Ciao a tutti, apro questo topic con una certa frustrazione, mi farebbe molto piacere leggere i vostri pareri.

Sono un utente "medio", non un tecnico informatico, ma nemmeno un totale inesperto.

Alcune settimane fa ho avvertito di acquistare un NAS, per fare poche semplici cose: archiviare file multimediali (foto e video principalmente) e vedere saltuariamente qualche film.
Il tutto con la possibilità di accedere sia dentro la mia LAN, sia fuori casa.
Ho acquistato un Synology DS220J, che funziona molto bene.

I "guai" sono arrivati quando, volendo connettermi al NAS da fuori la rete, mi è stato detto che sarebbero stato un gravissimo errore configurare l'apertura di di determinate porte del mio router allo scopo di consentirmi l'accesso e che avrei dovuto usare una VPN.

Non vi dico quanto abbia dovuto pensare per riuscirci.
Allora ieri, dopo una intera giornata di studio e tentativi, sono riuscito a collegarmi alla VPN.

In pratica quello che sbagliavo è che nella configurazione inserivo l'IP del NAS (o del router, avevo provato entrambi), mentre in realtà dovevo inserire il mio IP Pubblico (cosa che in nessuna guida veniva spiegato correttamente, forse non l'avrò capito a causa di altre mie lacune tecniche).

Ad ogni modo, posso dire di essere abbastanza sconsolato.
Non capisco se in giro per i forum c'è gente che è ormai tanto "psicologicamente coinvolta" da certi meccanismi, da esasperare (in buona fede, per carità) la propria percezione dei rischi e suggerire pratiche complesse e probabilmente sproporzionate rispetto ai risultati che si desidera ottenere.

D'accordo, ora che sono in VPN la navigazione è più sicura...ma davvero ne vale la pena?

Elenco di seguito il "prezzo" da pagare:

1) Avere una connessione più lenta.
Ho notato che in VPN la velocità scende di circa il 10%.

2) In NAS non va mai in ibernazione.
Il Pacchetto VPN Server viene indicato da Synology come uno di quelli che non fanno andare il NAS in ibernazione.

3) In generale: avere sempre una complicazione e un passaggio in più da fare.
Costantemente.
Dentro casa non mi serve stare in VPN, ma se esco devo ricordarmi di attivarla, altrimenti non accedo al mio NAS.
Se riavvio l'iPhone, la VPN di default non è attiva.
E' come avere un servizio in più che ti tiene sempre su "chi va là"..."avrò la VPN attiva??"

Perdo completamente quella fluidità e semplicità d'uso che cercavo.

Tirando le somme: ma serve davvero??

Per l'uso banalissimo che devo fare del mio NAS, occorre davvero che io mi faccia tutte queste complicazioni?

Non si tratta di pigrizia mentale: ho studiato, mi sono impegnato, sono riuscito a configurarla ed attivarla.

Ma mi "appensantisce" davvero, mentalmente.

Non potrei semplicemente accedere al mio NAS da remoto aprendo certe porte del router, come mi sembra facciano in tanti, continuando a dormire tranquilli?

Se tutto ciò vorrà dire aumentare dell'1% i rischi relativi alla sicurezza, ma nel 99% la fluidità e semplicità d'uso, mi assumerei volentieri quei rischi.

Vi ringrazio sin d'ora per il confronto.

Il discorso è lungo ed immenso, che non basterbbe un intero forum imho.
Ognuno ha giustamente le sue idee e decide consapevolmente (o meno) quali sono per lui i fattori di rischio ed eventualmente se accettarli o meno.

Il problema non è poi tanto aprire le porte, ma quali servizi ci sono dietro.

Per esempio se domani scoprono un mega bug sul tuo synologi per cui basta un niente per accederci e poi da li avere il controllo della tua rete, ecco questo potrebbe essere un problema.
Una VPN di certo alza il livello della sicurezza poichè interpone un ulteriore strato (e cifra anche quello che passa dentro).

Io personalmente il mio NAS non lo ho esposto verso l'esterno, però magari valuterei che lo stesso abbia meccanismi di sicurezza (tipo il ban dell'ip dopo troppi tentativi di accesso) o anche che sia costantemente aggiornato o magari la login page sia in https.

