ARCHIVO DEL BLOG

ENTRADAS | COMENTARIOS

Publicadas Entradas y Comentarios

FEED RSS

PAGINAS VISITADAS

hit counter for blogger

Análisis Silverstone SUGO 16 Análisis Silverstone SX750 Análisis Noctua NH D12L Análisis AMD RYZEN 5 5600G Análisis Silverstone ML09 Análisis Intel Core i7 12700K Análisis Noctua-NH-U12S-Redux Análisis SSD KINGSTON KC2500 1TB SSD M.2 NVMe
1 2 3 4 5 6 7 8

Aumenta la seguridad de tu NAS Synology

Con esta, inicio una serie de guías acerca de los NAS, utilizando como referencia el NAS Synology DiskStation DS720+, analizado hace unas semanas en este blog. 

Estos últimos meses ha estado en boca de todos los diferentes ataques que han sufrido varias marcas de fabricantes de NAS, la ultima en recibir uno de Ramsonware que ha afectado a parte de sus usuarios ha sido Qnap. Desgraciadamente, esta no es la única empresa que ha recibido un ataque, de hecho no se libra ninguna marca, meses atrás han sido el resto de fabricantes de NAS quienes los han sufrido igualmente.

Bajo la etiqueta "Espacio Synology" encontraréis todas las entradas que escriba a lo largo de estos próximos meses. En esta primera entrada explicare una serie de detalles sobre como conseguir que tu NAS sea más seguro.

El motivo por el que están en el punto de mira los NAS se debe en primer lugar a su enorme expansión durante estos últimos años. Cada vez hay más dispositivos y están conectados las 24 horas, por lo que se convierten en un blanco fácil si no se tienen las mínimas precauciones, además, en ellos guardamos información sensible de nuestra actividad comercial o de nuestra vida digital, por la que sí estaríamos dispuestos a pagar un rescate, siendo un lucrativo negocio para los delincuentes. 

Otro detalle importante se centra en la facilidad de configuración de estos nuevos equipos. Hace unos años administrar un NAS no era apto para todos los públicos, principalmente se utilizaban en el sector empresarial y los gestionaba un administrador o al menos alguien con conocimientos. El empeño de las marcas en programar sistemas operativos más amigables ha conseguido que un amplio abanico de usuarios domésticos se hayan animado a comprar uno, en mayor medida, empujados también por la enorme actividad digital que generamos desde la llegada de los Smartphone.

CONCEPTOS BASICOS PARA TENER NUESTRO NAS A SALVO

La información que aporto a continuación, no solamente es especifica para alguien que tiene un NAS, sino para cualquier usuario con un ordenador, tableta o móvil en el que aloje archivos digitales, ya que parte de los consejos serán aplicables a tu ecosistema digital. 

UN RAID DE DISCOS NO TE LIBRA DE UN DESASTRE ANTE UN ATAQUE

Alguno de nosotros tenemos la falsa idea de que con una configuración en RAID de los discos duros estamos a salvo de desastres. Y en parte es cierto, ya que si montamos un RAID con redundancia de discos, nos estaremos protegiendo ante un fallo mecánico de uno de ellos, pero si recibimos un ataque exterior perderemos igualmente la información si no realizamos copias de seguridad.
UN RAID DE DISCOS NO TE LIBRA DE UN DESASTRE ANTE UN ATAQUE

REALIZA SIEMPRE UNA O VARIAS COPIAS DE SEGURIDAD (Regla 3-2-1)

Es la única forma de tener a buen recaudo nuestra información. Si utilizas el NAS como respaldo de los datos que guardas en cualquier otro dispositivo de la casa, al menos tendrás parte del trabajo realizado.

Si queremos tener una seguridad máxima ante un ataque o cualquier otro desastre, no quedara más remedio que además de tener el original y una copia en el NAS, realizar una tercera copia en un disco externo, a ser posible que este aislado de internet, esto se conoce como la regla del 3-2-1.

Esta regla recomienda que haya al menos tres copias de seguridad de los datos. Las dos primeras copias pueden encontrarse en una misma ubicación, pero se recomienda que la tercera copia este deslocalizada. Quizás para un usuario doméstico no sea necesario llegar al extremo de dejar esa tercera copia en otra vivienda, pero para un profesional es primordial reducir riesgos.

También podemos utilizar los diferentes recursos en la nube, en este caso será interesante una buena política de sincronización entre el disco local y la nube en caso de desastre. Primordial desactivar la sincronización si detectamos que hemos podido ser atacados.

