Biztonságos kitenni a Synology -t a publikus Internetre?

Hálózati eszközök

Először konfigolok Synology -t. Használom rajta a Synology Drive nevű cuccot, amitől elvárom hogy a shared linkek és maga a szinkronizálás távolról is működjön.

Amiket megtettem eddig: admin és az 1 db user jelszava elég erős, let's encrypt cert telepítve, force https engedélyezve. A 2 factor auth -ot majd még bekapcsolom.

 

(Vannak egyéb módszerek a synos doksi szerint: upnp (kösz nem), E-Z internet (ami a megértésem szerint egy wizard ami segít ugyanazt megcsinálni amit megcsináltam már), quick connect (syno cloud alapú, kösz nem)).

A doksi alapján: https://www.synology.com/hu-hu/knowledgebase/DSM/tutorial/Network/What_…

Synology Drive Server 80 (link sharing), 443 (link sharing), 5000 (HTTP), 5001 (HTTPS), 6690 (Synology Drive Client) TCP
  • 1292 megtekintés

( andrej_ v | 2020. 10. 10., szo – 09:40 )

A publikus elérést kerülném, inkább valamilyen szimpatikus VPN-t húznék fel, nem standard porton (40k fölé téve...) és akinek kell az eléri. Ha mégis kell a publikus elérés, akkor nagyon minimálisan ereszteném ki az Internetre, csak az ssl-es portokat engedném, de a 5000 és 5001-es menedzsmentet semmiképp. Ha publikus, akkor a frissítésére és a mentésére különösen oda kell figyelni.

Köszi. Kivettem az 5000 és 5001-et. A drive -nak két belépési pontja van: webes nézet (ez megy az 5000/5001-en) és asztali alkalmazás portja. Nekünk elég az utóbbi. Hálisten, hogy a fájlmegosztásokra van külön portja, ami különbözik a managementétől.

VPN nem annyira játszik, én magamtól még használnám, de a másik usernek az egyszerű hozzáférést kell biztosítani.

( gyuri23 | 2020. 10. 10., szo – 11:13 )

Pont annyira biztonságos mint bármi mást, pl. NextCloud, bármilyen webmail, WordPress, stb. Nekem egy rakás van, ha Magyarországról használod esetleg a tűzfalon szűrheted az országot IP-re, akkor a törések 99%-át kizártad egyből. Egyébként meg be kell tartani a szokásos dolgokat, de ezeket már leírtad, meg figyelni kell a security bulletin-eket.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( DieHappy | 2020. 10. 10., szo – 11:29 )

A quick connect epp arra jo, hogy nem kell kozvetlenul publikusba kirakni a szervert, a kapcsolat a felhon keresztul megy. A sajat synology lehet tuzfal mogott, es csak a quickconnecten keresztul ered el. (Lehet sajat tanusitvanyt is rarakni, de ezt latom irtad). A syno cloud csak a kapcsolatat hozza letre, nem kell ott tarolni semmit. 

Nekem jol jott a quick connect, nem a sajat digi elofizetesem alatt van NAS, nem lehet csak ugy publikussa tenni.

( vati | 2020. 10. 10., szo – 11:52 )

Nekem is van tobb, ami kint van. Ugyfelekkel lo nagy fileokat csereberelunk. Vpn is megy de aki nem ert hozza (ugyfel) annak nyugos. Alpveto biztonsagi dolgokat/frissiteseket be kell tartani de ezt ugyis irtad. En a szokasos portokat (ssh, telnet stb) tuzfalon elso kiserletre blacklistelem. Hazi home video gyujtemenyed azert ne ezen tarold :)

vati

( uid_4263 v | 2020. 10. 10., szo – 15:09 )

Köszi a válaszokat. Beállítottam a következőket:

- auto update DSM + app packagek

- fail2ban

- geoip alapján tűzfal: Hungary adott szolgáltatásokra, LAN teljesen nyitott, minden más ország minden deny

- (hátravan, mert email is kell hozzá) 2factor auth

Sajnos a fent említett portok mindegyike kell valamiért, ha letiltom az 5000-et, akkor ugrik a drive sync, ami elég elkeserítő, de ez van.

Ami ezen a NASon van az kétféle anyag:

- linux ISO-k

- synology drive-os 2way sync, vagyis a mindenkori adat eleve két helyen van meg

Tehát nem szükséges külön menteni, de tervben hogy mentődni fog (egy plusz diskre naponta + amazon glacierben offsite-ra, hátha leég a lakás).

Ahogy írtam lesz egy meleg meg egy hideg mentés is automatizáltan (mindkettő full, az egyik "tegnapi" a másik meg egy "múltheti" full state). A hideg glacierbe megy felfelé. Jöhet bármilyen árvíz vagy ransomware, maximum letöltöm azt. :)

De abban igazad van, hogy a 2way önmagában elég kevés dolog ellen véd. Talán az ellen, hogy ha ellopják a laptopot vagy meghal a diskje.

( ricsip v | 2020. 10. 10., szo – 22:46 )

Synolocker nagyon szerette a publikusan elerhető nas-okat.

Mutass egy rendszert amihez még nem volt sec. probléma...

Mellesleg a frissített, up to date rendszereket nem érintette.

