[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[sunat5]

Quote:

Originariamente inviato da insane74

a naso direi che tutti quelli che avevano "aperto" il NAS all'accesso da "fuori la LAN", raggiungibile tramite il servizio DDNS della Synology, erano potenziali vittime di questo tizio, in quanto appunto le vulnerabilità note permettevano l'accesso da remoto (e visto che è stato installato del sw, anche i privilegi di root).
una volta dentro, ha installato il sw di mining e intascato i soldoni, mentre i poveri utenti si trovavano la CPU sempre a tappo e le prestazioni del NAS "rallentate".

io ho sempre usato no-ip per registrare il Nas , comunque questo hacker è davvero geniale i mie complimenti.

[insane74]

Quote:

Originariamente inviato da sunat5

io ho sempre usato no-ip per registrare il Nas , comunque questo hacker è davvero geniale i mie complimenti.

genialmente b@st@rdo.
cmq mi tornano in mente i miei discorsi sulla sicurezza, quando dicevo "esporre direttamente il NAS all'esterno comporta troppi rischi, qualcuno potrebbe sfruttare vulnerabilità note/meno note del DSM"...
c'avevo preso!

PS: non che usare una VPN (come faccio io) metta al riparo al 100%, ma qualcosina meglio, lo è!

[supertopix]

Quote:

Originariamente inviato da insane74

...

PS: non che usare una VPN (come faccio io) metta al riparo al 100%, ma qualcosina meglio, lo è!

Vorrei tanto farlo ma, nonostante varie promesse, nessuno mi insegna!

[matte91snake]

io uso openvpn sul router con tomato + no-ip sempre sul router . il nas registra anche il .synology , nel caso uno dei due cada cè l'altro
verso l'esterno non ho aperto niente oltre alla vpn e quoto insane74

[insane74]

Quote:

Originariamente inviato da supertopix

Vorrei tanto farlo ma, nonostante varie promesse, nessuno mi insegna!

mi devo essere perso le richieste di aiuto allora!
cmq è piuttosto facile, e anche sul sito della Synology le informazioni sono piuttosto chiare: http://www.synology.com/it-it/support/tutorials/459

cmq basta decidere "chi" deve fare da server VPN, se il router/modem (se il tuo può farlo) o il NAS.
io ho scelto di far fare il server al NAS, più per sfizio che per altro (e perché non mi fido di Asus! ), quindi la guida che ho linkato è quella da seguire (basta ricordarsi di forwardare le porte della VPN dal router all'IP del NAS, e configurare un servizio tipo "no-ip").
in particolare io ho seguito i passi per la VPN di tipo L2TP/IPSec.
ho poi configurato la VPN sul pc dell'ufficio, così mi collego da lì, e poi sull'iPhone e sull'iPad, nel caso mi servisse accedere anche "in viaggio".

[supertopix]

Quote:

Originariamente inviato da insane74

mi devo essere perso le richieste di aiuto allora!

cmq è piuttosto facile, e anche sul sito della Synology le informazioni sono piuttosto chiare: http://www.synology.com/it-it/support/tutorials/459



cmq basta decidere "chi" deve fare da server VPN, se il router/modem (se il tuo può farlo) o il NAS.

io ho scelto di far fare il server al NAS, più per sfizio che per altro (e perché non mi fido di Asus! ), quindi la guida che ho linkato è quella da seguire (basta ricordarsi di forwardare le porte della VPN dal router all'IP del NAS, e configurare un servizio tipo "no-ip").

in particolare io ho seguito i passi per la VPN di tipo L2TP/IPSec.

ho poi configurato la VPN sul pc dell'ufficio, così mi collego da lì, e poi sull'iPhone e sull'iPad, nel caso mi servisse accedere anche "in viaggio".

Devo decidermi a provare, ma ho paura di far casino... Visto che così come è adesso tutto funziona...

Una volta settato l'ambaradan della guida, che faccio? Disattivo gli accessi dalla porta 5001? In pratica non sei più visibile dall'esterno? Io da iPad e iPhone, da esterno, accedo con "abc.synology.me". Devo cambiare qualcosa? Per le App iOS cambia qualcosa?

[insane74]

Quote:

Originariamente inviato da supertopix

Devo decidermi a provare, ma ho paura di far casino... Visto che così come è adesso tutto funziona...

1) nel mentre fai le prove, mica la devi togliere la tua attuale configurazione. configuri anche l'accesso tramite VPN, lo provi, se funziona disabiliti il forward della 5000 all'IP del NAS.

