[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[glaucos]

Quote:

Originariamente inviato da DIDAC

L'otp usa Google authenticator sia per l'account Synology online sia, se attivato, per l'amministratore locale. Io lo ho attivato entrambi.
Il "ricorda dispositivo" nella lan a volte non funziona perché il PC nella lan cambia ip se non è stato configurato come io statico nel router, altrimenti funziona sempre.

In teoria hai ragione, ma in pratica ogni tanto dimentica lo stesso il dispositivo anche se ha sempre lo stesso IP, di questo sono sicuro perché la mia rete interna è configurata con release DHCP impostate tramite MAC (in modo da avere sempre gli stessi IP nei dispositivi che uso abitualmente).

Quote:

Originariamente inviato da \_Davide_/

[...]
Se il "ricorda utente" funziona significa che l'autenticazione è aggirabile, di conseguenza si può anche lasciare disabilitato.

Si può avere benissimo autenticazione a due fattori attiva e memoria di un dispositivo tramite il suo IP, come dico qui sopra, in pratica la due fattori è attiva per i dispositivi sconosciuti, ma viene disabilitata per quelli conosciuti. Che poi questo possa essere considerata una vulnerabilità in quanto un bravo hacker possa trovarvi una falla e riuscire a farsi scambiare per un dispositivo conosciuto non ci piove, ma non penso che sia molto facile. In ogni caso è un problema (vero, non placebo) in più da riuscire a superare, quindi sempre meglio che non averla.
Come dicevo prima però a volte si dimentica un dispositivo conosciuto e mi viene da pensare che non usi solo il riconoscimento tramite l'IP ma anche (o forse soprattutto) tramite qualche cookie o roba simile che lascia sul pc, perché ad esempio io entro con il mio browser (Safari) con la sola password perché già mi conosce, ma se apro una finestra in modalità anonima mi richiede il codice 2FA (ho fatto la prova ora prima di scrivere) . Probabilmente è per questo che ogni tanto si dimentica, perché il browser magari cancella il file (ma io non ho routine che cancellano periodicamente i cookie), oppure semplicemente perché è impostato (ma mi pare che non sia modificabile) che anche un dispositivo conosciuto dopo un tot di tempo debba rifare la 2FA, per sicurezza aggiuntiva.

[\_Davide_/]

Quote:

Originariamente inviato da glaucos

Si può avere benissimo autenticazione a due fattori attiva e memoria di un dispositivo tramite il suo IP, come dico qui sopra, in pratica la due fattori è attiva per i dispositivi sconosciuti, ma viene disabilitata per quelli conosciuti. Che poi questo possa essere considerata una vulnerabilità in quanto un bravo hacker possa trovarvi una falla e riuscire a farsi scambiare per un dispositivo conosciuto non ci piove, ma non penso che sia molto facile. In ogni caso è un problema (vero, non placebo) in più da riuscire a superare, quindi sempre meglio che non averla.

Ammesso che di sicuro non se lo ricorda per l'IP in quanto sarebbe pericolosissimo, in ogni caso non serve un "hacker bravo" a emulare il tuo pc e scavalcare la 2FA.

Il vantaggio della 2FA è proprio nel fatto che ad ogni accesso cambia la password: se la password non cambia e si accede comunque significa che non è 2FA.

Quote:

Originariamente inviato da glaucos

Come dicevo prima però a volte si dimentica un dispositivo conosciuto e mi viene da pensare che non usi solo il riconoscimento tramite l'IP ma anche (o forse soprattutto) tramite qualche cookie o roba simile che lascia sul pc, perché ad esempio io entro con il mio browser (Safari) con la sola password perché già mi conosce, ma se apro una finestra in modalità anonima mi richiede il codice 2FA (ho fatto la prova ora prima di scrivere) . Probabilmente è per questo che ogni tanto si dimentica, perché il browser magari cancella il file (ma io non ho routine che cancellano periodicamente i cookie), oppure semplicemente perché è impostato (ma mi pare che non sia modificabile) che anche un dispositivo conosciuto dopo un tot di tempo debba rifare la 2FA, per sicurezza aggiuntiva.

