Negozio Synology prezzi bassi

VPN... Misa che ci ho capito poco

VPN... Misa che ci ho capito poco

Messaggioda shoxden » lunedì 19 dicembre 2016, 14:57

Buonasera a tutti ragazzi, si, sono sempre io, il nevrotico che non moltissimo tempo fa ha aperto un thread sulla sicurezza; insomma il tipo fissato con queste cose.
Ebbene, dopo viarie letture mi rendo conto di essere più confuso di prima...

Arrivo al dunque. Appreso, diciamo, la nozione di VPN, ci sono diverse perplessità che mi rimangono.
Anzitutto: parliamo di una “virtual private network” come dice il nome, di una rete privata virtuale. Ciò su cui mi voglio soffermare è però Rete privata. Come ogni rete ha bisogno di essere configurata, di un router che ne fornisca i servizi/la connessione e di un client su cui andranno settati i vari parametri per navigare. È esatto? Ciò implica che se io con il mio (ipoteticamente) iphone voglia navigare sotto VPN per sfruttarne tutti i vantaggi, la sicurezza, e la possibilità ad esempio di accedere a dei siti oscurati nel nostro paese devo configurare l’accesso alla VPN come se stessi "configurando il Wi-Fi" (ovviamente è un po' più complicato) è esatto?

Bene, ciò , se è esatto, va fatto con tutti i dispositivi che ho in casa, qualora voglio navighino sotto VPN (la cosa risulta molto comoda perché io per esmepio posso decidere quando ho bisogno di determinati sevizi e andare di VPN e quando invece ho bisogno di velocità e navigare sotto rete normale, ad esempio quando sto scaricando qualcosa sicuramente è consigliabile io attivi la VPN), ora mi resta da capire come tutto ciò avviene lato hardware.
Il mio caro router (un fritz) ha una voce VPN, così come il mio NAS synology che ha addirittura un applicativo “VPN server”, ed entrambi suppongo devono essere configurati per distribuire il servizio, ma ovunque io abbia letto, leggo di vpn gratuita, a pagamento di registrarmi su open vpn, express vpn, etc etc…. e qui parte la confusione… perché? Non basta che io la setti sul router (o sul synology)? Se si, su quest’ultimo, non essendo un router bensì un NAS come può distribuire un simile servizio?

Infine, sperando di essere stato chiaro, aggiungo qualche altra domanda/richiesta per quantomeno farvi capire cosa passa nella mia testa.
Diciamo che se vi state chiedendo perchè sono cossì fissato o a cosa mi serva sta strabenedetta VPN, è semplicemente perché vorrei dormire sonni tranquilli per quanto riguarda la sicurezza della mia rete, vorrei che ogni dispositivo in quest'appartamento, compresa la IPcam (che sto cercando di configurare fra l'altro con survillance station ma senza successo, ed ecco spiegato quindi le mie paure in motivo di privacy) passino per questo tunnel crittografico, e che qualsiasi malintenzionato se pur riesca a captare qualche pacchetto che viaggia, non può risalire a informazioni sensibili.
Che nessuno possa vedere, accedendo alla IPcam cosa sta succedendo in casa mia e che possa per assurdo venirvi a rubare, cosa che io sto facendo per avere l'effetto opposto, ovvero evitare episodi del genere (si,si lo so vedo troppi film, ma queste mie psicosi sono anche giustificate, non dimenticate che nel post precedente lamentavo tentativi di accesso sospetto alla mia rete)

C’è qualche anima pia :roll: che armato di tanta pazienza mi spiega qualcosa in modo molto semplice?
Grazie anticipatamente a tutti, e buone feste :)
PwerWalker VI 850SE
Synology DS215J RAID 1 WD Red 3TB
FTTC
DSMobile IOS
Mac User 
Avatar utente
shoxden
Utente
Utente
 
Messaggi: 87
Iscritto il: sabato 13 giugno 2015, 13:48

Re: VPN... Misa che ci ho capito poco

Messaggioda dMajo » lunedì 19 dicembre 2016, 20:32

Ciao, questa non è una risposta ai tuoi quesiti, ma solo un copia&incolla (per mancanza di tempo) di alcune porzioni di diversi PM scambiati con altri utenti che potrebbero un po chiarirti le idee


La VPN è una connessione criptata fra due punti terminali (endpoints). Attraverso il tunnel (galleria) può passare qualsiasi tipo di traffico senza che, durante il tragitto fra i due endpoints ( eventuale rete interna LAN primo endpoint => ISP del primo endpoint => tragitto/infrastruttura internet, composto da diversi operatori delle comunicazioni => ISP del secondo endpoint =>eventuale rete interna LAN secondo endpoint), questo possa esser osservato/interpretato.

