Zdravím, mám postavený NAS server ze starého PC, postavený na Synology softwaru, který slouží pro ukládání fotek, videí, dokumentů, filmů apod. Mám ho připojený přes veřejnou IP, pro webové rozhraní NASu mám Self signed ssl. Řeším jak ho efektivně zabezpečit. Doma se do něj připojuji jako na síťový disk ve Windows přes lokalni ip (192.168.x.x) a "venku" pouze přes veřejnou IP, na které mám povolené jen ty určité porty, tim se dostanu do weboveho rozhrani, kde muzu NAS nastavovat a taky je tam jakýsi file manager. Na NASu mám zapnutý firewall a zakazane ftp, ssh a další věci co nepotřebuji. Jak ho zabezpečit a jak udělat, abych na něj mohl přistupovat z venku? Když ve Windows zadám při připojení síťového disku místo lokální ip, veřejnou, tak se to nepřipojí, webové rozhraní ale jde jak přes lokální, tak přes veřejnou. Může mi prosím někdo poradit jak na něj nejlépe přistupovat z venku a jak to zabezpečit? A to spojení přes webové rozhraní je šifrované? Když mám jen self singed ssl? U chromu mi to píše, že je web nebezpečný a certifikát neplatný.

Děkuji za případně rady.

Nejlepší je na něj z venku nepřistupovat.
To, že ti chrome píše neplatný certifikát je v pořádku.
Jak bych to řešil já:
všechny webové služby nepovolit.
Pro sdílení souborů použít FTPS (FTP přes SSL), vygenerovat si certifikát a ten použít pro klienta (FileZilla). Pochopitelně běžící na zcela nestandardních portech.
A už vůbec ne možnost nastavení zvenčí.

Dá se to nějak zkombinovat s veřejnou IP, kterou mám dostupnou? Zkoušel jsem VPN server zprovoznit, ale to se mi nedaří. FTP a SSH mám zakázané, ale FTPS je asi dobrá volba. Bohužel aktuálně server beží tedy na lokální IP na kterou mám povolený určité porty a přes veřejnou IP na ni přistupuji. Dá se to nastavit přes ten Synology SW tak, aby jsem zakázal i ostatní služby jako webové rozhraní apod.? je tam možnost nastavení firewallu, kde mám zakázané to FTP a SSH a další věci jak už jsem psal, ale když jsem zkoušel se připojit na FTP přes lokalní IP tak to fungovalo.. Mám to chápat tak, že ten firewall mi pouze blokuje ty úlohy z venčí? pokud na ně přistupuji pod veřejnou IP? Když jsem zkusil zakázat ve firewalli webové rozhraní, tak to fungovalo pořád a na veřejné IP...

ja to resim pomoci open vpn, tim se pripojim do site (je treba nastavit routes) a pak delam jako z domu, vsechno do NAS zvenku mam zakazane.
VPN server muze delat bud domaci router nebo samotny NAS, synology to umi.

Jak to mám udělat? Zakázat ve synology firewallu? A to připojení přes VPN.. jak? Mám povolený port pro ten VPN server ve firewallu povolený, ale pomoci GUI mně to nejde připojit

ITCrowd píše:Pochopitelně běžící na zcela nestandardních portech.

Jak tohle pomůže zabezpečení? Není to spíš security through obscurity?

Chtěl bych to rozjet přes ten OpenVPN a ostatní z venku právě zakázat, akorát nevím jak to zprovoznit. OpenVPN se mi nedaří připojit přes GUI na windows 7. Kdyz se chci pripojit pres OpenVPN GUI klienta, tak mi to naháže chyby, potom se mi to tak na minutu spojí ( to poznám tak že na webu ve VPN server nastavení je připojené zařízení 1 a IP zařízení ) ale tak po té minutě se to restartuje a odpojí... zkoušel jsem to přes hotspot.

Voky0077 píše:

ITCrowd píše:Pochopitelně běžící na zcela nestandardních portech.

Jak tohle pomůže zabezpečení? Není to spíš security through obscurity?

Pomůže to tak, že to vyřadí všechny boty "očuchávající" standardní porty.

Dodatečně přidáno po 5 minutách 3 vteřinách:
Frenclak: VPN si postav mezi routerem <-> vnějším počítačem.

Nedaří se mi to postavit.. na ten NAS od Synology se dá nainstalovat balíček VPN Server, na kterém se dá zprovoznit OpenVPN, zkoušel jsem to podle návodů na YouTube zprovoznit, ale nedaří se mi to potom k němu připojit z venku (nevím co dělám špatně) port mám povolený, IP veřejnou, server zapnutý OpenVPN taky, firewall to neblokuje, ale prstě se to něpřipojí (nebo připojí ale po minutě to spadne)

Dodatečně přidáno po 13 minutách 27 vteřinách:
Nemůže to být někdo v nastavení routeru zakázané? Nemám tam přístup, tudíž jsem akorát požádal providera, aby mi povolil port pro OpenVPN na adresu NASu, ale jestli se tam musí ještě něco dalšího povolit nebo nastavit nevím..

presmeruj komunikaci v routeru port 1194 na ip adresu toho synology.

idealni by bylo, kdyby vpn server byl router, ale ten tvuj to asi neumi.

Mám přesměrované na port 1194/UDP na IP NASu, ale nejde mi to, nevím jestli v tom routru se musí ještě neco více nastavit, protože tam nemám přístup.. A jestli umí router být jako VPN taktéž nevím .. leda bych zkusil napsat providerovi a zeptat se ho..

Jak psal kolega. VPN by měl tvořit router, popřípadě firewall před routerem (Tak se dělá profesionální řešení). Otevírat porty na routeru, aby mi VPN tvořilo něco v interní síti osobně považuji za nesmysl.
Pokud to se zabezpečením myslíš vážně, pak ať ti provider dodá pouze modem, za který si připojíš vlastní router.