Anúncio do HT Forum

Clube do NAS Synology

Discussão em 'HTPCs, Media Centers e Streamers' iniciada por PoloNes, 3 Abr 2012.

?

Em um NAS, quantas baias seria o ideal para você?

  1. Uma baia

  2. Duas baias

  3. Quatro baias

  4. Cinco baias

  5. Oito baias

Você só pode ver os resultados depois de votar.
  1. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    Exato, não é uma questão de mudar a porta padrão, mas sim de abrir uma porta (seja qual for) de acesso ao DSM para a internet. Não vou fazer isso.

    Da mesma maneira que você acesso minha rede remotamente somente via OpenVPN (servidor rodando no roteador), mas conecto somente quando existe a necessidade.

    Dessa maneira usar VPN para backup das fotos via DS File não é uma solução prática.

    Vou investigar melhor a conexão do DS File ao NAS através de uma conta Synology sem abrir portas. Se funcionar considero uma solução viável.

    (y)
     
  2. ch4rl3s

    ch4rl3s Usuário


    Desde 30 Dez 2008
    Fortaleza
    Se der certo me avisa, ai eu tiro as portas, pq pra mim tira toda graça usar vpn em um celular, não por minha conta e sim pelos meus familiares. hoje uso na 5001 com certificado.
     
  3. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    Testei rapidamente o QuickConnect com conta Synology. Selecionei a opção para *não* abrir portas no roteador, e aí a conexão ao NAS é feita via "relay service" através dos servidores da Synology.

    Coloquei o celular em 4G e testei o DS File (no iOS). Funcionou, o DS File conectou meu NAS via 4G sem ter que abrir portas no roteador (via relay service). Porém tem duas coisas que não gostei:

    1) A conexão inicial do DS File é demorada (vários segundos). Acho que ele tenta incialmente uma conexão direta, mas como não tenho nenhuma porta aberta no roteador só depois de um tempo a conexão é feita pelo relay service e aí conecta.

    2) Até aí tudo bem, se fosse só uma vez. Porém fechei a app do DS File, e ao carregar a mesma de novo a conexão reiniciou novamente com toda a demora acima.

    Não testei no Android, mas esse comportamento é muito lento e considero inaceitável para uso frequente para backup das fotos do celular. Entendo também que se abrir as portas no roteador a conexão deverá ser mais rápida, porém não testei já que não quero abrir portas no meu roteador.

    Com isso desisti (pelo menos por enquanto) do QuickConnect e desinstatelei o DS File. Para backup da câmera vou usar o Dropbox (tenho 25GB gratuitos) e configurei a conta Dropbox no CloudSync. Sigo usando em paralelo o Google Drive também no CloudSync (tenho uma assinatura de 2TB) para armazenamento na nuvem. Só de raiva, apaguei todas as fotos do Google Photos, desinstalei a app e mandei um feedback bem desaforado para o Google. Acho que se várias pessoas fizerem isso (reclamar) quem sabe o Google volta adicionar uma opção de backup de fotos no Google Drive (tem uma opção na versão web do Google Photos para mandar feedback).

    (y)
     
  4. ch4rl3s

    ch4rl3s Usuário


    Desde 30 Dez 2008
    Fortaleza
    Tem como medir a conexão direto do NAS ou no roteador da Synology, vi alguns dashboard do InfluxDB, alguns mostram. vlw
     
  5. Lucca79

    Lucca79 Usuário


    Desde 2 Fev 2007
    São Paulo
    Há 3 dias estou sofrendo tentativa de invasão, ataque de força bruta. Sempre vem de ips diferentes espalhados por todos continentes.
    Já desativei o direcionamento no roteador, apaguei o DNS no NAS, redirecionei o ip registrado no servidor DNS, mas os ataques continuam.

    O que devo fazer? Li que a NET não muda frequentemente os ips dinâmicos dos usuários. Estou com o NAS desligado desde quarta-feira, se ligar começa a chuva de tentativa de login.

    Edit: Fiz scaneamento das portas no roteador e não encontrou nenhuma aberta.
     
    Última edição: 20 Jul 2019
  6. VARodrigues

    VARodrigues Usuário


    Desde 29 Out 2010
    São Paulo
    Tem que desabilitar o acesso SSH (se é que está ligado). Se deixar aberta a porta 22, vai sofrer sempre.
     
