אם לא הגדרתם HTTPS ב- Synology NAS שלכם רוצו לעשות את זה

התחברות מאובטחת HTTPS היא כבר מזמן סטנדרט, ככה תעשו את גם ב- NAS שלכם.

8:00
  /  
21.06.2022
  

פרוטוקול ה- HTTPS, ראשי תיבות באנגלית של: Hypertext Transfer Protocol Secure, הוא זה האחראי על אבטחת המידע שלכם ברשת. הוא בעצם שילוב של HTTP עם שכבת SSL/TLS. אז איך זה קשור ל-Synology NAS שלכם? קשור בריבוע.

רוב המשתמשים בNAS הבייתי פועלים בשתי דרכים נפוצות כדי להתחבר ל- DSM. האחת היא הכנסה של ה- IP בשורת הכתובות וגלישה פנים רשתית לממשק ה- DSM (לרוב לא ב- HTTPS ) והדרך השנייה היא באמצעות Synology QuickConnect המאפשר לכם חיבור מרוחק דרך שרתי Synology.

ויש עוד דרך, חיבור מאובטח באמצעות כתובת HTTPS שתבחרו בעצמכם. היא תאפשר לכם להתחבר ל-NAS שלכם בצורה לוקאלית ומחוץ לרשת הביתית בצורה קלה ומאובטחת.

בואו נראה צעד אחרי צעד איך לאפשר לכם לעשות זאת.

**** מדריך זה ממוקד למשתמשים שהתקינו את מערכת ההפעלה DSM 7.1 אך ניתן ליישם את המדריך גם על מערכות הפעלה מוקדמות יותר ****

שלב 1 – לאפשר HTTP/2 ב- NAS

 כנסו ל- Control Panel / Network / Connectivity –  סמנו  Enable HTTP/2 ולחצו על  Apply.

שלב 2 – ביצוע Port Forwarding בראוטר

לפני שאסביר איך עושים את זה אנסה להסביר בקצרה למה עושים את זה, מה זה PORT ולשם מה הוא קיים? בעולם בו יש אינספור מידע אשר מועבר דרך שרתים ונתבים נדרש "להקל" על ניתוב המידע למקום הנכון. אחד מהפתרונות הוא שימוש באותם פורטים, אם תרצו שערים או מחסומים. כל תוכנה "תאזין" לפורט ספציפי אשר מוגדר לה מראש וכך היא אינה נדרשת לפענח את כלל המידע המועבר ברשת. קחו לדוגמא את התקשורת מול ה- DSM שלכם , הוא מוגדר כברירת מחדל לפורט 5001 וכל מידע המועבר אליו/ממנו עובר דרך פורט זה.

אז מה זה Port Forwarding? או Virtual Server ? אלו מושגים המקושרים לראוטר. לרוב, ממומש על גבי הראוטר שלכם פרוטוקול NAT – Network Address Translation  חלוקת כתובות פנימיות בתוך הרשת הביתית. לכן נדרש להפנות פורט מסוים למחשב/לקוח ספציפי תחת ה- NAT.

בזמן ניתוב הפורט נדרש לציין גם את ה- IP הפנימי אליו אנו רוצים להפנות את המידע, במקרה שלנו ה- NAS. לכן עדיף להקצות ל- NAS IP קבוע ברשת.  10.0.0.20 או 192.168.1.20 כדי למנוע שינויי ניתובים שיכולים להתרחש לאחר כיבוי והדלקה של הראוטר.

Port Forwarding יאפשר למחשבים מרוחקים או כאלו הנמצאים ברשת הפנימית להתחבר למכונה מסוימת המחוברת לרשת פרטית, שלרוב אינה נגישה בדרכים רגילות.

ועכשיו לעסק, את הדוגמא בחרתי להביא על ראוטר של Synology. כל ראוטר וממשק הניהול שלו, לכן קחו בחשבון שיהיו שינויים בין המוצג כאן לבין הראוטר שלכם בבית/בעסק. חפשו באינטרנט את רצף המילים Port Forwarding ואת שם החברה של הראוטר ואני מבטיח שגוגל יעשה את העבודה וידריך אתכם איך לעשות זאת .

