Replikation von zwei NAS-Synology

[zeus1976]

Hallo Zusammen,

Ich musste feststellen, dass be einer Repliaktion von Snapshot jeweils zwei Port offen sein müssen. Einer davon ist der Port von dem DSM bzw. des Web-Interfaces.

Konkret:
NAS 1: 5001 und 5566
NAS 2: 5001 und 5566

Aus Sicherheit finde ich dies suboptimal, denn ich finde der Port 5001 soll nur für dedizierter Zugriff möglich sein. Aufgrund der Replikation muss der Port offen sein - eigentlich löse ich dies immer mit einem dedizierten Zugriff (dedizierte IP), damit das NAS bei einem Vorfall nicht gekappert werden kann. Aktuell könnte man in der Theorie auf das Web-Interface zugreifen und starten auf NAS zuzugreifen. Aktuell ist das NAS so konfiguiert, dass die NAS Firewall aktiv ist und nur die Ports NAS zu NAS offen ist und eine IP in einem anderen Netz, damit das NAS weiterhin konfiguieren kann.

Zu meinen Fragen:
- Gibt es die Möglichkeit diese Angelegenheit anders zu lösen?
- Wie schätzt Ihr das Risko bei einem Ransomware Vorfall ein?
- Wie kann ich die Sicherheit erhöhen?

Vielen Dank für Eure Rückmeldung.

Gruss

 

[plang.pl]

Soweit ich weiß, kann man den Port der Snapshot Replication leider nicht ändern. Den DSM-Port aber schon. Somit wäre zumindest nicht der Standard Port offen. Sinnvoll, wenn beide NAS an anderen Standorten stehen und via Portweiterleitung sichern sollen. Wobei ich da viel eher auf VPN gehen würde in dem Fall.
Die Firewall kann den Zugriff auf den Port ja auf gewisse IPs beschränken, das hattest du ja schon geschrieben.
Ransomware? Kommt darauf an, wie du das meinst. Am Client fängst du dir schnell Ransomware ein, wenn du nicht aufpasst. Wenn du dich auskennst und aufpasst, wohl eher unwahrscheinlich. Dass sich die DS Ransomware einfängt ist nicht unmöglich, aber sehr unwahrscheinlich.
Wenn du aber an einem Client Ransomware Befall hast und der die Admin Zugangsdaten zu den SMB-Shares beider NASen kennt, ist im Zweifel alles verschlüsselt. Snapshots aber i.d.R. nicht, da diese Read-Only sind