[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[DIDAC]

Assolutamente sicuro.
La cosa è davvero strana.
Ma chi cavolo può prendere il .61?

[Katsaros]

Quote:

Originariamente inviato da supertopix

Cancellata e reinstallata su iPhone. Ora funziona.

Grazie della dritta, ho fatto così e ora funziona anche sul mio iPad.

L'app "Download Station (DS) Mobile" per iOS invece mi è stata poco utile: ok in locale ma non da remoto (da fuori non uso DSM quindi tengo chiusa porta 5001, non uso VPN e l'app non supporta QuickConnect).

[teo180]

Ma perchè utilizzate quickconnect se avete modo di aprire le porte sul router?
Solitamente Quickconnect lo utilizzo come ultima spiaggia, ad esempio da alcuni clienti che utilizzano connessioni nattate dove altrimenti è impossibile raggiungere il nas, o dove si hanno firewall con balancing o active backup dove cambiano spesso connettività.
A parte questi casi non trovo vantaggi nell'usarlo, anche perchè passano per server situati chissà dove, oltre a rendere il collegamento più instabile e dipendente da un server terzo, non è conosciuto quanto siano sicuri.

[Okkaido]

Quote:

Originariamente inviato da glaucos

Chiedo scusa, non avevo pensato che su dispositivi diversi potessero esserci opzioni diverse

Ma no figurati ci mancherebbe anzi grazie lo stesso per la tua risposta.

[\_Davide_/]

Quote:

Originariamente inviato da teo180

A parte questi casi non trovo vantaggi nell'usarlo, anche perchè passano per server situati chissà dove, oltre a rendere il collegamento più instabile e dipendente da un server terzo, non è conosciuto quanto siano sicuri.

Quindi pensi che il firewall integrato nel router domestico (a cui aggiungi una eccezione) sia più sicuro di un servizio gestito da una azienda multinazionale?

Un conto è se mi dici che una VPN, per questioni di privacy, è meglio rispetto alle altre soluzioni, ma aprire le porte non è contemplato da almeno 10 anni se non con le dovute precauzioni che su modem domestici non si possono prendere.

Pensa che più della metà degli attacchi informatici del 2019 in ambito enterprise sono partiti verso porte aperte verso RDP.

[Katsaros]

Quote:

Originariamente inviato da teo180

Ma perchè utilizzate quickconnect se avete modo di aprire le porte sul router?
Solitamente Quickconnect lo utilizzo come ultima spiaggia, ad esempio da alcuni clienti che utilizzano connessioni nattate dove altrimenti è impossibile raggiungere il nas, o dove si hanno firewall con balancing o active backup dove cambiano spesso connettività.
A parte questi casi non trovo vantaggi nell'usarlo, anche perchè passano per server situati chissà dove, oltre a rendere il collegamento più instabile e dipendente da un server terzo, non è conosciuto quanto siano sicuri.

Nel mio caso come ho detto ho disabilitato le autorizzazioni a "Condivisione file" e DSM per QuickConnect, che quindi uso solo per le applicazioni mobili. Se queste usano SSL credo che il relay server non possa decriptare dati e agisca solo da passthrough TCP. La connessione al relay server viene iniziata dal NAS stesso, invece non so se esporre porte direttamente dal router sia sempre più sicuro. Inoltre le app mobili memorizzano un solo profilo di connessione che con il QuickConnect ID non necessita cambi e può funzionare tanto da remoto quanto da LAN (routing locale). Non sempre è così con la porta aperta su router perché non tutti i router supportano il NAT loopback lasciando quindi usare il nome DDNS localmente.

[teo180]

Quote:

Originariamente inviato da \_Davide_/

Quindi pensi che il firewall integrato nel router domestico (a cui aggiungi una eccezione) sia più sicuro di un servizio gestito da una azienda multinazionale?

Un conto è se mi dici che una VPN, per questioni di privacy, è meglio rispetto alle altre soluzioni, ma aprire le porte non è contemplato da almeno 10 anni se non con le dovute precauzioni che su modem domestici non si possono prendere.

Pensa che più della metà degli attacchi informatici del 2019 in ambito enterprise sono partiti verso porte aperte verso RDP.

