Jak zabezpečit NAS

[Frenclak]

Zdravím, mám postavený NAS server ze starého PC, postavený na Synology softwaru, který slouží pro ukládání fotek, videí, dokumentů, filmů apod. Mám ho připojený přes veřejnou IP, pro webové rozhraní NASu mám Self signed ssl. Řeším jak ho efektivně zabezpečit. Doma se do něj připojuji jako na síťový disk ve Windows přes lokalni ip (192.168.x.x) a "venku" pouze přes veřejnou IP, na které mám povolené jen ty určité porty, tim se dostanu do weboveho rozhrani, kde muzu NAS nastavovat a taky je tam jakýsi file manager. Na NASu mám zapnutý firewall a zakazane ftp, ssh a další věci co nepotřebuji. Jak ho zabezpečit a jak udělat, abych na něj mohl přistupovat z venku? Když ve Windows zadám při připojení síťového disku místo lokální ip, veřejnou, tak se to nepřipojí, webové rozhraní ale jde jak přes lokální, tak přes veřejnou. Může mi prosím někdo poradit jak na něj nejlépe přistupovat z venku a jak to zabezpečit? A to spojení přes webové rozhraní je šifrované? Když mám jen self singed ssl? U chromu mi to píše, že je web nebezpečný a certifikát neplatný.

Děkuji za případně rady.

[Doggg]

1) chrome to hlásí právě proto, že je selfsigned - pro chrome tedy neduveryhodna autorita. Sifrovane to je. Pokud bys chtěl můžeš si zaplatit důvěryhodný certifikát (imho zbytečné) a pak to říkat nebude. Nicméně je potřeba pochopit, že sifrovane spojení znamená, že se sifruje ten přenos, ne že kdokoli se znalostí tvé IP adresy nemůže zkoušet zadávat hesla / využít nějakou slabinu sw, který na nasu běží (instalace nějakého ransomware)

2) pokud to z nějakého velmi velmi velmi dobrého důvodu nepotřebuješ, neměl bych nas z internetu dostupnou a už vůbec ne přes webové rozhraní. Navíc na něčem co nějaké kopíruje / reverzne inzenyruje synology dsm (what ever that means)

3) pokud to opravdu chceš mít z venku dostupné, tak pouze přes VPN s tím že jakýkoli přístup mimo vpn / interní síť bude zakázán (at uz smb nebo web). A ještě idealneji bych ten vpn server neměl na stejným boxu jako ten nas...

[Frenclak]

Dobře, takže pokud na serveru rozhodím VPN a ve firewallu zakážu přístup preš rozhraní tak by to mělo být relativně bezpečné? Jde to vůbec udělat, abych do webového rozhraní mohl přistupovat pouze přes lokalní IP? Mám to nasměrované přes tu veřejnou IP na určité porty (1 port pro http, který se přesměruje na 2 port https) a to VPN bych měl zprovoznit jak? Povolit port 1194/UDP pro OpenVPN a ten VPN mi vytvoří svojí síť ne? Jak potom budu k serveru přistupovat? Pod jakou IP? Bude to přístupné i z mobilu? Co ty dva povolené porty pro web? nechat je povolene, ne bo odstranit?

[Doggg]

Nevím jak ten tvuj systém ale standardní synology musíš naopak přístup na webové rozhraní z internetu explicitně povolit. Takže to by mělo jít vypnout v pohodě.

Ano vpn a podle protokolu povolit porty na routeru...a všechno ostatní bych zakázal.

Jen tak pro zajímavost - proč tam vůbec potřebuješ z internetu přistupovat?

[Frenclak]

Tak port mam povolený a snažím se připojit na server pomocí OpenVPN GUI, ale moc se mi nedaří .. pořád mi to píše v GUI při pokusu o připojení: SIGUSR1[soft,tls-error] received, process restarting a připojení se zrestartuje.. na webu můžu videť na VPN serveru OpenVPN kolik je připojeno uživatelé a já tam jsem pokaždé tak minutu a pak to vypadne a znovu se GUI připojuje.. nevíte co s tím? připojím se tam, ale tak na minutu.. a potom jak poznám že je to připojené respektivě jak to potom mám používat?

Edit. potřebuji tam přistupovat z internetu protože často cestuji i s více zařízeními a potřebuji mít dostupné určité dokumenty kdekoliv budu

[Doggg]

ad VPN najdi si nějaký návod pro svou kombinaci OS a HW a podle toho to nastav

ad přístup: zvaž jestli není bezpečnější toto řešit zpřístupněním přes nějaký dropbox (a podobné), které to budou synchronizovat do toho nasu (závisí na tom kolik těch dokumentů máš), je to pořád bezpečnější než to mít vystavené do netu (a navíc mít třeba povoleného roota nebo jiného vysoko privilegovaného uživatele)...

[Frenclak]

Tak Dropbox jistě bezpečnější v určitých ohledech bude, ale pro mé potřeby je k nepoužití, proto řeším jak bezpečně přístupovat k NASu Jelikož zatím to mám přes veřejnou IP a porty přímo přesměrované na adresu NASu tak chápu, že to není úplně bezpečné řešení (ikdyž je tedy šifrované přes SSL) proto se to snažím nějak vyřešit alespoň přes to VPN připojení (což se mi teda moc nedaří )