Jak zabezpečit přístup do NASu z internetu?
Mám pevnou veřejnou IP a NAS Synology. Když někomu sdělím IP adresu, port, jméno a heslo, tak se do NASu dostane. Současně mám nastaveno, že když se někdo 5x splete, je přístup z jeho IP zablokován.
Nakolik je takovéto připojení bezpečné? Co byste případně doporučili jiného?
Uvažoval jsem o VPN, ale tam by mohl být problém, pokud by se chtěl připojit někdo méně zdatný, protože by zřejmě nedokázal VPN na jeho straně nastavit.
Když dáš někomu přístupové heslo a on ho dá dalším, tak to asi moc mít zabezpečené nebudeš.
Proto se ptám co s tím. Nešlo by filtrovat připojení např. podle MAC adresy? Jasně i MAC jde naklonovat...
Podle MAC by to nešlo, MAC adresa se uplatňuje jen v lokální síti. Proč každému jednomu uživateli nezařídíš vlastní účet? Respektive, co si představuješ pod pojmem zabezpečit?
Ten kdo k NASu může přistoupit má samozřejmě svůj účet s nastavenými oprávněními. Pod pojmem zabezpečení si představuji jak co nejlépe zabránit připojení se někým cizím. Čas od času mi NAS ohlásí, že zaznamenal 5 chybných pokusů o připojení a danou IP zablokoval. Když se pak na IP podívám, většinou jsou čínské.
Doporučuji na routeru změnit zvenku standardní port na nějaký nesmysl v horní části portu. Router jej pak přesměruje na ten správný na NAS.
Útoky zvenku jsou vedené na standardní porty. Útočníci nemají čas u každé adresy skenovat plný rozsah portů, takže vyzkouší, zda něco odpoví na standardních portech a pak testuje zranitelnost.
OK, díky. To není špatný nápad, takže nejlépe vybrat nějaký port z rozsahu 49152 až 65535?
tak jsem to myslel
Security by obscurity?
Slouží to pouze ke ztížení napadení. Odfiltruje to část útoků, protože většina útočníků skenuje jen "známé" porty.
Pro zabezpečení si pak dovedu představit na Mikrotikovi pravidlo, které by útočníka při podobném skenování automaticky zablokovalo a k portům, na kterých pak něco běží se ani nedostane. Ale to už je jen rozšíření...
Muze to byt reseno i jinak, treba pokud se nekdo pokusi pristoupit na standardní MS SQL port (1433), tak jej bloknu, protoze vim, ze nic takoveho vystrceneho ven nemam.
Hmm… na tom NASu nejspíš poběží Linux, možná tam budou i iptables…
Já používám něco takového pro SSH, ale dá se použít i pro jiné služby:
Nicméně, tady se ani moc neřeší skenování portů, jako neoprávněný přístup. Jednou z možností je dvoufaktorová autentizace.
Muzes si na routeru nastavit, aby pristup na ten port byl povolený pouze z urcité adresy - to vyzaduje, aby mel ten dotycny pevnou IP.
Muzes kazdemu takovemu uzivateli udelat zvlastni prihlasovani a nastavit mu pristup pouze tam, kam ho mít má. Pak si muzes v logu prohlizet kdo a odkud se prihlasoval a jednoduse odstrihnes konkretni prihlaseni.
.. a zároveň se modlit, aby v systému NASu nebyla žádná díra..
Osobně skladuju na NASu ta nejdůležitější data a celkem nechápu tu obsedantní touhu tato data sdílet s kýmkoli přes internet.
Problém je, že ne každý má pevnou IP.
Každý kdo k NASu může přistoupit má samozřejmě svůj účet s nastavenými oprávněními. Rád bych ale co nejúčinněji zabránil připojení se někým cizím. Čas od času mi NAS ohlásí, že zaznamenal 5 chybných pokusů o připojení a danou IP zablokoval. Když se pak na IP podívám, většinou jsou čínské.
Dělat z NASu "udělátor" co supluje milion funkcí, mj. i jistý druh internetového serveru, je velmi nešťastné.
Co to najednou taková diplomatická odpověď? Ty se chystáš do politiky?
vymysli si svoji nediplomatickou, když se ti líbí.
když vidím tazatelovo nadšení, který má přístupy z internetu "zabezpečené" heslem, nemám chuť na žádnou.
Tak proto se ptám, jestli by mně zkušenější a zdatnější uzivatelé poradili jak na to.
Naštěstí se tu pár ochotných najde a těm děkuji.
považuju se neskromně za zkušenějšího a zdatnějšího. A právě proto píšu to, co píšu.
ty "něco chceš" a zcela záměrně přehlížíš nedostatky, na které tě upozorňuju - je to tedy tvůj boj. Zrovna Synology i QNAP slynou pověstí lepičů, kteří neřeší bezpečnost a díry, zato se snaží přidávat další a další funkce, protože běžný mudla řeší jen "víc proužků, víc adidas"
Nejde o to, že bych nechtěl slyšet nedostatky. Na NASu nemám životně důležitá data a jen se zajímám o to jak co nejvíce eliminovat riziko nabourání se do NASu nepovolanou osobou. A těžko nastavím přístup do NASu jinak, než že se dotyčný uživatel bude přihlašovat jménem a heslem a pro svuj účet bude mít nastavena oprávnění.
v tom případě alespoň VPN a k tomu autentizace na úrovni SMB/CIFS.
Asi jsem to blbě napsal. Já nemám nic proti obsahu a vím o čem píše. Já jsem ale očekával (tak jak má ve zvyku) výstižnější a přiléhavější hodnoceni než