Synology: Protege tu NAS

9 minutos de lectura

En este articulo vamos a ver como proteger el acceso a nuestro servidor NAS. Voy a enumerar diferentes pasos para limitar posibles riesgos a un nivel aceptable.

No es necesario seguir todos los puntos, depende de tus necesidades, eres libre de aplicar o no estas recomendaciones.

El tiempo es importante

Un sistema de tiempo es importante que este correctamente configurado y actualizado para que sea confiable

Una máquina que no tiene un sistema de tiempo confiable puede encontrar los siguientes problemas:

  • Problemas de conexión: los sistemas de autenticación y cifrado usan el tiempo en la mayoría de los procesos.
  • Problemas de actualización: el tiempo es un componente importante para las tareas programadas y la gestión de caché.
  • Problemas con las copias de seguridad: ¿ Cómo saber qué ha cambiado desde la última copia de seguridad si el tiempo no es confiable ?
  • Problemas de diagnóstico: Si la hora del sistema no es confiable, los registros tampoco lo serán

Ten en cuenta que estoy hablando de hora confiable, no es necesariamente hora correcta.

Configuración zona horaria servidor NTP

La mejor forma de obtener un sistema de tiempo confiable es configurar adecuadamente nuestra zona horaria y sincronizar nuestro NAS y equipos con un servidor de tiempo.

  • Zona horaria(1): Seleciona tu region geografica
  • Servidor NTP (2): pool.ntp.org seleccionara de forma automática el servidor de nuestra su área geográfica Panel de control -> Opciones regionales -> Hora

Servidor NTP

Si vas instalado Surveillance Station para controlar tus cámaras de seguridad seguramente se habrá activado de forma automática el servidor NTP, pero sino las usas también puedes utilizarlo como servidor NTP para los equipos de tu red.

Servicios de ficheros

Una regla de oro es deshabilitar aquellos servicios que no vayas a utilizar.Habilita solo los servicios (samba,ftp, etc) que vayas a utilizar

Si vas a utilizar SMB, si tus clientes lo permitetn, habilita SMB3 ya que permite cifrar la comunicación en AES (para Windows 8 y más recientes, distribuciones GNU/Linux con un kernel > 3.12 y las últimas versiones de MacOS)

Usuarios

  • Administrador: Durante el asistente de instalación de DSM creaste un usuario con privilegios de administrador y el usuario Admin debería de estar deshabilitado, si no es as, ya estas tardando en hacerlo.
  • Contraseña: Utiliza contraseñas robustas, al menos para los usuarios administradores, utiliza un programa como Keeppass o Bitwarden
  • QuickConnect

    Personalmente recomiendo que dediques un poco de tu tiempo en entender el funcionamiento de tu NAS como proxy inverso y al uso de DDNS. Con Quickconnect obtendrás un tráfico que suele ser muy lento, relativamente inestable y difícil de controlar.

    Si aun así si deseas mantener QuickConnect, limita las aplicaciones accesibles desde el exterior

Acceso externo

DDNS

Este apartado permite configurar un servicio de DNS dinámico, es útil para quienes no tienen una dirección IP fija, puedes leer mas en este articulo que escribí https://elblogdelazaro.org/posts/2020-11-02-configura-tu-nombre-de-dominio-ddns-en-un-nas-synology/

Configuración de enrutador

Se utiliza para abrir puertos automáticamente en el router/NAS, mediante UPnP, es un fallo de seguridad muy importante, UPnP, todos los dispositivos en tu red podrán realizar la apertura dinámica de puertos, si un ordenador de tu red se infecta con un virus, ese ordenador podrá abrir los puertos de forma automática, sin ningún tipo de notificación, lo que permitiría al atacante acceder a tu red/NAS.

No pulses en Configurar enrutador

Red

IPv6

Si no lo usas, deshabilita IPv6, con IPv4, tu red local está “protegida” de ataques directos desde Internet, los estándares de red imposibilitan que una dirección de tipo privado (192.168.xx por ejemplo) puedan circular por Internet.

En IPv6, el estándar dice lo mismo que en IPv4, que una dirección privado debe permanecer privado, pero como no hay escasez de direcciones, tu ISP te otorga un rango de direcciones públicas (a menudo un simple /64), tus máquinas están directamente expuestas a Internet.

Tan pronto como conectes un dispositivo compatible con IPv6, este dispositivo será directamente accesible desde Internet.

