Puno noviteta je stiglo sa DSM 7 verzijom i iako je dostta toga u pozadini, dobar dio njih je vidljiv na prvu nama kao korisnicima. Secure SignIN je jedan od tih noviteta koji će podignuti kvalitetu i sigurnost prijave na vaš NAS uređaj korištenjem nove mobile aplikacije za autorizaciju.

U današnje vrijeme sigurnost je izuzetno važan faktor pogotovo kada pristupate svojem NAS-u i podacima putem Interneta. Rizik uvijek postoji koliko god se trudili ga smanjiti ili u potpunosti eliminirati. Zbog toga, sada imamo još jedan sigurniji način prijave putem kojeg možemo pristupiti našim uređajima. Pogledajmo što je točno Secure SignIN.

Secure SignIN - dobra strana

Što je onda Secure SignIN? Ovo je sigurnosni element koji će, jednom kada ga aktivirate, vam omogućiti prijavu u NAS sustav bez korištenja zaporke. Umjesto toga koristiti ćete svoj mobilni uređaj, točnije, novu Secure SignIN mobilnu aplikaciju.

Povrh toga, mobilna aplikacija će koristiti i bilo kakve biometrijske zaštite na vašem mobilnom uređaju (ukoliko ga uređaj podržava), te time dodati još jedan stupanj sigurnosti u cijelom procesu.

Kako onda to sve skupa radi? Kada se imate potrebu prijaviti u vaš NAS, doći ćete na stranicu za prijavu te unijeti vaše korisničko ime. To će inicirati proces prijave putem mobilne aplikacije koja je uparena sa vašim mobilnim uređajem, te nakon vaše potvrde za prijavom, biti ćete autorizirani i prijavljeni u DSM sustav. Zgodno zar ne?

Dodatno, i dalje možete još aktivirati i 2FA (dvostupanjsku autorizaciju) kako bi prijavu učinili još sigurnijom. Ovo je opcionalno i nije nužno kako bi Secure SignIN radio, ali čisto da znate da imate i tu mogućnost. Kao i do sada, 2FA ostaje kao mehanizam zaštite ukoliko ne želite koristiti novi Secure SignIN.

Većina mobilnih uređaja podržavati će ovu novu metodu jer mobilne aplikacije postoje kako za iOS tako i za Android operativni sustav. Navedena aplikacije mogu se koristiti za prijavu u više Synology NAS uređaja, ukoliko ih konkretno imate.

Secure SignIN - loša strana

NAPOMENA: informacija niže (pitanje i odgovor) su sa DSM 7 službenog webinara koji se održao 22.12.2020. godine:

Q: Does the Secure SignIn process rely on a cloud service?

A: For the Approve sign-in and Security Key features, the simplest way to set it up would be using Synology's DDNS or QuickConnect, in this case, it will have to connect to the Synology cloud services. However, users can choose not to use the domain services provided.
If users prefer not to use our cloud services, they can still use our features if they can get an available domain for the DSM portal. It requires users to complete more network settings on their own.

Trenutno, Secure SignIN radi sa aktivnim QuickConnect ili DDNS servisima, no možete i koristiti svoje registrirano domensko ime uz neke izmjene i kompromise (više u nastavku).

Dakle nije sve tako loše, ako primjerice ne koristite DDNS ili QC servise. Kao što je vidljivo sa druge točke prethodne slike, možete koristiti vašu personaliziranu domenu kako bi je iskoristili za prijavu u sustav.

Unesite vaš javno ime domene u ovo polje kako bi ga mogli koristiti u slučaju Secure SignIN

Ovo znači da u koraku 4 (niže u ovom članku), SSI mobilna aplikacija će koristiti to ime domene, ali i dodatni port broj kako bi se uspješno inicirala prijava u DSM sustav.

Jedina negativna stvar u cijeloj priči jest da ukoliko koristite specifične, a ne zadane DSM portove (TAKO I TREBA!) morati ćete iste i propustiti na vašem ruteru. Ukoliko koristite DDNS, ionako ovo morate napraviti.

Dodatno, ako koristite reverse proxy, možete konfigurirati vaše javno ime koristeći HTTPS/443 port (npr. https://prijava.mojadomena.com) te usmjeriti taj URL na internu adresu NAS-a na neki zadani port.

U tom slučaju, imate pristup NAS-u koristeći https://prijava.mojadomena.com kada radite pristup preko web preglednika, no kada konfigurirate Secure SignIn, čarobnjak će i dalje dodati DSM zadani port na kraj vašeg imena domene (to je isti port koji se mora propustiti na ruteru).

