Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Herenwacht op 09 oktober 2013, 16:39:44
-
Bij een verdere verkenning van mijn DS213 zag ik net in het systeemlogboek/verbindingen honderden waarschuwingen. Zie de bijlage.
Voorzover ik het kan beoordelen is het systeem de afgelopen dagen meerdere malen benaderd door verschillende IP-adressen om in te loggen. Blijkbaar heeft de beveiliging van de NAS goed gewerkt maar ik zou graag advies willen hebben wat hier aan de hand is en of ik er goed aan doe om extra beveiliging in te stellen.
Verder vraag ik me af nu de NAS is benaderd of dit inderdaad betekent dat de firewall van mijn router is omzeild en of mijn passwoordbeveiliging van de router (WPA2) niet heeft gewerkt. Omdat ik vorige week mijn DS213 door een andere is vervangen kan ik niet meer zien of dit voorheen ook is gebeurd.
-
Heb je in je router dan helemaal geen regels aangemaakt om verkeer van buiten door te zetten naar NAS? Lijkt mij dat je die toch hebt ingesteld, zeker voor ssh.
-
Ik heb inderdaad d.m.v. poortforwarding de meest gebruikelijke poorten die in de handleiding stonden in mijn router ingesteld incl. SSL. Heeft dit dan tot resultaat dat "iedereen" tot de voordeur van de NAS kan komen???
-
In feite kan natuurlijk iedereen je NAS benaderen omdat je NAS is opengesteld voor WAN.
Echter, kunnen de kwaden niet inloggen dus heb je kennelijk een sterk password ingesteld.
Wat je extra kunt doen is Auto Block instellen (Control Panel) volgens bijgaand plaatje.
Als je dat doet dan wordt het IP-Adres van de kwaden geblokkeerd.
Hoe strak je wilt instellen is je eigen keuze.
-
Super dat ga ik in ieder geval instellen. AL was het alleen maar om de omvang van mijn loggegevens te beperken ;).
Waarschijnlijk gaat dit te ver maar hoe weet iemand dat deze NAS bestaat en hoe die benaderd moet worden i.c eerts het bestaan van mijn internetverbinding(router) en daarna ook nog de NAS via mijn LAN. :?: :?: :?:
-
Daar zijn gewoon programmatjes voor die dat uitzoeken voor den kwaden (hackers).
Of toeval, is mij ook eens overkomen dat ik op een NAS terecht kwam.
Ben geen hacker hoor :lol:
-
Ik heb inderdaad d.m.v. poortforwarding de meest gebruikelijke poorten die in de handleiding stonden in mijn router ingesteld incl. SSL. Heeft dit dan tot resultaat dat "iedereen" tot de voordeur van de NAS kan komen???
Uiteraard kan dat dan. :o
Als je thuis je voordeur naar de boze buitenwereld (=je router) open zet kan iedereen die door je voordeur past
tot aan je binnendeur(en) (bijv. je NAS) komen. :(
Vandaar het (ook door mij) vaak herhaalde devies: foward alleen die poorten die beslist open moeten staan.
Dat is een beetje het equivalent van je voordeur dicht doen (en op slot ...), maar wel een sleuf (brievenbus)
in je deur aanbrengen zodat er post bezorgd kan worden (met een "Nee - Nee" sticker ernaast ... ;) )
Sommigen stellen: gebruik gewoon sterke wachtwoorden en laat ze maar aan die binnendeur rammelen.
Mijn "visie": dubbel genaaid houdt beter. Dus: die voordeur op slot, en een goed filter achter de brievenbus.
Maar, het moet wel leefbaar/werkbaar blijven. Er een onneembare vesting van maken heeft ook zijn keerzijde ...
-
Heldere uitleg voor een leek. Bedenk hierdoor dat ik het instellen van de poorten ben gaan doem omdat de EZ toepassing niet automatisch ging vanwege "poortproblemen". Vervolgens stond mijn router niet in de (geupdate)lijst en heb ik zelf maar de poorten ingesteld die in het overzicht van Synology stonden. Nu realiseer ik me dat dit waarschijnlijk teveel is. Eigenlijk wil ik zelf mijn NAS vanaf internet kunnen bereiken. Hiervoor heb ik inmiddels een dyndns account en ik dacht daarmee simpel een VPNserver om mijn NAs te kunnen installeren. Helaas is dat nog steeds niet gelukt en dat wil ik nog verder uitzoeken.
Als ik e.e.a nu goed begrijp hoef ik voor Quickconnect zelf niets extra in te stellen (dit werkt overigens prima) en voor het instellen van een vpn server (PPTP) moet ik poort 1723 forwarden. Dus als ik 1723 VPN, 6690(Cloudstation), 5005(Webdav) en 5000 en 5001(DSM) enkel in mijn router in ga stellen dan zou dat voldoende zijn en kan ik risico via FTP/FTP_SSL uitsluiten door die poorten niet te forwarden?????