Configuración de DSM

Aquí hay opiniones para todos los gustos, hay defensores de que cambiar el puerto por defecto de DSM ante un escaneo de red apenas les va demorar unos segundos mas, en cambio yo soy de la opinión de que puede haber bots preparados para escanear ciertos puertos standard, entre ellos el de DSM (5000 y 5001), lo dejo a tu criterio pero mi consejo es que lo cambies

Redirige el trafico HTTP a HTTPS, aunque si no expones tu servidor a internet no es necesario, y habilita HTTP/2

Seguridad

Seguridad

Las opciones que he marcado en la siguiente captura de pantalla deberían de ser suficiente

Cortafuegos

Aunque no vayas a exponer tu servidor a internet te recomiendo que lo actives, nunca se sabe si por error o desconocimiento puedas habilitar un servicio que exponga el servidor a Internet, en este articulo explico como configurar el cortafuegos.

Protección

Por cada una de las interfaces de red que tengas activas (LAN1, LAN2) habilita la proteccion DoS

Cuenta

Bloqueo automático

Bloquea las direcciones IP con demasiados intentos de conexión fallidos en un periodo de tiempo, y durante cuanto tiempo vamos a mantener bloqueadas esas direcciones IP.

Protección de la cuenta

  • Clientes que no son de confianza

    Habilita esta opción, evitaras que los clientes que no sean de confianza (firefox, aplicaciones synology, etc) con muchos intentos de inicio de sesion fallidos en un periodo corto de tiempo se puedan bloquear. Ver imagen anterior.

  • Clientes de confianza

Certificado

Si vas a acceder a tu servidor desde el exterior obten un certificado, en este articulo te explico como obtenerlo,

Avanzado

Nivel del perfil TLS/SSL

Con la opción intermedia sera suficiente

Notificación

Un aspecto importante es ser notificado cuando se produce algún problema o alarma en la seguridad de nuestro NAS, asi que configura las notificaciones por correo electronico

En la pestaña Avanzado puedes elegir que tipo de notificaciones recibir

Actualizar y restaurar

Actualización de DSM

Mantén el NAS actualizado, configúralo para que las actualizaciones se realicen de una manera automática.

Habilita que el NAS te notifique si hay una actualización disponible y averigua si hay algún problema de compatibilidad antes de instalarla. puede suceder, especialmente en las actualizaciones importantes, que se producen problemas, antes de instalarla.

También deshabilita las actualizaciones automáticas en el Centro de paquetes por el mismo motivo

Copia de seguridad

Cuando hayas terminado de configurar tu servidor NAS haz una copia de seguridad de la configuración en un dispositivo externo al NAS.

Para hacer una copia de seguridad de las aplicaciones deberás de utilizar Hyper Backup

Privilegios

Restringe el acceso a determinadas aplicaciones para determinadas cuentas. Por ejemplo, puedes tneer un grupo para que puedan escuchar tu coleccion de musica pero no tiene porque tener acceso a la aplicación Calendario,

Portal de aplicaciones

Por defecto, la mayoría de las aplicaciones son accesibles a través de DSM (puertos 5000 y 5001) y la dirección de tu NAS, pero podemos que una determinada aplicación sea accesible desde Internet, o tener una dirección específica o escuchar en un puerto en particular, o todo esto al mismo tiempo, lo podemos configurar desde aquí.

Todo este proceso ya lo explique como realizarlo en este par de artículos https://elblogdelazaro.org/posts/2020-11-16-iniciar-sesion-directamente-en-una-aplicacion/ y https://elblogdelazaro.org/posts/2020-11-30-configura-tu-nas-synology-como-proxy-inverso/

Terminal y SNMTP

Aunque al principio te dije que no habilitaras aquellos servicios que no vayas a utilizar, a mi me gusta tener habilitado SSH, ya que en caso de que haya un problema y no pueda acceder al NAS mediante DSM, lo podre hacer meiante SSH.

Para una mayor seguridad podemos activar el uso de la autenticación mediante clave publica y deshabilitar el uso de contraseñas, te explico como hacerlo en este articulo https://elblogdelazaro.org/posts/2021-01-18-synology-autentificaron-mediante-llave-publica-en-ssh/

Asegúrate de que el servicio SSH no sea accesible desde internet, utiliza el cortafuegos

Consejero de seguridad

Esta aplicación analiza determinados archivos y configuraciones del NAS y te advierte si encuentra algún problema.

Referencias:

Cualquier sugerencia o mejora que creas que puedo mejorar esta guía será bienvenida

Espero que te haya gustado, pasa un buen día… :penguin: