Beveiliging

[ditisstef]

Beste Allemaal,

Ik ben een beetje aan het experimenteren geweest met openvpn. Het werkt naar behoren en dus verder ook geen problemen mee. Ik twijfel echter aan de manier waarop ik het beveiligd heb. Ik heb buiten de files die ik van de synology heb gekregen niks veranderd, moet dit? En volgens mij werkt hij nu op mijn Iphone zonder certificaat. Uiteraard heb ik naar het topic gekeken over beter beveiligen, maar gezien mijn beperkte kennis op dit gebied kan ik hier absoluut geen wijs uit. Wat heb ik fout gedaan of goed gedaan?

Groet Stef

[Birdy]

En volgens mij werkt hij nu op mijn Iphone zonder certificaat.

OpenVPN kan niet werken zonder certificaat op je telefoon, die heb je toch moeten importeren met OpenVPN ?

[ditisstef]

Ik heb inderdaad heel het mapje geïmporteerd, die ik heb gekregen van de nas.

[Birdy]

Dus je werkt wel met het certificaat (.ovpn profile).
Alleen met dit certificaat kan alleen jouw telefoon connecteren tenzij je deze shared met anderen.
Dus, zoals je het nu doet, is voldoende veilig, tenzij je poorten hebt forwarded in je router die niet nodig zijn dus, alleen voor OpenVPN UDP poort 1194 forwarden.

[ditisstef]

Helemaal helder! Dank voor de snelle reactie.

[Birdy]

Graag gedaan.

[Briolet]

Ik heb buiten de files die ik van de synology heb gekregen niks veranderd, moet dit?

Voor optimale veiligheid wel. Op de nas staat standaard een certificaat en ik verwacht dat dit op elke nas hetzelfde certificaat is. Dat betekent dat iedereen over de private key kan beschikken die jij bij versleuteling gebruikt.
Ik zou op zijn minst een eigen certificaat aanmaken via de opties binnen de nas zodat je echt een unieke private key gebruikt.

Anderzijds kan het zo zijn dat Synology al bij installatie een uniek certificaat op de nas aanmaakt. Iemand ervaring?

[Pippin]

Inderdaad, een eigen certificaat en nog belangrijker, een sterk wachtwoord i.c.m. Automatisch blokkeren.

De opties die je hebt als "normale" gebruiker zijn beperkt.
Certificaat en wachtwoord, daar houd het wat de web interface betreft op.
Dus nog maar een keer, gebruik een sterk wachtwoord.

Nu weet ik niet precies wat je allemaal over de VPN wilt gooien maar je kunt altijd later nog doen wat er in "OpenVPN: Beter beveiligen" staat.

[ditisstef]

Automatisch blokkeren i.c.m. een sterk wachtwoord heb ik. Alleen de optie voor een eigen certificaat aanmaken waar kan ik die vinden?

[TopGear_1542]

Allemaal in je configuratiescherm onder Beveiliging 》Certificaat. In het onderdeel Beveiliging vind je ook het tabblad Firewall. Misschien een inkopper, maar daar zou ik ook even kritisch naar kijken. Over het instellen van de Firewall in DSM is ook al veel geschreven op dit Forum.

[ditisstef]

Ik heb nu een ander ca certificaat en heb ook een server certificaat gekregen, die had ik nog niet. Ik weet niet of ik het goed gedaan heb, heb op vernieuwen gedrukt. Moet ik anders een heel nieuw certifcaat aanmaken?

[ditisstef]

Niemand die mij hiermee kan helpen?

[aliazzz]

Voor zover ik de OpenVPN helpfiles gelezen heb is de default wijze van een OVPN met CA profiel veilig genoeg.
Overige settings kunnen uiteraard de veiligheid verder vergroten, maar de default settings zijn al "veilig"genoeg.
De settings zijn echter zeer omvangrijk en een "rtfm"kan geen kwaad.

Om je toch op weg te helpen heb ik de volgende tips, deze zijn echter niet volledig en er kan altijd van afgeweken worden;
Veiligheidstips:
1: Zowiezo is een apart VPN account, om alleen een VPN verbinding (tunnel) mee op te zetten, aan te raden. (Ofwel een user die enkel alleen een vpn verbinding mag openen en verder binnen het diskstation geen enkele recht heeft.)

2: Gebruik voor dit VPN account altijd een zeer sterk wachtwoord: richtlijn zou zijn een combi waarin geen herhaling van karakters voorkomt, maar wel een mix van kleine en hoofdletters en leesstekens en speciale tekens, bij voorkeur minstens 20 karakters lang en het liefst geen voorspelbare zaken.

3: Zet de autoblock aan en stel deze deze zo strak mogelijk af. Zet de block tijd op forever en check uiteraard de blocklist zo nu en dan op false positives (oops!).

4: Firewall rules zijn ook mogelijk, bijvoorbeeld deny voor elk verkeer afkomstig buiten Europa (of NL) afhankelijk van hoe strak je dit wilt afstellen.

5: Zodra de VPN user met succes een VPN verbinding heeft gemaakt kan je diverse apps (ds file, ds audio ) openen en verbinding maken  via de welbekende LAN users (die uiteraard geen WAN acces rights hebben!).

Tot zover even mijn bijdrage, mocht iemand opmerkingen hebben (uiteraard feedback en geen kritiek) dan hoor ik dat graag