, dus dan is die tijd er ook niet.
Tweestaps is ook wel wat voor te zeggen, maar nogmaals als je telefoon naar de haaien gaat, en die mail komt om 1 of andere wonderlijke reden niet aan, dan heb je een groot probleem.
Er is voor beide wel wat te zeggen, dus vind ik dat die "vent" wel degelijk hout snijd.
Waarmee ik niet zeg dat ik het tzt niet doe hoor, maar om dat als enige juiste oplossing te presenteren vind ik niet juist.
-
Het is ook niet de enige juiste daarom heet het tweestapsverificatie! 2 stappen....
Je kan het vanaf DSM 7.0 ook regelen met een hardwaresleutel. Dus je bent helemaal niet afhankelijk van een app.
-
Ik heb het nog niet helemaal door gelezen, momenteel smoor druk, die optie was me nog niet bekend, nu wel ;)
Die hardwaresleutel, Die krijg je op voorhand neem ik aan?
Hoe word die dan ingevoerd? Die heb je dan op een usbstick of zo?
Nu met die covid zooi ben ik niet veel weg, maar normaal gesproken zit ik soms maanden in de tropen.
Dan moet het ding werken, en ik moet er hoe dan ook bij kunnen.
-
Krijgen doe je niks. :)
Het bekendste voorbeeld van een hardwaresleutel: https://www.yubico.com/products/
-
ah zo bedoel je dat...
zie je ook veel bij bedrijven idd.
Dus een willekeurige pc, ik plug zo'n dingetje in een usb ingang en ik kan sowieso inloggen?
-
Yep. Wel moet je eerst nog het traditionele wachtwoord invoeren.
-
Dan is het idd wel interessant... :)
Ik keek ff op die pagina, staan er aardig wat, welke moet je dan hebben?
-
In elk geval een Yubico 5. Zelf heb ik hem met NFC zodat ik hem ook kan gebruiken voor aanmeldingen via mijn telefoon.
-
just my 2 cents;
Heeft iemand nu al eens een goede keypass-achtige wachtwoord container oplossing die zonder moeite juist op een synology nas draait (NIET in een cloud buiten de deur). Ik hoor van alles hier maar die oplossing hoor ik nou net niet.
PS die yubico5 is ook een interessante oplossing.
-
Dat vond ik dus ook al van die yubico5 oplossing
Momenteel is het nogal druk, moet alles nog doorlezen vrees ik ;)
maar volgens mij is zo'n dingetje jou oplossing al, en de mijne ook ...
-
just my 2 cents;
Heeft iemand nu al eens een goede keypass-achtige wachtwoord container oplossing die zonder moeite juist op een synology nas draait…
Doe ik ongeveer sinds de introductie van CloudStation. Mijn wachtwoord manager (Sleutelhangertoegang van Apple) bewaard een deel van zijn sleutel(s) in een folder die ik synchroniseer. Op die manier hebben al mijn macs er toegang toe.
Alleen heb ik er niets aan op mijn Android telefoon.
De wachtwoord container draait feitelijk niet op de nas omdat deze oplossing nog steeds met locale sleutelhangers werkt.
-
just my 2 cents;
Heeft iemand nu al eens een goede keypass-achtige wachtwoord container oplossing die zonder moeite juist op een synology nas draait (NIET in een cloud buiten de deur). Ik hoor van alles hier maar die oplossing hoor ik nou net niet.
PS die yubico5 is ook een interessante oplossing.
Ja, die is er. Tegen betaling kan je Bitwarden op je eigen NAS draaien in een Docker container.
-
Ja, die is er. Tegen betaling kan je Bitwarden op je eigen NAS draaien in een Docker container.
Correctie, het kost niks om BW op je eigen nas te draaien 8)
-
Nou het was ff wat geklungel mijnerzijds... ( tja ik ben nou eenmaal geen ict-er maar een hobbyist)
Maar het werkt :P
Ok ik ben wel eens wat koppig lol sorry, maar ik moet het voor mezelf kunnen begrijpen, anders ben ik de pineut.
Ik heb het nu zo:
De paar gebruikers die er zijn, hebben een extreem lang wachtwoord, en heel beperkte rechten.
admin is uitgeschakeld.
eigen admin account heeft nu tweestapsverificatie
Op mijn tel de apps die ik gebruik is een user account
op de pc gebruik ik nu ook alleen die user tenzij ik admin gerelateerde dingen moet doen
opt??? Is datgene wat dan een noodcode stuurt naar mijn mailadres had ik begrepen?