Dovrebbe riconoscerlo unendo tutte le info disponibili, ma se si comporta come dici è facile che faccia un mix tra IP e cookie. Sicuramente sarà impostato per richiederla ogni x tempo, altrimenti sarebbe inutile al 100% per i motivi di cui sopra

[DIDAC]

Ma Google authenticator cambia il suo PIN ogni 30 secondi (o ogni 60 non sono sicuro, c'è l'orologio).
Ma spuntando "non richiedere per questo dispositivo" tendenzialmente a me funziona, anche per le app del telefono che accedono tramite quick connect altrimenti ad ogni collegamento dovrei inserire oltre alla password anche il token di Google authenticator.
Potrebbe essere che legga il Mac address? Ma a quel punto non capisco perché a glaucos ogni tanto si disattivi. A me non ricordo si sia ma disattivato a parte quando ho sconnesso ad esempio l'utente di DSFILE e poi lo ho ricollegato per fare le prove con le porte http e https. Probabilmente salva qualche cookie sul dispositivo potrebbe essere.

[glaucos]

Quote:

Originariamente inviato da \_Davide_/

Ammesso che di sicuro non se lo ricorda per l'IP in quanto sarebbe pericolosissimo, in ogni caso non serve un "hacker bravo" a emulare il tuo pc e scavalcare la 2FA.

Hai ragione se si parla di IP pubblici, io mi riferivo alla rete interna, errore mio non averlo esplicitato.

Quote:

Originariamente inviato da \_Davide_/

Il vantaggio della 2FA è proprio nel fatto che ad ogni accesso cambia la password: se la password non cambia e si accede comunque significa che non è 2FA.
[...]

Non ti stai riferendo alla password principale, ma a quella 2FA immagino, perché quella principale resta sempre la stessa...

In ogni caso non so tu, ma io non so VERAMENTE come funziona a livello tecnico la 2FA, so solo che se fior di esperti la reputano un sistema utile (anzi indispensabile) per la sicurezza, vuol dire che come metodo è valido.
Chiaramente va implementato nel modo giusto (ci sono metodi tipo quello basato sul numero di cellulare che sono meno sicuri perché si è scoperto come impadronirsi facilmente del numero di cell di una persona) e va sempre tenuto presente che NESSUN sistema è sicuro al 100%, è sempre una lotta continua tra miglioramento dei sistemi e aumento delle conoscenze nel superarli :-)

[\_Davide_/]

Quote:

Originariamente inviato da glaucos

Hai ragione se si parla di IP pubblici, io mi riferivo alla rete interna, errore mio non averlo esplicitato.

Un IP pubblico non puoi auto-assegnartelo, un IP privato invece sì: se il tuo pc è spento e io mi collego al tuo router con il tuo stesso IP non c'è nulla che me lo vieti

Quote:

Originariamente inviato da glaucos

Non ti stai riferendo alla password principale, ma a quella 2FA immagino, perché quella principale resta sempre la stessa...

La password dovrebbe essere quella principale + il codice OTP.[/quote]

Quote:

Originariamente inviato da glaucos

In ogni caso non so tu, ma io non so VERAMENTE come funziona a livello tecnico la 2FA, so solo che se fior di esperti la reputano un sistema utile (anzi indispensabile) per la sicurezza, vuol dire che come metodo è valido.

È validissimo finchè non ti scardinano l'algoritmo (motivo per il quale hanno rimosso le chiavettine delle banche, che avevano lo stesso algoritmo, uguale per tutti e duravano 5 anni sostituendole con l'app OTP per smartphone che può cambiarlo in qualsiasi momento). Su un NAS casalingo di certo questo non sarà mai un problema.

