disattivare il servizio SMB?

[burghy86]

Sul synology non usare l'inoltro porte se hai già fatto tutto sul router...
Sul routet disattiva l'upnp

[dMajo]

Le porte 5000/5001 non si aprono MAI all'esterno (sul router). Se proprio non si riesce ad utilizzare una VPN semmai la 5001 ma mai la 5000.

Nel pannello di controllo/ portale applicazioni si possono configurare porte alternative per i vari servizi/app (ds audio/video/file/....) e dall'ultima versione DSM anche alias url.
Vanno usate le porte alternative esclusivamente ssl.
Con l'ultima versione DSM è anche possibile avere uno (o più) certificato firmato da LetsEncrypr gratuitamente in modo da agevolare l'accesso SSL anche ad eventuali ospiti/amici senza avere problemi di certificato che si avrebbero con quello autoprodotto/autofirmato.

L'UPNP sul router va disabilitato e l'instradamento di porte configurato manualmente, solo di quelle necessarie.

Il firewall su NAS va attivato, in fondo alla schermata di ogni connettività va impostato il comportamento di default su blocca/non consentire
Poi, per ogni servizio, a seconda dell'utilizzo, vanno fatte regole per consentire il traffico in ingresso a tutti o solamente lan locale
Esempio:
- porte DSM 5000/5001 solo lan locale subnet:192.168.1.0/255.255.255.0
- porte web (80/443) a tutti gli IP, queste saranno inoltre instradate sul router verso l'IP locale del NAS.

Nel tuo elenco 1:
- DSM (5000/5001) e Telnet/SSH non vanno aperte MAI sul router, sul NAS invece solo LAN locale e LAN remota (di assegnazione indirizzi VPN)
- POP e IMAP, su SSL a tutti senza SSL solo a LAN locale. SMTP con senza SSL a tutti
- Le varie Station solo su LAN locale, le porte aggiuntive SSL create nel portale applicazioni invece a tutti IP per l'utilizzo dalle varia app DS su smartphone
- BACKUP: si presuppone che se da remoto vengono fatti backup sul NAS locale siano indirizzi noti, ergo quete porte verranno consentite solo dagli IP pubblici remoti e non a tutti. Una soluzione migliore, più sicura ed elegante sarebbe fare una VPN statica (BranchOffice) fra i due siti (locale e remoto). In questo modo i 2 NAS si vedranno direttamente senza bisogno di apertura di porte dedicate a questo o quel servizio ed il traffico scambiato sarà crittografato nel tunnel fra le sedi.

[ismet]

le vostre informazioni sono preziose in termini di sicurezza.
Dovrò certamente rimodulare un bel pò di regole.
Per la VPN è necessario acquistare un servizio a pagamento (io ho già un abbonamento a pureVpn) oppure si può impostare direttamente nel sistema stesso tramite VPN server?

[dMajo]

La VPN a pagamento serve a rendere te e la tua navigazione anonima, non sniffabile.

Tu fai un abbonamento (pureVPN) e ti connetti al loro server VPN. La navigazione, il traffico, ed il tuo IP sono crittografati nel tunnel dal tuo dispositivo al loro server. Da li esci in chiaro, da loro IP condiviso, fra atri migliaia di clienti come te, facendo cosi vedere al destinatario il loro IP e non il tuo ma soprattutto "mimetizzando/confondendo" il tuo traffico assieme a quello degli altri clienti. Sniffando il traffico in uscita dal loro IP sarebbe impossibile risalire a quale porzione sia stata generata da quale cliente. Qui i due lati (end-points) del tunnel sono uno tuo e l'altro del fornitore del servizio.

La VPN per amministrare la tua rete invece è tecnicamente la stessa cosa, ma il server VPN lo fa il tuo router (o eventualmente il tuo NAS), cosi quando sei in remoto, attraverso internet, raggiungi la tua rete via tunnel, crittografando tutto il traffico (rendendolo indecifrabile nel caso in cui fra te-smartphone e te-router/NAS qualcuno lo stesse sniffando). In questo caso tu controlli entrambi gli end-points del tunnel (smartphone/NB<->router/NAS) e non ti serve alcun abbonamento.
Non solo, ma solo in caso di serverVPN sul NAS sul router dovrai aprire unicamente le porte necessarie alla VPN (al tunnel), tutte le altre porte saranno fruibili passando nel tunnel trasparentemente e solo dall'altro lato del tunnel ovvero tuo smartphone/PC/NB remoto.

[ismet]

La VPN a pagamento serve a rendere te e la tua navigazione anonima, non sniffabile.......Non solo, ma solo in caso di serverVPN sul NAS sul router dovrai aprire unicamente le porte necessarie alla VPN (al tunnel), tutte le altre porte saranno fruibili passando nel tunnel trasparentemente e solo dall'altro lato del tunnel ovvero tuo smartphone/PC/NB remoto.

Chiarissimo . Grazie

[pinc0]

ottimi consigli
domanda: tutti questi consigli rendono inutili un firewall hardware e switch managed per creare vpn?

[burghy86]

lo switch managed non serve a nulla per le vpn.

per il router se prendi un fritzbox che fa tutto lui è meglio. ma anche il syno funziona benissimo

Inviato dal mio SM-G930F utilizzando Tapatalk

[dMajo]

domanda: tutti questi consigli rendono inutili un firewall hardware e switch managed per creare vpn?

Un buon firewall hw che consenta configurazioni granulari è sempre consigliato. E lo sarà sempre più vista la crescita della criminalità digitale. Un buon router o un buon firewall fra internet e la tua LAN sono come la porta del tuo appartamento .... che probabilmente sarà blindata con antifurto all'interno. La stessa attenzione va prestata alla porta informatica.

Un ottimo router, con un firewall grandioso, configurabilità e servizi quasi da enterprise ad un costo legermete maggiore di un consumer è il Vigor 2860 (qui la live DEMO) o in versione ridotta il 2760delight (demo).

Lo switch (gestito) ti serve per configurare polizze QoS nella rete, il link aggregation per connettere dispositivi usando più di un cavo lan, la sicurezza di ogni singola porta, ..... e a diagnosticare il traffico ed il cablaggio di rete. Non per le VPN.

[pinc0]

chiedevo perchè leggendo le review si parlava di creazione e gestione vpn ecc... ero convinto che serviva un switch l2/3

ho visto i router consigliati... costosini....

[dMajo]

Il router lo prendi senza wifi e ci aggiungi un AP economico.
L'AP lo cambi quando la tecnologia migliora le prestazioni wifi, il router lo tieni 10 anni.