synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОсновные Вопросы по Продукции › Сохранение приватности информации

Сохранение приватности информации

den_r · 03.05.2013

Привет,

Давно присматриваюсь к Synology. Сейчас уже очень активно. "Для дома, для семьи". 212j, в частности.

Задача: хранение файлов для доступа с нескольких устройств (внутри домашней сети только) и загрузка файлов из интернета (download station).

Но несколько моментов смущает. Помогите развеять сомнения, плз.

 

1. Правильно ли я понимаю, что получить доступ к информации, хранящейся на NAS из интернета можно только при настройке "проброса" портов на роутере?

Т.е. если я роутере ничего не трогаю, то и доступа извне к NAS не будет никакого?

 

2. Например, есть windows ПК, на нем стоит firewall (outpost, zonealarm) и я могу посмотреть/разрешить/запретить определенную активность каждой программе, включая внутренние сервисы windows.

Возможен ли подобный контроль/настройка на Synology?

Иными словами, Как убедиться, что какой-то пакет или само ПО Synology не выгружает мою информацию к себе куда-нибудь на сервера...?

 

ps. я понимаю, что это может звучать как "теория заговора", но постоянно поднимающиеся "облачные сервисы" от разных компаний, сервисы типа teamviewer, удаленные доступы для администраторов Synology и т.п. нагоняют сомнения (что доступ получается очень легко...)

 

Den6969 · 04.05.2013
Привет,

Давно присматриваюсь к Synology. Сейчас уже очень активно. "Для дома, для семьи". 212j, в частности.

Задача: хранение файлов для доступа с нескольких устройств (внутри домашней сети только) и загрузка файлов из интернета (download station).

Но несколько моментов смущает. Помогите развеять сомнения, плз.

 

1. Правильно ли я понимаю, что получить доступ к информации, хранящейся на NAS из интернета можно только при настройке "проброса" портов на роутере?

Т.е. если я роутере ничего не трогаю, то и доступа извне к NAS не будет никакого?

 

Не только, еще через quick connect.

 

2. Например, есть windows ПК, на нем стоит firewall (outpost, zonealarm) и я могу посмотреть/разрешить/запретить определенную активность каждой программе, включая внутренние сервисы windows.

Возможен ли подобный контроль/настройка на Synology?

Иными словами, Как убедиться, что какой-то пакет или само ПО Synology не выгружает мою информацию к себе куда-нибудь на сервера...?

Возможностей настройки сетевой активности в сино не меньше чем в винде, но для лечения паранойи вашего масштаба думаю все равно будет маловато.

 

ps. я понимаю, что это может звучать как "теория заговора", но постоянно поднимающиеся "облачные сервисы" от разных компаний, сервисы типа teamviewer, удаленные доступы для администраторов Synology и т.п. нагоняют сомнения (что доступ получается очень легко...)

Думаю визит к хорошему врачу поможет снизить количество фаервалов до одного или вообще избавиться от них. А там и в сторону сино можно будет посмотреть.

den_r · 04.05.2013

 

Думаю визит к хорошему врачу поможет снизить количество фаервалов до одного или вообще избавиться от них. А там и в сторону сино можно будет посмотреть.

На винде мне вполне достаточно одного.

Synology основан на системе, которую я почти не знаю, поэтому и не доверие и вопросы. Где почитать, посмотреть подскажите как организована настройка исходящего траффика для Synology?

Я догадываюсь, что это делается в Брандмауэр. Но не могу найти примеров настройки в инете...

Den6969 · 04.05.2013
На винде мне вполне достаточно одного.

Synology основан на системе, которую я почти не знаю, поэтому и не доверие и вопросы. Где почитать, посмотреть подскажите как организована настройка исходящего траффика для Synology?

Я догадываюсь, что это делается в Брандмауэр. Но не могу найти примеров настройки в инете...

Мое мнение - фаервал в руках простого пользователя - это не более чем убийца скорости. Ну может еще помощник в установке взломанного софта. Ломают обычно через открытые порты дырявых приложений, и подобные дырки латаются на уровне системы и возможно антивируса. Открыв полный доступ какому нибудь эксплореру вы становитесь таким же уязвимым как и без фаервала. А неумело закрыв доступ системному приложению, вы спустя какое то время столкнетесь с неработоспособностью какой нибудь функции, причем не обязательно сетевой.

Что касается встроенного брендмауэра - выглядит это так. Тоесть он не будет вас спрашивать что кому разрешить/запретить, а все правила нужно настраивать заранее.

Может в вашей ситуации имеет смысл купить одно устройство для хранения важных данных (какой нибудь сетевой диск без доступа в интернет) и какой-нибудь мультимедиа комбайн с качалкой торрентов?

ent · 04.05.2013
Вот тут можно покрутить DSM.
Den6969 · 04.05.2013
Вот тут можно покрутить DSM.

Там как раз качалка отключена.

