Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: André PE1PQX op 27 april 2018, 12:29:56
-
Vandaag heb ik een feature-request ingestuurd en wel het volgende:
Vaak wordt geadviseerd om 'admin' account uit te zetten en een alternatieve (lastig te gokken) accountnaam met admin rechten te gebruiken.
Helder allemaal... Echter bij verschillende zaken moet gewoon een admin account enabled zijn.
- Denk bij het instellen van extra beveiliging van VPN-server (Zie dit prachtige topic: OpenVPN beter beveiligen, van MMD (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/)) en dan de dingen die je als 'root' moet doen via WinSCP/Putty.
- aanpassingen met Config Editor kan ook niet ZONDER ingeschakelde 'admin'.
- nClone werkt alleen met 'admin' ingeschakeld.
(waarschijnlijk omdat 'root' onlosmakelijk gekoppeld is aan 'admin')
Mijn suggestie was om een toegangscontrole op IP-adres, IP-range of GEO-locatie per user en/of group in te kunnen stellen naast de controle door de firewall.
Je firewall bepaalt de regeltjes voor ALLE users en groups in één keer. Ik zou ook graag dit per user/group willen kunnen instellen.
Ik kan me voorstellen dat je het account 'admin' (voor zover je die nodig bent) alleen lokaal in je eigen LAN omgeving toegang mag geven, maar niet als je vanaf het internet (WAN dus).
Voorbeelden: Zo zou je dus overal toegang moeten kunnen hebben met 'user1', maar 'user2' alleen vanuit Nederland en België en verder niet. 'user3' alleen toegang vanaf LAN en uit Duitsland (om iets te noemen)
Hoe kijken jullie hier tegen aan?? Goed idee, of onzinnig....
(Ik weet dat OpenVPN een prima alternatief is ten aanzien van veilig remote toegang krijgen tot de NAS, maar niet iedereen kan of wil een OpenVPN server draaien..)
-
Mijn persoonlijk mening is dat de naam admin in iets anders veranderen gewoon schijn veiligheid is.
Net als het gebruik van andere dan de standaard poorten.
Het klinkt veiliger maar maakt echt geen verschil.
De grootste potentiele ingang is gewoon de webinterface die je eigenlijk nooit naar het internet toegankelijk moet maken, daar zit te veel achter wat gehacked zou kunnen worden(remember synolocker).
De beste methode is en blijft een VPN verbinding opzetten en het is een beetje vreemd om te zeggen dat je geen VPN server kunt opzetten als het over een Synology Nas gaat.
Dat is een kwestie van het standaard package installeren.
VPN heeft alleen de VPN poort nodig en daar wordt al het verkeer afgevangen door een enkele applicatie namelijk de VPN server.
Dus alleen een VPN login komt daar doorheen in tegelstelling tot de web management interface waar van alles doorheen mag.
-
Echter bij verschillende zaken moet gewoon een admin account enabled zijn.
Dat zijn meer bugs in betreffende, niet-synology, programma's als ze met een hardcoded admin naam dan dat er een feature in de nas moet komen.
-
Met inlognamen als 'admin' of 'administrator', 'sysop' e.d. is wel een stukje 'de kat op het spek binden', ga je dat veranderen wordt het wel een stukje lastiger.
-
Als de enige manier van hacken zou zijn met een inlognaam dan heb je wel een punt.
Echter, alle gebruikers op je netwerk (in de breedste zin van het woord, dus ook alle IoT maar ook je router) zijn potentiële ingangen. Bugs in software op je computer en randapperatuur vormen een veel groter risico dan dat er rechtstreeks op je nas wordt ingelogd met het admin account. Ik vraag me wel eens af of je hackers niet help je nas te vinden door in je router al aan te geven welk ip die heeft (via port forwarding).
Je moet ook oppassen dat met alle extra instellingen er ook steeds meer mensen afhaken omdat ze geen idee hebben wat er ingesteld moet worden.
Ik heb zelf openvpn op mijn router ingesteld, ik hou liever mijn voordeur dicht (in plaats van de kast met koekjes op slot te zetten).
-
Ik gebruik ook OpenVPN op mijn Router, is ook m. i. de beste methode.
-
Als je de nas alleen zelf gebruikt kun je alles achter een vpn hangen. Als je echter veel meer gebruikers hebt, wordt het lastig.
Ik heb b.v. een mailserver, maar Google/hotmail etc gaan echt niet via VPN mijn mail afleveren. Dus die poorten moeten open staan en van een deugdelijk wachtwoord voorzien zijn. Dan is het handig als ze niet alvast de naam van een gebruiker kunnen raden. (Zodat ze de nas kunnen gebruiken voor het versturen van spam). Hoewel ze bij smtp vaak account namen als "kantoor", "fax" etc proberen in de hoop dat daar een simpel wachtwoord bij zit.
-
Helemaal mee eens.
Gebruik al jaren alleen een VPN op mijn router en niks port forwarding en/of andere naam voor admin.
De poort dichthouden is gewoon de beste manier.
Tenslotte heb je niet alleen een Nas in je netwerk hangen, dus beter een keer goed beveiligen aan de poort dan al die zaken weer opnieuw op elk device te moeten regelen.
Dat is namelijk net zo iets als, ik doe de voordeur niet op slot want ik heb al de kasten in huis afgesloten.