Pagina 2 di 3
Re: disattivare il servizio SMB?
Inviato: martedì 26 settembre 2017, 15:43
da burghy86
Sul synology non usare l'inoltro porte se hai già fatto tutto sul router...
Sul routet disattiva l'upnp
Re: disattivare il servizio SMB?
Inviato: martedì 26 settembre 2017, 17:13
da dMajo
Le porte 5000/5001 non si aprono MAI all'esterno (sul router). Se proprio non si riesce ad utilizzare una VPN semmai la 5001 ma mai la 5000.
Nel pannello di controllo/ portale applicazioni si possono configurare porte alternative per i vari servizi/app (ds audio/video/file/....) e dall'ultima versione DSM anche alias url.
Vanno usate le porte alternative esclusivamente ssl.
Con l'ultima versione DSM è anche possibile avere uno (o più) certificato firmato da LetsEncrypr gratuitamente in modo da agevolare l'accesso SSL anche ad eventuali ospiti/amici senza avere problemi di certificato che si avrebbero con quello autoprodotto/autofirmato.
L'UPNP sul router va disabilitato e l'instradamento di porte configurato manualmente, solo di quelle necessarie.
Il firewall su NAS va attivato, in fondo alla schermata di ogni connettività va impostato il comportamento di default su blocca/non consentire
Poi, per ogni servizio, a seconda dell'utilizzo, vanno fatte regole per consentire il traffico in ingresso a tutti o solamente lan locale
Esempio:
- porte DSM 5000/5001 solo lan locale subnet:192.168.1.0/255.255.255.0
- porte web (80/443) a tutti gli IP, queste saranno inoltre instradate sul router verso l'IP locale del NAS.
Nel tuo elenco 1:
- DSM (5000/5001) e Telnet/SSH non vanno aperte MAI sul router, sul NAS invece solo LAN locale e LAN remota (di assegnazione indirizzi VPN)
- POP e IMAP, su SSL a tutti senza SSL solo a LAN locale. SMTP con senza SSL a tutti
- Le varie Station solo su LAN locale, le porte aggiuntive SSL create nel portale applicazioni invece a tutti IP per l'utilizzo dalle varia app DS su smartphone
- BACKUP: si presuppone che se da remoto vengono fatti backup sul NAS locale siano indirizzi noti, ergo quete porte verranno consentite solo dagli IP pubblici remoti e non a tutti. Una soluzione migliore, più sicura ed elegante sarebbe fare una VPN statica (BranchOffice) fra i due siti (locale e remoto). In questo modo i 2 NAS si vedranno direttamente senza bisogno di apertura di porte dedicate a questo o quel servizio ed il traffico scambiato sarà crittografato nel tunnel fra le sedi.
disattivare il servizio SMB?
Inviato: martedì 26 settembre 2017, 21:46
da ismet
le vostre informazioni sono preziose in termini di sicurezza.
Dovrò certamente rimodulare un bel pò di regole.
Per la VPN è necessario acquistare un servizio a pagamento (io ho già un abbonamento a pureVpn) oppure si può impostare direttamente nel sistema stesso tramite VPN server?
Re: disattivare il servizio SMB?
Inviato: mercoledì 27 settembre 2017, 9:43
da dMajo
La VPN a pagamento serve a rendere te e la tua navigazione anonima, non sniffabile.
Tu fai un abbonamento (pureVPN) e ti connetti al loro server VPN. La navigazione, il traffico, ed il tuo IP sono crittografati nel tunnel dal tuo dispositivo al loro server. Da li esci in chiaro, da loro IP condiviso, fra atri migliaia di clienti come te, facendo cosi vedere al destinatario il loro IP e non il tuo ma soprattutto "mimetizzando/confondendo" il tuo traffico assieme a quello degli altri clienti. Sniffando il traffico in uscita dal loro IP sarebbe impossibile risalire a quale porzione sia stata generata da quale cliente. Qui i due lati (end-points) del tunnel sono uno tuo e l'altro del fornitore del servizio.
La VPN per amministrare la tua rete invece è tecnicamente la stessa cosa, ma il server VPN lo fa il tuo router (o eventualmente il tuo NAS), cosi quando sei in remoto, attraverso internet, raggiungi la tua rete via tunnel, crittografando tutto il traffico (rendendolo indecifrabile nel caso in cui fra te-smartphone e te-router/NAS qualcuno lo stesse sniffando). In questo caso tu controlli entrambi gli end-points del tunnel (smartphone/NB<->router/NAS) e non ti serve alcun abbonamento.
Non solo, ma solo in caso di serverVPN sul NAS sul router dovrai aprire unicamente le porte necessarie alla VPN (al tunnel), tutte le altre porte saranno fruibili passando nel tunnel trasparentemente e solo dall'altro lato del tunnel ovvero tuo smartphone/PC/NB remoto.
Re: disattivare il servizio SMB?
Inviato: mercoledì 27 settembre 2017, 14:15
da ismet
dMajo ha scritto:La VPN a pagamento serve a rendere te e la tua navigazione anonima, non sniffabile.......Non solo, ma solo in caso di serverVPN sul NAS sul router dovrai aprire unicamente le porte necessarie alla VPN (al tunnel), tutte le altre porte saranno fruibili passando nel tunnel trasparentemente e solo dall'altro lato del tunnel ovvero tuo smartphone/PC/NB remoto.
Chiarissimo

. Grazie

Re: disattivare il servizio SMB?
Inviato: venerdì 6 ottobre 2017, 14:01
da pinc0
ottimi consigli
domanda: tutti questi consigli rendono inutili un firewall hardware e switch managed per creare vpn?
Re: disattivare il servizio SMB?
Inviato: venerdì 6 ottobre 2017, 14:17
da burghy86
lo switch managed non serve a nulla per le vpn.
per il router se prendi un fritzbox che fa tutto lui è meglio. ma anche il syno funziona benissimo
Inviato dal mio SM-G930F utilizzando Tapatalk
Re: disattivare il servizio SMB?
Inviato: venerdì 6 ottobre 2017, 16:31
da dMajo
pinc0 ha scritto:domanda: tutti questi consigli rendono inutili un firewall hardware e switch managed per creare vpn?
Un buon firewall hw che consenta configurazioni granulari è sempre consigliato. E lo sarà sempre più vista la crescita della criminalità digitale. Un buon router o un buon firewall fra internet e la tua LAN sono come la porta del tuo appartamento .... che probabilmente sarà blindata con antifurto all'interno. La stessa attenzione va prestata alla porta informatica.
Un ottimo router, con un firewall grandioso, configurabilità e servizi quasi da enterprise ad un costo legermete maggiore di un consumer è il
Vigor 2860 (qui la
live DEMO) o in versione ridotta il
2760delight (
demo).
Lo switch (gestito) ti serve per configurare polizze QoS nella rete, il link aggregation per connettere dispositivi usando più di un cavo lan, la sicurezza di ogni singola porta, ..... e a diagnosticare il traffico ed il cablaggio di rete. Non per le VPN.
Re: disattivare il servizio SMB?
Inviato: sabato 7 ottobre 2017, 8:39
da pinc0
chiedevo perchè leggendo le review si parlava di creazione e gestione vpn ecc... ero convinto che serviva un switch l2/3
ho visto i router consigliati... costosini....
Re: disattivare il servizio SMB?
Inviato: lunedì 9 ottobre 2017, 0:33
da dMajo
Il router lo prendi senza wifi e ci aggiungi un AP economico.
L'AP lo cambi quando la tecnologia migliora le prestazioni wifi, il router lo tieni 10 anni.