|
|
|
|
Strumenti |
01-05-2021, 18:21 | #27901 |
Senior Member
Iscritto dal: Jan 2006
Città: (VA)
Messaggi: 5963
|
Assolutamente sicuro.
La cosa è davvero strana. Ma chi cavolo può prendere il .61?
__________________
♦ Asrock H77M-ITX ♦ i5 3570 ♦ 2x2GB KINGSTON ♦ MSI GTX 660 OC TFIII ♦ NAS DS720+ ♦
|
01-05-2021, 19:05 | #27902 |
Senior Member
Iscritto dal: Jan 2019
Messaggi: 1122
|
Grazie della dritta, ho fatto così e ora funziona anche sul mio iPad.
L'app "Download Station (DS) Mobile" per iOS invece mi è stata poco utile: ok in locale ma non da remoto (da fuori non uso DSM quindi tengo chiusa porta 5001, non uso VPN e l'app non supporta QuickConnect). |
01-05-2021, 22:07 | #27903 |
Senior Member
Iscritto dal: Nov 2008
Messaggi: 4698
|
Ma perchè utilizzate quickconnect se avete modo di aprire le porte sul router?
Solitamente Quickconnect lo utilizzo come ultima spiaggia, ad esempio da alcuni clienti che utilizzano connessioni nattate dove altrimenti è impossibile raggiungere il nas, o dove si hanno firewall con balancing o active backup dove cambiano spesso connettività. A parte questi casi non trovo vantaggi nell'usarlo, anche perchè passano per server situati chissà dove, oltre a rendere il collegamento più instabile e dipendente da un server terzo, non è conosciuto quanto siano sicuri. |
01-05-2021, 22:36 | #27904 |
Senior Member
Iscritto dal: Feb 2004
Città: Sud Italia
Messaggi: 460
|
|
01-05-2021, 23:13 | #27905 | |
Senior Member
Iscritto dal: Jul 2012
Città: Biella
Messaggi: 10956
|
Quote:
Un conto è se mi dici che una VPN, per questioni di privacy, è meglio rispetto alle altre soluzioni, ma aprire le porte non è contemplato da almeno 10 anni se non con le dovute precauzioni che su modem domestici non si possono prendere. Pensa che più della metà degli attacchi informatici del 2019 in ambito enterprise sono partiti verso porte aperte verso RDP.
__________________
PC 1 | MBP 14" M1 Pro 16GB| iMac 27" 5K i5 6500, 24GB, Radeon R9 M380, 1 TB SSD| ThinkPad T480 i7 8650U, 32 GB, 1 TB NVMe, 14" WQHD| Unifi | Synology DS1618+ 32GB | NUC 13 i5-1340P, 64GB, 990PRO 2TB | HPE Microserver Gen10, 32GB, 12TB + 2TB |
|
01-05-2021, 23:43 | #27906 | |
Senior Member
Iscritto dal: Jan 2019
Messaggi: 1122
|
Quote:
|
|
02-05-2021, 05:31 | #27907 | |
Senior Member
Iscritto dal: Nov 2008
Messaggi: 4698
|
Quote:
Direi che cambia poco, un firewall è un firewall, non è nemmeno da bypassare se si conosce la porta del nas. In entrambi i casi si ha a che fare con le credenziali di accesso di dsm |
|
02-05-2021, 07:32 | #27908 | |
Senior Member
Iscritto dal: Dec 2004
Messaggi: 1731
|
Quote:
grazie
__________________
trattative concluse con sclergio - roirouge1978 - feba - PaoloGTR_125 - Ulisss - Ilkarro - Edesmo - nino.nino - Pescedimarzo - Marcus24 - Lazy_days_1977 - Leland Gaunt - Nize - Lucketto - ~FullSyst3m~ - Beta7 - Legione2 - umby29268 - soloivo - maxpa - adrianofro - Murakami - Ciccio_80 - ChriD - Ravnosalex - Arkark - Androide Scelto - xxEmilioxx - Madelui - pippo369 |
|
02-05-2021, 09:47 | #27909 | |
Senior Member
Iscritto dal: Nov 2008
Messaggi: 4698
|
Quote:
Basta impostare il ban dell'ip che tenta l'accesso ogni pochi tentativi al minuto per farlo fuori, ecco che se arrivano numerose notifiche di attacco di questo tipo allora occorre prendere qualche provvedimento o cambiare ip (se si tratta di ip pubblico) o cambiare porta negli altri casi. Certo che, se come Qnap ci sono falle di sistema, tutto ciò, è inutile, cosi come quickconnect, e allora si che in quel caso la cosa più sicura è quello di non esporlo pubblicamente, ma in quel caso si tratta unicamente di un nas che non fornisce servizi all'esterno della propria rete locale. |
|
02-05-2021, 10:39 | #27910 |
Senior Member
Iscritto dal: Jan 2019
Messaggi: 1122
|
mah, dipende... ci sono sfumature intermedie: non vedo tutta questa necessità di fare amministrazione di un NAS casalingo da remoto, per cui non espongo la porta DSM (https) e non uso nemmeno VideoStation e PhotoStation; ma due porte per SFTP e server IMAP (SSL/TLS) invece sì, sono servizi che mi servono.
