Synology: Protege tu NAS

2021-02-08

Índice

  1. El tiempo es importante
    1. Configuración zona horaria servidor NTP
    2. Servidor NTP
  2. Servicios de ficheros
  3. Usuarios
  4. Acceso externo
    1. DDNS
    2. Configuración de enrutador
  5. Red
    1. IPv6
    2. Configuración de DSM
  6. Seguridad
    1. Seguridad
    2. Cortafuegos
    3. Protección
    4. Cuenta
      1. Bloqueo automático
      2. Protección de la cuenta
    5. Certificado
    6. Avanzado
      1. Nivel del perfil TLS/SSL
    7. Notificación
    8. Actualizar y restaurar
      1. Actualización de DSM
      2. Copia de seguridad
    9. Privilegios
    10. Portal de aplicaciones
    11. Terminal y SNMTP
    12. Consejero de seguridad
  7. Referencias:

En este articulo vamos a ver como proteger el acceso a nuestro servidor NAS. Voy a enumerar diferentes pasos para limitar posibles riesgos a un nivel aceptable.

No es necesario seguir todos los puntos, depende de tus necesidades, eres libre de aplicar o no estas recomendaciones.

El tiempo es importante

Un sistema de tiempo es importante que este correctamente configurado y actualizado para que sea confiable

Una máquina que no tiene un sistema de tiempo confiable puede encontrar los siguientes problemas:

  • Problemas de conexión: los sistemas de autenticación y cifrado usan el tiempo en la mayoría de los procesos.
  • Problemas de actualización: el tiempo es un componente importante para las tareas programadas y la gestión de cachó.
  • Problemas con las copias de seguridad: ¿ Cómo saber quó ha cambiado desde la última copia de seguridad si el tiempo no es confiable ?
  • Problemas de diagnóstico: Si la hora del sistema no es confiable, los registros tampoco lo serán

Configuración zona horaria servidor NTP

La mejor forma de obtener un sistema de tiempo confiable es configurar adecuadamente nuestra zona horaria y sincronizar nuestro NAS y equipos con un servidor de tiempo.

  • Zona horaria(1): Seleciona tu region geografica
  • Servidor NTP (2): pool.ntp.org seleccionara de forma automática el servidor de nuestra su área geográfica Panel de control -> Opciones regionales -> Hora

img

Servidor NTP

Si vas instalado Surveillance Station para controlar tus cámaras de seguridad seguramente se habrá activado de forma automática el servidor NTP, pero sino las usas tambión puedes utilizarlo como servidor NTP para los equipos de tu red.

img

Servicios de ficheros

Una regla de oro es deshabilitar aquellos servicios que no vayas a utilizar.Habilita solo los servicios (samba,ftp, etc) que vayas a utilizar

img

Si vas a utilizar SMB, si tus clientes lo permitetn, habilita SMB3 ya que permite cifrar la comunicación en AES (para Windows 8 y más recientes, distribuciones GNU/Linux con un kernel > 3.12 y las últimas versiones de MacOS)

img

Usuarios

  • Administrador: Durante el asistente de instalación de DSM creaste un usuario con privilegios de administrador y el usuario Admin debería de estar deshabilitado, si no es as, ya estas tardando en hacerlo.

img

  • Contraseña: Utiliza contraseñas robustas, al menos para los usuarios administradores, utiliza un programa como Keeppass o Bitwarden

img

  • Activar la verificación 2 pasos

-Lee https://elblogdelazaro.org/posts/2021-01-11-synology-autentificaron-2-factores/

  • QuickConnect

Personalmente recomiendo que dediques un poco de tu tiempo en entender el funcionamiento de tu NAS como proxy inverso y al uso de DDNS. Con Quickconnect obtendrás un tráfico que suele ser muy lento, relativamente inestable y difícil de controlar.

Si aun así si deseas mantener QuickConnect, limita las aplicaciones accesibles desde el exterior

img

Acceso externo

DDNS

Este apartado permite configurar un servicio de DNS dinámico, es útil para quienes no tienen una dirección IP fija, puedes leer mas en este articulo que escribí https://elblogdelazaro.org/posts/2020-11-02-configura-tu-nombre-de-dominio-ddns-en-un-nas-synology/

img

Configuración de enrutador

Se utiliza para abrir puertos automáticamente en el router/NAS, mediante UPnP, es un fallo de seguridad muy importante, UPnP, todos los dispositivos en tu red podrán realizar la apertura dinámica de puertos, si un ordenador de tu red se infecta con un virus, ese ordenador podrá abrir los puertos de forma automática, sin ningún tipo de notificación, lo que permitiría al atacante acceder a tu red/NAS.

Red

IPv6

Si no lo usas, deshabilita IPv6, con IPv4, tu red local está “protegida” de ataques directos desde Internet, los estándares de red imposibilitan que una dirección de tipo privado (192.168.xx por ejemplo) puedan circular por Internet.

En IPv6, el estándar dice lo mismo que en IPv4, que una dirección privado debe permanecer privado, pero como no hay escasez de direcciones, tu ISP te otorga un rango de direcciones públicas (a menudo un simple /64), tus máquinas están directamente expuestas a Internet.

Tan pronto como conectes un dispositivo compatible con IPv6, este dispositivo será directamente accesible desde Internet.

img

Configuración de DSM

Aquí hay opiniones para todos los gustos, hay defensores de que cambiar el puerto por defecto de DSM ante un escaneo de red apenas les va demorar unos segundos mas, en cambio yo soy de la opinión de que puede haber bots preparados para escanear ciertos puertos standard, entre ellos el de DSM (5000 y 5001), lo dejo a tu criterio pero mi consejo es que lo cambies

Redirige el trafico HTTP a HTTPS, aunque si no expones tu servidor a internet no es necesario, y habilita HTTP/2

img

Seguridad

Seguridad

Las opciones que he marcado en la siguiente captura de pantalla deberían de ser suficiente

img

Cortafuegos

Aunque no vayas a exponer tu servidor a internet te recomiendo que lo actives, nunca se sabe si por error o desconocimiento puedas habilitar un servicio que exponga el servidor a Internet, en este articulo explico como configurar el cortafuegos.

img

Protección

Por cada una de las interfaces de red que tengas activas (LAN1, LAN2) habilita la proteccion DoS

img

Cuenta

Bloqueo automático

Bloquea las direcciones IP con demasiados intentos de conexión fallidos en un periodo de tiempo, y durante cuanto tiempo vamos a mantener bloqueadas esas direcciones IP.

img

Protección de la cuenta

  1. Clientes que no son de confianza

    Habilita esta opción, evitaras que los clientes que no sean de confianza (firefox, aplicaciones synology, etc) con muchos intentos de inicio de sesion fallidos en un periodo corto de tiempo se puedan bloquear. Ver imagen anterior.

  2. Clientes de confianza

    img

Certificado

Si vas a acceder a tu servidor desde el exterior obten un certificado, en este articulo te explico como obtenerlo,

img

Avanzado

Nivel del perfil TLS/SSL

Con la opción intermedia sera suficiente

img

Notificación

Un aspecto importante es ser notificado cuando se produce algún problema o alarma en la seguridad de nuestro NAS, asi que configura las notificaciones por correo electronico

img

En la pestaña Avanzado puedes elegir que tipo de notificaciones recibir

Actualizar y restaurar

Actualización de DSM

Mantón el NAS actualizado, configúralo para que las actualizaciones se realicen de una manera automática.

img

Habilita que el NAS te notifique si hay una actualización disponible y averigua si hay algún problema de compatibilidad antes de instalarla. puede suceder, especialmente en las actualizaciones importantes, que se producen problemas, antes de instalarla.

Copia de seguridad

Cuando hayas terminado de configurar tu servidor NAS haz una copia de seguridad de la configuración en un dispositivo externo al NAS.

img

Privilegios

Restringe el acceso a determinadas aplicaciones para determinadas cuentas. Por ejemplo, puedes tneer un grupo para que puedan escuchar tu coleccion de musica pero no tiene porque tener acceso a la aplicación Calendario,

img

Portal de aplicaciones

Por defecto, la mayoría de las aplicaciones son accesibles a travós de DSM (puertos 5000 y 5001) y la dirección de tu NAS, pero podemos que una determinada aplicación sea accesible desde Internet, o tener una dirección específica o escuchar en un puerto en particular, o todo esto al mismo tiempo, lo podemos configurar desde aquí.

Todo este proceso ya lo explique como realizarlo en este par de artículos https://elblogdelazaro.org/posts/2020-11-16-iniciar-sesion-directamente-en-una-aplicacion/ y https://elblogdelazaro.org/posts/2020-11-30-configura-tu-nas-synology-como-proxy-inverso/

img

Terminal y SNMTP

Aunque al principio te dije que no habilitaras aquellos servicios que no vayas a utilizar, a mi me gusta tener habilitado SSH, ya que en caso de que haya un problema y no pueda acceder al NAS mediante DSM, lo podre hacer meiante SSH.

Para una mayor seguridad podemos activar el uso de la autenticación mediante clave publica y deshabilitar el uso de contraseñas, te explico como hacerlo en este articulo https://elblogdelazaro.org/posts/2021-01-18-synology-autentificacion-mediante-llave-publica-en-ssh/

img

Consejero de seguridad

Esta aplicación analiza determinados archivos y configuraciones del NAS y te advierte si encuentra algún problema.

img

Referencias:

Espero que te haya gustado, pasa un buen día… 🐧

Etiquetas: #synology

Ingrese la dirección de su instancia