Vad är säkrast? DMZ, UPnP eller Port Forwarding?

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Maj 2005

Vad är säkrast? DMZ, UPnP eller Port Forwarding?

Har två nasar på två olika ställen som jag syncar via rsync.

Jag måste exponera fjärr-nasen i routern, och undrar vilket alternativ som är säkrast (googlande ger konflikterande uppgifter):
DMZ (använder nu), UPnP, eller Port Forwarding?

Bro!

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2004

Port forwarding.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

I en hemmarouter är dmz att alla portar och kommunikation in som inte har någon annat mål än ditt externa ip skickas mot nasen. Vilket såklart inte är bra. Upnp är smidigt för tillfälliga tjänster som behöver öppnas. Så här är portforwardning det du ska köra med, se till att få rätt på portnummer.

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Maj 2005

Då kör vi på det Någon som vet om den enda port jag behöver öppen för rsync är 873 eller om någon mer behövs?

Bro!

Trädvy Permalänk
Medlem
Plats
@foo
Registrerad
Jul 2008
Skrivet av DanTheMAN!:

Har två nasar på två olika ställen som jag syncar via rsync.

Jag måste exponera fjärr-nasen i routern, och undrar vilket alternativ som är säkrast (googlande ger konflikterande uppgifter):
DMZ (använder nu), UPnP, eller Port Forwarding?

Det totalt SÄMSTA man kan använda är UPnP..
Lite bättre, DMZ (Kan vara bäst om man vet vad man gör )
Lite bättre, Port Forwarding.
Lite bättre ytterligare, Port Forwarding utan att använda standard portar.
Bäst Port knocking..
Det finns hur många varianter som helst som man kan använda det viktiga är att man förstår vad man gör.. Om du ska köra rsync kan ett tips vara att tunnla det över ssh på en ej standard port.

Trädvy Permalänk
Medlem
Plats
Anderstorp
Registrerad
Okt 2014

Vilka portar kan man använda vid Port Forwarding?
Skall man bara tilldela Port Forwarding i routern eller måste man även aktivera remote management med samma port?

Jag vill komma åt min utrustning hemma från andra platser välden över.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Nja, ska man ha säkerhet så måste man upp på VPN. (Helst IPSec eller OpenVPN). Att gömma sig bakom konstiga portar är "security by obscurity" och egentligen inte särskilt säkert. Det går ändå rätt lätt vid en portscanning att se vad som sitter i den andra ändan.
Har du statisika IP adresser så kan nog port forward fungera ok förutsatt att du kan begränsa från vilken IP adress den ska inträffa.

Trädvy Permalänk
Medlem
Plats
Anderstorp
Registrerad
Okt 2014
Skrivet av Talisker00:

Nja, ska man ha säkerhet så måste man upp på VPN. (Helst IPSec eller OpenVPN). Att gömma sig bakom konstiga portar är "security by obscurity" och egentligen inte särskilt säkert. Det går ändå rätt lätt vid en portscanning att se vad som sitter i den andra ändan.
Har du statisika IP adresser så kan nog port forward fungera ok förutsatt att du kan begränsa från vilken IP adress den ska inträffa.

Jag har inte någon möjlighet att välja VPN, IPSec eller OpenVPN i min router (bara port forward).
Det var enklare att stänga av allt så det inte går nå via nätet just för säkerhetens skull, men då försvinner ju den möjligheten att man kan nå bilder och jobb via nätet från andra ställen...

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Unitedcolors:

Jag har inte någon möjlighet att välja VPN, IPSec eller OpenVPN i min router (bara port forward).
Det var enklare att stänga av allt så det inte går nå via nätet just för säkerhetens skull, men då försvinner ju den möjligheten att man kan nå bilder och jobb via nätet från andra ställen...

Då blir det inte "säkert". Det kan vara good enough, men aldrig vad jag skulle kalla säkert. Det blir helt enkelt en fråga om hur farligt det skulle vara om det läckte, hur viktigt det är att nå utifrån och hur mycket du är beredd att chansa.
Vad jag menar är att det kan säkerligen vara en kalkylerad risk som är värd att ta, men att jag personligen aldrig skulle säga att någon av dina tre alternativ är säkra. Port forward är det bästa av tre onda ting i min värld.

Kanske läge att uppdatera routern?

Trädvy Permalänk
Medlem
Plats
Anderstorp
Registrerad
Okt 2014

Det finns ju inget där av värde för andra vad jag kan tänka mig, så för den sakens skull så skulle ju den kunna vara publik så länge folk inte kan gå in och radera saker
Jag fick inte portforward att fungera heller

En ny router lär det nog bli. Vill kunna kopiera mellan enheter trådlöst fortare än i 10mbit/s som nu :-/ Kollat lite på dessa http://www.prisjakt.nu/produkt.php?j=2281571,2463329,2767056

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2009

VPN är säkrare, eftersom det är tänk för dessa ändamål (för att stå oskyddat mot publik IP). SSH med forwarding fungerar också. Jag skulle aldrig öppna publikt för någon annan applikation.

Trädvy Permalänk
Medlem
Plats
Anderstorp
Registrerad
Okt 2014

Efter att jag läst lite om VPN så tror jag att jag listat ut att min router trots allt har det.
Det finns nämligen inställningar under:
PPTP
L2TP

Hur ställer jag in dessa för att nå min NAS från en annan världsdel?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2002
Skrivet av Ennuj:

Det totalt SÄMSTA man kan använda är UPnP..
Lite bättre, DMZ (Kan vara bäst om man vet vad man gör )

Hur resonerar du fram att UPnP skulle vara mindre säkert än DMZ? Vid UPnP måste nasen iallafall requesta portöppning. Vid DMZ skickas ju all oklassad trafik rakt in i den och det blir nästan samma sak som att koppla nasen direkt till wan-porten i modemet/väggen...

-" 'You have pierced the heart of Oden' it said. Turn around, or go forward, and be eaten by your fate." Donald Blake, The Incredible Hulk Returns

Trädvy Permalänk
Medlem
Plats
@foo
Registrerad
Jul 2008
Skrivet av grapetonix:

Hur resonerar du fram att UPnP skulle vara mindre säkert än DMZ? Vid UPnP måste nasen iallafall requesta portöppning. Vid DMZ skickas ju all oklassad trafik rakt in i den och det blir nästan samma sak som att koppla nasen direkt till wan-porten i modemet/väggen...

Du har ingen aning om vilka portar/maskiner som är åtkomliga från internet om du använder UPnP.
I DMZ vet du att maskinen i fråga är helt oskyddad ut mot Internet och kan vita andra åtgärder för att skydda denna.