-
Je kunt poorten als ssh en ftp ook via een andere poort doorsturen naar je NAS, beperkt de inbraakpogingen enorm.
Bijvoorbeeld jou-ip-nr:800 forwarden naar de ssh poort (22 toch?) op je NAS. Dat maakt je logfiles een stuk rustiger zeg maar.
Jan
-
:(Zou je een voorbeeld kunnen geven. Zet ik dan het Ip nr van mijn NAS in mijn router gevolgd door ":800" met poortnummer 21 of 22. Ik ben op dit gebied een enorme leek dus ik begrijp niet helemaal wat je bedoelt, laat staan wat de effecten hiervan zijn.
-
In mijn router (zyxel van telfort) staat een regel als
5 PPTP VPN Internet 1234 1234 1723 1723 192.168.1.50 ALL TCP
Daarmee wordt verkeer dat van buiten binnen komt via poort 1234 door de router naar mijn NAS met intern IP 192.168.1.50 doorgezet maar dan over poort 1723, de poort die de NAS gebruikt voor een vpn verbinding.
Vanaf buiten maak je dus contact via een poort 1234 die niets met vpn te maken heeft: <externe IP>:1234
-
... Dus als ik 1723 VPN, 6690(Cloudstation), 5005(Webdav) en 5000 en 5001(DSM) enkel in mijn router in ga stellen dan zou dat voldoende zijn en kan ik risico via FTP/FTP_SSL uitsluiten door die poorten niet te forwarden?????
Als je niet perse je NAS middels DSM vanaf extern hoeft te kunnen beheren, maak dan DSM niet van buitenaf bereikbaar en forward dus niet port 5000 en/of 5001.
Maar maak bijv. slechts FileStation bereikbaar op port 7001 (https).
Als je toch je NAS middels DSM vanaf extern moet kunnen beheren doe het dan veilig (encrypted);
forward en gebruik dan dus niet port 5000 (http), maar slechts port 5001 (https).
Of maak een VPN verbinding en verbindt langs die weg met de DSM van je NAS.
Voor intern is gebruik van DSM op port 5000 uiteraard wel OK.
Kijk ook eens hier (http://www.synology-forum.nl/ddns-extern-benaderen/ds412-linksys-ea4500-router-ziggo/msg71632/#msg71632)
-
Waar kun je precies dat control panel vinden, om auto block in te stellen?
Groeten.
-
Waar kun je precies dat control panel vinden, om auto block in te stellen?
Configuratiescherm -> Netwerkservices -> Automatisch Blokkeren
-
Vergeet niet je eigen IP adres (in ieder geval lokaal) in de "lijst toestaan" te zetten. Anders loop je het risico dat je er zelf een keer niet/nooit meer in komt 8) Zie start -> uitvoeren -> cmd -> ipconfig /all voor lokaal IP. Iemand trouwens die weet hoe je 192.168.0.* kunt toevoegen?
-
Iemand trouwens die weet hoe je 192.168.0.* kunt toevoegen?
No wildcard. En de opslag zit in een DB.
-
Is je suggestie om de DB handmatig aan te passen? En zo alsnog de wildcard er eventueel in te krijgen? Of is dat onmogelijk gemaakt door middel van encryptie?
-
Waarom zou je de gehele range 192.168.0.* op de white list willen zitten. Ik zou er altijd alleen mijn eigen PC op willen hebben en niet alle andere apparaten in mijn netwerk.
-
Gast gebruikers moeten toch evengoed inloggen op je NAS?
Geen ID/wachtwoord dan zie je toch niets?
-
Is je suggestie om de DB handmatig aan te passen?
Zeer zeker niet :!:
Of is dat onmogelijk gemaakt door middel van encryptie?
Het is een sqlite3 DB.
-
Gast gebruikers moeten toch evengoed inloggen op je NAS?
Geen ID/wachtwoord dan zie je toch niets?
Regulier inloggen op de nas mogen anderen wel, maar geen telnet of ssh toegang. Er blijven bugs en backdoors ontdekt worden in software. Dus je kunt wel denken dat je alles beveiligd hebt, maar uitsluitend hierop vertrouwen is naïef. De nas had vroeger b.v. ook een telnet backdoor zodat synology er zonder account bij kon om mensen te helpen. Je hoefde dan alleen maar poort 23 in de router open te zetten. Die backdoor gebruikte een wachtwoord dat dagelijks veranderde, maar toen de berekening van dat wachtwoord op internet gepubliceerd werd, kon eigenlijk iedereen bij je nas als je poort 23 aan het internet liet zien.
Ik heb geen idee of die backdoor er nog in zit, of dat ze alleen maar de berekening veranderd hebben. Mijn motto: niet meer toestaan dan strikt noodzakelijk.