Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: rbrocx op 28 augustus 2014, 13:40:06
-
Hoi allemaal,
vandaag maar eens geregistreerd op het forum :) Heb namelijk een veiligheidsvraagje.
Vorige week is de NAS DS214 van een klant van ons gehackt. Ze gebruikten DS Cloud dus de data stond gelukkig nog lokaal. Nas is inmiddels weer up and running, maar was wel schrikken.
Nou heb ik bij een andere klant ook een DS214 staan. Deze gebruiken ze eigenlijk alleen lokaal. Kan ik de NAS ook zo configureren dat deze geen verbinding met internet gaat maken? Dus alleen data delen over het netwerk. Lijkt me wat veiliger ivm de hack en virussen enz.
Verder de NAS'en voorzien van een externe backup-schijf en de updates tot vandaag.
Hebben jullie verder nog tips om de NAS wat veiliger te maken?
Gr R. Brocx
-
Kan ik de NAS ook zo configureren dat deze geen verbinding met internet gaat maken? Dus alleen data delen over het netwerk.
Een firewall-rule die alleen lokale IP's toelaat ?
-
Als je geen poorten hebt geforward in de router richting NAS, dan kan men er van buiten niet op de NAS komen.
-
Een firewall-rule die alleen lokale IP's toelaat ?
Je router heeft ook een lokaal ipadres en als je daar bij kunt kun je ook het internet op.
Je zou dat in de firewall van je router moeten regelen.
Wat is echter het nut van het blokeren van de NAS richting het internet?
Wat echt van belang is dat niets van het internet bij de NAS kan komen.
Dus geen poorten in je router forwarden dan ben je van buiten tamelijk effectief beveiligd.
-
Om de nas de toegang tot het internet te ontzeggen, is het voldoende om in de router, de nas te blokkeren (In mijn Ubee van Ziggo kan ik dat doen op grond van IP of mac adres).
Alleen, dan wordt de nas heel erg beperkt. Hij kan zijn tijd niet synchroniseren, kan niet zelfstandig kijken of er updates zijn etc. Dus kijk goed of dat werkbaar wordt.
-
Wat echt van belang is dat niets van het internet bij de NAS kan komen.
Dat is toch wat zo'n firewall-rule doet, hij ontzegt alle IP-adressen die niet in bijv. de range 192.168.1.1/255 zitten de toegang ...
-
Klopt maar het internet verkeer komt van je router (NAT = Network Adress Translation), dus je NAS ziet dat verkeer alsof het gewoon in die range zit. Namelijk je router.
Zoals al gezegd als je dat wil doen moet je het op je router doen, maar tamelijk zinloos en je haalt je allerlei moeilijkheden op de hals.
-
Bedankt voor de vele reacties :)
Komt er dus op neer dat ik geen poorten in de router moet forwarden.
Hiermee had ik dus de hack van begin deze maand kunnen voorkomen..
Dat forwarden gebruik je toch alleen om de boel te beheren op afstand of in te loggen via webbrowser? Cloudstation blijft wel werken wanneer ik de forwards uit de router haal?
-
Cloudstation blijft wel werken wanneer ik de forwards uit de router haal?
Nee, dan werkt het niet meer van buitenaf.
Dan laat je toch alleen deze poort open staan voor de NAS?
-
Beveiliging en externe toegang zijn nu eenmaal twee dingen die elkaar bijten.
Je moet proberen de toegang zoveel mogelijk te beperken en juist net zoveel open te zetten dat je de mogelijkheden die je echt nodig hebt kunt gebruiken.
Wat echter veel mensen doen (gedaan hebben) is van "zet maar open, is handig, zou ik dat en dat ook kunnen doen", zonder de afweging te maken welke risico's ze daar mee lopen.
Hoe meer ingangen hoe groter de kans dat een hacker erdoor komt.
-
En je kunt ook nog VPN aanzetten. Daar kan net zo goed een bug in zitten, maar daarna moeten ze nog steeds op de nas inbreken om binnen te kunnen komen, dus je bouwt een extra schil om je nas.
De belangrijkste veiligheid is echter updaten. Ik denk dat 99% van alle besmettingen gebeurd via lekken waar al lang een update voor uitgebracht is.
Gisteren las ik b.v. dat er dagelijks nog duizenden aanvallen op de heardbleed bug (https://www.security.nl/posting/400116/IBM%3A+dagelijks+duizenden+aanvallen+op+Heartbleed-bug) plaatsvinden. Dit was zo'n drastische bug dat hij direct wereldnieuws werd en ook het Nederlandse journaal haalde. Met zoveel attentie zou je toch verwachten dat een ieder dat direct fixed. Niet dus, blijkt nu weer. IBM beweerd in dat stuk zelfs dat maar de helft van de potentieel kwetsbare servers geupdate is. :o
-
OEPS....dan zou je verwachten dat er ook IT-koppen gaan rollen. :S
-
Welke poort gebruikt Cloudstation dan?
heb nu de poorten 5000 5001 en 445 open staan
Ga de poorten dichtgooien en kijken of de cloudstation nog doorgaat.
Bedankt voor jullie feedback. :)
-
Cloudstation gebruikt 6690
Zie het overzicht hieronder
http://www.synology.com/nl-nl/knowledgebase/faq/299
-
Volgens dit lijstje: http://www.synology.com/nl-nl/support/faq/299 (http://www.synology.com/nl-nl/support/faq/299)
Poort 6690 is voor CloudStation.
-
Wellicht moet ook toegevoegd worden dat men bij gebruik van EZ-Connect vaak niet weet/kan zien (behoudens moeizame wegen) welke poorten allemaal zijn opengezet. Voor mij een argument om gewoon alles handmatig in de router te doen en niet door een vaag automatisme.
-
Helemaal mee eens!
-
Bedankt voor het overzicht van de poorten.
Ga het een en ander aanpassen :)