Synology NAS SFTP veilig zonder VPN?

[Jeffcoboy]

Beste forumleden.

Ik heb een vraag over een Synology NAS waar data opstaat die op afstand zou moeten kunnen benaderd worden.
Omdat we hier met een public IP hebben dat soms veranderd heb ik hierop een DDNS ingesteld.
Nu was mijn vraag of het veilig genoeg is om hier een SFTP verbinding te maken zonder VPN tunnel.

Voor zo ver ik weet is SFTP encrypted, dus ik vermoed van wel.
Is het dan ook beter om een andere poort te gebruiken dan de standaard 22?
Ook zou ik het besturingssyteem van de NAS op afstand willen benaderen via poort 5001.

Ik heb alles ingesteld en het werkt allemaal wel. Ik zou enkel willen weten of dit veilig is.

Alvast bedankt!

 

[Aar]

Het veiligste is en blijft een VPN.

 

[puppie]

en voor meer informatie zou je hier eens kunnen kijken https://www.synology-forum.nl/

 

[Rubensky]

Een andere poort gebruiken dan 22 is sowieso verstandig.
Het veiligste is inderdaad een VPN. Die moet dan niet op dezelfde NAS draaien, want dan daalt de veiligheid weer.

 

[RogerS]

Je kunt een Synology account maken en dit aan je NAS koppelen. Als je de juiste vinkjes zet dan kun je het ding ook op afstand beheren.

Bestanden zijn dan benaderbaar via Synology Drive Client.

Aandachtspunten vwbt veiligheid:
-Omdat je NAS van buitenaf benaderbaar is, gebruik voldoende moeilijke wachtwoorden voor de admin EN gebruikers
-Zet encryptie aan op de gedeelde mappen. De encryptiesleutel niet door Synology laten opslaan
-Zorg voor een goede backup van de NAS

 

[route99]

Met zoveel extra maatregelen wordt een "losse/aparte" VPN nog aantrekkelijker... Zo'n VPN kun je ook nog voor ander zaken gebruiken. Met een VPN zie ik geen noodzaak meer om diverse zaken van de NAS naar buiten/binnen te laten gaan en al helemaal niet mijn NAS aan een ander koppelen, in dit geval het bedrijf Synology.
Welk probleem los je nu met die genoemde route met die extra "opties" op als het via een VPN ook goed gaat?

 

[RogerS]

Ik geef alleen opties. Verder is het aan de vragensteller om te kiezen welke oplossing voor hem/haar het beste werkt.

Verder zijn encryptie op je NAS en een goede backup ook adviezen die gelden als je via een VPN binnen komt.

Daarnaast. Een beetje afhankelijk van waar de vragensteller precies SFTP voor nodig heeft. Als het gaat om bestanden te benaderen die op de NAS staan dan kun je er op wachten tot er data kwijt raakt. Tenzij je client-side een boel gaat inrichten zodat de SFTP map ook gelijk via verkenner te benaderen is. Ervaring leert dat dit een boel gedoe kan geven met bestanden die overschreven worden door een oude versie of bestanden die vergeten worden om te uploaden.

 

[puppie]

gebruik quick connect zit in de software van synology.
Niks poortjes openzetten wel een sterk ww gebruiken.

 

[route99]

Het kan een principiële keuze zijn om geen verkeer via een derde partij te laten gaan als het eigenlijk heel simpel kan via een eigen VPN: Een RPI o.i.d. is een prima en betaalbaar alternatief te verkiezen de VPN op de NAS te laten werken. Het is niet een eerste keer dat zo'n partij gehackt is. Het zal niet meteen een ramp zijn, maar als je die weg niet kiest weet je dat echt 100% zeker.
Een sterk wachtwoord is altijd aan te raden, hoe de verbinding ook verloopt.

 

[Jeffcoboy]

Het is de bedoeling dat op afstand de NAS inderdaad via verkenner als netwerkschijf word gekoppeld, dat lijkt me niet mogelijk met quickconnect.

 

[Aar]

Het is de bedoeling dat op afstand de NAS inderdaad via verkenner als netwerkschijf word gekoppeld, dat lijkt me niet mogelijk met quickconnect.

Dan zeg ik: VPN

 

[RogerS]

Het is de bedoeling dat op afstand de NAS inderdaad via verkenner als netwerkschijf word gekoppeld, dat lijkt me niet mogelijk met quickconnect.