Così esistono due utilizzi della VPN, che è sempre la stessa:
  1. caso in cui il soggetto controlla/possiede entrambi gli endpoints, usata per connessioni private ad esempio fra due sedi(LAN) geograficamente distanti oppure accesso remoto, dove il singolo utente remote accede alla propria struttura (PC/NAS/LAN)
  2. caso in cui il soggetto controlla solo uno degli endpoints, quello locale. Questo viene usato per l'anonimato. Il principio è lo stesso solo che tu crei il tunnel fra te e un fornitore terzo in qualche parte del mondo (es olanda). In questo caso il tuo traffico è crittografato dal tuo endpoint al server olandese, dove poi esce in chiaro verso la destinazione finale. In pratica è una triangolazione (su un punto terzo) fra te e la destinazione finale (esempio il sito che vuoi visitare).
    In questo caso il sito non vedrà il tuo IP, ma solamente quello che provvisoriamente utilizzi (assieme a migliaia di altri soggetti di tutto il mondo) dal tuo fornitore d'anonimato, in questo caso un IP olandese, attraverso il quale non si può risalire a te, quasi come con un servizio proxy (vedi in seguito).
    Anche il tuo IP(WAN) è dinamico e varia, ma a me basta andare con un mandato dall'ISP e chiedergli chi in quella giornata a quell'ora ere in possesso di quel IP, e il tuo nome salta fuori. L'ISP infatti, per obbligo di legge, logga (registra e conserva) tutte le tue connessioni e, oltre ad altri dati, l'IP che avevi assegnato in un dato momento. L'IP (assieme al MAC) è il tuo DNA in internet.
    Ora, la differenza fra una VPN ed un Proxy (entrambi triangolano la comunicazione), è che il proxy ha il traffico in chiaro. Quindi il sito oggetto della tua navigazione non vedrà il tuo IP ma quello del proxy però l'ISP (ed altri nel tragitto) vedranno chiaramente la tipologia del traffico che stai facendo, vedranno inoltre qual'è il sito che navighi perché devi dare l'indirizzo al proxy affinché lui possa triangolarti su di esso. Ergo il proxy nasconde la tua identità solamente alla destinazione finale, ovvero per esser più precisi solamente nella tratta del tragitto fra il proxy e la destinazione finale, permettendo però la valutazione del traffico (tipologia) lungo tutto il percorso.
    Al contrario la VPN rende il traffico completamente non ispezionabile fra te e il fornitore VPN (anonimato, Olanda in questo esempio). Quindi fra te e l'Olanda nessuno può capire cosa fai e dove vai. Dall'Olanda alla destinazione finale tutti potranno vedere il traffico, ma proveniente/originato dal server olandese. Per risalire a te bisogna andare con un mandato dal fornitore olandese per poter risalire dall'IP olandese al tuo IP-WAN, poi andare dal tuo ISP per risalire a te. I server d'anonimato validi hanno pero sedi legali in giurisdizioni che legalmente non obbligano la registrazione dei dati, così non lo fanno. E laddove in quel paese venisse fatta la legge spostano la sede legale. Quindi se anche dovesse venire un organo di polizia a indagare non ci sono i dati sui quali poterlo fare. Se uno si mettesse in ascolto sull'uscita del server olandese (tanto per continuare con l'esempio) comunque non riuscirebbe ad interpretare il traffico, seppur li in chiaro, perché da quello stesso IP sta uscendo in quel momento il traffico di almeno qualche centinaio (per non dire migliaio) di utenti sparsi in tutto il mondo, ognuno con le proprie esigenze (chi naviga, chi pirata, chi hackera, ...)
    Quando scegli un fornitore d'anonimato è essenziale
    1. verificarne la sede legale e la polizza di privacy
    2. non fidarsi del fatto che lui asserisca di non registrare, ma verificare in giro (internet, forum) se qualcuno si lamenta in qualche modo di esser stato bannato/espulso/abbonamento-risolto. Alcuni fornitori specificano di non consentire uso illecito dell'anonimato (leggi violazione dei copyright; un uso legittimo è ad esempio per dare voce alle idee/opinioni in un paese dittatoriale dove la tua incolumità potrebbe essere a rischio), però se riescono a risalire all'uso illecito significa che loggano (registrano), quindi si auto-smentiscono. Se il fornitore non registra neanche lui può capire l'uso che ne vien fatto.
Ciò detto quindi a te per accedere remotamente non serve nessun abbonamento.