Magari nel tuo caso ti suggerisco di valutare che la VPN non la possa fare il tuo router: magari migliori le prestazioni e il tuo nas può finalmente andare in ibernazione.

Dopodichè se vuoi invece togliere questa vpn, io personalmente
- metterei il nas in ascolto su una porta diversa dalla 443 (https) e disabiliterei la 80 (o piuttosto faccio nattare il router).
- mi terrei aggiornato da synologi se ci sono update o security bug
- ogni tanto darei un occhio ai log per vedere se ci sono tentativi di accesso..

Dopodichè se i dati sono particolarmente riservati (capiamoci "blink blink blink") magari li salvereti cifrati e non in chiaro.

Ma questo, come detto sopra, sono mie idee..

Ciao Kaya, grazie per il commento.

Per il mega bug, penso di poter affrontare il rischio.
Ci sono milioni di utenti Synology che non usano il VPN.
Si tratta di un'azienda seria, preferisco fidarmi piuttosto che ammattire dietro configurazioni da farmi girare la testa.

Venendo agli aspetti "pratici", riguardo ai tuoi consigli:

- metterei il nas in ascolto su una porta diversa dalla 443 (https) e disabiliterei la 80 (o piuttosto faccio nattare il router).

Purtroppo le mie conoscenza non mi consentono di comprendere niente di quello che hai scritto.
Cosa vuol dire mettere un NAS in ascolto?
Perché il mio è sulla porta 443? Lo è di default?
Come si disabilita la 80? Perché farlo? Che vuol dire nattare un router?

- mi terrei aggiornato da synologi se ci sono update o security bug
Ok.

- ogni tanto darei un occhio ai log per vedere se ci sono tentativi di accesso..
Ok.

Come ti è stato giustamente detto, il discorso è ampio.
Personalmente non terrei mai un nas esposto su internet, amenochè i dati non siano sacrificabili e non personali.
Parti dal presupposto che facendo quello che vuoi fare, qualcuno potrebbe riuscire ad accedere e cancellarti ad esempio tutti i dati, o peggio, appropriarsene.
È un rischio accettabile per te? Se la risposta è si, allora puoi fare a meno della vpn.

Io farei una distinzione tra l'utente casalingo e l'utente che agisce per esigenze professionali. Il marketing di tante case produttrici di hardware elogia e magnifica taluni servizi, e il vpn è tra i primi della lista. Con il risultato che viene creato un bisogno (il vpn, appunto) ed utenti che non ne avrebbero in realtà avuto bisogno invece se ne sono dotato perché lo percepivano come indispensabile. Sei tu a dover valutare bene la tua situazione e decidere se la vpn sia nel tuo caso così necessaria. Tempo fa una persona mi ha chiesto di impostare una vpn per casa sua, perché quando era in viaggio all'estero voleva poter accedere al pc di casa per aggiornare i files che modificava sul notebook che portava con sé... in pratica ciò che gli serviva davvero era sincronizzare la cartella Documenti tra notebook e desktop. Io ho risposto: "Una vpn, eh?" e gli ho installato Syncthing. L'utente è stato felicissimo di tale soluzione. Sebbene si possa dire che nel suo caso sarebbe stato sufficiente un banale DropBox o similare :D

Come ti è stato giustamente detto, il discorso è ampio.
Personalmente non terrei mai un nas esposto su internet, amenochè i dati non siano sacrificabili e non personali.
Parti dal presupposto che facendo quello che vuoi fare, qualcuno potrebbe riuscire ad accedere e cancellarti ad esempio tutti i dati, o peggio, appropriarsene.
È un rischio accettabile per te? Se la risposta è si, allora puoi fare a meno della vpn.

Il punto è proprio questo: non posso valutare la accettabilità del rischio finché non comprenderò bene l'entità dei rischi stessi.

In altre parole: devo fare una determinata cosa perché me lo dice un utente su internet o la devo fare perché ne ho compreso il senso (magari aiutato da quell'utente a cui ho chiesto supporto) e ho preso coscientemente una decisione?

Faccio un esempio banale: se devo fare una pedalata su una strada asfaltata e chiusa al traffico, non mi metto caschetto, ginocchiere e protezioni varie.
Se devo fare trekking per terreni sconnessi con un mountain bike, mi proteggo.