 

בצעו את ה- Port Forwarding עבור כלל השירותים המותקנים על ה-NAS, אך כדי לאפשר גישה ל- DSM באופן מוצפן נדרש להגדיר  Port Forwarding לשלושה פורטים בסיסיים. פורטים  80 ו-443 הם חובה לאימות תעודת SSL, ופורט 5001 משמש לחיבור ל-DSM באמצעות פרוטוקול HTTPS.

בנוסף לזה אם לדוגמא התקנתם שרת PLEX על ה- NAS ותרצו לתפעל אותו מרחוק , תדרשו לעשות העברה גם לפורט 32400. כך עבור כל השירותים שאתם מעוניינים לגשת אליהם מרחוק ובאופן מאובטח.

דוגמא להגדרת port forwarding בראוטר של Synology. במקרה בו הפורט המוגדר לDSM הוא הדיפולטי ועומד על 5001 יש לרשום אותו ב- public port וב- privete port , כך עבור פורט 80, פורט 443 וכל פורט אחר שתרצו לפתוח.

שלב 3- הגדרת DDNS ב- NAS

DDNS –  DNS דינמי-  היא שיטה לעדכון אוטומטי של שם השרת במערכת שמות הדומיין (DNS). לכל אתר או שרת יש כתובת ברשת (IP) וה- DNS הוא תפריט כתובות ה- IP העולמית. כאשר אתם גולשים לאתר HTMAG אתם מופנים ל- IP ספציפי באופן אוטומטי ומבלי לדעת, זה מתאפשר לאור העובדה כי לאתר יש שרת בעל כתובת IP קובעה.

מה קורה כאשר תרצו לגשת ל- NAS שנמצא תחת הרשת הביתית שלכם ? בתיאוריה תדרשו לעדכן את רשומות ה- DNS העולמיות ב- IP שלכם כדי שתנותבו לרשת הנכונה. מעשית זה לא ממש אפשרי ולכן 2 אופציות עומדות בפניכם, האחת היא לרכוש דומיין משלכם ולהגדיר בבית IP קבוע. והשנייה היא הגדרת DDNS , שהוא DNS דינמי.

במקרה של Synology הם עשו לנו את החיים קלים ומאפשרים לנו להגדיר DDNS בחינם דרך ממשק DSM .

לכו ל- Control Panel / External Access / DDNS / Add

תחת service provider הכניסו את שירות ה- DDNS המועדף עליכם , אני בחרתי ב- Synology. בשורת hostname בחרו את שם הכתובת אשר תשמש אתכם לגישה מוצפנת ומרחוק. וודאו כי שני הפרמטרים הבאים נמצאים על Auto  ושני ה"צ'קבוקסים" מסומנים ב- V כפי שרואים בתמונה.

מיד עם הלחיצה על OK תופיעה ההודעה הבאה, תנו לזה את הזמן הדרוש  :

לאחר שתהליך ההקמה הסתיים וודאו כי בשורת ה- Status מופיע Normal, זה מעיד על עדכון ה- DDNS וקישורו ל- IP שלכם.

שלב 4 – ואחרון , בדיקת תקינות HTTPS Synology NAS

כנסו לדפדפן איתו אתם גולשים בדרך כלל והכניסו את שם הכתובת שבחרתם בסעיף 3 בצירוף שירות ה- DDNS , לדוגמא:  https://HTmag.synology.me:5001  ואתם בפנים. תדרשו כמובן לתהליך הזדהות מחודש, הכנסת שם משתמש, סיסמא ואימות דו שלבי (ואם אין לכם עדיין אז אוי ואבווי :-))

 

זכרו : בזה הרגע פתחתם את ה-NAS שלכם לגישה מחוץ לרשת הביתית באמצעות HTTPS. לכן, חשוב עכשיו יותר מתמיד לאבטח אותו בקפדנות. תוכלו לבקר במדריך : 10 הדברים שאתם חייבים לשנות ב-Synology Nas שלכם על מנת לשפר את אבטחתו כדי לעשות זאת.

 

לשרשור תגובות לחץ כאן


8:00
  /  
21.06.2022