2) casino? un conto se tu dovessi estrarre i dischi, montarli in un pc e poi pacioccare con il RAID, ma per configurare una VPN (installi il pacchetto -> scegli il tipo di VPN -> scegli l'utente che può connettersi alla VPN -> fai il forward delle porte della VPN all'IP del NAS -> disattiva il wifi sull'iphone, configura la VPN, se ti colleghi e vanno le varie app DS sei apposto). alla peggio disinstalli il pacchetto "VPN Server" e bona!

[EDIT]
ho visto dopo l'aggiunta.
allora, la prova la fai lasciando quanto hai configurato adesso, così alla peggio non perdi niente. una volta tutto funzionante sotto VPN puoi disattivare sul NAS l'accesso dall'esterno, ma basta togliere il forward delle porte dal router al NAS (la 5000 o la 5001).

visto che l'hacker è "passato" per i vari synology.me... io consiglierei di affidarsi ad altri servizi simili, tipo no-ip (o quello che trovi supportato dal tuo router).

su iPhone vai sotto Impostazioni -> Generali -> VPN -> Aggiungi configurazione VPN. Scegli il tipo, utente/pwd/passphrase (se prevista dalla VPN). al che quando ti vuoi collegare da "fuori" la tua LAN/wifi ti basta attivare la VPN per essere, di fatto, come se fossi a casa tua collegato al tuo wifi.

[EDIT2]

come dicevo tempo fa quando si parlava di VPN o accesso diretto, la mia posizione era questa: se si apre la porta 5000/5001 (e se si usa synology.me) è come girare con una maglietta con sopra scritto il codice del bancomat. prima o poi qualcuno che ti frega il bancomat e usa il codice lo trovi. l'hacker della news non ha fatto altro che cercare site:synology.me per trovare quasi un milione di potenziali vittime. e li ha presi di mira sfruttando buchi noti del DSM proprio perché andava a "colpo sicuro", conoscendo perfettamente la natura dell'obbiettivo.

se usi una VPN come la L2TP/IPSec devi aprire 3 porte sul router (500, 1701, 4500). ora, un malintenzionato deve fare la scansione delle porte aperte, poi se le trova (dipende anche dal router come risponde a certe "scansioni") deve capire cosa può essere in ascolto su quelle porte, quindi cercare di applicare, se ce ne sono, buchi noti delle eventuali applicazioni che potrebbero usare quelle porte.

non sono un esperto di sicurezza (tutt'altro!), ma vedo il metodo "porta 5000/synology.me" decisamente più "fragile/attaccabile" rispetto a "anonima VPN".

[supertopix]

Grazie, penso che proverò. Io uso Fastweb, funzionerà? Quali altri servizi sono come No-IP? Tra l'altro, é gratis?

[insane74]

Quote:

Originariamente inviato da supertopix

Grazie, penso che proverò. Io uso Fastweb, funzionerà? Quali altri servizi sono come No-IP? Tra l'altro, é gratis?

no-ip per ora è gratis.
se con fastweb hai l'ip pubblico dovrebbe andare, ma non avendo mai avuto quel provider, non te lo do per certo.

PS: già che ci sei, prova a fare un test qui https://www.grc.com/x/ne.dll?bh0bkyd2 prima di configurare la VPN (giusto per vedere la situazione attuale), poi configura la VPN, disattiva la 5000/5001 e ripeti il test.

[Gemstone86]

ma per connettersi da remoto tramite quickconnect quale porta bisogna aprire?

[francesconuti]

insane74 ti farei un monumento.
Ispirato dai tuoi post così dettagliati, in meno di 5 minuti mi sono configurato la vpn per l'ufficio ed in effetti funziona benissimo,
Ora, vorrei provare a fare la stessa cosa a casa e vorrei sapere se, una volta configurata correttamente la vpn, tutte le applicazioni ds da iphone funzioneranno solo indicando l'indirizzo della vpn giusto?
Non sarà necessario indicare il numeroip:numeroporta vero?
Sul router quindi sarebbe sufficiente aprire 3 porte e non tutte quelle previste dai servizi synology, ho capito bene?
edit: se devo collegarmi a più di un nas nella stessa rete devo fare due connessioni vpn? In questo caso basterà modificare le 3 porte lato internet e lasciare le stesse lato lan puntando ad altro ip di rete giusto?

