Tentativo di intrusione ?

HW e servizi di rete: utilizzo abbinato al NAS (FW, DHCP, (D)DNS, NTP, RADIUS, LDAP, ACTIVE DIRECTORY, VPN CLIENT&SERVER, EZ&ROUTER/WiFi, UPS)
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Tentativo di intrusione ?

Messaggio da dMajo »

Se posso dare un consiglio le porte del DSM (5000/5001) non vanno MAI aperte sul router. Ne con la porta originale ne attraverso PAT (Port Address Translator: ovvero reindirizzare una porta esterna a caso, 11000, verso la 5000).
In caso estremo, ove non sia possibile risolvere in altri modi, la 5000 va comunque dimenticata e si potrebbe fare un eccezione solo per la 5001 (https) altrimenti le credenziali scambiate per il login viaggiano in chiaro.

Ciò detto se devi amministrare il NAS da remoto e/o accedere ai file via SMB/CIFS meglio accedere in VPN.

Per le altre app (file station, download station, video/audio station .... accesse attraverso browser e/o loro app gemelle: DS audio/video/file/get) vai nel portale applicazioni e abilita le porte aggiuntive (solo https) e poi apri queste porte sul router e non la 5000/5001.
La 7001 predefinita per la file station ti farà usare la FS nello stesso modo come se la usassi attraverso il DSM, ma nel malaugurato caso ti sgamassero la password almeno non possono modificare i settaggi del DSM. Stesso concetto per audio/video/ds



per quanto riguarda poi le regole del firewall bloccando solo la cina non è che risolvi granché. Ponendo che tu non vada all'estero e che fruisca del nas in remoto unicamente dall'Italia le regole giuste sarebbero queste:
- impostare come azione predefinita NEGA (in fondo alla pagina)
- impostare per le porte: 80/443/25/465/993(in caso di uso web e/o mail) più le porte alternative impostate per le varie station azione CONSENTI per ip ITALIA
- impostare per le porte della regola precedente azione CONSENTI per ip LOCALI (presumibilmente 192.168.1.1/24 o in alternativa tutti i locali, quindi 3 regole distinte, ognuna per una delle seguenti classi: 192.168.0.0/16(255.255.0.0) 172.16.0.0/12(255.255.240.0) 10.0.0.0/8(255.0.0.0))
- creare un'altro set di 3 regole con azione CONSENTI e ip LOCALI per gli altri servizi ad uso esclusivamente interno/VPN come NTP, SMB, DLNA, ...

cosi facendo (specialmente aprendo tutti gli ip locali) le applicazioni del NAS saranno accessibili solo
- agli ip pubblici italiani
- agli ip locali, quindi tua LAN tuo WiFi ed eventualmente tuoi accessi via VPN (che configura gli indirizzi dei client VPN sulla 10.0|2|8.0.x)

vanno poi sempre usate password sufficientemente lunghe composte da minuscole, maiuscole, numeri, simboli
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
newmacc
Utente
Utente
Messaggi: 170
Iscritto il: lunedì 1 febbraio 2016, 7:59

Re: Tentativo di intrusione ?

Messaggio da newmacc »

Quindi in definitiva:
Se disabilito nel router la porta 5000 l'unica conseguenza è non avere accesso dall'esterno via browser al DSM ma, sia nella mia LAN che nel mio wifi non cambia nulla ?
Non cambia nulla nemmeno con le altre app su mobile (DS, Video, Photo, File) sia dall'interno di casa mia, che dall'esterno.
La 5000, che è quella più attaccata, serve "solo" per essere abile a lavorare nel NAS dall'esterno di casa ?
Grazie e scusate per le ovvietà (che per me non lo sono)
MBP 16 early 2020, Catalina 10.15
TIM Fibra
Router TIM Hub
Android TV Sony X83
NAS: 1515+
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Tentativo di intrusione ?

