Faror med fjärråtkomst till NAS och hur man gör det säkert –

Farorna med att fjärråtkomst till min NAS

Vanligtvis är NAS-servrar tillgängliga över Internet för att ha tillgång till alla tjänster och resurser som vi behöver, till exempel är det vanligaste att vi från Internet kan komma åt NAS-serverns administrationswebbsida, vi kan komma åt filer via den interna FTP:n, och vi kan till och med aktivera fjärrkontrollen över SSH genom att öppna lämplig port på vår router. Att komma åt vår NAS-server över Internet innebär dock ett antal risker som vi måste undvika så mycket som möjligt, så vi måste vidta ett antal försiktighetsåtgärder om vi bestämmer oss för att öppna vår NAS-server och komma åt den utifrån.

I våra hem använder vi alla en NAT- och UPnP-router, NAS-servrar stödjer UPnP för att dynamiskt och automatiskt öppna portar på routern, men detta medför en säkerhetsrisk eftersom de kan öppna portar som du inte vill exponera. … därför bör du noggrant kontrollera din NAS-servers UPnP-konfiguration för att säkerställa att detta inte händer. Det bästa du kan göra är dock att inaktivera UPnP på NAS-servern och till och med på din router så att du måste öppna portar (port forwarding) på ett visst sätt, och väl veta vilka portar du öppnar för vilken enhet. …

En router som inte har en öppen port i NAT till NAS-servern betyder att NAS-servern inte är ansluten till Internet, så fjärråtkomst kommer endast att vara möjlig genom de bakanslutningar som leverantörer som QNAP för närvarande tillhandahåller. Således kommer Synology eller ASUSTOR genom att logga in i molnet på NAS-plattformen att ansluta direkt till tillverkarens egna servrar så att användaren kan ansluta på distans utan att öppna någon port. Vi måste komma ihåg att portar i NAT från “inuti NAT” till “utanför NAT” öppnas automatiskt när det krävs av någon enhet, men om anslutningen startas från Internet händer detta inte, och vi behöver en öppen port på router om du vill nå den sista tjänsten.

Är det här sättet att ansluta till NAS-servern säkert? I grund och botten ja, eftersom NAS-servertillverkare är ansvariga för att hålla sin plattform säker. Om din plattform äventyras kommer alla NAS-servrar med denna funktion aktiverad att äventyras och åtkomst kan göras efter autentisering via Internet.

Om du öppnar en port på routern (port forwarding) för NAS-servern (web HTTP, webb HTTPS, FTP, FTPES, SSH, etc.), kan du bli attackerad av cyberkriminella för att komma åt NAS-servern, detta är mycket viktigt bara öppna portar för de tjänster du vill ha och öppna inte fler portar än du behöver för att ha minsta möjliga attackyta.

Försök att hacka användaruppgifter

En av attackerna som kan utföras är försök att hacka våra användaruppgifter, antingen via webbmenyn för att komma åt administration, eller genom FTP-servern om den är öppen, och även genom SSH-servern om det finns en. vi har en motsvarande port öppen på vår router. Det finns helt gratis program som låter oss automatisera attacker på olika värdar, till exempel kommer den populära Nmap att låta oss utföra en portskanning för att kontrollera vilka TCP- och UDP-portar vi har öppnat på routern för en specifik tjänst, och sedan räkna ut. ut vilken typ av tjänst vi har på en specifik port, vilken version av denna tjänst vi har och mer information.

Filtración de contraseñas

Genom att känna till tjänsten och till och med versionen av tjänsten kan en cyberbrottsling använda program som Nmap NSE för att försöka knäcka lösenordet med hjälp av en ordbok eller brute force, och på så sätt försöka skriva in tusentals användar/lösenordskombinationer.

Olaglig åtkomst till systemet

Om den tidigare attacken lyckades och beroende på behörigheterna för användaren vars lösenord knäcktes, kunde han komma åt systemet olagligt, det vill säga han kunde logga in på NAS-administrationen, FTP-servern eller via SSH för att göra alla nödvändiga ändringar , stjäla information, kryptera stulen information för en efterföljande begäran om lösen och till och med hacka det lokala nätverket där NAS-servern är konfigurerad.

Av denna anledning är det mycket viktigt att se NAS-serverns varningar och loggar så att du alltid vet om någon annan har kommit in på NAS-servern och det inte är vi, så vi kan aktivera snabbt och effektivt. inaktivera åtkomst till NAS-servern tills vi kontrollerar loggarna och tar reda på vad som hände. Det är mycket viktigt att om vi hittar åtkomst till vårt system så inaktiverar vi det så snart som möjligt och undersöker vad den här cyberbrottslingen gjorde på vår NAS-server.

Utnyttja NAS-sårbarheter

Med program som Nmap kan du ta reda på vilken version av webbservern, FTP- eller SSH-servern som används på en viss NAS-server. Om operativsystemet på NAS-servern använder en tjänst där sårbarheten har identifierats och redan är känd, kan en angripare utnyttja sårbarheten för att få full kontroll över NAS-servern och infektera den. Det är mycket viktigt att uppdatera NAS-servrarnas operativsystem och firmware för att förhindra att de utnyttjar en känd sårbarhet.

En mycket viktig aspekt är att vi aldrig ska öppna webbadministrationen av vår NAS-server över varken HTTP eller HTTPS. Webbservrar är mycket mottagliga för XSS-sårbarheter, och en cyberkriminell kan utnyttja en XSS-sårbarhet som han upptäckte själv och lyckas infektera alla NAS-servrar som inte har åtgärdat denna säkerhetsbrist. Det säkraste sättet är att aldrig öppna NAS administrativa nätverk om du behöver komma åt det, bättre på andra sätt, som vi lär dig nedan.

