Jak nastavit bezpečný přístup do Synology
Jak nastavit přístup do Synology
Pokud je požadován přístup na NAS z "vnějšku" nabízí systém Synology dvojí cestu - přes QuickConnect a nebo přes IP adresu vašeho Poskytovatele internetu.
Přístup přes QuickConnect
Po spuštění DSM (DiskStation Manager) si otevřete aplikace Ovládací panel a vyberte položka QuickConnect (QC).
Zde se vyplní QuickConnect ID. Může to být jakekoliv slovo, začínající písmenem. QC ID musí obsahovat jen anglická písmena, číslice a pomlčku. Může to být jméno, ale bez diakritiky. To je ale dost osobní přístup do NASu. Já používám nevýznamnou, ale mě známou kombinaci písmen. Neosvědčila se mně velká písmena v QC, protože na tomto systému jsou nastaveny mobilní aplikace a to se na mobilu někdy špatně zadává.
Prihlášení do DSM bude mít potom obecně takový tvar:
http://QuickConnct.to/zvoleny_QC_ID
.
Protože se jedná o nezabezpečený přístup do NASu, tak jsem si v Ovládacím panelu/Přihlašovací portál změnil hodnot příslušných portů.
Když se teď do NASu přihlásím pomoci URL nastaveného QuickConnect tak systém NASu otevření převede na zabezpečený přístup
https://lokalní_IP-LAN_za_ routrem.zvoleny_QC_ID.direct.qucickconnect.to:port
kde port má hodnotu 5004.
Zabezpečený přístup
Když bude NAS nějakou dobu přístupný na Internetu, tak bude vystaven velkému počtu útoků. Aby se počet útoků částečně omezil, tak mám upravený počet pokusů o přihlášení na tři.
Dalším krokem pro zesílení bezpečnosti je nastavení firewallu
FireWall nastavuji podle tohoto webu a nebyl jsem zatím za pět let co používám tento NAS ohrožen.
Pro ještě větší bezpečnost je možné v Ovládacích panelech/Zabezpečení/Ochrana nastavit Seznam/povolených/blokovaných adres.
Zabezpečený přistup přes https lze vypnout v modbilní aplikaci DS Finder. Zde je položka Blokace IP kde lze zapnout Automatické blokovoání. Pozor to funguje ale i na administrátora NAS. Pokud několikrát za sebou zadáte špatné heslo, tak se do DMS přes https nedostanete.
Přihlašovací stránka
Po úspěšném spuštění url s QuickConnetem se otevře přihlašovací stránka, kde se musí zadat zvolené jméno a heslo. Já toto základní přihlášení dopluji o další prvek - dvoufázové ověření. To se nastavuje v levé části DSM (Panaček-Osobni). Zde se může provést celá řada dalších zabezpečovacích kroků. V části Osobní/Zabezečení je nabídka Dvoufázového ověření. Já mám zvolený Hardwarový klíč (Yubico) a Ověřovací kod (OTG).
Nabídku OTG lze nastavit jako internetovou, nebo jako mobilní aplikaci Authy. Synolgy poskytuje vlastní dvoufázové ověrování Secure Signln.
Přímý přístup do NASu
Pokud je k dispozici od poskytovatele internetu veřejná IP adresa, je možné přihlašování bez QC (přece jenom, jde to přes Tcha-wan). Jestě lepší je, když je k dispozici statická IP adresa. Potom mohou na NASu fungovat i webové stránky (jako např. můj WordPress.
Nastavení je jednoduché.
V Ovládacích panelech v záložce DDNS se vybere poskytovatel služeb. Jako první je nabízeno Synology.Může to být jakýkoliv poskytovatel funkce DDNS. Já jsem v minulosti používal Ddns.com. Ten je už ale placený. Vyberete-li Synology, který je zdarma, tak stačí zadat jen název, který jste zvolili při nastavování Synology a IP adresu od Poskytovatele. Na stránce v Konfiguraci směrovače se nastaví ještě příslušné porty.
Potom se do NAS přihlašujete s url, která má tvar:
https://zvolený_název.synology.me:5004
Uvedené porty lze nastavit přímo v routru, ale zde vidím které porty pro Synology používám. Porty 80 a 443 jsou potřebné pro web a docker. Pokud používám docker jeho porty se nastavují přes Ovládací panely/Přihlašovací portál/Rozšířené nastavení/Reverzni server proxy. Port 5004 složí pro zabezpečený přístup do DMS Synology a port 5006 mám nastavený pro zabezpečené přihlášení přes WebDAV. Tento port se nastavuje v aplikaci WebDAV Server.
Pokud zvolím přihlašovací url ve tvaru https://zvoleny_nazev.synology.me
, tak je nutné ještě na kartě Ovládací panely/Zabezpečení/Certifikát vložit příslušný certifikát. Pokud je zakoupena doména, tak většinou certifikát nabízí poskytovatel domény (např. pro www.telenec.cz to je Czechia). Synology má pravděpodobně smlouvu s Let´s Encrypt. Certifikát této společnosti je na čtvrt roku zdarma a průběžně se obnovuje. Nastavuje se v Ovládacích panelech/Zabezpečení/Certifikát. Vkládaná doména musí být ve tvaru zvolený_název.synology.me
Restart NASu
V případě restartu NASu se může stát, že se změní nastavení certifikátu domen a k těm se nepřihlásité ve tvaru https://. Proto je nutné v Ovládacích panelech/Zabezpečení/Certifikát zkontrolovat nastavení.
Po restartu se změní statická lokální IP adresa.Zkontrolovat to lze v Pvládacích Panelech/Informační Centrum/Sít.