C'è però una gran differenza se il server/client VPN risiede sul NAS oppure nel ROUTER
ROUTER vs NAS VPN.png
ROUTER vs NAS VPN.png (1.24 KiB) Osservato 606 volte

Come puoi vedere (salvati e ingrandisci l'immagine) nel caso il server/client VPN sia configurato sul NAS entrambi i firewall (rosso) devono essere aperti sulle porte della VPN (quindi bypassati). Così tutto il traffico nella VPN entra diritto nella pancia del NAS perdendo la possibilità di condizionarlo.
Questo potrebbe non essere un problema nel "caso 1" della VPN, perché tu controlli entrambi gli endpoints: uno il nas, il secondo il tuo smartphone/tablet/portatile.
Potrebbe però diventare un problema nel "caso 2" VPN: tu possiedi solo l'endpoint dal lato tuo; il secondo è il fornitore d'anonimato. Tutti i dipendenti tecnici curiosoni di tale fornitore potrebbero curiosare nel NAS ed eventualmente nella tua LAN, con qualsiasi protocollo (tipologia traffico).
Quindi se possibile sempre meglio configurare le VPN sul router. Per poterlo fare però spesso bisogna acquistarne uno adatto perché quello fornito dall'ISP non sempre lo consente. A volte risulta anche difficile sostituire il router perché il fornitore non fornisce le credenziali per poterlo sostituire con uno proprio. Servono infatti user/password ad alcuni numeretti tecnici per configurare la adsl/vdsl/fibra sul router acquistato dall'utente.



La VPN più sicura è quella basata su certificato, perché oltre alle credenziali richiede appunto il certificato. Il certificato ha una chiave di crittografica che può arrivare a migliaia di bit. Questa viene usata per crittografare i dati in transito nel tunnel che in assenza di essa non possono venir decrittografati. E' più sicura perché se sul mio PC, anche conoscendo il tuo WAN-IP di casa e le credenziali di accesso, in assenza del certificato non potrei accedere. E non posso scaricare il certificato, questo deve essere trasportato in qualche modo (mail, rete, chiavetta USB) sul dispositivo remoto. Quindi l'unico modo per accedere è fregarti il portatile. A questo punto tu generi un nuovo certificato e lo distribuisci sui tuoi dispositivi così invalidando quello del tuo portatile che ti ho rubato.
Ora la OpenVPN è una VPN che come trasporto usa il protocollo SSL, la stessa identica tecnologia che usi tu con i tuoi browser quando navighi in HTTPS sulla porta 443.
L'unica differenza è che quando navighi in https, il certificato necessario a crittografare i dati in transito (in internet) viene scaricato dal webserver (macchina che ospita il sito al quale accedi) nel contempo certificandone la correttezza del nome(sito). Con la OpenVPN invece, per ovvie ragioni, il client (utente remoto) non può scaricare il certificato usato come chiave di crittografia, ma deve possederne uno identico a quello installato sul server affinché client e server parlino la stessa lingua così scambiandosi i dati.
Da qui la sicurezza: server e client devono appartenere allo stesso proprietario ( o persona fidata) affinché il certificato prodotto dal server sia potuto esser installato sul client con azione volontaria (trasmissione mail, accesso consentito in rete: cartella condivisa, passaggio chiavetta USB) consentita unicamente a chi gestisce ed ha accesso fisico al server.