Utnyttja säkerhetsbrister och ransomware-attacker

Det har redan förekommit fall då en cyberbrottsling, med hjälp av en känd säkerhetsrisk i viss programvara på en NAS, inte bara äventyrade en användares NAS-server, utan också fullständigt krypterade den med en ransomware-attack, och därefter begärde en lösensumma för att kunna återhämta sig filer. Vi måste tänka på att vi vanligtvis använder en NAS-server som vårt privata moln och även för säkerhetskopiering, så den här typen av attacker är en av de värsta som kan hända oss. Även om operativsystemen har Snapshot- eller Snapshot-funktionalitet, om en cyberbrottsling lyckades få åtkomst som sysadmin, tog han förmodligen bort dessa ögonblicksbilder och du kommer inte att kunna återställa informationen om du inte har en extern säkerhetskopia.

När vi ser alla faror som är förknippade med att ansluta en NAS-server till Internet, kommer vi att förklara för dig hur vi kan komma åt den från Internet om vi inte har något val.

Hur du säkert kommer åt din NAS från Internet

Även om NAS-servrar helst kan användas på ett lokalt nätverk och inte har tillgång till Internet, är det väldigt bekvämt att kunna fjärråtkomst till alla NAS:s resurser. Om vi ​​behöver fjärråtkomst till vår NAS-server för att dela filer och mappar, för att hantera den av någon anledning eller för att använda någon av dess tjänster, är rekommendationen tydlig: gör det via NAS VPN-server om möjligt

Alla NAS-serveroperativsystem har en VPN-server, vanligtvis har de OpenVPN såväl som L2TP/IPsec, men det är också möjligt att de inkluderar proprietära VPN-protokoll och till och med den populära WireGuard VPN. I fallet med en VPN-server behöver vi bara öppna TCP- eller UDP-porten i routern som denna VPN-server ska acceptera för inkommande anslutningar. När vi väl är inne i VPN kan du säkert komma åt resten av resurserna (SMB, FTP, FTPES, SSH, etc.). På så sätt kommer vi bara att öppna en port på vår router, bakom vilken finns en VPN-tjänst som kommer att behöva digitala certifikat för autentisering.

Om du behöver öppna andra portar för att komma åt andra tjänster som FTP- eller SSH-server, är våra rekommendationer som följer:

  • Öppna portarna för de tjänster du vill ha, inga fler portar.
  • Skyddar tjänster från flera inloggningsförsök. Alla NAS inkluderar ett “fail2ban”-verktyg för att förbjuda flera misslyckade IP-åtkomstförsök genom att blockera dig under en viss tid.
  • Aktivera brandvägg och blockera efter region. Om vi ​​ska ansluta från Spanien är det en bra policy att endast tillåta Spaniens IP:er att ansluta och blockera resten av världen. NAS-servrar har redan en geoIP-brandvägg för att skydda oss.

Kom ihåg att det inte rekommenderas att öppna administrationsporten över Internet, oavsett om du använder HTTP eller HTTPS, eftersom webbservrar vanligtvis är utsatta för XSS-sårbarheter som kan leda till ett säkerhetsproblem och olaglig åtkomst till NAS-servern.

Slutligen, om du behöver tillhandahålla webbtjänster på Internet, tillgång till olika tjänster som en intern lösenordshanterare, Nextcloud för synkronisering av filer och mappar, intern webbhanteringsåtkomst och andra tjänster där en internetport måste öppnas (80 för HTTP och/eller 443 för HTTPS), är det en mycket bra idé att ställa in en omvänd proxy som Traefik.

De flesta NAS-servrar kan lätt virtualiseras med behållare som Docker. Traefik är en gratis och verkligen komplett omvänd proxy med mycket avancerade konfigurationsalternativ, denna omvänd proxy tillåter oss att endast exponera HTTP- och/eller HTTPS-portar till Internet för att komma åt alla interna NAS-serverresurser utan att behöva öppna flera portar i vår router. .. Omdirigering till olika tjänster kan göras via underdomäner (t.ex. nextcloud.redeszone.net) eller även enligt följande: redeszone.net/nextcloud. Fördelen med Traefik är att vi har mellanprogram för att förbättra säkerheten i systemet, vi kan sätta upp ytterligare autentisering för olika tjänster med användarnamn och lösenord, vi kan implementera en OAuth-autentiseringstjänst hos Google, och till och med tvåstegsautentisering. , allt detta innan du får åtkomst till den senaste tjänsten som kunde klara grundläggande autentisering.

En annan styrka med Traefik är att vi kan installera olika tillägg, till exempel fail2ban i alla eller vissa tjänster som vi tillhandahåller, vi kan även konfigurera GeoIP att endast tillåta IP-adresser för ett land och blockera andra, och mycket annat. Mer.

Som du har sett finns det många faror om vi öppnar vår NAS-server mot Internet, men om vi gör det rätt och följer våra rekommendationer är vi övertygade om att du kommer att kunna komma åt den på distans utan problem, hur du än ska göra medveten om att 100 % säkerhet inte finns där, särskilt om sårbarheter hittas som inte är åtgärdade i tid, och en riktad eller global attack utförs på alla klienter av ett visst märke av NAS-servrar.

Relaterade artiklar

Back to top button