Dus om het helemaal zeker te weten kan ik dan nog zo'n dingetje bestellen voor die hardware sleutel?
( hoe krijg ik die sleutel daar dan in?)
bvd
( stond wel wat een vreemde zin bij, dat die het mailadres van de account dan ook veranderde, enig idee wat die daarmee bedoeld?)
-
Volgens mij ben je op de goede weg! Alleen de firewall nog instellen zou ik zeggen.
En wat betreft de Yubico die hoef je niet in de NAS te doen maar stop je in het apparaat waarmee je in wilt loggen. Bijvoorbeeld je laptop.
-
Dank doe mijn best, volg een hoop tutorials en dit forum natuurlijk geweldig :P
Ik heb die 920+ nog niet zo lang, meer opties, veel te leren.
Snapshots aan de praat, met een bewaarbeleid, hoe het werkt vat ik niet, maar het werkt
Admin account voor op de pc en op tel ben ik een user, dan is dat ook weer een beveiligingslaag.
Account beveiliging aangezet, en dos beveiliging, automatisch blokkeren stond al aan.
Toch nog een paar vragen:
Dat met de Yubico snap ik (nog) niet helemaal, hoe moet ik dat zien, is dat dan nog een extra beveiligingslaag, of gewoon een gemakkelijkere 100% zekere manier van inloggen? Ik krijg nu die code via tel, maar hoe komt dat ding dan aan die sleutel, of stel ik dat eenmalig in?
Als ik de poorten 5000/5001 aanpas ( ik gebruik portforwarding) werken mijn apps dan nog wel? daarbij log ik in met domeinnaam.synology.me
Die firewall heb ik nu ook aanstaan default ( is er ergens een goede uitleg, met eventuele toe te passen regels?
bvd
-
Qua firewall wel eens een foto hier op het forum gezien. Moet je echt even zoeken.
Mag aannemen dat je op de computer ook een user account gebruikt en alleen met Admin inlogt wanneer noodzakelijk.
Yubico is eenvoudig. Je gebruikt het als 2 stapsverificatie in plaats van een app. Je gaat via de computer inloggen. Eerst gebruikersnaam en wachtwoord invoeren. Dan stop je de Yubico USB in je computer en drukt op de knop. De rest gaat dan vanzelf.
-
Dank ik ga wel weer ff sneupen, ben al een heel eind.
ja op pc gebruik ik alleen de admin voor admin dingetjes rest user
1 ding wat me wel wat dwars zat, om windows verkenner te gebruiken moest ik daar een een account invullen.. Geen idee meer of ik daar nou die admin of de user in heb gezet...En dat schermpje is niet meer terug te vinden...
Afijn dat vlooi ik ook nog wel ff uit, en ik koop ook nog een Yubico
bedankt maar weer alvast :P
-
> Geen idee meer of ik daar nou die admin of de user in heb gezet...En dat schermpje is niet meer terug te vinden...
Zeer waarschijnlijk staat dit opgeslagen in Referentiebeheer (NL) / Credential manager (Eng).
En is daar ook te verwijderen of aan te passen.
Referenties/credentials worden opgeslagen per (Windows-)user en per netwerk-resource (e.g. je NAS).
-
Top... ga zoeken...
Ik neem aan dat daar beter een user wachtwoord in kan dan die van de admin..
(kan zijn dat die er al in zit, maar voor de zekerheid toch maar ff controleren)
thanks :P
-
@Plerry Gevonden merci, die staat goed, via de user en niet de admin.
Goed topic dit heel wat opgestoken van jullie, super !
-
ok ik heb al heel wat dingen doorgevoerd en nu de laatste 2 stappen.
De poorten aanpassen, en als dat dan later klaar is die firewall.
Ik blijf maar even in dit topic, dan heb ik later alles mooi bij elkaar staan.
Paar vragen weer ;)
Even uit het hoofd, ik heb 3 poorten in de router geforward:
5001
443
80
443 is nodig omdat ik website's bouw
80 Moet die open blijven staan, of is dat nodig als er een nieuw certificaat word gemaakt? ( dat verloopt geloof ik na 90 dagen?)
5000 is dacht ik niet nodig, omdat alles via https gaat?
Enige poort die ik dan dus dien aan te passen is dan poort 5001?
80 en 443 blijven hetzelfde neem ik aan?
Ik gebruik wat apps op mijn tel, daar log ik in met naam.synology.me daar veranderd er dan verder niks of zie ik dat verkeerd?
En als dat dan later allemaal klaar is, pas ik dus regels toe op die gebruikte poorten, in de router van de nas, waarbij ik dus een lijst maak met toestemmingen en weigeringen, waarbij dus het doel is die poorten zoveel mogelijk dicht te spijkeren?