Poanta ovoga je da ne možete konfigurirati Secure SignIn da koristi ime vaše domene bez DSM port broja čak i ako idete preko reverse proxy-a. Ovo je zadana opcija.
NAPOMENA:  Ova metoda traži da NAS ima javno dostupni IP adresu ili QuickConnect ID kako bi se izbjegli potencijalni problemi kada je vaš mobilni uređaj na nekoj drugoj lokaciji od samog NAS-a. S druge strane, ako ste sigurni da ćete se samo prijavljivati u vaš NAS sa lokalne mreže, onda možete koristiti lokalno domensko ime kao dio procesa same autorizacije (registrirajte lokalnu IP adresu NAS-a u vaš DNS).

Ipak, nije sve tako loše. Ukoliko trebate takav ili sličan način pristupan u vašoj lokalnoj mreži, i dalje možete koristiti 2FA na vašem mobilno uređaju kako bi stavili dodatni sloj zaštite. Jasno, morati ćete i dalje koristiti vašu DSM zaporku.

Kako konfigurirati Secure SignIn

Kao što sam prije naveo, ako hoćete koristiti Secure SignIn, krenite sa QuickConnect ili DDNS javnom adresom. U ovom primjeru ja ću koristiti DDNS.

Korak 1 - aktivacija DDNS servisa na NAS-u

Otvorite Control Panel > External Access, a zatim ili QuickConnect ili DDNS tab. Završite konfiguracija istih kako vam odgovara.

Korak 2 - aktivacija Secure SignIn u korisničkim postavkama

U gornjem desnom kutu DSM-a kliknite na ikonu korisničkog profila i izaberite Personal stavku iz istoga

Aktivirajte Secure SignIn putem opcija u korisničkim postavkama
Započnite proces

Korak 3 - instalacija mobilne aplikacije

Iskoristite QR kôd kako bi preuzeli aplikaciju za svoj mobilni uređaj, te ga zatim i instalirajte

Korak 4 - uparivanje NAS i mobilnog uređaja

Po završenoj instalaciji, pokrenite je i očitajte kôd
Gotovo!

Kako je vidljivo iz primjera, konfiguracija nije uopće komplicirana i gotova je u par minuta.

U konačnici kada imate sve instalirano i konfigurirano, autorizacija putem telefona svodi se na potvrdu zahtjeva koji je stigao na vaš mobilni uređaj.

Mobilna aplikacija; kratki čarobnjak nakon kojeg ide popis svih NAS uređaja koji imaju aktivan SSI. Zadnja slika prikazuje autorizaciju
Primjer kako Secure SignIn izgleda u praksi

Passwordless način prijave u sustav

DSM 7 donio je novine što se tiče prijave u sam sustav, pa tako osim Secure SignIn opcije postoji još nekoliko načina koje možete iskoristiti umjesto ukucavanja svoje zaporke.

DSM 7 Sign-in metode

Trenutno imate opcije prijaviti se tzv. passwordless metodom ili i dalje koristiti 2FA opciju. Dobra stvar je što povrh same Secure SignIn mobilne aplikacije, možete koristiti i nekoliko kompatibilnih uređaja za prijavu u sustav. To bi bili:

  • USB ključ
  • Windows Hello
  • macOS TouchID
Nove DSM 7 opcije passwordless prijave

Ukoliko odaberete Hadrware security key metodu, prvo ćete se trebati autorizirati sa svojom DSM zaporkom prije nego možete krenuti dalje.

Potom ćete imati opcije konfigurirati uređaj koji želite.

S obzirom da nemam sigurnosnih USB ključeva, odlučio sam testirati TouchID metodu na način da vidim da li to uključuje i Apple Watch. Naime nemam Macbook koji ima TouchID niti Apple Keyboard nove generacije koja radi sa TouchID.

Dakle Apple Watch ipak ne radi, već isključivo pravi TouchID uređaj sa podrškom za isto

Dakle Apple Watch nije podržan, dakle ostaje vam korištenje isključivo putem uređaja koji službeno i tehnički imaju implementiran TouchID. Definitivno jako dobar način prijave u DSM, nema što!

Zaključak

Sve u svemu, jako dobar sigurnosni dodatak DSM-u. Istina je da trenutno traži QuickConnnect ili DDNS servise što traži od korisnika da otvori određen broj portova na ruteru. Uz to, ako posjedujete više od jednog uređaja na istoj lokaciji, primijetiti ćete dodatne probleme prilikom konfiguracije, pa postoji vjerojatnost da ćete se u tom slučaju vratiti na klasične metode prijave (npr. VPN veza nazad prema lokalnoj mreži ili korištenje vlastite domene u kombinaciji sa 2FA razinom zaštite).

Kako ne bi završili u negativnom tonu, samo bi htio reći da će Secure SignIn sigurno biti od pomoći velikom broju korisnika te pritom podignuti razinu sigurnosti za nekoliko stepenica u kombinaciji sa ostalim DSM 7 novitetima.