Ik heb een blok statische IP-adressen van mijn ISP en wil er een aan mijn NAS toewijzen. Ik gebruik twee ethernetpoorten op de NAS, één direct naar de gateway en één naar mijn LAN-router, wat het verkeer zoals Plex, webserver, externe toegang, etc. van mijn interne netwerk zou scheiden. Natuurlijk zal dit mijn NAS rechtstreeks aan het web blootstellen, wat veel mensen schijnen te vrezen, maar het is goed beveiligd en het is daar tenslotte voor gemaakt.
Ben benieuwd naar feedback van iedereen die op deze manier een blok externe IP-adressen gebruikt, vooral als je meerdere externe IP’s gebruikt… één voor de webserver, één voor Plex, etc.
Het is moeilijk om een antwoord te geven dat niemand zal beledigen. Jouw NAS is niet ontworpen om direct op het internet te worden aangesloten. Het openen van elk apparaat voor inkomende verbindingen vereist inzicht in de implicaties en hoe deze kunnen worden beperkt. Dit kost tijd en moeite, en het verkeerd doen kan en waarschijnlijk zal ernstige gevolgen hebben.
Maak geen direct contact met je NAS met de wereld.
Er zijn grote ondernemingen (zoals Sony en vele anderen) die gehackt zijn… denk je dat jij beter bent dan duizenden ingenieurs die dagelijks werken om de netwerkbeveiliging te bewaken? Zo ja, ga je gang.
Wat is je einddoel hier? Heb je problemen met je router die de webserver beperken? Is het voor veiligheidsredenen? Gewoon om te zien of je het kan doen?
Waarom geloof je dat het ‘niet ontworpen is om direct te worden aangesloten’? Ik ben benieuwd waarom je dat denkt. Dat zegt Synology niet. Het is letterlijk een Linux-server, net als elke andere web- of applicatieserver op het internet. Ik ben benieuwd wat je denkt dat anders zou zijn als het WEL ‘ontworpen is om direct verbonden te zijn’?
Bah - om mijn statisch IP te gebruiken, onnodig verkeer op mijn router te verminderen, minimale prestaties te verbeteren, de beveiliging op LAN te verbeteren.
NAS-fabrikanten maken opslagapparaten.
Firewall-fabrikanten maken randbeveiligingsapparaten. Het omzeilen hiervan brengt risico’s met zich mee.
Beveiliging draait om het minimaliseren van risico’s bij het openstellen van een poort op je firewall. Als je vertrouwt op een NAS-fabrikant om deze beveiliging te bieden, ga dan gerust door.
De verwijzing naar QNAP is precies dat. Poorten openen voor de buitenwereld en vertrouwen op beperkte beveiligingsprotocollen die zij bieden. Het aantal artikelen over hun problemen is overvloedig en ze hebben net een patch uitgebracht voor een kritieke kwetsbaarheid.
Niet de persoon aan wie je antwoordt, maar ik wil wijzen dat de meeste webservers ook niet direct blootgesteld zijn, ze worden gefilterd door firewalls en beperken de toegang tot het apparaat tot de relevante gebruikssituaties. De meeste bedrijfsdiensten zijn niet eens een ‘doos’ in de zin die jij voor ogen hebt, er zijn meerdere niveaus van abstractie tussen de applicaties en de hardware waarop ze draaien, het gaat allemaal via AWS (of Azure of wat dan ook) en ik garandeer dat AWS hun hardware niet direct aan het internet blootstelt.
Heb je voorbeelden van webapplicaties/services die rechtstreeks de hardware blootstellen zoals jij denkt dat standaard is?
Je kunt het statisch IP gebruiken zonder de NAS in DMZ te plaatsen. VLANs zijn een effectievere en veiligere manier om verkeer op je LAN te scheiden. Ik weet echt niet waarom je denkt dat het maken van een brug zodat iemand je Synology kan binnenvallen en je router kan omzeilen, veiliger zou zijn.
Bewerking: wat zoek je eigenlijk in deze post? Je kwam binnen met de vraag om feedback. Je krijgt veel feedback dat wat je wilt doen onnodig risicovol is en niet de industriestandaard, enzovoort. En je argumenteert ertegen. Wil je feedback, of wil je gewoon discussiëren waarom jij denkt dat je gelijk hebt en de industrie fout zit?
Wat denk je dat het verschil is tussen een router/firewall die op Linux draait en een NAS of server of een ander apparaat dat verbonden is met het internet?
DSM heeft ook een firewall. Een firewall hoeft niet op een aparte machine te draaien om net zo effectief te zijn.
Wat voor updatecyclus en reactietijd krijg je op kritieke kwetsbaarheden van elk? Welke standaardinstellingen en pakketten zijn op die twee Linux-systemen geïnstalleerd?
Je hebt gelijk dat ze allebei Linux gebruiken (nou ja, meestal, BSD is vrij populair als basis voor een router of firewall, en oudere Cisco-apparaten gebruiken een eigen kernel). Dus ik vraag: waarom gebruiken alle grote bedrijven aparte firewalls, met VLANs en ACL’s achter die firewalls, aparte netwerk structuren zodat productie- en werknemersverkeer niet worden gemengd, enzovoort? Zijn ze zomaar stom en verspillen ze geld zonder echt voordeel? Of is er misschien een logica achter en zijn niet alle apparaten die de Linux-kernel draaien eigenlijk bedoeld (of gewenst) om rechtstreeks aan het web blootgesteld te worden?
Waarom heb je überhaupt een router? Je zou gewoon een grote computer kunnen krijgen die alles doet wat je belangrijk vindt, inclusief routering, firewalling, computing en opslag. Verwijder gewoon de router en installeer enkele routeringspakketten op de Syno via CLI. Het is allemaal hetzelfde, toch?
Het verschil is fysieke scheiding zodat zelfs als iemand de firewall doorbreekt, ze geen toegang hebben tot de gegevens die hij beschermde; ze moeten dan de volgende laag van bescherming doorbreken… De firewall doet alleen firewallen, hij host niet ook de data die je belangrijk vindt.