Direi che cambia poco, un firewall è un firewall, non è nemmeno da bypassare se si conosce la porta del nas.
In entrambi i casi si ha a che fare con le credenziali di accesso di dsm

[recluta]

Quote:

Originariamente inviato da teo180

In entrambi i casi si ha a che fare con le credenziali di accesso di dsm

sarebbe, quindi, riduttivo (ed errato) dire che sarebbe quindi "sufficiente", avere l'account admin disattivato, utilizzare un altro nome come admin ed una password forte?

grazie

[teo180]

Quote:

Originariamente inviato da recluta

sarebbe, quindi, riduttivo (ed errato) dire che sarebbe quindi "sufficiente", avere l'account admin disattivato, utilizzare un altro nome come admin ed una password forte?

grazie

No non è riduttivo, se correttamente configurato anche utilizzando l'account admin la cosa è piuttosto sicura, basta utilizzare l'autenticazione a 2 fattori e anche se utilizzato con admin non ci sono pericoli particolari.
Basta impostare il ban dell'ip che tenta l'accesso ogni pochi tentativi al minuto per farlo fuori, ecco che se arrivano numerose notifiche di attacco di questo tipo allora occorre prendere qualche provvedimento o cambiare ip (se si tratta di ip pubblico) o cambiare porta negli altri casi.
Certo che, se come Qnap ci sono falle di sistema, tutto ciò, è inutile, cosi come quickconnect, e allora si che in quel caso la cosa più sicura è quello di non esporlo pubblicamente, ma in quel caso si tratta unicamente di un nas che non fornisce servizi all'esterno della propria rete locale.

[Katsaros]

Quote:

Originariamente inviato da teo180

in quel caso la cosa più sicura è quello di non esporlo pubblicamente, ma in quel caso si tratta unicamente di un nas che non fornisce servizi all'esterno della propria rete locale.

mah, dipende... ci sono sfumature intermedie: non vedo tutta questa necessità di fare amministrazione di un NAS casalingo da remoto, per cui non espongo la porta DSM (https) e non uso nemmeno VideoStation e PhotoStation; ma due porte per SFTP e server IMAP (SSL/TLS) invece sì, sono servizi che mi servono.

[Totix92]

Dipende insomma, se lo si usa solo da rete locale allora vabbè, chissenefrega si quickconnect e roba simile.
Ma se come me ci si accede da remoto usando vari servizi, specie da connessioni nattate allora serve.
Per esempio io uso molto le applicazioni mobile, quasi tutte, oltre che altre che mi fanno il backup di varie cose dello smartphone, anche da remoto, anche un PC che da un altra linea esegue piccoli backup.

[\_Davide_/]

Quote:

Originariamente inviato da teo180

Direi che cambia poco, un firewall è un firewall, non è nemmeno da bypassare se si conosce la porta del nas.
In entrambi i casi si ha a che fare con le credenziali di accesso di dsm

Un firewall non è un firewall: dai tempi in cui aprivano e chiudevano le porte sono esistiti altri 3 tipi di fw, l'ultimo dei quali ha prezzi impensabili per utenti domestici.

È sbagliato pensare che l'unico attacco possibile sia quello verso le credenziali di accesso: penso che mettersi a consigliare soluzoni del genere ad altri utenti sia un po' azzardato

Da anni non si usa più aprire porte dirette verso la stessa interfaccia di rete che viene usata per l'accesso locale di device fisici in quanto gli attacchi possibili sono infiniti e una vulnerabilità del DSM potrebbe esporvi esattamente come una vulnerabilità sui server di Quickconnect.

Quote:

Originariamente inviato da teo180

Certo che, se come Qnap ci sono falle di sistema, tutto ciò, è inutile, cosi come quickconnect, e allora si che in quel caso la cosa più sicura è quello di non esporlo pubblicamente, ma in quel caso si tratta unicamente di un nas che non fornisce servizi all'esterno della propria rete locale.

Ripeto: mai sentito parlare di VPN? (Oltretutto servizio integrato sul DSM?)

Gli attacchi brute force e/o DoS sono roba di 20anni fa, ancora presenti (provate ad esporre qualsiasi porta standard su qualsiasi IP per una giornata e controllate per credere), ma sono solo una minima parte degli attacchi possibili ad oggi.

Quickconnect e porte aperte si equivalgono sul fronte della sicurezza in quanto la sicurezza è sempre da Synology, mentre in VPN si stabilisce un tunnel criptato tra il vostro device remoto ed il NAS, che se configurato a dovere è impossibile da intercettare.

