NAS DIY - samogradnja, oprema, operativni sustavi, pitanja,...

[Libertus]

Nema potrebe razvlačiti priču. Pogledao sam linkove što je @tomek@VZ gore naveo i imam osjećam da svi mi ovdje slično mislimo samo svako tepe svoje.

Što se tiče SSL certifikata i HTTPS-a, jedino se spajam na Synology preko HTTPSa kada nisam u lokalnoj mreži. Default je 443 i 5001, dok je kod mene neki random. To je web port za DSM sučelje i većinu (ili možda sve) DSM android aplikacije. HTTP port je off, tj. nije dostupan izvana.

[tomek@vz]

A jebo...


https://www.thesslstore.com/blog/is-...cure-https-is/
https://stackoverflow.com/questions/...ata-over-https
https://www.eff.org/deeplinks/2011/1...re-https-today
https://www.kaspersky.com/blog/https...an-safe/20725/


Ukratko - HTTPS nije nekaj na kaj se mozes osloniti 100% kao "hacker proof" tehnologiju. Sigurnost sustava je delikatna tema i odraduje se u slojevima - sto vise slojeva - sustav je sigurniji. HTTPS je dobar da netko na lokalnoj mrezi ne vidi traffic ali nije garancija za ista. VPN je dodatni sloj zastite kojim osiguravas sigurnu i DIREKTNU konekciju izmedu 2 uredaja. Ako imas gore samo Severinin pornic - HTTPS je dosta. Ako imas ista privatno gore na istoj kanti , bilo da se radi o dokumentima, slikama itd - zelis da sustav bude sto sigurniji ako ga spajas na internet, bez obzira koji port bio u pitanju.

[Nick7]

Citiraj:

Autor tomek@vz

HTTPS je dobar da netko na lokalnoj mrezi ne vidi traffic ali nije garancija za ista.

E jebga... sad procitaj sam linkove sto si napisao.

HTTPS *je* dovoljno secure. Problem nastaje kad se ne upotrebljava 'ispravno', kad se ignoriraju certifikati, itd... tocnije - najveca greska je korisnik sam.

Kako se HTTPS moze hackirati, tako se moze i VPN (OK, nije 'ista' stvar, ali znas sto mislim).

Za home usera VPN smanjuje glavobolju najvise na nacin da taj prvi layer - VPN mora biti dovoljno 'hack-proof', sto u vecini slucajeva je.

Sa HTTPS-om, tu dolazimo do mogucih greski u konfiguraciji, potencijalnih bugova kod web servera, itd... no, vecinom se svodi na konfiguraciju.

[tomek@vz]

Citiraj:

Autor Nick7

HTTPS *je* dovoljno secure. Problem nastaje kad se ne upotrebljava 'ispravno', kad se ignoriraju certifikati, itd... tocnije - najveca greska je korisnik sam.

Bingo

[m4dm4n]

Citiraj:

Autor Libertus

Nema potrebe razvlačiti priču. Pogledao sam linkove što je @tomek@VZ gore naveo i imam osjećam da svi mi ovdje slično mislimo samo svako tepe svoje.

Što se tiče SSL certifikata i HTTPS-a, jedino se spajam na Synology preko HTTPSa kada nisam u lokalnoj mreži. Default je 443 i 5001, dok je kod mene neki random. To je web port za DSM sučelje i većinu (ili možda sve) DSM android aplikacije. HTTP port je off, tj. nije dostupan izvana.

Ok, onda sam dobro skužio. Za početak, httpS služi isključivo da bi se enkriptirao promet izmedju tebe i Synologya. I sve je to divno i krasno, no tvoj uređaj je javno dostupan i to tvoje igranje sa portovima ne znači ništa, odnosno vrlo malo. 5 milijardi aktivnih ljudi na internetu ima svo vrijeme svijeta da ti nađe rupu.
Zaključak, radi što hoćeš, tvoj život i podaci, no ovaj setup nije pametan ni siguran.

Sent from my SM-G991B using Tapatalk

[xlr]

Vrijedi li isto misljenje i ako pristup nas-u kontrolira proxy manager (instaliran na odvojenom hardveru, ne nas-u)?

Primjer: imam Drive app na remote kompu, logiram se preko moje domene mojsynology.com, domena je na cloudflareu, a na lokalnoj mrezi proxy manager upravlja pristupom prema synologyju. Na proxy manageru je importani cloudflare CA certifikat, SSL je podesen na full (strict) i sve je maxano. Na cloudflare firewallu je izmedju ostalog blokiran non-https traffic (vidim masu takvih blokiranih upita na mjesecnoj bazi), forsira se redirekcija na https itd itd.

