Jak zabezpečit přístup do NASu z internetu?

Mám pevnou veřejnou IP a NAS Synology. Když někomu sdělím IP adresu, port, jméno a heslo, tak se do NASu dostane. Současně mám nastaveno, že když se někdo 5x splete, je přístup z jeho IP zablokován.
Nakolik je takovéto připojení bezpečné? Co byste případně doporučili jiného?
Uvažoval jsem o VPN, ale tam by mohl být problém, pokud by se chtěl připojit někdo méně zdatný, protože by zřejmě nedokázal VPN na jeho straně nastavit.

Předmět	Autor	Datum
Když dáš někomu přístupové heslo a on ho dá dalším, tak to asi moc mít zabezpečené nebudeš. wakar 14.12.2015 23:47	wakar	14.12.2015 23:47
Proto se ptám co s tím. Nešlo by filtrovat připojení např. podle MAC adresy? Jasně i MAC jde naklono… olaf 15.12.2015 00:00	olaf	15.12.2015 00:00
Podle MAC by to nešlo, MAC adresa se uplatňuje jen v lokální síti. Proč každému jednomu uživateli ne… Ilmarinen 15.12.2015 00:27	Ilmarinen	15.12.2015 00:27
Ten kdo k NASu může přistoupit má samozřejmě svůj účet s nastavenými oprávněními. Pod pojmem zabezpe… olaf 15.12.2015 08:49	olaf	15.12.2015 08:49
Doporučuji na routeru změnit zvenku standardní port na nějaký nesmysl v horní části portu. Router je… Jan Fiala 15.12.2015 11:24	Jan Fiala	15.12.2015 11:24
OK, díky. To není špatný nápad, takže nejlépe vybrat nějaký port z rozsahu 49152 až 65535? olaf 15.12.2015 12:33	olaf	15.12.2015 12:33
tak jsem to myslel Jan Fiala 15.12.2015 14:15	Jan Fiala	15.12.2015 14:15
Security by obscurity? Ilmarinen 15.12.2015 14:39	Ilmarinen	15.12.2015 14:39
Slouží to pouze ke ztížení napadení. Odfiltruje to část útoků, protože většina útočníků skenuje jen… Jan Fiala 15.12.2015 15:12	Jan Fiala	15.12.2015 15:12
Hmm… na tom NASu nejspíš poběží Linux, možná tam budou i iptables… Já používám něco takového pro SS… Ilmarinen 15.12.2015 15:33	Ilmarinen	15.12.2015 15:33
Muzes si na routeru nastavit, aby pristup na ten port byl povolený pouze z urcité adresy - to vyzadu… Jan Fiala 15.12.2015 08:03	Jan Fiala	15.12.2015 08:03
.. a zároveň se modlit, aby v systému NASu nebyla žádná díra.. ;-) Osobně skladuju na NASu ta nejdů… touchwood 15.12.2015 08:51	touchwood	15.12.2015 08:51
Problém je, že ne každý má pevnou IP. Každý kdo k NASu může přistoupit má samozřejmě svůj účet s nas… olaf 15.12.2015 08:52	olaf	15.12.2015 08:52
Dělat z NASu "udělátor" co supluje milion funkcí, mj. i jistý druh internetového serveru, je velmi n… touchwood 15.12.2015 06:50	touchwood	15.12.2015 06:50
Co to najednou taková diplomatická odpověď? Ty se chystáš do politiky? mirha 15.12.2015 14:54	mirha	15.12.2015 14:54
vymysli si svoji nediplomatickou, když se ti líbí. když vidím tazatelovo nadšení, který má přístupy… lední brtník 15.12.2015 19:53	lední brtník	15.12.2015 19:53
Tak proto se ptám, jestli by mně zkušenější a zdatnější uzivatelé poradili jak na to. Naštěstí se tu… olaf 16.12.2015 00:13	olaf	16.12.2015 00:13
považuju se neskromně za zkušenějšího a zdatnějšího. A právě proto píšu to, co píšu. ty "něco chceš… touchwood 16.12.2015 06:44	touchwood	16.12.2015 06:44
Nejde o to, že bych nechtěl slyšet nedostatky. Na NASu nemám životně důležitá data a jen se zajímám… olaf 16.12.2015 12:43	olaf	16.12.2015 12:43
v tom případě alespoň VPN a k tomu autentizace na úrovni SMB/CIFS. poslední touchwood 16.12.2015 14:14	touchwood	16.12.2015 14:14
Asi jsem to blbě napsal. Já nemám nic proti obsahu a vím o čem píše. Já jsem ale očekával (tak jak m… mirha 16.12.2015 13:26	mirha	16.12.2015 13:26
:-D touchwood 16.12.2015 14:13	touchwood	16.12.2015 14:13

Když dáš někomu přístupové heslo a on ho dá dalším, tak to asi moc mít zabezpečené nebudeš.

Proto se ptám co s tím. Nešlo by filtrovat připojení např. podle MAC adresy? Jasně i MAC jde naklonovat...