[DIDAC]

Ma con i miliardi di connessioni attivi ogni secondo, proprio la mia devono "spiare"?
C'hanno proprio una '@zzo da fare!
Scherzi a parte io la VPN non la ho ancora attivata, devo studiarmela un po' perché non faccio parte degli utenti "avanzati".
Però ammetto che, dato che per attivare una VPN devo attivare il servizio DNS per il quale serve utenza ed ENNESIMA password e al momento non mi sembra possa essere fatta con Synology con sicurezza doppio passo questa utenza DNS, da una parte creo la VPN ultra sicura, ma dall'altro aggiungo un altro anello debole in fatto di password. Oppure mi sbaglio?
Perdonate la mia scarsa conoscenza

[\_Davide_/]

Se ti riferisci al DDNS serve solo ad associare un hostname al tuo IP pubblico qualora tu non ne abbia uno di tipo statico.

Sul punto di vista della sicurezza non cambia nulla, puoi farlo dal DSM o da qualsiasi altro device sulla rete e si tratta di un servizio che monitora il tuo IP pubblico e ogni qualvolta cambia comunica ai server DNS che 123.123.123.123 = miodominio.estens.it

Per la prima frase, non è che si mettono a sniffare proprio la tua, ma lanciano scansioni a caso su tutti gli IP per vedere dove trovano porte aperte.

[teo180]

Quote:

Originariamente inviato da Katsaros

mah, dipende... ci sono sfumature intermedie: non vedo tutta questa necessità di fare amministrazione di un NAS casalingo da remoto, per cui non espongo la porta DSM (https) e non uso nemmeno VideoStation e PhotoStation; ma due porte per SFTP e server IMAP (SSL/TLS) invece sì, sono servizi che mi servono.

Tu no, io lo uso per consultare i miei file e documenti da remoto, ad esempio.
Il tuo mail server esposto, è rischioso più che lasciare aperta la 5001 ad esempio, dato che la porta 25 è credo una delle porte piu martellate da uno che attacca sulle porte pubbliche.

[teo180]

Quote:

Originariamente inviato da \_Davide_/

Un firewall non è un firewall: dai tempi in cui aprivano e chiudevano le porte sono esistiti altri 3 tipi di fw, l'ultimo dei quali ha prezzi impensabili per utenti domestici.

È sbagliato pensare che l'unico attacco possibile sia quello verso le credenziali di accesso: penso che mettersi a consigliare soluzoni del genere ad altri utenti sia un po' azzardato

Da anni non si usa più aprire porte dirette verso la stessa interfaccia di rete che viene usata per l'accesso locale di device fisici in quanto gli attacchi possibili sono infiniti e una vulnerabilità del DSM potrebbe esporvi esattamente come una vulnerabilità sui server di Quickconnect.



Ripeto: mai sentito parlare di VPN? (Oltretutto servizio integrato sul DSM?)

Gli attacchi brute force e/o DoS sono roba di 20anni fa, ancora presenti (provate ad esporre qualsiasi porta standard su qualsiasi IP per una giornata e controllate per credere), ma sono solo una minima parte degli attacchi possibili ad oggi.

Quickconnect e porte aperte si equivalgono sul fronte della sicurezza in quanto la sicurezza è sempre da Synology, mentre in VPN si stabilisce un tunnel criptato tra il vostro device remoto ed il NAS, che se configurato a dovere è impossibile da intercettare.

Sicuramente una vpn è la cosa migliore da utilizzare sul fattore sicurezza, ma ciò ha dei piccoli limiti, che magari per non tutti risulta di comodo uso
Se ho occorrenza contattare il mio dispositivo su qualsiasi computer o dispositivo da qualsiasi parte del mondo dovrei installare una vpn su ognuno (e soprattutto ricordarmi di rimuoverlo poi), su molti dispositivi pubblici non è concesso installazione di software.

Altro esempio se usi moments, o il nuovo photos, dubito tu voglia attivare (o tenere sempre attiva una vpn) per vedere la tua galleria su smartphone

Quello che voglio dire è che una soluzione non è detto vada bene per tutti.

[DIDAC]

Quote:

Originariamente inviato da \_Davide_/

Se ti riferisci al DDNS serve solo ad associare un hostname al tuo IP pubblico qualora tu non ne abbia uno di tipo statico.