Ik schreef eerder dat je dan de Synology Drive Client moet installeren. Dan werkt het prima via verkenner.

 

[route99]

Synology Drive Client zal best lokaal via de Verkenner werken, maar er valt hierboven te lezen dat het opstand moet kunnen, dus een combi met VPN?

Het is de bedoeling dat op afstand de NAS inderdaad via verkenner als netwerkschijf word gekoppeld, dat lijkt me niet mogelijk met quickconnect.

Synology schrijft zelf dat je de VPN daarvoor nodig hebt maar je kunt ook een andere eigen VPN gebruiken.
https://www.synology.com/nl-nl/releaseNote/VPNCenter

VPN Server beschikt over een eenvoudige VPN-oplossing die van uw Synology-product een VPN-server maakt en u toelaat om op afstand een veilige verbinding te maken met een privé-LAN. Alle PPTP-, OpenVPN- en L2TP/IPSec-services worden ondersteund.

Als dat met Synology Drive Client gekund had, was een VPN-server toch niet meer nodig geweest?
Kan het niet checken hier, maar zit ik er naast? Dan leer ik weer bij....

 

[RogerS]

Gebruik het op deze manier bij meerdere klanten en dat werkt prima zonder VPN. En als je er ook nog een driveletter aan wilt hangen, kan dat ook nog door bijv. het gebruik van Raidrive.

 

[RogerS]

Niet alles wat op de Synology draait is benaderbaar via Quickconnect, dus in die gevallen heb je een VPN nodig.

Dan kun je nog kiezen tussen een VPN rechtstreeks op de Synology. Moet dus ook via een Synology account, of je moet een VPN willen tunnelen over je eigen router. Een eigen VPN op je router of via een eigen VPN server vergt meer kennis. Vaak gebaseerd op OpenSSL en laat daar nou net vaker beveiligingslekken in worden gevonden. Dus of je echt veiliger bent met deze oplossing dan via een Synology account is nog maar de vraag. Zeker voor mensen die niet thuis zijn in beveiliging en netwerken.

Bij gebruik van een VPN kun je natuurlijk rechtstreeks de gedeelde mappen bereiken via verkenner. Daar is geen Drive Client voor nodig.

 

[route99]

Het voordeel van Open Source software zoals OpenSSL is imho dat er in iig openbaar aan de vulnerabilities gewerkt wordt en er patches of tips komen. https://snyk.io/blog/breaking-down-openssl-vulnerability/

Ik weet niet hoe open Quickconnect is, dus dan zou je daar eigenlijk veel meer risico kunnen lopen, bij gebrek aan transparantie. Dus laat iedereen maar zelf kiezen.

Het gebruik van een VPN heeft alle voordelen die je thuis ook al hebt zonder VPN, das een inkopper.
Dus je hebt geen andere software nodig om via een VPN alles te doen wat je thuis al kon, dus ook minder risico, immers een of meerdere schakels minder.

 

[RogerS]

Ik ken maar weinig mensen die de hele broncode van een stuk open source gaan doorspitten. Was er niet laatst een groot probleem bij een kleine library. Dat had toch moeten opvallen. Dus dat "open" is deels een vals gevoel van veiligheid.

Verder gaat je data niet via de servers van Synology. Enkel de verbinding wordt initiëel opgezet via die servers. Dat scheelt een boel geconfigureer aan de kant van de gebruiker. En die code is niet openbaar nee. Maar ik geloof wel in de zakelijke belangen van bedrijven. Die Quickconnect is een gratis dienst en kost dus alleen maar geld. Als je alle verkeer via quickconnect zou willen laten lopen dan heb je een heel veel grotere (en dus duurdere) infrastructuur nodig. Daarnaast is er voor Synology niet heel veel te halen als ze je documenten kunnen inzien. Dit in tegenstelling tot bijv. een Facebook, WhatsApp. Zij hebben commercieel voordeel van inzage in de data. Daar is mijn vertrouwen dus ook een stuk lager.

 

[route99]

De TS kan het antwoord hopelijk snel geven hoe het gelukt is en er hopelijk een tevreden veilige remote verbinding mee kan opzetten.

 

[Jeffcoboy]

Bedankt voor jullie mening hierover. Ik ga even rustig uitzoeken hoe ik dit best kan aanpakken.
Met deze antwoorden kan ik zeker verder, ik hou jullie op de hoogte!

Mvg

 

[Jeffcoboy]

Zijn er hier mensen die ervaring hebben met Tailscale?