Aplicaciones de Copia de Seguridad

PLANIFICA UNA BUENA POLITICA DE COPIAS, RESPALDA SOLO LO NECESARIO

Pasamos por una época en la que el minado de criptomonedas encarece el precio de componentes como los discos duros, por lo que su precio esta totalmente disparado. Por este motivo es muy importante identificar los archivos de valor que merecen la pena ser duplicados para así ahorrar en el tamaño del disco duro de respaldo.
Respalda solamente lo necesario
Además de este detalle, deberemos revisar nuestras copias de seguridad, ya que lo que hoy puede ser algo imprescindible, quizás mañana sea innecesario mantenerlo, pudiendo liberar espacio en todos tus dispositivos de almacenamiento.

Por último, crearemos una rutina de backup de datos, bien de forma manual o con la ayuda de las aplicaciones que incorporan los NAS. El intervalo entre copia y copia lo programaremos en función de nuestro ritmo a la hora de crear contenido digital sensible de tener a buen recaudo.

AUMENTADO LA SEGURIDAD EN UN NAS SYNOLOGY

Una vez explicado los conceptos básicos, vamos a ver las posibilidades con las que cuenta Synology DiskStation Manager para hacer todavía más seguro nuestro NAS.

Una recomendación, antes de empezar a utilizar "en serio" el NAS, no tengáis prisa y dedicar unas semanas a probar el equipo sin nada importante que respaldar. En esas semanas podréis "romper" y aprender de los errores, restablecer el NAS si habéis desconfigurado algo, crear diferentes volúmenes y grupos de almacenamiento, etc...

LAS APLICACIONES SIEMPRE DEBEN ESTAR ACTUALIZADAS

Un básico de seguridad aplicable a todos los ámbitos. Una aplicación sin actualizar puede ser una de las grietas por las que se puede colar un intruso en tu NAS. 

En muchas ocasiones no lo hacemos por pereza, pero el tener el sistema operativo del NAS y sus aplicaciones actualizadas nos servirá para tener un equipo mas seguro.
  • Ubicación DSM 6: Panel de control > Actualizar y restaurar >Actualización de DSM 
Las aplicaciones siempre actualizadas

INSTALA SOLAMENTE LOS PROGRAMAS O SERVICIOS QUE UTILICES

Cuando adquieres tu primer NAS, la curiosidad siempre te empuja a instalar nuevas aplicaciones, muchas de ellas no las vas a usar nunca, por lo que es importante que  las desinstales una vez probadas.

Synology tiene una gran variedad de aplicaciones, os recomiendo que utilicéis en primer termino las suyas, y si no hacen lo que necesitáis, tiempo tendréis para elegir programas de otras compañías que encontrareis en la tienda.

Respecto a las aplicaciones, es conveniente que las instales siempre desde la tienda de tu NAS, es la única forma de tener un mínimo de seguridad, desconfía de apps que encuentres en foros o sitios de dudosa procedencia.

El exceso de aplicaciones y servicios en marcha es perjudicial de cara al rendimiento del NAS y también para la seguridad.
  • Ubicación DSM 6: Escritorio > Centro de paquetes 
Instala solamente los programas o servicios que realmente utilices

SEGURIDAD EN LOS USUARIOS (Panel de control)

En esta sección nos dedicaremos a configurar correctamente el Usuario del NAS

DESACTIVAR EL USUARIO ADMINISTRADOR

Cuando inicializas por primera vez tu NAS, creas una cuenta de usuario personal con derechos de administrador, por lo que el usuario "admin" que tiene el NAS por defecto es recomendable deshabilitarlo.

Respecto a los usuarios, si la familia va a acceder al NAS, es recomendable crear un usuario independientemente para cada uno. De esta forma podremos darles permisos limitados de acceso a sus carpeta o impedirles la instalación de aplicaciones o acceso al panel de control. 

  • Ubicación DSM 6: Panel de control > Usuario >Usuario 

Desactivar el Usuario Administrador

CONFIGURAR REGLAS DE FORTALEZA DE CONTRASEÑA

En las ultimas versiones de DSM, al configurar el NAS ya empezaba a poner trabas respecto al uso de la típica contraseña: "1234", su utilización es similar a no tenerla, por eso es importante asegurarse de que los usuarios del NAS creen contraseñas robustas para reducir el riesgo ante un ataque por fuerza bruta. 

Podremos exigir  una longitud mínima, inclusión de mayúsculas y números, caracteres especiales, todo ello para complicar lo máximo posible al atacante.

