Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Hutje op 09 november 2015, 14:22:04
-
Is er nog geen apart 'Security Advisor / Beveiliging' mapje op het forum ?
Zit met het volgende 'probleem'.
Enkele maandag-ochtend word ik getrakteerd op een overzichtje van mijn Security Advisor.
[attachimg=1]
en krijg dan steevast het volgende te zien :
[attachimg=2]
LAN-services zijn toegankelijk vanaf internet, tja....
Als ik daarop klik, krijg ik deze aanbevolen actie :
[attachimg=3]
Is er iemand die mij daarmee kan helpen, want als ik bij firewall een nieuwe regel aanmaak, dan heb ik geen keuze om 'alles behalve lokaal netwerk' te kiezen.
-
Snap die melding niet helemaal, tenzij je die SSH poort hebt ge-forwarded.
Betreffende je vraag, daar zou ik vanavond naar kunnen kijken.
-
Zelf heb ik SSH niet eens open staan in de firewall, maar heb de 2 PC's waar is zelf achter zit, onbeperkte rechten gegeven. Je kunt ook alleen de IP's van de eigen PC's de SSH rechten geven.
Ik zet thuis alles vast via dhcp in de router, dus ook de IP van mijn PC/laptop. Denk er aan dat de laptop vaak 2 IP's heeft: Wireless en bedraad.
-
Snap die melding niet helemaal, tenzij je die SSH poort hebt ge-forwarded.
SSH-service staat ingeschakeld, op poort 9922.
Ik begrijp niet goed wat je bedoeld met 'SSH poort hebt ge-forwarded'.
-
... maar heb de 2 PC's waar is zelf achter zit, onbeperkte rechten gegeven. Je kunt ook alleen de IP's van de eigen PC's de SSH rechten geven.
Hoe stel ik beide zaken in ?
Ook in de Firewall op de NAS ?
-
Ik begrijp niet goed wat wat je bedoeld met 'SSH poort hebt ge-forwarded'.
Nou, in de zin van, als je SSH alleen intern gebruikt dan zie ik geen probleem, tenzij die poort ook via internet toegankelijk is.
En zou willen toevoegen, als het een bedrijfs- NAS is, dan begrijp ik die waarschuwing wel.
-
Oh, ik snap hem nu.
Nee, dit is geen bedrijfs-omgeving.
En ook heb ik geen port-forwarding toegepast in mijn modem/router voor SSH op deze NAS.
-
Nu snap ik het ook dus, een goed advies van Security Advisor ;)
-
Nou, ik nog niet hoor !
Er staan géén poorten open op modem/router naar die NAS voor SSH.
Intern kan ik via poort 9922 de SSH-service benaderen.
Snap niet waarover die SA zeurt.
Dus, Birdy, leg mij nog één keertje uit dan.
-
Intern kan ik via poort 9922 de SSH-service benaderen.
Als iedereen dat kan (op LAN), dan is dat een issue, waar SA (ook) waarschijnlijk over zeurt?
-
Ik denk dat security-advisor graag wil dat je toegang tot je SSH in de firewall beperkt tot je lokale netwerk. Blijkbaar heb je de regels in de firewall zo staan dat SSH van overal te bereiken is, of er helemaal niets over opgegeven. Dit heb je dan in je modem/router wel geblokkeerd, maar dat weet de security advisor natuurlijk niet.
-
Okay, ik ga eens kijken of ik een beperkt aantal (lokale) IP adressen kan toevoegen die rechten hebben.
Vraag me dan wel weer af : Wat vindt de SA dan wel toelaatbaar ? 5 stuks, 3, of maar 1 ?
Ik ga het testen !
Bedankt voor meedenken !
-
Het enige wat ik niet snap is dat als ik in de firewall poort 22 voor alle IP adressen open en dan een scan doe, ik het volgende krijg:
[attachimg=1]
-
Zelf heb ik in de firewall alles binnen het subnet van mijn router open staan.
Daarnaast heb ik alle poorten van alle IP adressen buiten dat subnet dicht staan, met uitzondering van twee applicaties die toegang van extern nodig hebben, namelijk VPN server en PhotoStation.
Mogelijk heb je ergens in je firewall iets voor SSH opengezet? Of heb je per ongeluk het vinkje dat de firewall alles dat niet aan de regels voldoet moet blokkeren uitgezet?
Je zou een screenshot van je firewall regels kunnen plaatsen.
-
Het enige wat ik niet snap is dat als ik in de firewall poort 22 voor alle IP adressen open en dan een scan doe, ik het volgende krijg:
Firewall in je NAS toch ?