GrSnake · 04.05.2013
Мое мнение - фаервал в руках простого пользователя - это не более чем убийца скорости. Ну может еще помощник в установке взломанного софта. Ломают обычно через открытые порты дырявых приложений, и подобные дырки латаются на уровне системы и возможно антивируса. Открыв полный доступ какому нибудь эксплореру вы становитесь таким же уязвимым как и без фаервала. А неумело закрыв доступ системному приложению, вы спустя какое то время столкнетесь с неработоспособностью какой нибудь функции, причем не обязательно сетевой.

Что касается встроенного брендмауэра - выглядит это так. Тоесть он не будет вас спрашивать что кому разрешить/запретить, а все правила нужно настраивать заранее.

Может в вашей ситуации имеет смысл купить одно устройство для хранения важных данных (какой нибудь сетевой диск без доступа в интернет) и какой-нибудь мультимедиа комбайн с качалкой торрентов?

Там вроде настройка резки только входящих соединений, настройки резки исходящих нет. А это именно то, что просит топикстартер. )

den_r · 04.05.2013
Мое мнение - фаервал в руках простого пользователя - это не более чем убийца скорости. ...

Что касается встроенного брендмауэра - выглядит это так.

Да, я видел интерфейс в демо режиме, но вопросы мои он не снимает...

Например, что происходит "по-умолчанию" - все соединения открыты всем или всё закрыто всем - как понять?

Нужно создать правило чтобы все запретить и ещё отдельное с разрешением определенных портов определенным приложениям?

Тоесть он не будет вас спрашивать что кому разрешить/запретить, а все правила нужно настраивать заранее.

Да, именно вот такого "обучающего" режима очень хотелось...

Теперь буду иметь ввиду, что его нет, спасибо.

Может в вашей ситуации имеет смысл купить одно устройство для хранения важных данных (какой нибудь сетевой диск без доступа в интернет) и какой-нибудь мультимедиа комбайн с качалкой торрентов?

вот я и пытаюсь понять какой вариант мне больше подходит... :rolleyes:

 

den_r · 04.05.2013
Там вроде настройка резки только входящих соединений, настройки резки исходящих нет. А это именно то, что просит топикстартер. )

Оба варианта (вх/исх) интересны :)

Кстати, в демо версии Download station установлен, но в списке встроенных приложений в Брандмауэр его нет

Den6969 · 04.05.2013
Да, я видел интерфейс в демо режиме, но вопросы мои он не снимает...

Например, что происходит "по-умолчанию" - все соединения открыты всем или всё закрыто всем - как понять?

Нужно создать правило чтобы все запретить и ещё отдельное с разрешением определенных портов определенным приложениям?

 

Да, именно вот такого "обучающего" режима очень хотелось...

Теперь буду иметь ввиду, что его нет, спасибо.

 

вот я и пытаюсь понять какой вариант мне больше подходит... :rolleyes:

Ну например в вашем случае нужно будет либо пустить download station наружу (через внешний ип или дднс), вместе с ним откроется доступ к ДСМ. Можно ли их разбросать на разные порты - не подскажу. Также можно настроить только cloud station и quick connect, и не пускать остальное наружу. Торренты будете сохранять в облачную папку, ее будет сканировать Download station и начинать загрузку. При таком раскладе отпадут другие источники скачек - например магнет ссылки и не будет виден статус загрузки.

Также есть нештатный вариант - установка трансмишена - у него вроде есть своя вебморда, которую можно пробросить отдельно.

Но так или иначе, при наличии уязвимости в любом приложении смотрящем наружу, вас можно будет взломать и выкачать все ваше добро.

den_r · 04.05.2013
Ну например в вашем случае ...

(прочитал, задумался)

А полностью отключить весь наружний траффик в обе стороны можно?

Т.е. чтобы все сервисы (dlna, сетевые папки и прочее) работали , но только в пределах внутренней сети (допустим, 10.10.10.1-10.10.10.100, 255.255.255.0).

Это возможно? Что нужно тогда указать в Брандмауэр-е?

alexejnic · 04.05.2013

Маньяк однако.

Не открывай ни одного порта в роутере и никто к тебе никогда не залезет без всяких фаерволов, брандмауэров.

 

Den6969 · 04.05.2013
(прочитал, задумался)

А полностью отключить весь наружний траффик в обе стороны можно?

Т.е. чтобы все сервисы (dlna, сетевые папки и прочее) работали , но только в пределах внутренней сети (допустим, 10.10.10.1-10.10.10.100, 255.255.255.0).

Это возможно? Что нужно тогда указать в Брандмауэр-е?

Думаю можно. Можно и на роутере это сделать. Как конкретно не подскажу. Вам вообще нас зачем? Опишите подробней какие задачи он должен решать. Выход наружу - это 70% его возможностей. Если нужна только качалка/хранилище, доступные только из домашней сети, то хватит и диска подключенного к роутеру+компьютер для загрузки.

den_r · 04.05.2013
Вам вообще нас зачем? Опишите подробней какие задачи он должен решать.