Podle MAC by to nešlo, MAC adresa se uplatňuje jen v lokální síti. Proč každému jednomu uživateli nezařídíš vlastní účet? Respektive, co si představuješ pod pojmem zabezpečit?

Ten kdo k NASu může přistoupit má samozřejmě svůj účet s nastavenými oprávněními. Pod pojmem zabezpečení si představuji jak co nejlépe zabránit připojení se někým cizím. Čas od času mi NAS ohlásí, že zaznamenal 5 chybných pokusů o připojení a danou IP zablokoval. Když se pak na IP podívám, většinou jsou čínské.

Doporučuji na routeru změnit zvenku standardní port na nějaký nesmysl v horní části portu. Router jej pak přesměruje na ten správný na NAS.
Útoky zvenku jsou vedené na standardní porty. Útočníci nemají čas u každé adresy skenovat plný rozsah portů, takže vyzkouší, zda něco odpoví na standardních portech a pak testuje zranitelnost.

OK, díky. To není špatný nápad, takže nejlépe vybrat nějaký port z rozsahu 49152 až 65535?

tak jsem to myslel

Security by obscurity?

Slouží to pouze ke ztížení napadení. Odfiltruje to část útoků, protože většina útočníků skenuje jen "známé" porty.

Pro zabezpečení si pak dovedu představit na Mikrotikovi pravidlo, které by útočníka při podobném skenování automaticky zablokovalo a k portům, na kterých pak něco běží se ani nedostane. Ale to už je jen rozšíření...
Muze to byt reseno i jinak, treba pokud se nekdo pokusi pristoupit na standardní MS SQL port (1433), tak jej bloknu, protoze vim, ze nic takoveho vystrceneho ven nemam.

Hmm… na tom NASu nejspíš poběží Linux, možná tam budou i iptables…

Já používám něco takového pro SSH, ale dá se použít i pro jiné služby:

-A INPUT -i eth0.103 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -i eth0.103 -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i eth0.103 -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "SSH brute force "
-A INPUT -i eth0.103 -p tcp -m tcp --dport 22 -m recent --update --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -i eth0.103 -p tcp -m tcp --dport 22 -j ACCEPT

Nicméně, tady se ani moc neřeší skenování portů, jako neoprávněný přístup. Jednou z možností je dvoufaktorová autentizace.

Muzes si na routeru nastavit, aby pristup na ten port byl povolený pouze z urcité adresy - to vyzaduje, aby mel ten dotycny pevnou IP.
Muzes kazdemu takovemu uzivateli udelat zvlastni prihlasovani a nastavit mu pristup pouze tam, kam ho mít má. Pak si muzes v logu prohlizet kdo a odkud se prihlasoval a jednoduse odstrihnes konkretni prihlaseni.

.. a zároveň se modlit, aby v systému NASu nebyla žádná díra..

Osobně skladuju na NASu ta nejdůležitější data a celkem nechápu tu obsedantní touhu tato data sdílet s kýmkoli přes internet.

Problém je, že ne každý má pevnou IP.
Každý kdo k NASu může přistoupit má samozřejmě svůj účet s nastavenými oprávněními. Rád bych ale co nejúčinněji zabránil připojení se někým cizím. Čas od času mi NAS ohlásí, že zaznamenal 5 chybných pokusů o připojení a danou IP zablokoval. Když se pak na IP podívám, většinou jsou čínské.

Dělat z NASu "udělátor" co supluje milion funkcí, mj. i jistý druh internetového serveru, je velmi nešťastné.

Co to najednou taková diplomatická odpověď? Ty se chystáš do politiky?

vymysli si svoji nediplomatickou, když se ti líbí.

když vidím tazatelovo nadšení, který má přístupy z internetu "zabezpečené" heslem, nemám chuť na žádnou.

Tak proto se ptám, jestli by mně zkušenější a zdatnější uzivatelé poradili jak na to.
Naštěstí se tu pár ochotných najde a těm děkuji.

považuju se neskromně za zkušenějšího a zdatnějšího. A právě proto píšu to, co píšu.

ty "něco chceš" a zcela záměrně přehlížíš nedostatky, na které tě upozorňuju - je to tedy tvůj boj. Zrovna Synology i QNAP slynou pověstí lepičů, kteří neřeší bezpečnost a díry, zato se snaží přidávat další a další funkce, protože běžný mudla řeší jen "víc proužků, víc adidas"

Nejde o to, že bych nechtěl slyšet nedostatky. Na NASu nemám životně důležitá data a jen se zajímám o to jak co nejvíce eliminovat riziko nabourání se do NASu nepovolanou osobou. A těžko nastavím přístup do NASu jinak, než že se dotyčný uživatel bude přihlašovat jménem a heslem a pro svuj účet bude mít nastavena oprávnění.

v tom případě alespoň VPN a k tomu autentizace na úrovni SMB/CIFS.

Asi jsem to blbě napsal. Já nemám nic proti obsahu a vím o čem píše. Já jsem ale očekával (tak jak má ve zvyku) výstižnější a přiléhavější hodnoceni než

je velmi nešťastné.

Zpět do poradny Odpovědět na původní otázku Nahoru