Laatste ben ik me nog op aan het inlezen, dus daar keer ik nog wel een keer op terug.
bvd
-
Ik zou je willen adviseren http verkeer over poort 80/5000 niet meer te gebruiken.
Inplaats daarvan is het verstandiger om zowiezo alleen HTTPS verkeer over 443 of 5001 te hebben van buitenaf.
Doe ermee wat je wilt.
-
Hallo,
Maar dat staat er toch ook?
5000 is niet geforward in de router, maar 5001.
443 ook al
De vraag was ook moet 80 open blijven ivb met die vernieuwingen van het certificaat?
Als dat dicht kan blijven, dan heb ik dat zelf ook liever....
-
Inmiddels is het ook gelukt, die standaard poort 5001 aan te passen naar een zelf gekozen poortnummer :)
-
Dank ik ga wel weer ff sneupen, ben al een heel eind.
ja op pc gebruik ik alleen de admin voor admin dingetjes rest user
1 ding wat me wel wat dwars zat, om windows verkenner te gebruiken moest ik daar een een account invullen.. Geen idee meer of ik daar nou die admin of de user in heb gezet...En dat schermpje is niet meer terug te vinden...
Afijn dat vlooi ik ook nog wel ff uit, en ik koop ook nog een Yubico
bedankt maar weer alvast :P
Wat 2FA betreft, op DSM 7 heb je drie opties, die je naast elkaar kunt activeren; ik heb ze alle drie:
- Approve sign-in (een pushbericht op mijn telefoon die ik moet bevestigen met een vingerafdruk)
- Hardware security key (in mijn geval een Yubikey Neo)
- Verification code/OTP (en die staat in mijn password manager, dus die is niet opeens kwijt bij een verloren telefoon)
Reden voor mij om ze allemaal in te stellen is zekerheid én gemak:
- Ik kan mijn Yubikey verliezen (zekerheid) of mijn sleutelbos ligt op een andere verdieping (gemak)
- Ik kan mijn telefoon verliezen (zekerheid) of mijn telefoon ligt op een andere verdieping (gemak)
- ...
Als dat allemaal tegelijkertijd niet werkt, kan ik een emergency verification code per e-mail opvragen (en op mijn mailbox is uiteraard óók 2FA geactiveerd).
Yubico (de fabrikant) maakt de Yubikey. Een Yubikey koppel je eenmalig als 2FA-middel aan je gebruikersaccount. De Yubikey voert, zodra in de usb-poort en je de tiptoets aanraakt, een ID van 12 tekens + een OTP van 32 tekens in. Bij elke aanraking een nieuwe.
-
Hallo @backitup
Ik ben al aardig aan het sleutelen geweest....
Ik heb het nu zo:
Poort 5000/5001 hebben een gekozen nummer
Alleen gekozen nummer/443 zijn geforward.
Dus alles draait met certificaat onder HTTPS
accountbescherming, en ip blocking
De paar gebruikers die er zijn, dienen lange wachtwoorden te maken met vreemde tekens en hoofdletters, en om het half jaar vervalt dat. ( dan moeten ze weer een andere maken)
Ik zelf heb een admin en een gebruikers account , lange wachtwoorden.
admin lang wachtwoord, en 2fa daar weer overheen via secure signin app op tel.
Dus dat is allemaal al redelijk in orde.
Verder komt er binnen kort een router van syno de RT2600ac
Dit omdat die routertjes van een provider altijd beperkt zijn, en ik ga mogelijk ook vaker switchen qua provider, dan ben ik van dat gedonder af.
Zodra die er is, ga ik een tutorial volgen hier, ik meen van babylonia vond ik wat voor die router.
Dan spijker ik die 2 poorten ook nog verder dicht.
Als ik die financiële aderlating van die router weer overleeft heb, dan overweeg ik ook zeker zo'n "token"heet het geloof ik? Waar jij het over hebt. ( Ik heb me daar nog niet goed genoeg in verdiept)
Ik heb die 920+ nog maar net, is mijn 3 de bakje, maar heb de zaken al heel wat veiliger geregeld dan bij zijn voorgangers.
En ik heb een nette eenvoudige backup, van mijn onmisbare data op een externe, die bij een maat van me ligt.
Ik ga die info van je zeker bestuderen, maar prio ligt nu eerst even bij nieuwe router, en goede firewall instellingen.
Daarna ga ik dat gedeelte van jou in overweging nemen.
Dat zijn goede tips, merci.