DLNA, файловое хранилище (доступ извне не нужен) для клиентов локальной сети с разным уровнем доступа. 24 часа в сутки тихое устройство.

Хотелось download station ещё...

 

Если нужна только качалка/хранилище, доступные только из домашней сети, то хватит и диска подключенного к роутеру+компьютер для загрузки.

-USB в моём роутере слишком медленное плюс ограниченное по функционалу,

-роутер не умеет управлять ИБП

-есть желание в RAID 1 для надежности (про бэкапы на внешние носители знаю)

-нужен безгючный USB кейс для 2ТБ винта, а где его взять?

в общем, думал я над этим. не нравится. отдельная железка нужна.

 

den_r · 04.05.2013
Маньяк однако.

Не открывай ни одного порта в роутере и никто к тебе никогда не залезет без всяких фаерволов, брандмауэров.

да, со входящим, вроде проясняется

а вот с исходящим траффиком еще нет.

Вот переклинит, допустим, download station и начнет он слать мои файлы или просто информацию о них куда-нибудь в инет.

Как это предупредить/отследить в Synology?

Den6969 · 04.05.2013
DLNA, файловое хранилище (доступ извне не нужен) для клиентов локальной сети с разным уровнем доступа. 24 часа в сутки тихое устройство.

Хотелось download station ещё...

 

 

-USB в моём роутере слишком медленное плюс ограниченное по функционалу,

-роутер не умеет управлять ИБП

-есть желание в RAID 1 для надежности (про бэкапы на внешние носители знаю)

-нужен безгючный USB кейс для 2ТБ винта, а где его взять?

в общем, думал я над этим. не нравится. отдельная железка нужна.

Мне кажется вам лучше две железки тогда. Одну для важных данных - чтобы на ней были жестко прописаны доступы только с определенных внутренних айпишников, которые в свою очередь жестко закреплены на роутере за конкретными устройствами. Вторую для торрентов и прочих радостей интернета. Друг друга им при этом лучше не видеть. По другому никак, интернет и безопасность очень слабо уживаются, особенно в руках несисадминов.

Немного пищи для паранойи:

1. Вы знаете что домашняя вайфай сеть может без труда стать слабым местом в обеспечении сетевой безопасности? Например возвращаетесь вы(или семейные) домой со смартфоном, он по дороге ловит сеть с вашим ssid и пытается подключится. Если сеть создана злоумышленником, то после этого ваш пароль становится ему известен. Далее (если авторизация происходит по одному паролю для всей сети) хулиган либо начинает сканировать весь трафик сниффером не подключаясь к вашей сети, либо подключается и начинает шариться там. В первом случае он получает все пароли, переданные без ххтпс, во втором случае получает возможность поковыряться в ваших сетевых устройствах и роутере.

2. Похожая ситуация с вайфаем из публичных мест. Сеть либо не шифруется либо пароль известен многим. Злоумышленник сидит неподалеку и сканирует траффик. Пароли или куки от почты/контакта достаются на раз. Далее поиск в гугле и немного соц инженерии и вся ваша жизнь потихоньку становится доступной для изучения.

den_r · 04.05.2013

Спасибо за комменты, буду думать.

1. Базовые вещи присутствуют (скрытый ssid и mac фильтрация абонентов, и конечно, стойкий многосимвольный ключь).

Не думаю, что просто создание сети с таким-же именем поможет "злоумышленнику" получить мой пароль. Как же хэширование паролей?

2. В курсе. При редкой необходимости юзаю только https доступ. В других случаях не ввожу логин/пароли на сайты.

Den6969 · 04.05.2013
Спасибо за комменты, буду думать.

1. Базовые вещи присутствуют (скрытый ssid и mac фильтрация абонентов, и конечно, стойкий многосимвольный ключь).

Не думаю, что просто создание сети с таким-же именем поможет "злоумышленнику" получить мой пароль. Как же хэширование паролей?

2. В курсе. При редкой необходимости юзаю только https доступ. В других случаях не ввожу логин/пароли на сайты.

Скрытый ссид ничего не дает, он элементарно палится при обмене пакетами. Мак фильтрация тоже от добрых людей. Многосимвольный пароль поможет только от брутфорса. А насчет хеширования вообще не понял связи, а вообще хеши тоже успешно расшифровываются. Если уж так сильно заморачиваетесь на безопасности, то слабым местом быстрей будет вайфай чем интернет.

Den6969 · 04.05.2013

Кстати когда у меня было что прятать, я прятал это в зашифрованных контейнерах. Параноики обычно прячут контейнер созданный одной программой в другой, созданный другой программой. При таком раскладе можно смело вываливать это на сино и пользоваться всеми прелестями которые он дает. Если контейнеры будут выглядеть как видеофайлы, то это никого не заинтересует, а если и заинтересует то ничего достать оттуда не получится.