Anche IPsec può funzionare con il certificato e di conseguenza anche "L2TP con IPsec". Quindi OpenVPN sicuro quanto IPsec o L2TP con IPsec se usati con certificato. In IPsec e L2TP puoi configurare il certificato oppure semplicemente inserire la chiave di codifica che verrebbe altrimenti prelevata dal certificato che la contiene. Ai fini della qualità dei dati codificati scambiati non cambia nulla. Entrambi client e server devono possedere la stessa chiave.Il trasferimento del certificato è in genere un modo più sicuro per non dover trasmettere in chiaro la chiave in esso contenuta ma sia che tu trasmetta la chiave (ad esempio in una mail) che il certificato come allegato, se la mail cade in mani sbagliate avrà la stessa conseguenza: aprire l'accesso a chi oltre ad ever ricevuto la chiave ha anche l'indirizzo IP e le credenziali utente.
Diciamo che OpenVPN è spesso preferito perché oltre alla sicurezza del certificato utilizza una porta sola per il funzionamento e quindi più semplice da configurare e far funzionare.

Qualcuno sostiene, che L2TP sia stato bucato, mentre per PPTP è un dato di fatto, una certezza. PPTP è già stato bucato ed è quindi considerato non sicuro.
Per sicuro non si intende il creare l'accesso ad un capo bensì il fatto che io, che ho accesso ad una apparecchiatura intermedia posta nel percorso su cui transitano i dati crittografati fra te e casa tua, mi accorga del tunnel e riesca ad inserirmi decodificando i dati (ricostruendo in modo autonomo le chiavi di codifica) e inizi ad osservarli in chiaro. Parliamo di hacker in albergo nella stanza accanto alla tua, o in aeroporto (wifi), o dipendenti delle aziende di comunicazione/servizi lungo la tratta internet, piuttosto che organi di polizia postale che stanno tentando di intercettarti.

Appunto, perché installare un certificato o una chiave di crittografia (IPsec) lunga e sicura è la medesima cosa e se uno le ha non deve "bucare" nulla. Le ha punto e basta. La sicurezza dovrebbe sempre esser valutata sulla possibilità di intercettare e decodificare il traffico in un punto intermedio non essendo in possesso delle chiavi di crittografia (altrimenti anche il punto intermedio non rappresenta un problema e la sicurezza non è stata violata, la porta blindata non è stata infranta, il ladro semplicemente aveva le chiavi) e non sugli endpoints.
E siccome io per sicurezza intendo l'inviolabilità del punto intermedio, mentre tu ti preoccupavi della porta di casa (uno degli endpoint), per quanto riguarda il primo spero ora avrai più chiaro chi può compiere l'attacco, mentre per il secondo abbi un buon portachiavi e non perderlo.

E considerando dove e come puoi essere attaccato, specialmente in caso di VPN di anonimato, quelle di cui tu controlli (gestisci) solo un capo (endpoint) della galleria(tunnel) è sempre meglio avere un buon firewall attivo a valle. Per questo motivo meglio un protocollo leggermente meno sicuro attestato sul router, che uno "supersicuro" ma dritto in pancia al NAS. Inoltre la VPN sul router generalmente è più flessibile e permette una migliore gestione del traffico instradato (sempre dipendente dalle funzioni supportate dal router) ovvero cosa deve uscire in chiaro e cosa via tunnel anonimo.
Chi ha fobie di sicurezza dovrebbe considerare il router (le sue caratteristiche e costo) la propria porta informatica di casa. Il router ha la stessa funzione, dietro c'è la tua identità, dati dei tuoi documenti, della tua carta di credito, dei tuoi gusti sessuali, credi religiosi, idee politiche, le spese/acquisti fatti, .... Tutto ciò può esser carpito da chi lo sfonda.



Infine alcune regole:
  1. Il DSM (5000/5001) non si pubblica mai, se vi si deve accedere da remoto si usa una VPN
  2. Per il MailServer si pubblicano oltre alla porta 25 le varianti POP3/IMAP su porte SSL
  3. Per le varie station (DSVideo, DSAudio, DSFile) si abilitano nel portale applicazioni le porte alternative e semmai saranno queste a venir pubblicate.
  4. Il server VPN (per l'accesso remoto alla propria LAN) o client VPN (per l'utilizzo di servizi di anonimato) vengono di norma configurati sul router/firewall dedicato
  5. Il router nuovo ha in genere di default le seguenti impostazioni
    • traffico in ingresso: blocca tutto
    • traffico in uscita: consenti tutto
    sarebbe opportuno cambiare la seconda regola bloccando anche tutto il traffico in uscita di default. Così come si instradano le porte in ingresso si faranno poi delle regole che consentano alcune tipologie di traffico in uscita. Prima su tutte l'apertura delle porte 80/443 e 53 altrimenti non sarebbe possibile navigare e risolvere i nomi DNS. Poi si aggiungeranno ulteriori regole in caso di bisogno.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1569
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: VPN... Misa che ci ho capito poco

Messaggioda shoxden » sabato 31 dicembre 2016, 17:49

Innanzitutto complimenti, per l'impeccabile chiarezza e completezza della risposta, ed inoltre grazie, perchè ti prendi cura di questo forum, lo tieni attivo e produttivo per noi utenti.

