En este artículo vamos a ver como proteger el acceso a nuestro servidor NAS. Voy a enumerar diferentes pasos para limitar posibles riesgos a un nivel aceptable.
No es necesario seguir todos los puntos, depende de tus necesidades, eres libre de aplicar o no estas recomendaciones.
El tiempo es importante
Un sistema de tiempo es importante que este correctamente configurado y actualizado para que sea confiable
Una máquina que no tiene un sistema de tiempo confiable puede encontrar los siguientes problemas:
- Problemas de conexión: los sistemas de autenticación y cifrado usan el tiempo en la mayoría de los procesos.
- Problemas de actualización: el tiempo es un componente importante para las tareas programadas y la gestión de cachó.
- Problemas con las copias de seguridad: ¿ Cómo saber qué ha cambiado desde la última copia de seguridad si el tiempo no es confiable ?
- Problemas de díagnóstico: Si la hora del sistema no es confiable, los registros tampoco lo serán.Ten en cuenta que estoy hablando de hora confiable, no es necesariamente hora correcta.
Configuración zona horaria servidor NTP
La mejor forma de obtener un sistema de tiempo confiable es configurar adecuadamente nuestra zona horaria y sincronizar nuestro NAS y equipos con un servidor de tiempo.
- Zona horaria(1): Seleciona tu región geográfica
- Servidor NTP (2): pool.ntp.org seleccionará de forma automática el servidor de nuestra su área geográfica
Panel de control->Opciones regionales->Hora
Servidor NTP
Si vas instalado Surveillance Station para controlar tus cámaras de seguridad seguramente se habrá activado de forma automática el servidor NTP, pero si no las usas también puedes utilizarlo como servidor NTP para los equipos de tu red.
Servicios de ficheros
Una regla de oro es deshabilitar aquellos servicios que no vayas a utilizar. Habilita solo los servicios (samba,ftp, etc) que vayas a utilizar
Si vas a utilizar SMB, si tus clientes lo permitetn, habilita SMB3 ya que permite cifrar la comunicación en AES (para Windows 8 y más recientes, distribuciones GNU/Linux con un kernel > 3.12 y las últimas versiones de MacOS)
Usuarios
- Administrador: Durante el asistente de instalación de DSM creaste un usuario con privilegios de administrador y el usuario Admin debería de estar deshabilitado, si no es as, ya estas tardando en hacerlo.
- Contraseña: Utiliza contraseñas robustas, al menos para los usuarios administradores, utiliza un programa como Keeppass o Bitwarden
- Activar la verificación 2 pasos
-Lee https://elblogdelazaro.org/synology-autentificaron-2-factores/
- QuickConnect
Personalmente recomiendo que dediques un poco de tu tiempo en entender el funcionamiento de tu NAS como proxy inverso y al uso de DDNS. Con Quickconnect obtendrás un tráfico que suele ser muy lento, relativamente inestable y difícil de controlar.
Si aun así si deseas mantener QuickConnect, limita las aplicaciones accesibles desde el exterior
Acceso externo
DDNS
Este apartado permite configurar un servicio de DNS dinámico, es útil para quienes no tienen una dirección IP fija, puedes leer mas en este artículo que escribí https://elblogdelazaro.org/configura-tu-nombre-de-dominio-ddns-en-un-nas-synology/
Configuración de enrutador
Se utiliza para abrir puertos automáticamente en el router/NAS, mediante UPnP, es un fallo de seguridad muy importante, UPnP, todos los dispositivos en tu red podrán realizar la apertura dinámica de puertos, si un ordenador de tu red se infecta con un virus, ese ordenador podrá abrir los puertos de forma automática, sin ningún tipo de notificación, lo que permitiría al atacante acceder a tu red/NAS.
No pulses en Configurar enrutador
Red
IPv6
Si no lo usas, deshabilita IPv6, con IPv4, tu red local está “protegida” de ataques directos desde Internet, los estándares de red imposibilitan que una dirección de tipo privado (192.168.xx por ejemplo) puedan circular por Internet.
En IPv6, el estándar dice lo mismo que en IPv4, que una dirección privada debe permanecer privado, pero como no hay escasez de direcciones, tu ISP te otorga un rango de direcciones públicas (a menudo un simple /64), tus máquinas están directamente expuestas a Internet.
Tan pronto como conectes un dispositivo compatible con IPv6, este dispositivo será directamente accesible desde Internet.