  • Ubicación DSM 6: Panel de control > Usuario > Avanzado > Configuración de contraseña

Configurar reglas de fortaleza de contraseña

VERIFICACION EN DOS PASOS

Es una de las opciones que debes activar si quieres tener la máxima seguridad de acceso al NAS. En este caso, además de iniciar sesión con usuario y contraseña, el NAS enviara a un segundo dispositivo una notificación para que añadas un código aleatorio de 6 dígitos. Puedes configurar para que se envié el código a una cuenta de correo electrónico o a una app como Google Authenticator.

Para que puedas recibir el código de verificación, previamente deberás añadir tu email en el panel de control /Notificación / Correo electrónico.

  • Ubicación DSM 6: Panel de control > Usuario > Avanzado > Verificación en 2 pasos
VERIFICACION EN DOS PASOS

ESTABLECER LA CADUCIDAD DE LAS CONTRASEÑAS

Es realmente incomodo pero necesario el obligarnos a cambiar la contraseña regularmente. Una periodicidad de 90 días es más que suficiente en un entorno doméstico. Interesante chequear la opción de envió de correo electrónico días antes de la caducidad a modo de recordatorio.

  • Ubicación DSM 6: Panel de control > Usuario > Avanzado > Caducidad de la contraseña

ESTABLECER LA CADUCIDAD DE LAS CONTRASEÑAS

OPCIONES DE SEGURIDAD (Panel de Control)

Continuamos dentro del Panel de Control, en esta ocasión repasamos las opciones de la sección "Seguridad"

BLOQUEO AUTOMATICO POR INTENTOS DE CONEXION FALLIDOS

Continuamos reforzando el acceso por contraseña a nuestro NAS Synology con otro método sencillo de configurar. 

En la mayoría de las ocasiones, los intentos de ataque externos los realiza un "Bot" programado para que por defecto haga un determinado numero de intentos de acceso en un intervalo de tiempo. Si configuramos la opción del bloqueo automático reduciendo el número de intentos y tiempo que por defecto establece DSM, se lo estaremos poniendo un poco más difícil al atacante.

Es importante tener a buen recaudo nuestra contraseña, sobre todo si somos nosotros los que introducimos la contraseña erróneamente, al menos que en el ultimo intento la tengamos a mano para no demorar el acceso por nuestra parte al NAS.

  • Ubicación DSM 6: Panel de control > Seguridad > Cuenta >Bloqueo automático

BLOQUEO AUTOMATICO POR INTENTOS DE CONEXION FALLIDOS

ACTIVA LA PREVENCION DE DENEGACION DE SERVIVIO (DoS)

Un ataque de "denegación de servicio" es un intento explícito de denegar a los usuarios legítimos el uso de un recurso de servicio o de ordenador bloqueando con trafico falso el uso de nuestras redes.

Al habilitar la función de protección DoS se puede filtrar los paquetes sospechosos o poco razonables para evitar que se inunde nuestra red local con grandes cantidades de tráfico falso.

Esta protección la podemos aplicar a cada una de las interfaces de red de nuestro NAS.

  • Ubicación DSM 6: Panel de control > Seguridad > Protección

ACTIVA LA PREVENCION DE DENEGACION DE SERVIVIO (DoS)

OPCIONES DE RED (Panel de Control)

Dentro del Panel de Control, en la sección RED, hay varios parámetros que debemos revisar para fortalecer la seguridad del NAS.

CAMBIAR PUERTOS DE ADMINISTRACION PREDETERMINADOS

Este consejo no es que sea algo primordial que debas hacer, pero estará bien cambiar el puerto por defecto que utilizamos para conectarnos al escritorio del NAS ya que cada marca utiliza siempre el mismo por defecto para acceder a la interfaz web.

Synology utiliza los puertos 5000 y 5001 para acceder al escritorio, variarlos es una buena opción para bloquear intentos de inicio de sesión malintencionados.

También es recomendable la redirección de la conexión HTTP a HTTPS.

  • Ubicación DSM 6: Panel de control > Red > Configuración de DSM

CAMBIAR PUERTOS DE ADMINISTRACION PREDETERMINADOS

DESACTIVA IPv6 SI NO LO USAS

Por defecto utilizamos el sistema IPv4 como protocolo de internet para resolver las direcciones IP de los dominios. Como se están acabando las direcciones IPv4 a nivel mundial, se crearon las IPv6 que utilizan direcciones de 128 bits, pero de momento parece que no esta extendido, por lo que no tiene sentido que lo tengamos activado. Si tu NAS tiene dos tarjetas de Red, habrá que repetir el cambio en ambas conexiones LAN.