Quello che intendevo è che la 2FA è sicurissima nel momento in cui, ad ogni inizio sessione ti chiede entrambe le password (questo va a significare che il NAS accetta connessioni solo con password + OTP).
Se il NAS ti permette di iniziare una sessione senza inserire il codice OTP significa che c'è un modo per accedervi che non lo richiede e che quasi sicuramente è più facile di trovare l'algoritmo per generare la OTP.

Poi, per carità, io non attiverei mai OTP sul NAS, ha molto più senso proteggere la rete e, se serve accedere dall'esterno, la VPN in quanto il PC non ha la OTP ed a quel punto è più facile entrare sul PC e di conseguenza sul NAS

[Giox040]

Ringrazio per le info.
Se non ricordo male, ogni tanto lo dimentica anche sui pc con ip fisso, comunque provero' a riservare un ip per i pc che ce l'hanno dinamico.
Certo che dover inserire anche l'otp ogni volta e' una noia, visti i tempi potrebbero inventare l'accesso con tampone salivare... o esiste già?

[DIDAC]

Quote:

Originariamente inviato da \_Davide_/

Poi, per carità, io non attiverei mai OTP sul NAS, ha molto più senso proteggere la rete e, se serve accedere dall'esterno, la VPN in quanto il PC non ha la OTP ed a quel punto è più facile entrare sul PC e di conseguenza sul NAS

Infatti io ho abilitato l'accesso da PC a Nas solo utilizzando degli utenti con poche permission (soprattutto per gli user Windows dei figli) anche se perdo un po' la comodità del Nas.
Pero credo che qualsiasi sia la strategia di sicurezza applicata ai nostri Nas, quella più forte è un bel backup multiplo con HD che poi scollego fisicamente. Se mi rubano delle foto chssenefrega, se mi criptano tutto il contenuto, ho le mie copie di backup e ripristino il tutto.
Premesso questo torno a chiedervi: ma voi siete mai stati attaccati? Io l'unico virus che ho preso in anni di PC è stato perché me la sono rischiata con un .exe ma erano anni in cui riformattavo per passione e passavo il tempo a fare banchmark dell'hw.
Poi oh, magari adesso ho il Synology che sta minando e non lo so

[\_Davide_/]

Quote:

Originariamente inviato da DIDAC

Infatti io ho abilitato l'accesso da PC a Nas solo utilizzando degli utenti con poche permission (soprattutto per gli user Windows dei figli) anche se perdo un po' la comodità del Nas.
Pero credo che qualsiasi sia la strategia di sicurezza applicata ai nostri Nas, quella più forte è un bel backup multiplo con HD che poi scollego fisicamente. Se mi rubano delle foto chssenefrega, se mi criptano tutto il contenuto, ho le mie copie di backup e ripristino il tutto.

Se non è un problema perdere i dati non ha senso farsi tutti quei problemi
Io ho su i dati di lavoro e se qualcuno li ottiene è un bel problema...

Quote:

Originariamente inviato da DIDAC

Premesso questo torno a chiedervi: ma voi siete mai stati attaccati? Io l'unico virus che ho preso in anni di PC è stato perché me la sono rischiata con un .exe ma erano anni in cui riformattavo per passione e passavo il tempo a fare banchmark dell'hw.
Poi oh, magari adesso ho il Synology che sta minando e non lo so

No, mai, però ho la rete blindata dall'esterno

[DIDAC]

Si infatti è per questo che ancora non mi sono avvicinato alla VPN, anche se mi piacerebbe prima o poi approfondire il discorso.
Poi dati sensibili non ne ho quindi...come dici tu se è tutto ripristinabile chi se ne frega.
Comunque dalla home Page di quick connect ho provato qualche volta a digitare dei nomi a caso ed accedevo alla schermata di ingresso del Nas di qualcuno. Va bhe non vuol dire niente ma volevo scriverlo

[teo180]

Quote:

Originariamente inviato da glaucos

In teoria hai ragione, ma in pratica ogni tanto dimentica lo stesso il dispositivo anche se ha sempre lo stesso IP, di questo sono sicuro perché la mia rete interna è configurata con release DHCP impostate tramite MAC (in modo da avere sempre gli stessi IP nei dispositivi che uso abitualmente).