-
Mogelijk heb je ergens in je firewall iets voor SSH opengezet? Of heb je per ongeluk het vinkje dat de firewall alles dat niet aan de regels voldoet moet blokkeren uitgezet?
Je zou een screenshot van je firewall regels kunnen plaatsen.
Nee, die is nog maagdelijk :
[attachimg=1]
Als ook géén regel voor SSH (of de poort die in ingesteld heb in de NAS voor SSH) staat ge-forward in de modem/router.
-
Dat is dus je probleem. Want nu heb je dus alles openstaan in je firewall, dus ook SSH. Daar moppert Security-Advisor dus eigenlijk over. Dat jij het in je router niet doorlaat kan Security-Advisor niet weten. Dus kun je de melding gewoon negeren of de firewall invullen.
-
Okay, ik ga me dus maar even focussen op het instellen van die firewall.
Wil niet iedere keer een bericht krijgen met een groot rood kruis !
Bedankt !
-
Dat is dus wat ik ook bedoelde echter, Hofstede is daar veel duidelijker in ;D
-
Het is nog maandag, Birdy.....
Ben nog niet helemaal wakker !
-
:lol: Die is goed zeg :lol:
-
@Hutje
Misschien heb je wat steun aan een beschreven voorbeeld eerder een keer geplaatst < HIER > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496)
Voor DSM 5.2 de aanvulling in acht nemen wat onderaan de reactie is beschreven.
De vervolgreacties geven verder nog wat meer uitleg.
-
Zelf heb ik in de firewall alles binnen het subnet van mijn router open staan.
Persoonlijk vind ik dat je zelfs je eigen LAN niet moet vertrouwen. Zeker omdat er steeds meer vage apparaten met internet toegang komen. Laatst zag ik nog een waterkoker met wifi (http://smarter.am/ikettle-2.0/) zodat je hem met je smartphone aan kon zetten en een melding kreeg dat het water kookte. In die waterkoker hadden ze dus ook een lek (https://www.security.nl/posting/447855/Slimme+waterkoker+iKettle+2_0+lekt+wifi-sleutel) gevonden. (En dan praat ik niet over water dat je keuken blank zet)
Allemaal mooi, maar de veiligheid bij dit soort apparaten laat sterk te wensen over. Ik heb een tablet met Android wat ook niet meer te updaten is. In de firewall heb ik voor dat tablet zelfs expliciet alle verbindingen geblokkeerd. (Behalve een paar).
Vandaag stond er op security.nl (https://www.security.nl/posting/451047/Lek+in+slimme+tv+Vizio+gaf+aanvaller+toegang+tot+thuisnetwerk) een stuk over een smart TV met veiligheidslek. Via dat lek kon je malware op de TV installeren, die vervolgens weer apparaten op je LAN kon aanvallen.
Conclusie: vertrouw ook je lan niet en zet alleen alles open naar specifieke IP nummers van vertrouwde apparaten, maar niet naar alles op je eigen lan.
-
Voor wat betreft die apparaten met een extra "gadget" gehalte, ben ik daar nog van verlost.
De apparaten die ik hier heb aangesloten zijn zodanig beperkt, dat ik daar nog wel het overzicht in heb.
Maar iets om in het achterhoofd daar wel degelijk rekening mee te houden. (Misschien in de router de WiFi connectie met de iPad van mijn dochter van 14 op een gastnetwerk zetten, in plaats van het reguliere netwerk ?).
-
Liep ook tegen dit probleem aan weliswaar met DSM 6.0 en een half jaartje later maar heb dankzij dit topic de volgende aanpassingen gedaan in de firewall en toen was de melding verdwenen.[attachimg=1]
-
Wel een zeer opmerkelijk instelling voor een Firewall, om juist die specifieke services te "Weigeren".
De rest wordt dan juist weer doorgelaten. Lijkt me me veiligheidstechnisch gezien een uiterst onbetrouwbare en slechte keus als instelling.
Niet aan te bevelen !!!
Nu is een en ander wel afhankelijk van de router die je ervoor hebt zitten en de instellingen die je daar hebt gedaan.
Maar met jou voorbeeld kun je net zo goed geen Firewall inschakelen.
(Kennelijk ben je geen Mac-gebruiker, anders had je al ondervonden wat er aan scheelt).
-
@Dukers ik snap ook niet helemaal wat je wilt als je de firewall zo insteld?
Alles mag behalve deze 3?
-
Hij wilde de meldingen weg hebben schreef hij, althans zo lees ik het. Dat is met die 3 regels prima gelukt maar of je nu een veilig systeem hebt dat denk ik niet. Maar dat kan je pas bepalen als je weet wat je op je router open hebt gezet, als je NAS in de DMZ zone van je router staat dan staat alles wagenwijd open naar het internet.