  • Ubicación DSM 6: Panel de control > Red > Interfaz de red > LAN

DESACTIVA IPv6 SI NO LO USAS

CREA REGLAS DE CONTROL DE TRAFICO

Esta no es una opción especifica para aumentar la seguridad, pero sí que nos va a permitir limitar el ancho de banda que puede utilizar una aplicación. Es configurable para ambas conexiones LAN y tenemos la posibilidad de elegir entre las aplicaciones instaladas su ancho de banda máximo y uno garantizado, ideal cuando utilizas Transmission o similares para evitar saturar la conexión.

  • Ubicación DSM 6: Panel de control > Red > Control de tráfico
CREA REGLAS DE CONTROL DE TRAFICO

ACCESO A TRAVES DEL TERMINAL (Panel de Control)

No todos los usuarios necesitan utilizar el Terminal para utilizar los Protocolos de acceso SSH/SFTP o TELNET, solamente en caso de editar el código de las aplicaciones evitando el interfaz gráfico.

DESACTIVA LOS SERVICIOS SSH Y TELNET

Además de utilizar QuickConnect para acceder desde el exterior al escritorio de nuestro NAS, acceso que se realiza a través de un proxy inverso seguro, también podemos entrar en el NAS a través del Terminal, la pantalla negra de comandos de toda la vida. Los servicios utilizados para ello son Telnet y SSH, ambos utilizan el puerto 22 para conectarse al NAS y es uno de los más escaneados por los Bots, si lo tienes abierto y la contraseña es poco segura, tienes todas las posibilidades de que alguien entre en tu equipo.

Por defecto no suele venir activado en el NAS, ya que principalmente lo utilizan usuarios avanzados, pero por si acaso, revísalo y comprueba que no estén habilitados.

  • Ubicación DSM 6: Panel de control > Terminal y SNMP > Terminal

DESACTIVA LOS SERVICIOS SSH Y TELNET

SERVICIOS DE ARCHIVOS EN DSM (Panel de Control)

Seguimos con otro consejo, en este caso hace mención al sistema de compartición de archivos utilizados en los NAS, no tienen porque estar todos habilitados.

Uno de los usos principales del NAS es el de compartir archivos dentro de la red local. Existen diferentes protocolos para transferir los ficheros entre los dispositivos: SMB, FTP, NFS, AFP. 

Por ejemplo para un usuario de Windows, tan solo es necesario tener activado SMB si queremos acceder a las carpetas compartidas en red, no tiene sentido tener activo el protocolo AFP utilizado en IOS de Apple.

  • Windows: SMB/CIFS, FTP, WebDAV
  • Mac: SMB, FTP, AFP, WebDAV
  • Linux: SMB, FTP, NFS, WebDAV
  • Ubicación DSM 6: Panel de control > Servicios de Archivos 
SERVICIOS DE ARCHIVOS EN DSM

CREA REGLAS DE CONTROL DE TRAFICO

DiskStation Manager tiene una aplicación especifica denominada: Consejero de seguridad, es muy sencilla de configurar y te ahorrara muchos pasos.

Si después de leer estos consejos te da pereza activarlos, con el consejero de seguridad aplicaras parte de estas configuraciones de forma automática, tan solo tienes que elegir uno de los tres perfiles de los que dispone DSM y se aplicaran con un único clic.

En los NAS de Synology tienes tres perfiles:

  • Para uso domestico y personal
  • Para trabajo y Negocios
  • Personalizado

En función del que selecciones se aplicaran más o menos ajustes.

  • Ubicación DSM 6: Menú Principal > Consejero de Seguridad

CREA REGLAS DE CONTROL DE TRAFICO
Hasta aquí llega la primera guía.
Recordar, el servicio o aplicación es vulnerable, el puerto solamente es la puerta de acceso, cuantos menos estén abiertos menos vías de acceso tendremos, pero es el servicio al que atacan. Las aplicaciones siempre actualizadas.
En internet podéis encontrar muchos recursos acerca de la seguridad de los NAS, os dejo unos cuantos enlaces que me han servido para elaborar esta guía:

0 comentarios:

BUSCADOR

REDES SOCIALES

Página Facebook Blog HTPC Twitter Blog HTPC Instagram Blog HTPC Grupo Telegram Blog HTPC Blog HTPC en Vimeo

ENTRADAS RECIENTES

ENTRADAS MAS VISITADAS