Em termos de segurança e velocidade, quais são os benefícios de ambos? Devo usar ambos, ou apenas um de cada vez? Passarei muito tempo afastado da minha rede local externamente, então preciso de boas velocidades enquanto mantenho uma boa segurança. Algumas dicas?
VPN é o caminho mais seguro. Ela te protege de vulnerabilidades potenciais em qualquer coisa que você queira acessar. Isso é importante porque a synology já apresentou vulnerabilidades no passado e tem sido alvo de malware/worm. Isso não quer dizer que você não possa ser seguro com encaminhamento de portas e patches regulares, mas sempre será menos seguro do que uma VPN para seu syno.
Alternativamente, VPN será mais lento. Dependendo do que você estiver fazendo, pode ou não perceber a diferença. Há trabalho extra para encapsular os dados, então isso é esperado. Como mencionado por outros, wireguard é mais rápido do que openvpn, então essa pode ser sua melhor opção.
Use VPN, não encaminhamento de portas. Fazendo isso com Sophos UTMs, SSL VPN e 2FA desde 2011. Encaminhamento de portas expõe o dispositivo diretamente à internet.
Eu faço um pouco dos dois - alguns serviços web estão disponíveis, como fotos, mas então tenho VPN (no meu roteador ubiquiti) para acesso a todos os serviços. Posso acessar ou compartilhar o que quero do meu PC de trabalho ou com amigos, mas uso VPN para as funções mais seguras.
VPN com encaminhamento de portas e restringir NAT no roteador ou ISP, isso significa que seu NAS ou firewall precisa estar conectado ao VPN (preferencialmente wireguard), enquanto seu VPN deve fornecer o uso de encaminhamento de portas, configurando esta porta para os serviços aos quais deseja acessar remotamente.
A maioria dos ataques a servidores NAS PC ocorre por varredura de IP, em que o invasor busca portas específicas abertas de acordo com o protocolo (plug n’ play é o mais vulnerável). Quando alcançam um servidor, se puderem hackeá-lo, podem comprometer o resto da rede, assim como com pineapple. Com VPN com encaminhamento de portas, todo o tráfego de entrada deve ser redirecionado desta porta, o que reduz a superfície de ataques, além de proporcionar proteção por IP/Porta que pode ser detectada facilmente pelo seu provedor de VPN.
O único problema é que essa configuração acrescenta um pouco mais de custo à sua VPN.
Encaminhamento de porta local é inseguro, a menos que você bloqueie todas as portas e abra apenas uma numa faixa estranha; você perde a proteção agrupada, mas precisa confiar mais no seu firewall. Desativar NAT e encaminhamento de portas é seguro e simples; manter uma porta aberta requer implementação completa de firewall.
Na minha experiência, Wireguard é seguro e indistinguível de acesso direto via encaminhamento de portas em termos de velocidade. Acesso via OpenVPN é um pouco mais lento do que via encaminhamento de portas, mas também é seguro. Encaminhamento de portas funciona bem até o hacker entrar e remover todos os seus dados — talvez em 24 horas, se tiver azar, talvez nunca, se tiver sorte.
Tente pesquisar no subreddit
Use VPN Wireguard rodando em um Raspberry Pi. Barato, seguro e tão rápido quanto sem VPN.
Quando você encaminha portas, não se trata apenas de ter uma senha forte. Trata-se de exploits. Por exemplo: você encaminha a porta X para o seu servidor Plex. Talvez o Plex tenha uma vulnerabilidade que permite acesso sem senha.
Com VPN, o invasor precisa explorar primeiro seu aplicativo VPN e, depois, precisa de uma exploração separada para entrar no seu NAS.
O Synology é exigente quanto ao provedor de VPN que alguém usa? Não sou contra usar OpenVPN, parece o mais suportado com tutoriais/vídeos/informações, pelo que vejo, em relação ao NAS. Será que ainda é simples e “fácil” se alguém já paga por um VPN de outra empresa?
Você precisa encaminhar a porta do seu roteador PARA o aplicativo VPN no Synology, que então gerencia o acesso aos aplicativos individuais via permissões de usuário?
Vale notar que um VPN não ajuda contra malware ou worms. A ÚNICA coisa que um VPN protege é contra espionagem na rede. Como a maior parte do tráfego já é criptografada, isso é praticamente insignificante do ponto de vista de segurança.
Quais são suas velocidades ao fazer isso remotamente?
Não é tão difícil reforçar a aplicação que você está encaminhando portas.
SSL, limitar tentativas de senha, senhas fortes, permitir apenas contas de usuário com acesso, não encaminhar a interface DSM, 2FA, permitir apenas a porta para o aplicativo como Moments/Drive, etc.
Isso é o que faço e sim, meu IPS detecta varreduras aleatórias às vezes, mas nunca vi tentativas de login além das minhas no dispositivo.
As coisas não são tão fáceis de hackear, a menos que você facilite.
Digitando:
Ou
leva à mesma página. Qual é a diferença de segurança?
Sei que isso é antigo, mas você ainda usa wireguard? Está sem problemas? Se eu seguir o vídeo no YouTube, consigo fazer o encaminhamento de portas, mas assim que ativar o wireguard, perco meus dados…
Não, pelo que ouvi, eles não são exigentes. Você tem uma escolha de três, acho.
Isso não está correto neste contexto. Encaminhamento de portas expõe vulnerabilidades nos sistemas para ataques diretos. Por exemplo, se houver uma vulnerabilidade no servidor web do seu Syno, ao abrir portas para usar o File Station, você se torna vulnerável a um exploit direto. Enquanto uma VPN não impede ativamente os ataques (sejam de malware ou worms), usar uma versus um encaminhamento de portas permite que seu firewall e NAT façam seu trabalho.
Claro, uma vez que malware ou um worm entram na sua rede, nada impede. Adicionar uma VPN apenas impede que seu Syno se torne um vetor passivo ou persistente.
Com o que você está conectando e qual sistema operacional?
Quase igual sem VPN. A taxa de transferência para mim é quase a mesma (minha rede doméstica é gigabit bidirecional) e a latência também é bem próxima. Usando uma configuração de VPN local no Ubuntu VM.
Vou deixar meu telefone ligado à minha VPN doméstica (incluindo acesso à internet, então a latência é maior) por dias e esqueço que está VPN, exceto que ainda posso acessar minhas coisas de casa. Embora isso ofereça mais lugares que potencialmente podem ser gargalos.
Tenho 35 Mbps para download e 10 Mbps para upload em casa, então quando envio todo o tráfego pelo túnel, obtenho 10 Mbps, com uma pequena sobrecarga para o túnel. O tráfego para o NAS fica com tão boa velocidade quanto os 36 Mbps completos, baixar dele está limitado à velocidade de upload em casa. Então, o túnel é usado exclusivamente para tráfego do NAS, o resto pode sair fora do túnel. Preciso acrescentar que faz mais de um ano que precisei usá-lo.