Nisam neki web expert, mjesecima sam se jezio kada sam trebao pustiti domenu online, pa sam dosta vremena ulozio u setup i ucenje. E sad... Uvijek moze bolje/sigurnije, to mi je jasno. Znam samo da nisam htio otvarati portove direktno na nas-u nego od starta ici iskljucivo preko proxyja na 443.

[tomek@vz]

Citiraj:

Autor xlr

Vrijedi li isto misljenje i ako pristup nas-u kontrolira proxy manager (instaliran na odvojenom hardveru, ne nas-u)?

Primjer: imam Drive app na remote kompu, logiram se preko moje domene mojsynology.com, domena je na cloudflareu, a na lokalnoj mrezi proxy manager upravlja pristupom prema synologyju. Na proxy manageru je importani cloudflare CA certifikat, SSL je podesen na full (strict) i sve je maxano. Na cloudflare firewallu je izmedju ostalog blokiran non-https traffic (vidim masu takvih blokiranih upita na mjesecnoj bazi), forsira se redirekcija na https itd itd.

Nisam neki web expert, mjesecima sam se jezio kada sam trebao pustiti domenu online, pa sam dosta vremena ulozio u setup i ucenje. E sad... Uvijek moze bolje/sigurnije, to mi je jasno. Znam samo da nisam htio otvarati portove direktno na nas-u nego od starta ici iskljucivo preko proxyja na 443.

Da. RevProxy je dodatan bonus. Tak bi inace trebalo uvijek biti.

[m4dm4n]

Citiraj:

Autor xlr

Vrijedi li isto misljenje i ako pristup nas-u kontrolira proxy manager (instaliran na odvojenom hardveru, ne nas-u)?

Primjer: imam Drive app na remote kompu, logiram se preko moje domene mojsynology.com, domena je na cloudflareu, a na lokalnoj mrezi proxy manager upravlja pristupom prema synologyju. Na proxy manageru je importani cloudflare CA certifikat, SSL je podesen na full (strict) i sve je maxano. Na cloudflare firewallu je izmedju ostalog blokiran non-https traffic (vidim masu takvih blokiranih upita na mjesecnoj bazi), forsira se redirekcija na https itd itd.

Nisam neki web expert, mjesecima sam se jezio kada sam trebao pustiti domenu online, pa sam dosta vremena ulozio u setup i ucenje. E sad... Uvijek moze bolje/sigurnije, to mi je jasno. Znam samo da nisam htio otvarati portove direktno na nas-u nego od starta ici iskljucivo preko proxyja na 443.

Bilo koja metoda koja će staviti dodatan layer zaštite i da servis nije direktno dostupan na internetovima.

Sent from my SM-G991B using Tapatalk

[Libertus]

Citiraj:

Autor m4dm4n

Zaključak, radi što hoćeš, tvoj život i podaci, no ovaj setup nije pametan ni siguran.

Prvi najsigurniji setup je da nemam NAS.
Drugi da ga spajam preko USB-a i da je cijelo vrijeme offline, ali i u tim trenucima (spajanja) mi netko može štetu nanijeti.

Treba naći balans između korištenja nečega i sigurnosti istog (ili u krajnjem slučaju paranoje). Meni NAS kojem ne mogu pristupiti izvana, jednostavno ne treba. Ako ga stavim 100% iza VPN-a opet, može koristiti samo MENI i nikom drugom u mom kućanstvu ili izvan njega.

VPN server je isto tako izložen Internetu kao i https port, u jednakoj mjeri. Vrlo vjerojatno je VPN server jednostavniji software od DSM-a sa manjom površinom za napad i otkrivanje bugova, ali nije sigurno sveti gral sigurnosti. Treba naći mjeru i način na koji će NAS ostati upotrebljiv, a i maksimalno siguran.

Morat ću se uputiti što točno kolega @xlr misli pod hostanjem domene na cloudflare i kako radi taj proxy manager da vidim ima li smisla uvoditi isto.

Meni je npr. na routeru postavljen firewall na način da komunikacija koja kreće sa NAS-a može ići na Internet isključivo i jedino preko VPN-a (NAS je VPN client na random server od 60-tak mogućih). Jedino kada NAS ne ide na Internet preko VPN-a je kada dobije upit putem normalne veze na taj (https) port, tada odgovara istim putem.
Default admin račun je isključen. Obavezno je korištenje https, sve se preusmjerava na njega. Šifre su ozbiljne, ne igračke. DSM je uvijek ažuran, router također, itd. Znači neka razina sigurnosti postoji, samo ne apsolutne.
Vidjet ćemo da li se može još nešto podići.