Taipei, Tajvan—2014. augusztus 6.— A Synology, az érintett felhasználókkal együttműködve, utánajárt a Synolocker nevű ransomware okozta károknak. A Synology megerősítette: a ransomware a DiskStation Manager korábbi verzióit használó Synology NAS-szervereket érinti, kihasználva egy olyan sebezhetőségi tényezőt, amit már 2013 decemberében kijavítottak, a frissítésről akkor számos módon tájékoztatták a DiskStation-tulajdonosokat.

https://www.synology.com/hu-hu/company/news/article/Synology_Encourages…

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Be se kell kapcsolni semmilyen számítógépet és akkor még annyi gond sincs :)

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Azért egy Wordpress, vagy Joomla, vagy akár NAS OS az célpont, valszin jobban, mint egy Linux kernel vagy SSH bug. Nyilván egy WP-t vagy Joomlát elég nehéz nem webre tenni, kivéve ha privát az oldal. Egy SSH már jobban védhető, akár tűzfallal, akár speciális porttal, meg szigorú beállítássokkal a Linux root bugokig nehezen jutnak el.

Szóval ha kiereszted mindenképp sűrű frissítés, rendes mentés, ahogy csak lehet tűzfalazás és csak a minimális portokat engedd ki, de ettől még nem a legjobb ötlet.

Sokszor ez valoban igaz. :) egyebkent pedig nem kell kipakolni a netre egy ilyen, tamadhato cuccost, legalabb egy tuzfal legyen elotte es csak a legszuksegesebb szolgaltatasokat forvwardolni, de inkabb vpn moge az egeszet.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szükségem van a synology drive-ra, tehát kirakom. A kérdés az, hogy hogyan tudnám ezt biztonságosan megtenni. Az előző hasonló rendszerem ~6 évig kint volt a neten minden probléma nélkül. Van, amikor ezt nem tudod elkerülni, mert nem működik majd a szolgáltatás, amire szükséged van.

( freeoli v | 2020. 10. 12., h – 12:57 )

Csakis VPN mögé tenném, de nagyon sokan használják közvetlenül.

Vagy a router vagy Synology VPN megoldását használnám és minden csatlakoztatandó eszközre kliens telepítenék. Amióta van crypto hw majdnem mindenben már egyáltalán nem erőforrás igényes egy vpn szerver.

Jó döntés! - Csak saját, szigorúan egyedi tapasztalat: (messzemenő következtetést nem kell levonni belőle..,) A legidősebb eszköz 508-as, 10 pár éve elindítva; ma  már 3 különböző Syno-t használok NAT-olt alhálón, egy sincs kint publikus elérhetőséggel. Mégis az elmúlt években (2-3 szor legalább!) előfordult, hogy - szoftverhiba vagy más ki nem derített ok miatt, - önmagától alapértelmezett jelszóval találtam az egyébként rendes, 20 karakteres jelszóval adminisztrálható eszközt. (pw csak nálam van meg, senki másnál, a szerver-szobához nekem van kulcsom. Saját magam vettem rá a zárat is.., nem olcsót és saját zsebből!!  :)  - Szóval.., azóta nem bízom a Syno-sok fejlesztette szoftverben, szoktam ellenőrizni, hogy a jelszavam megvan-e még...! - És akkor ezeket még kitenni publikus netre???)

- Hozzáteszem, ilyen az általam még ezeken kívül hosszú idő óta használt FreeNAS-eknél - hogy ne tudjak belépni az aktuálissal, még ha nem néztem rá egy évig sem, - még soha, de soha nem fordult elő! (Valamilyen ok miatt, - valaki lentebb épp ezt javasolta, - a DSM azt sem szereti, ha az ember saját admin-t kreál és letiltja az alapértelmezettet. Nekem már ezzel is volt belépés-megtagadás esetem.) - Mindezt teljesen legális, saját szerzői jogosultságú grafikai munkák tárolása mellett..!

( bujdi | 2020. 10. 12., h – 16:38 )

Még egy módszer beleraknék a kalapba a teljes DSM felület elérésére: a control centerben létrehozol egy reverse proxyt beállítást pl. a fajlok.<sajat domain>.duckdns.org -ra (ahol működik a wildcard dyndns) és a 127.0.0.1:5000 portra irányítod...

[mj1: ha csak a fájlmegosztás kell, akkor még ettől is egyszerűbb: beírod a kívánt domaint az applicaiton shortcuts-ba, talán, és akkor a sima 443-as porton működni fog 

mj2: arra figyelj,h a domainre wildcalrd ssl cert-et használj, mert, ha az aldomain-re a syno beépített etsecnryptjével kérsz cert-et, akkor benne lesz a cert-ben a domain és szépen fognak próbálkozni...]

Így kívülről csak akkor érhető el a dsm felülete, ha tudod az aldomaint. Ez a próbálkozások 99.999%-át megfogja, ha nem hirdeted az elérhetőségét a nasodnak. A maradékra meg update és jószerencse kell - vagy egy rendes proxy dockerbe (ngnix, traefik, haproxy ...) +  forward auth + egy tetszőlegesen támogatott backend erre (lehet authelia, google, github, azure, ami tetszik...) [sajnos a legegyszerűbb http-basic-auth nem megy a websocketes vackok miatt].

 

S.

( khiraly | 2020. 10. 12., h – 23:09 )

En tettem ele egy nginx reverse proxit http user+pass -szal. Mar vagy 5 eve megy. Vagyis van egy kis baki vagy egy fel eve az egyik synology frissites ota mobilnezetbol nem enged be. Azt irja ki, hogy helytelen jelszo.

Ha "request desktop site"-ot bekapcsolom, akkor beenged mobilon is.

Meg nem volt kedvem kidebuggolni.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( Sanya v | 2020. 10. 13., k – 06:59 )

1.: Létre kell hozni egy adminisztrátor jogú felhasználót, és ugyanazzal a jogkörrel felruházni, mint az admint.

2.: Az admin usert le kell tiltani.

3.: Ssh, telnet portokat csak a belső hálóról lehessen elérni.

4.: 2 faktoros azonosítás mindenkire.

5.: Fail2ban bekapcsolása

 

Azt hiszem talán ezeket találja meg nálad is a synology biztonsági biztonadó app, ha lefuttatod.