Si può avere benissimo autenticazione a due fattori attiva e memoria di un dispositivo tramite il suo IP, come dico qui sopra, in pratica la due fattori è attiva per i dispositivi sconosciuti, ma viene disabilitata per quelli conosciuti. Che poi questo possa essere considerata una vulnerabilità in quanto un bravo hacker possa trovarvi una falla e riuscire a farsi scambiare per un dispositivo conosciuto non ci piove, ma non penso che sia molto facile. In ogni caso è un problema (vero, non placebo) in più da riuscire a superare, quindi sempre meglio che non averla.
Come dicevo prima però a volte si dimentica un dispositivo conosciuto e mi viene da pensare che non usi solo il riconoscimento tramite l'IP ma anche (o forse soprattutto) tramite qualche cookie o roba simile che lascia sul pc, perché ad esempio io entro con il mio browser (Safari) con la sola password perché già mi conosce, ma se apro una finestra in modalità anonima mi richiede il codice 2FA (ho fatto la prova ora prima di scrivere) . Probabilmente è per questo che ogni tanto si dimentica, perché il browser magari cancella il file (ma io non ho routine che cancellano periodicamente i cookie), oppure semplicemente perché è impostato (ma mi pare che non sia modificabile) che anche un dispositivo conosciuto dopo un tot di tempo debba rifare la 2FA, per sicurezza aggiuntiva.

La password viene ricordata per 15 giorni, è sempre stato cosi se non sbaglio

[teo180]

Quote:

Originariamente inviato da glaucos

In teoria hai ragione, ma in pratica ogni tanto dimentica lo stesso il dispositivo anche se ha sempre lo stesso IP, di questo sono sicuro perché la mia rete interna è configurata con release DHCP impostate tramite MAC (in modo da avere sempre gli stessi IP nei dispositivi che uso abitualmente).



Si può avere benissimo autenticazione a due fattori attiva e memoria di un dispositivo tramite il suo IP, come dico qui sopra, in pratica la due fattori è attiva per i dispositivi sconosciuti, ma viene disabilitata per quelli conosciuti. Che poi questo possa essere considerata una vulnerabilità in quanto un bravo hacker possa trovarvi una falla e riuscire a farsi scambiare per un dispositivo conosciuto non ci piove, ma non penso che sia molto facile. In ogni caso è un problema (vero, non placebo) in più da riuscire a superare, quindi sempre meglio che non averla.
Come dicevo prima però a volte si dimentica un dispositivo conosciuto e mi viene da pensare che non usi solo il riconoscimento tramite l'IP ma anche (o forse soprattutto) tramite qualche cookie o roba simile che lascia sul pc, perché ad esempio io entro con il mio browser (Safari) con la sola password perché già mi conosce, ma se apro una finestra in modalità anonima mi richiede il codice 2FA (ho fatto la prova ora prima di scrivere) . Probabilmente è per questo che ogni tanto si dimentica, perché il browser magari cancella il file (ma io non ho routine che cancellano periodicamente i cookie), oppure semplicemente perché è impostato (ma mi pare che non sia modificabile) che anche un dispositivo conosciuto dopo un tot di tempo debba rifare la 2FA, per sicurezza aggiuntiva.