Ultima modifica di Katsaros : 02-05-2021 alle 11:47. Motivo: SFTP (non SSH) |
02-05-2021, 12:24 | #27911 |
Senior Member
Iscritto dal: Apr 2013
Città: Prov. Palermo
Messaggi: 9902
|
Dipende insomma, se lo si usa solo da rete locale allora vabbè, chissenefrega si quickconnect e roba simile.
Ma se come me ci si accede da remoto usando vari servizi, specie da connessioni nattate allora serve. Per esempio io uso molto le applicazioni mobile, quasi tutte, oltre che altre che mi fanno il backup di varie cose dello smartphone, anche da remoto, anche un PC che da un altra linea esegue piccoli backup.
__________________
PC-Spec:CPU: AMD Ryzen 5 5600 @stock - Motherboard: Gigabyte B450 Aorus Pro - Ram: 2x8GB DDR4 3000 mhz Corsair Vangeance LPX CL15 - VGA: MSI RX 6600 8GB Mech 2X - SSD: Samsung 750 Evo 250GB + Samsung 870 Evo 1TB - HDD: Seagate Barracuda 1TB + Toshiba 2TB + Toshiba 3TB - Ali: Seasonic Focus GX-650 - Case: Enermax Ostrog - Monitor: HP Pavilion 22xi IPS Full HD - Modem/Router: Fritz!Box 7590 - NAS: Synology DS218 |
02-05-2021, 12:26 | #27912 | ||
Senior Member
Iscritto dal: Jul 2012
Città: Biella
Messaggi: 10956
|
Quote:
È sbagliato pensare che l'unico attacco possibile sia quello verso le credenziali di accesso: penso che mettersi a consigliare soluzoni del genere ad altri utenti sia un po' azzardato Da anni non si usa più aprire porte dirette verso la stessa interfaccia di rete che viene usata per l'accesso locale di device fisici in quanto gli attacchi possibili sono infiniti e una vulnerabilità del DSM potrebbe esporvi esattamente come una vulnerabilità sui server di Quickconnect. Quote:
Gli attacchi brute force e/o DoS sono roba di 20anni fa, ancora presenti (provate ad esporre qualsiasi porta standard su qualsiasi IP per una giornata e controllate per credere), ma sono solo una minima parte degli attacchi possibili ad oggi. Quickconnect e porte aperte si equivalgono sul fronte della sicurezza in quanto la sicurezza è sempre da Synology, mentre in VPN si stabilisce un tunnel criptato tra il vostro device remoto ed il NAS, che se configurato a dovere è impossibile da intercettare.
__________________
PC 1 | MBP 14" M1 Pro 16GB| iMac 27" 5K i5 6500, 24GB, Radeon R9 M380, 1 TB SSD| ThinkPad T480 i7 8650U, 32 GB, 1 TB NVMe, 14" WQHD| Unifi | Synology DS1618+ 32GB | NUC 13 i5-1340P, 64GB, 990PRO 2TB | HPE Microserver Gen10, 32GB, 12TB + 2TB |
||
02-05-2021, 12:39 | #27913 |
Senior Member
Iscritto dal: Jan 2006
Città: (VA)
Messaggi: 5963
|
Ma con i miliardi di connessioni attivi ogni secondo, proprio la mia devono "spiare"?
C'hanno proprio una '@zzo da fare! Scherzi a parte io la VPN non la ho ancora attivata, devo studiarmela un po' perché non faccio parte degli utenti "avanzati". Però ammetto che, dato che per attivare una VPN devo attivare il servizio DNS per il quale serve utenza ed ENNESIMA password e al momento non mi sembra possa essere fatta con Synology con sicurezza doppio passo questa utenza DNS, da una parte creo la VPN ultra sicura, ma dall'altro aggiungo un altro anello debole in fatto di password. Oppure mi sbaglio? Perdonate la mia scarsa conoscenza
__________________
♦ Asrock H77M-ITX ♦ i5 3570 ♦ 2x2GB KINGSTON ♦ MSI GTX 660 OC TFIII ♦ NAS DS720+ ♦
|
02-05-2021, 12:45 | #27914 |
Senior Member
Iscritto dal: Jul 2012
Città: Biella
Messaggi: 10956
|
Se ti riferisci al DDNS serve solo ad associare un hostname al tuo IP pubblico qualora tu non ne abbia uno di tipo statico.
Sul punto di vista della sicurezza non cambia nulla, puoi farlo dal DSM o da qualsiasi altro device sulla rete e si tratta di un servizio che monitora il tuo IP pubblico e ogni qualvolta cambia comunica ai server DNS che 123.123.123.123 = miodominio.estens.it Per la prima frase, non è che si mettono a sniffare proprio la tua, ma lanciano scansioni a caso su tutti gli IP per vedere dove trovano porte aperte.