Sul punto di vista della sicurezza non cambia nulla, puoi farlo dal DSM o da qualsiasi altro device sulla rete e si tratta di un servizio che monitora il tuo IP pubblico e ogni qualvolta cambia comunica ai server DNS che 123.123.123.123 = miodominio.estens.it

Per la prima frase, non è che si mettono a sniffare proprio la tua, ma lanciano scansioni a caso su tutti gli IP per vedere dove trovano porte aperte.

Si mi riferisco al ddns perché ho io pubblico.
Quindi utenza e password per servizio ddns se capisco bene se violate non mettono a rischio il contenuto del Nas, giusto?

[\_Davide_/]

Quote:

Originariamente inviato da teo180

Sicuramente una vpn è la cosa migliore da utilizzare sul fattore sicurezza, ma ciò ha dei piccoli limiti, che magari per non tutti risulta di comodo uso
Se ho occorrenza contattare il mio dispositivo su qualsiasi computer o dispositivo da qualsiasi parte del mondo dovrei installare una vpn su ognuno (e soprattutto ricordarmi di rimuoverlo poi), su molti dispositivi pubblici non è concesso installazione di software.

Se accedi al NAS da dispositivi non tuoi decadono a quel punto tutti i discorsi sulla sicurezza e puoi solo sperare che ti vada bene, dato che potrebbe esserci sopra un po' di tutto.
Vero che non si può adattare a tutti, ma penso alla maggiorparte degli utilizzatori senza nemmeno complicare troppo la vita...

Quote:

Originariamente inviato da teo180

Altro esempio se usi moments, o il nuovo photos, dubito tu voglia attivare (o tenere sempre attiva una vpn) per vedere la tua galleria su smartphone

Io la VPN sul cellulare ce l'ho sempre attiva, in quanto uso anche altri servizi sulla mia LAN per lavoro e server DNS locali.

Stesso discorso su PC: puoi tranquillamente scegliere di ruotare attraverso la VPN solo il traffico diretto verso la tua LAN, uscendo direttamente su internet con il resto ed ottenendo lo stesso risultato dell'avere il NAS pubblico con il vantaggio di una sicurezza infinitamente maggiore e di poter raggiungere anche il resto della rete domestica.

Quote:

Originariamente inviato da teo180

Quello che voglio dire è che una soluzione non è detto vada bene per tutti.

Assolutamente: io ho sottolineato solo due errori:
1 - Quickconnect non è sensibilmente nè più nè meno sicuro dell'apertura delle porte, in quanto in entrambi i casi possono esservi falle su software Synology.

2 - Non è vero che un NAS senza porte aperte nè Quickconnect non possa essere raggiunto dall'esterno.

Se poi volessimo aggiungere un dettaglio su quanto detto da altri, il suggerimento di non usare l'account admin non è totalmente corretto come ha già detto @teo180: i problemi possono essere due:
- Le scansioni brute force partono su userid standard (admin, root, Administrator &co) ma vengono bloccate se si utilizzano password sufficientemente sicure.

- Il consiglio più importante è quello di usare, per gli accessi da remoto, un account senza i privilegi di amministrazione, ma con i minimi permessi necessari per fare quello che ci serve in modo da minimizzare i danni in caso di attacchi.

[DIDAC]

Il tuo consiglio finale Davide è quello che adotto sul PC.
Però con App del Cell diventa un po' una menata, cioè si perde un po' la praticità: sotto wifi dovrei usare un account e in rete mobile un altro, effettuando ogni volta dei login differenti.

[bigwillystyle]

Quote:

Originariamente inviato da DIDAC

Ma con i miliardi di connessioni attivi ogni secondo, proprio la mia devono "spiare"?
C'hanno proprio una '@zzo da fare!
Scherzi a parte io la VPN non la ho ancora attivata, devo studiarmela un po' perché non faccio parte degli utenti "avanzati".
Però ammetto che, dato che per attivare una VPN devo attivare il servizio DNS per il quale serve utenza ed ENNESIMA password e al momento non mi sembra possa essere fatta con Synology con sicurezza doppio passo questa utenza DNS, da una parte creo la VPN ultra sicura, ma dall'altro aggiungo un altro anello debole in fatto di password. Oppure mi sbaglio?
Perdonate la mia scarsa conoscenza

Tranquillo se ci sono riuscito io che sono una mezza sega… è una volta attivata sia su Mac/Pc e smartphone sei a posto. Più che altro ora che ho caricato il mio tera di file leggendo gli ultimi post mi state facendo un po’ paura ragazzi