Io di solito li imposto su connessione https su porta standard e una discreta password di accesso.
Sui miei nas personali ho una vpn impostata ma non la uso quasi mai per connettermi al nas, se non in casi in cui mi collego da connessioni dubbie.
Una volta impostato i filtri per nazione e il blocco tentativi di accesso (solitamente imposto 3 in un minuto) vivo tranquillo su tutti i nas che gestisco.
Hanno anche le porte ssh attive esposte (su porta non standard per il controllo risorse remoto).
Ogni tanto vedo dei bruteforce quando beccano la porta, in quel caso è sufficiente bloccare temporaneamente o spostare su un altra porta esterna.
Penso che se ci fosse una fuga di dati storati sul nas sia a causa dei dispositivi all'interno della rete che abbia accesso alle cartelle condivise, piuttosto che per colpa del nas stesso.

[\_Davide_/]

Quote:

Originariamente inviato da DIDAC

Comunque dalla home Page di quick connect ho provato qualche volta a digitare dei nomi a caso ed accedevo alla schermata di ingresso del Nas di qualcuno.

Mai abilitata, solo VPN e nas chiuso alla sola rete locale.

Quote:

Originariamente inviato da teo180

Penso che se ci fosse una fuga di dati storati sul nas sia a causa dei dispositivi all'interno della rete che abbia accesso alle cartelle condivise, piuttosto che per colpa del nas stesso.

Ecco perché ha più senso proteggere a dovere l'intera rete, invece di focalizzarsi sul singolo dispositivo

[DIDAC]

Anche io ho messo il blocco ip ogni 3 tentativi in un minuto, ma poi non ho mai trovato nessun tentativo.
Ssh lo tengo disattivato, però Teo dopo l'ultimo utente con partizione piena mi hai fatto venir voglia di riattivarlo.
Quick connect attivo da sempre ( ci passano tutte le app mobile e funziona bene).
Il Nas segnala comunque collegamenti sospetti, col fatto che sono all'estero e ho sim Fastweb (che viene vista come svizzera) una volta mi son connesso via 4g ma come collegamento è stato visto come se vi accedessi da altro paese e sono scattate un sacco di segnalazioni nel Nas.
Sulla uscita di informazioni dal PC che si collega al Nas, credo che il pericolo si possa limitare anche impostando utenze ristrette che si collegano a al Nas da Windows. Ad esempio l'utenza di mio figlio (win) ha mappato sulle risorse solo la cartella delle sue foto che è l'unica a cui ha accesso. Se un attacco entra con utenza win di mio figlio per poi accedere completamente al Nas dovrebbe conoscere utenza, password e token dell'amministratore.
Inoltre mi pare di aver disabilitato i servizi di connessione, credo che accederebbe comunque solo alle cartelle condivise in drive e a foto, avevo fatto delle prove mesi fa ma adesso giustamente non mi ricordo più bene se era così, un classico per me

[\_Davide_/]

A chi interessasse avvicinarsi, io sto usando con soddisfazione la VPN Wireguard, che si integra perfettamente con iOS e MAC al contrario di Open VPN che è più macchinoso.
Non essendo supportata nativamente l'ho installata su una VM Ubuntu, sempre sul NAS.

[HSH]

qualcuno col 918+ ha fatto manualmente il famoso update o state tutti aspettando che esca in automatico?

[burghy]

domani è la giornata mondiale del backup. spero che i partecipanti di questa chat siano pronti a festeggiare.

Inviato dal mio SM-G930F utilizzando Tapatalk

[supertopix]

Quote:

Originariamente inviato da burghy

domani è la giornata mondiale del backup. spero che i partecipanti di questa chat siano pronti a festeggiare.

Inviato dal mio SM-G930F utilizzando Tapatalk

Io aspetto quella del Raid 😜

[HSH]

Quote:

Originariamente inviato da burghy

domani è la giornata mondiale del backup. spero che i partecipanti di questa chat siano pronti a festeggiare.

Inviato dal mio SM-G930F utilizzando Tapatalk

ma si sa che basta avere un NAS in raid per avere il backup

[\_Davide_/]

Quote:

Originariamente inviato da HSH

ma si sa che basta avere un NAS in raid per avere il backup

Spero sia una battuta

[HSH]

dalle 3 faccine speravo si intuisse l'ironia