Dunque mi è chiaro quali sono i due utilizzi della VPN (anche se non capisco a cosa serva l'altra tipologia di VPN quando vi sono tanti strumenti come il DDNS gli indirizzi IP, l'FTP per collegare due dispositivi distanti) e mi è chiaro il fatto che, nel mio caso, sia che nel NAS che nel router, le VPN configurabili, non soddisfanno le mie richieste ossia quella di: crittografare qualunque esca da questo appartamento! (aggiungendo poi i vari benefici sulla sicurezza della mia rete, l'anonimato e la conseguenza di poter accedere a qualsiasi contenuto senza passare per Tor etc); e mi è infine chiarissima la soluzione rappresentata dai proxy ma che è tuttavia "ibrida, incompleta, affidabile".

Mi chiedo inoltre, come, se ne senta parlare così poco di VPN in ambito di sicurezza,molti utenti aprono porte, o di ip cam che dunque fanno circolare in internet (ripeto INTERNET e quindi nel mondo) le immagini della propria casa, con tanto di microfono!!!!

Allora, per concludere, cosa mi consigli di fare tu @dMajo??
Oltre a tutti i consigli che mi avete dato in post precedenti che riporto in una parentesi per i postumi che potranno così godere di un post ancor più completo (sarebbe da modificare anche il titolo magari)

i CONSIGLI UTILI presi da altri post che ho applicato sono (ditemi ovviamente se sono giusti) :
il DSM (5000/5001) non si pubblica mai, meglio instradare la file station e gli altri servizi su altre porte (portale applicazione)
creare un altro utente diverso dall'amministratore per usare i vari servizi su app (download audio video station etc)
per il MailServer si pubblicano oltre alla porta 25 le varianti POP3/IMAP su porte SSL
creare delle regole ferree per il firewall del NAS (che deve comunque affiancare quello del vostro router), regole di limitazione accessi da paesi, in orari etc.
Disabilitare se possibile quickconnect e il ddns (utilizzando solo l'IP pubblico statico assegnatomi dal provider)
utilizzare le regole 5/10/3 (se vengono fatti 5 tentativi di accesso in 10 minuti blocca l'ip per 3 mesi)

Ancora grazie
PwerWalker VI 850SE
Synology DS215J RAID 1 WD Red 3TB
FTTC
DSMobile IOS
Mac User 
Avatar utente
shoxden
Utente
Utente
 
Messaggi: 87
Iscritto il: sabato 13 giugno 2015, 13:48

Re: VPN... Misa che ci ho capito poco

Messaggioda burghy86 » lunedì 2 gennaio 2017, 0:21

Vi prego di rimanere in topic. Di evitare flame. Di affermare cose a caso o la mannaia parte.
Topic epurato, chi ha orecchie per intendere intenda.
Continuate pure
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio

------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Avatar utente
burghy86
Moderatore
Moderatore
 
Messaggi: 8249
Iscritto il: martedì 11 settembre 2012, 18:59

Re: VPN... Misa che ci ho capito poco

Messaggioda dMajo » lunedì 2 gennaio 2017, 16:38

Credo che la "quantità" di VPN di cui tu senti parlare sia direttamente proporzionale al siti/forum che abitualmente frequenti: dedicati probabilmente agli utenti consumer con scarse nozioni di informatica.
In ambito professionale (media/grande impresa, ovvero dove c'è personale IT qualificato con sensibilità per la sicurezza) ti assicuro che tutti i collegamenti fra sede filiali e branch office sono fatti in CDN/MPLS ovvero su linee diciamo dedicate con bande garantite che non soffrono di congestioni internet ... e le VPN vengono sempre usate per accessi remoti dei dipendenti/teleworkers.

L'apertura diretta delle più svariate porte (in particolare quelle sensibili) è fatta da utenti sprovveduti oppure pigri. Si perchè più le regole son dettagliate/mirate più ce ne saranno e maggiori saranno le risorse (lo sforzo)per la loro impostazione/manutenzione. Quindi tuto si riconduce a capacità e volontà.