Configuración de DSM
Aquí hay opiniones para todos los gustos, hay defensores de que cambiar el puerto por defecto de DSM ante un escaneo de red apenas les va demorar unos segundos mas, en cambio yo soy de la opinión de que puede haber bots preparados para escanear ciertos puertos standard, entre ellos el de DSM (5000 y 5001), lo dejo a tu criterio pero mi consejo es que lo cambies
Redirige el tráfico HTTP a HTTPS, aunque si no expones tu servidor a internet no es necesario, y habilita HTTP/2
Seguridad
Seguridad
Las opción es que he marcado en la siguiente captura de pantalla deberían de ser suficiente
Cortafuegos
Aunque no vayas a exponer tu servidor a internet te recomiendo que lo actives, nunca se sabe si por error o desconocimiento puedas habilitar un servicio que exponga el servidor a Internet, en este artículo explico como configurar el cortafuegos.
Protección
Por cada una de las interfaces de red que tengas activas (LAN1, LAN2) habilita la protección DoS
Cuenta
Bloqueo automático
Bloquea las direcciones IP con demasiados intentos de conexión fallidos en un periodo de tiempo, y durante cuanto tiempo vamos a mantener bloqueadas esas direcciones IP.
Protección de la cuenta
Clientes que no son de confianza
Habilita esta opción, evitaras que los clientes que no sean de confianza (firefox, aplicaciones synology, etc) con muchos intentos de inicio de sesión fallidos en un periodo corto de tiempo se puedan bloquear. Ver imagen anterior.
Clientes de confianza
Certificado
Si vas a acceder a tu servidor desde el exterior obtén un certificado, en este artículo te explico como obtenerlo,
Avanzado
Nivel del perfil TLS/SSL
Con la opción intermedia sera suficiente
Notificación
Un aspecto importante es ser notificado cuando se produce algún problema o alarma en la seguridad de nuestro NAS, asi que configura las notificaciones por correo electronico
En la pestaña Avanzado puedes elegir que tipo de notificaciones recibir
Actualizar y restaurar
Actualización de DSM
Mantón el NAS actualizado, configúralo para que las actualizaciones se realicen de una manera automática.
Habilita que el NAS te notifique si hay una actualización disponible y averigua si hay algún problema de compatibilidad antes de instalarla. puede suceder, especialmente en las actualizaciones importantes, que se producen problemas, antes de instalarla.
También deshabilita las actualizaciones automáticas en el Centro de paquetes por el mismo motivo
Copia de seguridad
Cuando hayas terminado de configurar tu servidor NAS haz una copia de seguridad de la configuración en un dispositivo externo al NAS.
Privilegios
Restringe el acceso a determinadas aplicaciones para determinadas cuentas. Por ejemplo, puedes tener un grupo para que puedan escuchar tu colección de música pero no tiene porque tener acceso a la aplicación Calendario,
Portal de aplicaciones
Por defecto, la mayoría de las aplicaciones son accesibles a través de DSM (puertos 5000 y 5001) y la dirección de tu NAS, pero podemos que una determinada aplicación sea accesible desde Internet, o tener una dirección específica o escuchar en un puerto en particular, o todo esto al mismo tiempo, lo podemos configurar desde aquí.
Todo este proceso ya lo expliqué como realizarlo en este par de artículos https://elblogdelazaro.org/iniciar-sesion-directamente-en-una-aplicacion/ y https://elblogdelazaro.org/configura-tu-nas-synology-como-proxy-inverso/
Terminal y SNMTP
Aunque al principio te dije que no habilitaras aquellos servicios que no vayas a utilizar, a mi me gusta tener habilitado SSH, ya que en caso de que haya un problema y no pueda acceder al NAS mediante DSM, lo podre hacer mediante SSH.
Para una mayor seguridad podemos activar el uso de la autenticación mediante clave público y deshabilitar el uso de contraseñas, te explico como hacerlo en este artículo https://elblogdelazaro.org/synology-autentificacion-mediante-llave-publica-en-ssh/
Consejero de seguridad
Esta aplicación analiza determinados archivos y configuraciones del NAS y te advierte si encuentra algún problema.
Referencias:
- https://www.nas-forum.com/forum/topic/54453-tuto-s%C3%A9curiser-les-acc%C3%A8s-%C3%A0-son-nas/
- https://blog.fenrir.fr/2013/06/28/ipv6-securite/
Espero que te haya gustado, pasa un buen día; 🐧