  7. Lucca79

    Lucca79 Usuário


    Desde 2 Fev 2007
    São Paulo
    Então, SSH está desabilitado há anos, desde aquela falha de segurança detectada pela Synology.

    O que fiz agora foi fechar todas as portas para acesso externo no NAS. As tentativas de invasão pararam, mas perdi o acesso externo.

    Nunca tinha visto isso antes, deixei o NAS desligado por 3 dias e na madrugada da sexta-feira para o sábado, quando religuei ele na rede, em menos de um minuto já surgiram novas tentativas de login.
     
  8. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    Algumas semanas atrás a Avast publicou um artigo indicando que está acontecendo um ataque constante aqui no Brasil a alguns modelos específicos de roteadores para alterar o DNS e redirecionar os usuários para sites de bancos "fakes" para roubar as senhas. Mais detalhes em https://olhardigital.com.br/noticia...-ataques-remotos-a-roteadores-no-brasil/87967 (artigo original em inglês em https://blog.avast.com/avast-blocks-dns-hijacking-in-brazil).

    Uma forma alternativa de você acessar externamente teu NAS sem ter que abrir nenhuma porta no roteador é via o QuickConnect da Synology, e nas opções avançadas desabilitar a opção de criar automaticamente as regras de forward.

    (y)
     
    • 2
  9. ygorsoares

    ygorsoares Usuário


    Desde 15 Jun 2009
    Rio de Janeiro
    Bem, aqui para evitar isso habilite o segundo fator de autenticação e deixei no firewall apenas conexão de endereços do Brasil. Não tenho mais problema algum!

    Abs
     
    • 2
  10. Lucca79

    Lucca79 Usuário


    Desde 2 Fev 2007
    São Paulo
    Meu roteador é um Apple Airport Extreme, não está nessa lista. O modem da NET, está em modo bridge.

    Pesquisando os IP que o NAS bloqueou, descobri que milhares de pessoas relataram tentativas de invasão por força bruta, nos seus sistemas DMS, a partir do dia 17/07.

    Parece ser um ataque coordenado e direcionado aos NAS da Synology.
     
    Última edição: 22 Jul 2019
  11. Lucca79

    Lucca79 Usuário


    Desde 2 Fev 2007
    São Paulo
    Por gentileza, poderia indicar o caminho para fazer essa autenticação em dois fatores?

    Quando você menciona firewall, seria do roteador ou do NAS? Qual o range dos ips você deixou liberado?

    Muito obrigado.
    Abraço.
     
  12. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    Sugiro configurar o roteador e fechar todas as portas, e configurar o NAS para acesso remoto via QuickAccess (EDITADO: o correto é "QuickConnect").

    (y)
     
    Última edição: 22 Jul 2019
    • 1
  13. ygorsoares

    ygorsoares Usuário


    Desde 15 Jun 2009
    Rio de Janeiro
    Eu tenho um firewall em casa da Fortinet que era da minha empresa. Então ele fica antes do NAS com IDS, Anti-DDos e na regra do NAT eu libero apenas para os endereços do Brasil. A Fortinet atualiza essa lista constantemente. Porém você pode fazer diretamente no NAS, eu sei que existe esse recurso porem nunca usei...

    Quanto ao MFA, basta seguir esse doc..

    https://www.synology.com/en-global/...ow_to_add_extra_security_to_your_Synology_NAS

    Também recomendaria habilitar o bloqueio de endereços por tentativa incorreta de login por 1h. Tentou 5x não foi bloqueia por 1h... Bloquear para sempre não é legal, pois pode ser que você um dia acabe errando as 5x e bloqueando seu acesso quando mais precisa...

    Quem tiver paciência e conhecer um pouco de Linux, pode comprar esses raspberry e usar ele como firewall com Snort... antes do Fortigate eu usava assim e ele ficou por uns 3 anos como firewall e roteador da minha internet.
     
    Última edição: 22 Jul 2019
    • 1
  14. ygorsoares

    ygorsoares Usuário


    Desde 15 Jun 2009
    Rio de Janeiro
    O problema nesse modo é que todo o seu tráfego passa pela rede da Synology o que pode abrir precedentes para um ataque main in the middle.

    A melhor forma é o acesso direto... habilitando o MFA e ajustando bem tanto a parte de firewall (seja no seu roteador ou no Synology), quanto às regras de segurança não terá com o que se preocupar além do básico.
     
  15. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    Apenas esclarecendo: o QuickConnect *não* redireciona "todo o seu tráfego pela Synology", apenas o acesso ao NAS quando você está fora da rede local. O acesso à internet continua normal, e dentro da rede local em casa o tráfego entre os dispositivos e o NAS continuam sendo locais.

    O Quick connect utiliza uma técnica chamada "Hole Punching" que permite a comunicação direta sem necessidade de abrir portas no roteador (após uma conexão inicial via relay service) e sem trafegar dados pelo relay service (que é usado apenas no início da conexão).

    Adicionalmente um ataque Man in the Middle a princípio não seria simples pois o QuickConnect utiliza criptografica end-to-end com certificados SSL.

    Caso vc quiser mais detalhes sobre essa implementação, tem um White Paper com detalhes do Quick Connect em https://global.download.synology.co...tePaper/Synology_QuickConnect_White_Paper.pdf

    (y)
     
    Última edição: 22 Jul 2019
    • 1
  16. ygorsoares

    ygorsoares Usuário


    Desde 15 Jun 2009
    Rio de Janeiro
    Sim, exatamente, porém existe um servidor da Synology fechando esse "tunel" (Synology Relay Server) que na verdade acaba funcionando como um gateway.

    Particularmente, nesse caso prefiro manter o túnel por OpenVPN que literalmente seria ponto a ponto. Pois mesmo sendo uma comunicação ssl, quem fecha o certificado em ambas as pontas é o serviço da Synology e sim, ele pode ser atacado ou até ser utilizado de maneira arbitrária pelo fabricante.

    No doc explica exatamente isso, a forma que o serviço é fechado e no meio entra o servidor da Synology. Ele até explica que os dados passam diretamente entre o cliente e o servidor, porém tenho dúvidas quanto a isso, se realmente eles não estão escutando nada...

    "1. To initiate the relay service, the client will send a request to
    the QuickConnect server.
    2. The QuickConnect server will inform the NAS to create a
    virtual tunnel between the NAS and the Relay Server.
    3. A port will be assigned on the Relay Server, and all network
    traffic to this port will be redirected via the established
    virtual tunnel to the NAS.
    4. Once the Relay Server is ready, the QuickConnect Server will
    relay the information back to the client.
    5. The client is now able to communicate with the NAS via the
    relay."

    Questão de gosto... eu não tenho nenhum dado em nuvem como esses serviços tipo Dropbox e não quero passar nenhum dado que tenha algum serviço redirecionando e tratando esse tráfego.. sou literalmente neurótico com isso kkk

    Edir.: uma vez usei o serviço e achei ele.muito lento.... como está hoje?? Melhorou algo???

    Abs
     
    Última edição: 22 Jul 2019
    • 1
  17. keepwalking

    keepwalking Usuário


    Desde 28 Jan 2008
    São Paulo
    Senhores, como vcs usam a configuração dos hds no NAS ? Raid, SHR ?

    Tenho um ds218+ e comprei o segundo HD essa semana. A ideia inicial era usar tipo jbod ou raid0 mas quando pluguei o novo HD o sistema estava configurado em SHR e ele automaticamente espelhou o novo HD.

    Pelo que já li a única solução aqui é aceitar isso (hds espelhados, + segurança) ou fazer um backup dos dados e refazer a storage pool dessa vez usando raid, do zero. É isso mesmo ? Meu uso não requer tanta segurança e minha prioridade no momento é espaço.
     
  18. PoloNes

    PoloNes Título Personalizado

    2.364 1.282 431

    Desde 27 Fev 2012
    Brasil

    Para espaço o melhor é o BASIC, pois se um HD apresentar problema, só perde todo o conteúdo daquele HD.
    JBOD e RAID 0 eu não recomendo, fica a gosto do usuário.
     
    • 2
  19. PoloNes

    PoloNes Título Personalizado

    2.364 1.282 431

    Desde 27 Fev 2012
    Brasil
    Última edição: 23 Jul 2019
    • 9
  20. _dsouza_

    _dsouza_ Lost in time

    9.340 3.221 811

    Desde 4 Set 2008
    Porto Alegre
    @PoloNes@PoloNes, obrigado por compartilhar.

    Por essas e outras uma solução robusta de backup é muito mais importante do que usar RAID 1 ou 5 e achar que os dados estão seguros... :) (y)
     
  1. Usamos cookies próprios e de terceiros para dar um melhor serviço e mostrar publicidade. Ao continuar, aceita o seu uso.
    Fechar Aviso