__________________
PC 1 | MBP 14" M1 Pro 16GB| iMac 27" 5K i5 6500, 24GB, Radeon R9 M380, 1 TB SSD| ThinkPad T480 i7 8650U, 32 GB, 1 TB NVMe, 14" WQHD| Unifi | Synology DS1618+ 32GB | NUC 13 i5-1340P, 64GB, 990PRO 2TB | HPE Microserver Gen10, 32GB, 12TB + 2TB |
02-05-2021, 13:00 | #27915 | |
Senior Member
Iscritto dal: Nov 2008
Messaggi: 4698
|
[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.
Quote:
Tu no, io lo uso per consultare i miei file e documenti da remoto, ad esempio. Il tuo mail server esposto, è rischioso più che lasciare aperta la 5001 ad esempio, dato che la porta 25 è credo una delle porte piu martellate da uno che attacca sulle porte pubbliche. |
|
02-05-2021, 13:09 | #27916 | |
Senior Member
Iscritto dal: Nov 2008
Messaggi: 4698
|
Quote:
Sicuramente una vpn è la cosa migliore da utilizzare sul fattore sicurezza, ma ciò ha dei piccoli limiti, che magari per non tutti risulta di comodo uso Se ho occorrenza contattare il mio dispositivo su qualsiasi computer o dispositivo da qualsiasi parte del mondo dovrei installare una vpn su ognuno (e soprattutto ricordarmi di rimuoverlo poi), su molti dispositivi pubblici non è concesso installazione di software. Altro esempio se usi moments, o il nuovo photos, dubito tu voglia attivare (o tenere sempre attiva una vpn) per vedere la tua galleria su smartphone Quello che voglio dire è che una soluzione non è detto vada bene per tutti. |
|
02-05-2021, 13:29 | #27917 | |
Senior Member
Iscritto dal: Jan 2006
Città: (VA)
Messaggi: 5963
|
Quote:
Quindi utenza e password per servizio ddns se capisco bene se violate non mettono a rischio il contenuto del Nas, giusto?
__________________
♦ Asrock H77M-ITX ♦ i5 3570 ♦ 2x2GB KINGSTON ♦ MSI GTX 660 OC TFIII ♦ NAS DS720+ ♦
|
|
02-05-2021, 13:35 | #27918 | |||
Senior Member
Iscritto dal: Jul 2012
Città: Biella
Messaggi: 10956
|
Quote:
Vero che non si può adattare a tutti, ma penso alla maggiorparte degli utilizzatori senza nemmeno complicare troppo la vita... Quote:
Stesso discorso su PC: puoi tranquillamente scegliere di ruotare attraverso la VPN solo il traffico diretto verso la tua LAN, uscendo direttamente su internet con il resto ed ottenendo lo stesso risultato dell'avere il NAS pubblico con il vantaggio di una sicurezza infinitamente maggiore e di poter raggiungere anche il resto della rete domestica. Quote:
1 - Quickconnect non è sensibilmente nè più nè meno sicuro dell'apertura delle porte, in quanto in entrambi i casi possono esservi falle su software Synology. 2 - Non è vero che un NAS senza porte aperte nè Quickconnect non possa essere raggiunto dall'esterno. Se poi volessimo aggiungere un dettaglio su quanto detto da altri, il suggerimento di non usare l'account admin non è totalmente corretto come ha già detto @teo180: i problemi possono essere due: - Le scansioni brute force partono su userid standard (admin, root, Administrator &co) ma vengono bloccate se si utilizzano password sufficientemente sicure. - Il consiglio più importante è quello di usare, per gli accessi da remoto, un account senza i privilegi di amministrazione, ma con i minimi permessi necessari per fare quello che ci serve in modo da minimizzare i danni in caso di attacchi.
__________________
PC 1 | MBP 14" M1 Pro 16GB| iMac 27" 5K i5 6500, 24GB, Radeon R9 M380, 1 TB SSD| ThinkPad T480 i7 8650U, 32 GB, 1 TB NVMe, 14" WQHD| Unifi | Synology DS1618+ 32GB | NUC 13 i5-1340P, 64GB, 990PRO 2TB | HPE Microserver Gen10, 32GB, 12TB + 2TB |
|||
02-05-2021, 13:53 | #27919 |
Senior Member
Iscritto dal: Jan 2006
Città: (VA)
Messaggi: 5963
|
Il tuo consiglio finale Davide è quello che adotto sul PC.
Però con App del Cell diventa un po' una menata, cioè si perde un po' la praticità: sotto wifi dovrei usare un account e in rete mobile un altro, effettuando ogni volta dei login differenti.
__________________
♦ Asrock H77M-ITX ♦ i5 3570 ♦ 2x2GB KINGSTON ♦ MSI GTX 660 OC TFIII ♦ NAS DS720+ ♦
|
02-05-2021, 14:04 | #27920 | |
Senior Member
Iscritto dal: Sep 2000
Messaggi: 3731
|
Quote:
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:51.