Messaggio da dMajo »

la 5000/5001 serve anche per accedere dall'esterno con le DS apps.

ma se abiliti le porte aggiuntive nel portale applicazioni es la 7001 predefinita per la file station poi, dopo averla aperta sul router nella DS file spunti l'accesso https e nell'url dell'aplicazione metti il dominio o ip seguiti da :7001.
stessa cosa per le altre app se le usi.
nelle opzioni del portale applicazioni consiglio anche di spuntare il flag per nascondere il banner.

a questo punto puoi provare a loggarti da lan sul nas con:
ip.del.tuo.nas:5000
e
ip.del.tuo.nas:7001
e vedere la differenza
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
newmacc
Utente
Utente
Messaggi: 170
Iscritto il: lunedì 1 febbraio 2016, 7:59

Re: Tentativo di intrusione ?

Messaggio da newmacc »

dMajo ha scritto:la 5000/5001 serve anche per accedere dall'esterno con le DS apps.

ma se abiliti le porte aggiuntive nel portale applicazioni es la 7001 predefinita per la file station poi, dopo averla aperta sul router nella DS file spunti l'accesso https e nell'url dell'aplicazione metti il dominio o ip seguiti da :7001.
stessa cosa per le altre app se le usi.
nelle opzioni del portale applicazioni consiglio anche di spuntare il flag per nascondere il banner.

a questo punto puoi provare a loggarti da lan sul nas con:
ip.del.tuo.nas:5000
e
ip.del.tuo.nas:7001
e vedere la differenza
Ok
Ho provato.
Disabilitato la 5000 nel router.
Per le App su mobile ho l'accesso con quickconnect ed ho verificato che funziona lo stesso.
Abilitando nel portale applicazioni l'accesso alle app senza passare dal DSM, ho visto che è comodo dalla mia lan. Ma a questo punto non apro altre porte sul router se riesco ad accedere con QC.
Ho solo delle difficoltà con l'https: quando tento di accedere dalla mia lan ho questo messaggio. Ritengo che devo trovare qualche flag da spuntare....

400 Bad Request
The plain HTTP request was sent to HTTPS port
nginx
MBP 16 early 2020, Catalina 10.15
TIM Fibra
Router TIM Hub
Android TV Sony X83
NAS: 1515+
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Tentativo di intrusione ?

Messaggio da dMajo »

Dal messaggio che hai postato sembrerebbe il contrario, ovvero che tu con connessione http abbia tentato l'accesso su una porta https.

Per quanto riguarda QC non ti serve alcuna porta aperta. In questo caso il traffico è sempre uscente, ovvero il nas realizza una connessione verso i server QC di synology e quando tu a tua volta li contatti attraverso l'apposita URL i due flussi vengono messi in comunicazione fra loro. La comunicazione è così sempre triangolata sui server synology. In questo modo non c'è traffico originato esternamente in ingresso al tuo router e non occorre perciò aprire nessuna porta.
Al contrario se accedi usando DDNS o IP statico dall'esterno punti direttamente il tuo router, originando il traffico esternamente che così a bisogno di porte instradate sul router.

Con DDNS o IP statico puoi avere accesso a qualsiasi dispositivo nella tua LAN (previa opportuna configurazione del router) mentre con QC accedi al solo NAS. Inoltre se i server di synology sono guasti non hai accesso nemmeno a quello.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
newmacc
Utente
Utente
Messaggi: 170
Iscritto il: lunedì 1 febbraio 2016, 7:59

Re: Tentativo di intrusione ?

Messaggio da newmacc »

Chiaro.
Ti ringrazio. Ho compreso meglio questo aspetto e credo di aver razionalizzato meglio le porte.
Ora devo solo capire e togliere eventualmente le porte aperte (inutilmente) sul router per la stampante.
Grazie 1000
MBP 16 early 2020, Catalina 10.15
TIM Fibra
Router TIM Hub
Android TV Sony X83
NAS: 1515+
Avatar utente
Alexander-10
Utente
Utente
Messaggi: 22
Iscritto il: giovedì 22 ottobre 2020, 2:37

Re: Tentativo di intrusione ?

Messaggio da Alexander-10 »

dMajo ha scritto: venerdì 25 maggio 2018, 12:56 Dal messaggio che hai postato sembrerebbe il contrario, ovvero che tu con connessione http abbia tentato l'accesso su una porta https.

Per quanto riguarda QC non ti serve alcuna porta aperta. In questo caso il traffico è sempre uscente, ovvero il nas realizza una connessione verso i server QC di synology e quando tu a tua volta li contatti attraverso l'apposita URL i due flussi vengono messi in comunicazione fra loro. La comunicazione è così sempre triangolata sui server synology. In questo modo non c'è traffico originato esternamente in ingresso al tuo router e non occorre perciò aprire nessuna porta.
Al contrario se accedi usando DDNS o IP statico dall'esterno punti direttamente il tuo router, originando il traffico esternamente che così a bisogno di porte instradate sul router.

Con DDNS o IP statico puoi avere accesso a qualsiasi dispositivo nella tua LAN (previa opportuna configurazione del router) mentre con QC accedi al solo NAS. Inoltre se i server di synology sono guasti non hai accesso nemmeno a quello.
Ciao a tutti, intanto grazie delle risposte che ho letto qui. Sto sbattendo la testa da giorni per configurare al meglio il NAS e questi messaggi, mi hanno chiarito molti dubbi.

Me ne sono rimasti 3:
1) dalla conversazione si evince che, per le App Synology (DS File, Drive, ecc), consigli di usare IP statico/DDNS NAS (aprendo la porta del router che si è impostata nelle opzioni "portale applicazione" del NAS) in quanto più veloce nell'accedere al NAS rispetto a Quickconnect. Risultato finale, per me che uso Synology Drive su iOS, sarebbe un indirizzo tipo:
https:// (IP o DDSN NAS) : (porta HTTS impostata in "portale applicazioni > Synology Drive")
corretto?

2) Se volessi invece accedere tramite browser PC al DSM da remoto, giusto per controllare lo stato del NAS, quindi senza necessità di massima velocità, posso usare tranquillamente indirizzo Quickconnect? E' sicuro?

3) E infine, per montare le cartelle su desktop del Macbook, è sicuro aprire la porta per AFP (548) o quella HTTPS per WebDav (5006) su router e utilizzare a scelta uno di questi due protocolli? se sì, quale mi consigli?
  • UPS: nessuno
  • GTW: Fastgate Technicolor MediaAccess FGA2130FWB. ISP: Fastweb FTTH 1GB
  • SWC: nessuno
  • NAS: Synology DS720+
  • CLI: MacBook Pro 2016 Touchbar con MacOS BigSur 11.0.1
  • ALTRO: iPhone XS
  • EXP: E4 - NET6 - PC:W7,M8,L0
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Tentativo di intrusione ?

Messaggio da dMajo »

Dal punto di vista dell'affidabilità e sicurezza; dal mio punto di vista, nel portale applicazioni imposti:
- dei FQDN alternativi (tipo: fs.dominio.tld, ds.dominio.tld o fs.apps.dominio.tld, note.apps.dominio.tld ....) se hai un dominio esterno a disposizione (che eventualmente supporti anche DDNS in caso di ip pubblico DINAMICO)
- le porte alternative HTTPS se hai ip dinamico è solo un record DDNS per risolvere l'indirizzo wan del router.

Nel primo caso aprirai sul router instraderai solo le porte 80/443, mentre nel secondo caso anche tutte le porte delle singole applicazioni che utilizzi e vuoi raggiungibili dall'esterno (ad esempio via app mobile, o browser su pc)
Le porte 80/443 andranno comunque instradate nel caso tu voglia un certificato valido con LetsEncrypt.
Questo non esporrà le porte 5000/5001 e se anche uno ti dovesse sgammare la psw così accederà solo all'applicazione esposta e non a tutto il DSM con il relativo pannello di controllo.

Se poi il router non supporta correttamente il loopback (prerogativa di molti SOHO) sarebbe opportuno installare anche DNS server sul NAS in modo da risolvere automaticamente (con il cel) ad esempio "fs.apps.dominio.tld" (o equivalente DDNS) con l'indirizzo IP pubblico quando in giro, e con l'indirizzo privato del nas quando in wifi.