Poi c'è gente che si protegge integralmente anche per la pedalata semplice su strada asfaltata e chiusa al traffico: vuol dire che è disposta a sacrificare alcune comodità e praticità, sull'altare della massima sicurezza possibile.

Tornando a noi, io non sono in grado di capire quale sia il livello di rischio, se uso il NAS senza impostare VPN.

Ad esempio: è lo stesso rischio che si ha utilizzando una semplice casella di posta protetta semplicemente da user e password?

Oppure è come se quella casella non avesse una password e basta conoscere il nome utente per entrarci, per chiunque?

Tra le due condizioni c'è una significativa differenza, in quanto nel primo caso devo trovare il modo da scardinare una protezione, se pur bassa; nel secondo caso chiunque entra senza alcun tipo di impedimento.

Quello che mi è stato detto, in buona sostanza è: usa VPN, è già sicuro, diversamente i tuoi dati saranno esposti.

Ma esposti a chi? A quale tipo di accesso? Se tu volessi potresti entrare nel mio NAS e vedere i miei dati?
O dovrei subito un complesso attacco informatico da parte di hacker professionisti?

Ho bisogno di capire queste cose, per rendermi conto del grado di pericolosità di certe configurazioni e del grado di sicurezza che meglio si adatterà alle mie esigenze.

Io farei una distinzione tra l'utente casalingo e l'utente che agisce per esigenze professionali. Il marketing di tante case produttrici di hardware elogia e magnifica taluni servizi, e il vpn è tra i primi della lista. Con il risultato che viene creato un bisogno (il vpn, appunto) ed utenti che non ne avrebbero in realtà avuto bisogno invece se ne sono dotato perché lo percepivano come indispensabile. Sei tu a dover valutare bene la tua situazione e decidere se la vpn sia nel tuo caso così necessaria. Tempo fa una persona mi ha chiesto di impostare una vpn per casa sua, perché quando era in viaggio all'estero voleva poter accedere al pc di casa per aggiornare i files che modificava sul notebook che portava con sé... in pratica ciò che gli serviva davvero era sincronizzare la cartella Documenti tra notebook e desktop. Io ho risposto: "Una vpn, eh?" e gli ho installato Syncthing. L'utente è stato felicissimo di tale soluzione. Sebbene si possa dire che nel suo caso sarebbe stato sufficiente un banale DropBox o similare :D

Grazie a Dio Dirac!!!
Hai capito perfettamente quello che voglio dire: cerco la soluzione adatta alle mie esigenze!
Senso della misura vuol dire trovare soluzioni diverse in base ai bisogni, non trovare sempre la soluzione migliore teoricamente possibile.

Per far ciò, come ho spiegato meglio nel post precedente, ho bisogno di comprende certi meccanismi e rischi.

Ho fatto domande specifiche (esposti a chi? A quale tipo di accesso? Se tu volessi potresti entrare nel mio NAS e vedere i miei dati? O dovrei subito un complesso attacco informatico da parte di hacker professionisti?)...spero di trovare le risposte che possano guidarmi nella scelta verso la configurazione migliore!

Grazie!

Il punto è proprio questo: non posso valutare la accettabilità del rischio finché non comprenderò bene l'entità dei rischi stessi.
Semplice, quando si valuta un rischio bisogna sempre considerare l'ipotesi peggiore, nel tuo caso perdita o sottrazione dei dati.

In altre parole: devo fare una determinata cosa perché me lo dice un utente su internet o la devo fare perché ne ho compreso il senso (magari aiutato da quell'utente a cui ho chiesto supporto) e ho preso coscientemente una decisione?
Alla luce di quanto scritto sopra, puoi prendere una decisione.

Tornando a noi, io non sono in grado di capire quale sia il livello di rischio, se uso il NAS senza impostare VPN.
Ad esempio: è lo stesso rischio che si ha utilizzando una semplice casella di posta protetta semplicemente da user e password?
Oppure è come se quella casella non avesse una password e basta conoscere il nome utente per entrarci, per chiunque?
Tra le due condizioni c'è una significativa differenza, in quanto nel primo caso devo trovare il modo da scardinare una protezione, se pur bassa; nel secondo caso chiunque entra senza alcun tipo di impedimento.
Quello che mi è stato detto, in buona sostanza è: usa VPN, è già sicuro, diversamente i tuoi dati saranno esposti.
Ma esposti a chi? A quale tipo di accesso? Se tu volessi potresti entrare nel mio NAS e vedere i miei dati?
Per rispondere alla tua domanda con i tuoi termini, anche se sono profondamente contrario poichè non è la base di ragionamento corretto, ci sarebbero comunque delle protezioni da scardinare, poichè, mi auguro, l'accesso al tuo NAS sarebbe protetto da password, il problema è che tu non sai quanto sono efficaci le protezioni che hai messo in piedi.

O dovrei subito un complesso attacco informatico da parte di hacker professionisti?
Ho bisogno di capire queste cose, per rendermi conto del grado di pericolosità di certe configurazioni e del grado di sicurezza che meglio si adatterà alle mie esigenze.
Anche questa è una domanda che parte da un presupposto sbagliato: sapere chi e con che intenzioni ti attaccherà. Lo puoi sapere? No, quindi non puoi sapere il grado di protezione che ti serva
Ribadisco, il grado di sicurezza non si valuta in base al grado di rischio, che per definizione dev'essere considerato massimo, ma con il grado d'importanza dei dati che sono messi a rischio.

Detto questo, nel tuo caso specifico mi sembra di capire che il problema sia più che altro dato dalla macchinosità della VPN che hai messo in piedi, e che vuoi attivare e disattivare alla bisogna senza lasciarla sempre attiva.

Ti ringrazio per il confronto.

Sotto un profilo puramente teorico, non sono d'accordo.
Avere il massimo della prudenza vuol dire prepararsi sempre ad affrontare la peggiore delle ipotesi, a scapito della praticità se necessario.
Ma non sempre usare la massima prudenza è la scelta migliore.

Esempio banale: passeggiare per strada con un casco è più sicuro che passeggiare senza (potrebbe caderti un vaso sulla testa).
Detto questo, nel più comune bilanciamento degli interessi in gioco, si preferisce indossare il casco quando si fanno attività pericolose (come andare in motorino o lavorare in un cantiere edile) e si accettano i rischi per le altre situazioni generalmente meno pericolose.

Non si può usare SEMPRE la massima cautela, come criterio assoluto, per ogni esigenza o aspetto della propria vita.

Detto questo, venendo al merito: i dati che conservo sul NAS sono molto meno delicati e riservati del contenuto della mia email di lavoro.
L'email di lavoro è protetta semplicemente da User Name e Password.

Per rendermi conto: il rischio che incontro con quella email è pari a quello che incontro usando il NAS senza VPN?

Ti ringrazio per il confronto.

Sotto un profilo puramente teorico, non sono d'accordo.
Avere il massimo della prudenza vuol dire prepararsi sempre ad affrontare la peggiore delle ipotesi, a scapito della praticità se necessario.
Ma non sempre usare la massima prudenza è la scelta migliore.

Esempio banale: passeggiare per strada con un casco è più sicuro che passeggiare senza (potrebbe caderti un vaso sulla testa).
Detto questo, nel più comune bilanciamento degli interessi in gioco, si preferisce indossare il casco quando si fanno attività pericolose (come andare in motorino o lavorare in un cantiere edile) e si accettano i rischi per le altre situazioni generalmente meno pericolose.
Esempio banale, ma nel nostro caso sbagliato: quando passeggi per strada sai di essere per strada e sai a quali rischi ambientali vai incontro. Per fare un esempio calzante con il tuo NAS, fai conto di lasciare la bicicletta chiusa in strada con un lucchetto. La maggior parte delle persone che transitano di lì probabilmente non saprebbero aprirla, ma se passa uno con le tenaglie te la ruba subito. Puoi sapere quanti malintenzionati ci sono per strada, e nel nostro caso su internet?

Detto questo, venendo al merito: i dati che conservo sul NAS sono molto meno delicati e riservati del contenuto della mia email di lavoro.
L'email di lavoro è protetta semplicemente da User Name e Password.
Per rendermi conto: il rischio che incontro con quella email è pari a quello che incontro usando il NAS senza VPN?
E' un paragone che non ha senso. Username e password sono una protezione valida, se non hai 123456 come password, ma perchè il server che ti gestisce la posta è già protetto a monte da chi ti offre il servizio, e che ha già fatto tutte le considerazioni che stiamo facendo adesso per il tuo NAS.

Tu vuoi sapere il grado di rischio a proteggere tutto solo con password, ma a questo non c'è una risposta, perchè non sai chi e quando proverà ad accedere al tuo NAS.
La base di ragionamento è semplice: cosa succede se mi trafugano i dati? E se me li distruggono?

Comunque non è che sia un obbligo eh. E soprattutto il bello di avere un nas è la sua curva di apprendimento... man mano che lo usi capisci cose nuove, nuove necessità.

Almeno, a me è successo così. Prima l*accesso con IP esterno, poi dopo un po*, ho capito la storia del server vpn, che mi è stata comodissima quando, viaggiando spesso all’estero (ahimè una volta) mi capitava di voler vedere il Toro su Sky. Collegandomi al server del mio Nas, Sky go pensava fossi a casa!

Poi ho scoperto le VPN commerciali, che garantiscono (almeno, speriamo) privacy quando sei in hotel o internet point o locali pubblici. E quindi mi sono abbonato ad una, che - tra l*altro - mi consente anche di avere un DSM virtuale dietro VPN, ottimo se si usa download station.

Ma tutto ha richiesto, come dicevo, di percorrere una lunga e interessante curva di apprendimento, che non è certo durata pochi giorni.

Esempio banale, ma nel nostro caso sbagliato: quando passeggi per strada sai di essere per strada e sai a quali rischi ambientali vai incontro. Per fare un esempio calzante con il tuo NAS, fai conto di lasciare la bicicletta chiusa in strada con un lucchetto. La maggior parte delle persone che transitano di lì probabilmente non saprebbero aprirla, ma se passa uno con le tenaglie te la ruba subito. Puoi sapere quanti malintenzionati ci sono per strada, e nel nostro caso su internet?


Ho capito cosa vuoi dire, sono cose diverse.
Prendere un vaso in testa o essere coinvolti in un terremoto sono una questioni di caso fortuito o forza maggiore: non ci si può fare niente.

La bici invece sta per strada: se la lascio con protezioni minime in una zona malfamata sono stato poco accorto.
Se invece metto una catena - anche semplice - in una via ben frequentata e piena di gente, è meno probabile che subisca un furto.

A questo punto provo a convertire in domanda tecnica questa metafora.

E' possibile (o sarebbe sensato) usare il VPN solo quando "indispensabile"?

Mi manca una passaggio, spero possiate aiutarmi a capire: i rischi di intrusione nel NAS da parte di malintenzionati ci sono SEMPRE o solo in alcuni specifici momenti in cui risulta esposto?

Per esempio:
- E' esposto se guardo un video su infuse con protocollo SMB senza VPN;
- Non è esposto se guardo le mie foto su DS Photo accedendo con QuickConnet.

Funziona così?
O i rischi ci sono sempre e comunque?

Ciò che mi "tutelerebbe" del VPN è semplicemente tenere VPN Server installato sul NAS, oppure connettermi in VPN quando accedo al NAS con servizi o protocolli non sicuri?


Comunque non è che sia un obbligo eh. E soprattutto il bello di avere un nas è la sua curva di apprendimento... man mano che lo usi capisci cose nuove, nuove necessità.

Almeno, a me è successo così. Prima l*accesso con IP esterno, poi dopo un po*, ho capito la storia del server vpn, che mi è stata comodissima quando, viaggiando spesso all’estero (ahimè una volta) mi capitava di voler vedere il Toro su Sky. Collegandomi al server del mio Nas, Sky go pensava fossi a casa!

Poi ho scoperto le VPN commerciali, che garantiscono (almeno, speriamo) privacy quando sei in hotel o internet point o locali pubblici. E quindi mi sono abbonato ad una, che - tra l*altro - mi consente anche di avere un DSM virtuale dietro VPN, ottimo se si usa download station.

Ma tutto ha richiesto, come dicevo, di percorrere una lunga e interessante curva di apprendimento, che non è certo durata pochi giorni.


Questo mi sembra molto sensato...forse il mio problema è nato dal fatto che mi sono fatto prendere dalla voglia di una configurazione ottimale e al contempo dal desiderio di comprendere il senso di certi passaggi, che richiedono conoscenze profonde, che a me mancavano del tutto e che si acquisiscono col tempo.

VPN server, installato e basta, non serve a nulla.

La app crea, appunto, un server, al quale se vuoi connetti i client.
Il tuo iphone quando sei in giro, il tuo portatile, ecc.

Collegandoti al vpn server del nas, il tuo client crederà di essere in lan, e userai ip 192... o quello che è il tuo interno.

Io ormai con iOS ho nelle app l’ip interno, e quando mi serve attivo prima openvpn e poi mi collego al nas.
Quando sono in giro, su reti pubbliche, sempre Nord VPN.

VPN server, installato e basta, non serve a nulla.

La app crea, appunto, un server, al quale se vuoi connetti i client.
Il tuo iphone quando sei in giro, il tuo portatile, ecc.

Collegandoti al vpn server del nas, il tuo client crederà di essere in lan, e userai ip 192... o quello che è il tuo interno.

Io ormai con iOS ho nelle app l’ip interno, e quando mi serve attivo prima openvpn e poi mi collego al nas.
Quando sono in giro, su reti pubbliche, sempre Nord VPN.

Grazie, sei stato molto chiaro.

Riguardo a questa parte del post invece puoi dirmi qualcosa?

Mi manca una passaggio, spero possiate aiutarmi a capire: i rischi di intrusione nel NAS da parte di malintenzionati ci sono SEMPRE o solo in alcuni specifici momenti in cui risulta esposto?

Per esempio:
- E' esposto se guardo un video su infuse con protocollo SMB senza VPN;
- Non è esposto se guardo le mie foto su DS Photo accedendo con QuickConnet.

Funziona così?
O i rischi ci sono sempre e comunque?

Grazie, sei stato molto chiaro.



Riguardo a questa parte del post invece puoi dirmi qualcosa?



Mi manca una passaggio, spero possiate aiutarmi a capire: i rischi di intrusione nel NAS da parte di malintenzionati ci sono SEMPRE o solo in alcuni specifici momenti in cui risulta esposto?



Per esempio:

- E' esposto se guardo un video su infuse con protocollo SMB senza VPN;

- Non è esposto se guardo le mie foto su DS Photo accedendo con QuickConnet.



Funziona così?

O i rischi ci sono sempre e comunque?

il mantra che di solito senti ripetere è che OGNI dispositivo aperto alla rete sia a rischio.

Quindi, una parte del rischio devi accettarla, e l'unico modo è di fare come è sempre consigliato (strong password, two factors authentication, mai usare la stessa password, disabilitare admin ecc ecc).



Confesso che se dovessi rifarlo oggi non ricorderei come avevo fatto :-( ma ricordo comunque che settare VPN con Open VPN e avere accesso al Nas in maggior sicurezza non era stato complicatissimo).

Per Infuse, mi pare di aver settato accesso in NFS.

Non è il problema della vpn, ha già scritto che gli funziona. Il problema è che non va in standby il nas se c'è il server vpn attivo.

Non è il problema della vpn, ha già scritto che gli funziona. Il problema è che non va in standby il nas se c'è il server vpn attivo.

Se per questo motivo.. non è solamente la VPN che non lo mette in standBy....

Leggere QUI (https://www.synology.com/it-it/knowledgebase/DSM/tutorial/Management/What_stops_my_Synology_NAS_from_entering_System_Hibernation)

Cosa impedisce a Synology NAS di entrare in modalità Sospensione?

Google Search:........

VPN kills hibernation ??????


Based on your post I completely uninstalled VPN Center, deleted all of my custom keys and rebooted.

Then I re-installed VPN Center and set up OpenVPN again with no custom mods. Guess what... hibernation works perfectly!

I caused hibernation to fail when I added these two lines to openvpn.conf: status /usr/local/synovpn/etc/openvpn/openvpn-status.log ifconfig-pool-persist ipp.txt
Once I eliminated these lines hibernation worked normally again.
.
.

Ragazzi, solo per aggiornarvi, come ho scritto nel topic ufficiale Synology ho trovato un’ottima soluzione per le connessioni d’amore mediante la combinazione di WebDAV, DDNS e https.

Tutto funziona bene e ho ancora l’ibernazione.

Userò il vpn (che ero comunque riuscito a configurare) solo in caso di necessità particolari.

Grazie mille per il confronto è il supporto!