Oi pessoal. Recentemente adquiri um NAS da Synology para minha rede doméstica, que serve a muitos propósitos, e gostaria de poder acessá-lo remotamente. Isso me levou ao tópico de segurança de rede. Decidi usar uma VPN para tunnelizar minha rede doméstica ao invés de abrir portas e adicionar login remoto, etc., no NAS. No entanto, tenho internet residencial (não empresarial), e o endereço IP público do meu roteador pode mudar a qualquer momento, o que impede uma conexão VPN confiável. Planejo adquirir meu próprio domínio e usar DDNS para sempre acessar minha rede doméstica via domínio, e conectar via VPN dessa forma. Mapear o IP da minha rede doméstica para um domínio apresenta algum risco extra para minha rede? Estou usando um roteador TP-LINK Archer A7 padrão e não estou particularmente confiante na sua segurança. Devo conseguir um roteador melhor ou estou exagerando? Obrigado.
Isso é totalmente tranquilo, contanto que você exponha (encaminhe) apenas a porta da VPN para fora. Essas são as serviços mais hardened contra ataques.
No lado do DDNS, seu NAS Synology já possui opções gratuitas de DDNS integradas, portanto, não há necessidade de procurar por outra coisa.
Se você não quer usar o DirectConnect da Synology, então confira o TailScale.
Você pode encontrar muitas informações boas no r/synology também.
Não tenho certeza se você pretendia, mas pessoalmente eu não usaria o servidor VPN embutido no roteador. Caso contrário, parece um plano bastante sólido.
Essas são as services mais hardened contra ataques.
Isso realmente não é verdade. Com os stacks TLS e IPsec sendo tão grandes, há vulnerabilidades CVE frequentes. Além disso, se o que o OP usa é nome de usuário e senha, ataques de força bruta são bem comuns. Com certeza estão sob maior escrutínio e, desde que estejam atualizados, podem ser considerados razoavelmente seguros, mas definitivamente não são a fortaleza invencível que as pessoas acreditam que sejam.
Outro ponto que ninguém costuma levantar é: a maioria das VPNs expõe todos os serviços que você roda nelas. Não é um grande problema em princípio (contanto que nenhum invasor consiga entrar na VPN), mas quando isso acontece, eles têm acesso a todos os serviços que certamente não deveriam estar disponíveis na internet. Portanto, apenas um aviso para controlar o que é exposto ou não na VPN (por exemplo, não adianta proteger seu compartilhamento de arquivos com senha se esses mesmos arquivos são acessíveis sem ela via DLNA; você também pode querer trocar o usuário e a senha padrão na interface web, etc.).
Qual é a desvantagem da VPN embutida no roteador? Eu planejava usar essa.
Simplesmente não confio nos fabricantes de roteadores para fornecer atualizações de segurança em tempo hábil, especialmente para funções não essenciais. Prefiro algo como um host Debian com atualizações automáticas, pessoalmente.