[insane74]

Quote:

Originariamente inviato da francesconuti

insane74 ti farei un monumento.
Ispirato dai tuoi post così dettagliati, in meno di 5 minuti mi sono configurato la vpn per l'ufficio ed in effetti funziona benissimo,
Ora, vorrei provare a fare la stessa cosa a casa e vorrei sapere se, una volta configurata correttamente la vpn, tutte le applicazioni ds da iphone funzioneranno solo indicando l'indirizzo della vpn giusto?
Non sarà necessario indicare il numeroip:numeroporta vero?
Sul router quindi sarebbe sufficiente aprire 3 porte e non tutte quelle previste dai servizi synology, ho capito bene?
edit: se devo collegarmi a più di un nas nella stessa rete devo fare due connessioni vpn? In questo caso basterà modificare le 3 porte lato internet e lasciare le stesse lato lan puntando ad altro ip di rete giusto?

parto ricordando a te, e a tutti, che la sicurezza al 100% è pura utopia, soprattutto con dispositivi di classe "home" come i nostri (sia NAS che router/modem).
il mio usare la VPN è un tentativo di "limitare" il più possibile l'eventuale accesso fraudolento da parte del "malintenzionato medio", non certo del superhacker che entra nei server della NASA per rubare dati!

ora, la VPN serve per collegare, tramite internet, due dispositivi (per esempio due PC).
quindi, se il PC1 ce l'hai a casa e il PC2 ce l'hai in ufficio e a casa configuri il router per fare da server della VPN (o direttamente il NAS per fare da VPN server), quando dal PC2 accedi alla VPN di casa tua, di fatto è come se usassi un altro PC di casa tua. sei effettivamente nella stessa LAN.
quindi anche con l'iphone di turno, una volta che attivi la VPN, è come se fossi collegati al wifi di casa tua.
ergo, il NAS lo raggiungi con l'IP interno della tua LAN (per esempio, 192.168.1.100).
in pratica configuri l'accesso alla VPN, quando ti serve la accendi, poi apri DS Download, e nel campo dell'indirizzo metti l'IP interno del NAS, come fai quando sei a casa.
non serve quindi creare più VPN per accedere a NAS della stessa LAN.

io sul router ho aperto solo le porte per le notifiche push e le 3 porte della VPN e basta.

[insane74]

ho visto solo ora che qui http://www.synology.com/en-us/support/faq/299 sulle porte da aprire per il BT, parla di

Codice:

6890 ~ 6999 (for models with firmware earlier than v2.0.1-3.0401);
16881 (for models with DSM v2.0.1 and onward)

quindi in teoria dovremmo tutti avere aperta la 16881, mentre io non ho aperto nulla e (sembra) funzionare lo stesso...
UPnP?

[supertopix]

Quote:

Originariamente inviato da insane74

no-ip per ora è gratis.
...

Ho guardato 'sto no-IP...

Se usi quello "free Ddns" c'è scritto che l'hostnames "expire every 30 days". Tu usi quello? Che significa? Le altre versioni sono a pagamento.

[insane74]

Quote:

Originariamente inviato da supertopix

Ho guardato 'sto no-IP...

Se usi quello "free Ddns" c'è scritto che l'hostnames "expire every 30 days". Tu usi quello? Che significa? Le altre versioni sono a pagamento.

significa che se non cambi indirizzo ip (=non spegni mai il modem/non cade mai la linea) devi fare la login sul sito almeno una volta ogni 30 giorni.

[emax81]

Quote:

Originariamente inviato da supertopix

Ho guardato 'sto no-IP...

Se usi quello "free Ddns" c'è scritto che l'hostnames "expire every 30 days". Tu usi quello? Che significa? Le altre versioni sono a pagamento.

Uso pure io No-IP e l'ho configurato solo sul router; se lo settavo sul DSM, continua a svegliare ogni xx minuti il DS dal suo sonno anche se non sta facendo un tubo...problema risolto spostando il DDNS sul router

[emerson120]

Quote:

Originariamente inviato da insane74

UPnP?

..aimhe' e' molto pericoloso..
..detto cio' ti ringrazio perche' grazie a te mi sono avvicinato al mondo vpn che fino a poco tempo fa ritenevo inutile per i miei interessi.

Alex

[insane74]

Quote:

Originariamente inviato da emerson120

..aimhe' e' molto pericoloso..

è pericoloso se accessibile "da fuori" della LAN.
stando a https://www.grc.com/x/ne.dll?bh0bkyd2 e il test per Upnp sono "stealth", quindi (in teoria) al sicuro.

[san80d]

edit

[francesconuti]

Quote:

Originariamente inviato da insane74

è pericoloso se accessibile "da fuori" della LAN.
stando a https://www.grc.com/x/ne.dll?bh0bkyd2 e il test per Upnp sono "stealth", quindi (in teoria) al sicuro.

insane74 puoi consigliarmi quale software installare su pc per la connessione vpn con il nas?
Riguardo alle porte, praticamente le ho chiuse quasi tutte, fatta eccezione per quelle relative alla download station.