Per la configurazione del NAS su porte 5000/5001/22/23 (o relative alternative impostate) l'unico accesso da prendere in considerazione invece è una connessione VPN, meglio se supportata dal router direttamente, o in alternativa con il VPN server del NAS. In quest'ultimo caso sul router andranno instradate anche le porte per il server VPN. Quando ti trovi in giro, via VPN, potrai fare in sicurezza tutto (trasparentemente) come se fossi direttamente collegato alla LAN del NAS.

Attenzione: che con Fastweb spesso l'utente riceve un IP NATtato (non pubblico) sulla WAN del proprio router. Semmai dovrai chiedere l'assegnazione di un IP pubblico.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
Avatar utente
Alexander-10
Utente
Utente
Messaggi: 22
Iscritto il: giovedì 22 ottobre 2020, 2:37

Re: Tentativo di intrusione ?

Messaggio da Alexander-10 »

Grazie della veloce risposta. Per ora ti rispondo solo che ho richiesto a Fastweb IP Pubblico, ma che in realtà non mi è chiaro come controllare se è già attivo o meno.
Per il resto mi prendo un po' più di tempo che hai usato termini (tipo FQDN, loopback) e mi hai parlato di porte (80/443) che, nonostante le notti insonni per capirne di più sui vari protocolli di rete, non mi era ancora capitato di dover approfondire. :?

In alternativa, per non dovermi stressare ancora con le impostazioni, le opzioni che ti ho esposto non le trovi efficaci?

1. Per accedere da remoto (e in locale) tramite browser alla configurazione del DSM (senza aprire porte DSM) > Usare indirizzo Quickconnect
 nella barra degli indirizzi del browser
2. Per montare cartelle da remoto (e in locale) su Mac > usare protocollo AFP (porta 548) Afp://INDIRIZZO-NAS
 oppure WebDav (porta HTTPS 5006, che si può modificare a piacere) https://INDIRIZZO-NAS:5006 (aprendo le relative porte su router)
3. Per accedere da remoto (e in locale) con iPhone con App Synology Drive > Inserire User e PSW dell'account Synology, selezionare “HTTPS”, come indirizzo inserire IP NAS + la porta HTTPS impostata per Synology Drive in “portale applicazioni” del DSM (aprendo la porta su router), ovvero https://INDIRIZZO-NAS:PORTA SYNOLOGY DRIVE
Ultima modifica di Alexander-10 il domenica 25 ottobre 2020, 18:59, modificato 3 volte in totale.
  • UPS: nessuno
  • GTW: Fastgate Technicolor MediaAccess FGA2130FWB. ISP: Fastweb FTTH 1GB
  • SWC: nessuno
  • NAS: Synology DS720+
  • CLI: MacBook Pro 2016 Touchbar con MacOS BigSur 11.0.1
  • ALTRO: iPhone XS
  • EXP: E4 - NET6 - PC:W7,M8,L0
Avatar utente
Alexander-10
Utente
Utente
Messaggi: 22
Iscritto il: giovedì 22 ottobre 2020, 2:37

Re: Tentativo di intrusione ?

Messaggio da Alexander-10 »

Nessuno che possa darmi una mano?
Un'altra cosa che non capisco è: perchè con la cartella montata in AFP riesco a cambiare icona e quando me la rimonta trovo sempre la stessa icona, invece con WebDav l'icona della cartella montata viene resettata in automatico a quella standard?
Ultima modifica di Alexander-10 il domenica 25 ottobre 2020, 23:12, modificato 1 volta in totale.
  • UPS: nessuno
  • GTW: Fastgate Technicolor MediaAccess FGA2130FWB. ISP: Fastweb FTTH 1GB
  • SWC: nessuno
  • NAS: Synology DS720+
  • CLI: MacBook Pro 2016 Touchbar con MacOS BigSur 11.0.1
  • ALTRO: iPhone XS
  • EXP: E4 - NET6 - PC:W7,M8,L0
Rispondi

Torna a “Networking - Servizi e apparecchi di rete (cablaggio e config)”