Io ti consiglio
  • di mantenere aggiornati (firmware) router/firewall/nas. Per aggiornati non intendo l'aggiunta dell'ultima opzione/funzione che magari non ti serve ma verificare regolarmente la presenza/disponibilità degli aggiornamenti e dove c'è una versione più aggiornata verificarne i "ghangelog"/"hystory" per vedere cosa sia stato introdotto/migliorato o corretto. Sapendo che ogni nuova introduzione di nuove funzioni può portare anche a nuovi bug devi però valutare le correzioni: ed applicare specialmente quelle riguardanti la sicurezza.
    Quando una patch di sicurezza viene resa pubblica lo diviene inevitabilmente anche il bacco e le modalità con le quali si presenta. Quando si hanno poi porte aperte e l'apparecchiatura interrogata risponde è relativamente semplice determinarne il produttore e la tipologia così da poterne individuare le vulnerabilità.
  • La configurazionedel router (e apparecchiature di rete) va consentita solo da lan locale (non wan)
  • Poi come ti ho detto limita la DSM 5000 alla sola lan locale e non esporre ne la 5000/5001 (neanche cambiando porta) pubblicamente.
  • Se devi far uso di DSVideo/Audio/File usa le porte alternative https nel portale applicazioni così chi dovesse eventualmente individuare utente/password non potrà smanettare nel DSM
  • il DDNS è fondamentale se non hai un IP statico, il Quickconnect no. Quest'ultimo (alla teamviewer) triangola il traffico non rendendo necessarie l'apertura di alcune porte ma ti pone in regime di dipendenza da Synology, sia in termini di servizio (funzionamento dei loro server) che in quelli di sicurezza (chi viola i loro server, piuttosto che personale dipendente) potrebbe accedere ai tuoi dati.
  • Come avrai notato nel firewall del Syno de installi un app o servizio le porte necessarie vengono aperte a tutti. E buona norma modificare tali regole in funzione delle reali necessità. Esempio modificare l'ip sorgente per la 5000 alla lan locale. Questo ti mette al riparo anche da eventuali errate/temporanee configurazioni del router (es la messa in DMZ del NAS).
    Purtroppo a volte durante gli aggiornamenti le regole personalizzate vengono perse, quindi è buona cosa averne una copia (uno schema) cartaceo o in forma digitale, da poter usare in verifica dopo gli aggiornamenti.
  • Gli account "amministratore", su qualsiasi dispositivo (PC, NAS, ...) vanno usato solo per amministrare. Nel quotidiano utilizzo anche la persona "amministratrice" usa un account utente (con diritti limitati). Forse dover cambiare account per installare un software può risultare scomodo, ma se ti prendi un malware nella sessione amministratore questi non deve manco chiederti il permesso (o bypassare qualche difesa) per fare qualcosa, agisce da amministratore anch'egli.
  • Se devi condividere file con utenti non abituali, piuttosto che creargli account nel NAS e FTP usa la condivisione file della FileStation (sempre via porta dedicata/alternativa)
  • Per qualsiasi altro accesso alla tua LAN usa una VPN. Il fritz dovrebbe fare anche da Server VPN da quanto ricordo.
  • Se non vuoi cambiare continuamente l'indirizzo del server (ad esempio in caso d'utilizzo di DSVideo su dispositivo mobile) nel passaggio da LAN via WiFi a WAN in 4G/LTE vedi se il router supporta delle funzioni base di DNS server oppure installalo sul NAS, così lo stesso nome verrà risolto con il tuo IP interno/locale quando in LAN o con il tuo IP pubblico quando in remoto.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1569
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: VPN... Misa che ci ho capito poco

Messaggioda matte » domenica 15 gennaio 2017, 11:00

Personalmente ti consiglio ExpressVPN
matte
Utente
Utente
 
Messaggi: 2
Iscritto il: domenica 15 gennaio 2017, 10:53

Re: VPN... Misa che ci ho capito poco

Messaggioda matte » domenica 15 gennaio 2017, 11:01

matte
Utente
Utente
 
Messaggi: 2
Iscritto il: domenica 15 gennaio 2017, 10:53


Torna a VPN, QuickConnect e Accesso remoto in genere

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite