blog H T P C

Estos últimos meses ha estado en boca de todos los diferentes ataques que han sufrido varias marcas de fabricantes de NAS, la ultima en recibir uno de Ramsonware que ha afectado a parte de sus usuarios ha sido Qnap. Desgraciadamente, esta no es la única empresa que ha recibido un ataque, de hecho no se libra ninguna marca, meses atrás han sido el resto de fabricantes de NAS quienes los han sufrido igualmente.

Bajo la etiqueta "Espacio Synology" encontraréis todas las entradas que escriba a lo largo de estos próximos meses. En esta primera entrada explicare una serie de detalles sobre como conseguir que tu NAS sea más seguro.

El motivo por el que están en el punto de mira los NAS se debe en primer lugar a su enorme expansión durante estos últimos años. Cada vez hay más dispositivos y están conectados las 24 horas, por lo que se convierten en un blanco fácil si no se tienen las mínimas precauciones, además, en ellos guardamos información sensible de nuestra actividad comercial o de nuestra vida digital, por la que sí estaríamos dispuestos a pagar un rescate, siendo un lucrativo negocio para los delincuentes. 

Otro detalle importante se centra en la facilidad de configuración de estos nuevos equipos. Hace unos años administrar un NAS no era apto para todos los públicos, principalmente se utilizaban en el sector empresarial y los gestionaba un administrador o al menos alguien con conocimientos. El empeño de las marcas en programar sistemas operativos más amigables ha conseguido que un amplio abanico de usuarios domésticos se hayan animado a comprar uno, en mayor medida, empujados también por la enorme actividad digital que generamos desde la llegada de los Smartphone.

CONCEPTOS BASICOS PARA TENER NUESTRO NAS A SALVO

UN RAID DE DISCOS NO TE LIBRA DE UN DESASTRE ANTE UN ATAQUE

Alguno de nosotros tenemos la falsa idea de que con una configuración en RAID de los discos duros estamos a salvo de desastres. Y en parte es cierto, ya que si montamos un RAID con redundancia de discos, nos estaremos protegiendo ante un fallo mecánico de uno de ellos, pero si recibimos un ataque exterior perderemos igualmente la información si no realizamos copias de seguridad.

REALIZA SIEMPRE UNA O VARIAS COPIAS DE SEGURIDAD (Regla 3-2-1)

Es la única forma de tener a buen recaudo nuestra información. Si utilizas el NAS como respaldo de los datos que guardas en cualquier otro dispositivo de la casa, al menos tendrás parte del trabajo realizado.

Si queremos tener una seguridad máxima ante un ataque o cualquier otro desastre, no quedara más remedio que además de tener el original y una copia en el NAS, realizar una tercera copia en un disco externo, a ser posible que este aislado de internet, esto se conoce como la regla del 3-2-1.

Esta regla recomienda que haya al menos tres copias de seguridad de los datos. Las dos primeras copias pueden encontrarse en una misma ubicación, pero se recomienda que la tercera copia este deslocalizada. Quizás para un usuario doméstico no sea necesario llegar al extremo de dejar esa tercera copia en otra vivienda, pero para un profesional es primordial reducir riesgos.

También podemos utilizar los diferentes recursos en la nube, en este caso será interesante una buena política de sincronización entre el disco local y la nube en caso de desastre. Primordial desactivar la sincronización si detectamos que hemos podido ser atacados.

PLANIFICA UNA BUENA POLITICA DE COPIAS, RESPALDA SOLO LO NECESARIO

Pasamos por una época en la que el minado de criptomonedas encarece el precio de componentes como los discos duros, por lo que su precio esta totalmente disparado. Por este motivo es muy importante identificar los archivos de valor que merecen la pena ser duplicados para así ahorrar en el tamaño del disco duro de respaldo.

AUMENTADO LA SEGURIDAD EN UN NAS SYNOLOGY

LAS APLICACIONES SIEMPRE DEBEN ESTAR ACTUALIZADAS

Un básico de seguridad aplicable a todos los ámbitos. Una aplicación sin actualizar puede ser una de las grietas por las que se puede colar un intruso en tu NAS. 

En muchas ocasiones no lo hacemos por pereza, pero el tener el sistema operativo del NAS y sus aplicaciones actualizadas nos servirá para tener un equipo mas seguro.

• Ubicación DSM 6: Panel de control > Actualizar y restaurar >Actualización de DSM 

INSTALA SOLAMENTE LOS PROGRAMAS O SERVICIOS QUE UTILICES

• Ubicación DSM 6: Escritorio > Centro de paquetes 

SEGURIDAD EN LOS USUARIOS (Panel de control)

En esta sección nos dedicaremos a configurar correctamente el Usuario del NAS

DESACTIVAR EL USUARIO ADMINISTRADOR

Cuando inicializas por primera vez tu NAS, creas una cuenta de usuario personal con derechos de administrador, por lo que el usuario "admin" que tiene el NAS por defecto es recomendable deshabilitarlo.

Respecto a los usuarios, si la familia va a acceder al NAS, es recomendable crear un usuario independientemente para cada uno. De esta forma podremos darles permisos limitados de acceso a sus carpeta o impedirles la instalación de aplicaciones o acceso al panel de control. 

• Ubicación DSM 6: Panel de control > Usuario >Usuario 

CONFIGURAR REGLAS DE FORTALEZA DE CONTRASEÑA

En las ultimas versiones de DSM, al configurar el NAS ya empezaba a poner trabas respecto al uso de la típica contraseña: "1234", su utilización es similar a no tenerla, por eso es importante asegurarse de que los usuarios del NAS creen contraseñas robustas para reducir el riesgo ante un ataque por fuerza bruta. 

Podremos exigir  una longitud mínima, inclusión de mayúsculas y números, caracteres especiales, todo ello para complicar lo máximo posible al atacante.

• Ubicación DSM 6: Panel de control > Usuario > Avanzado > Configuración de contraseña

• Ubicación DSM 6: Panel de control > Usuario > Avanzado > Verificación en 2 pasos

ESTABLECER LA CADUCIDAD DE LAS CONTRASEÑAS

Es realmente incomodo pero necesario el obligarnos a cambiar la contraseña regularmente. Una periodicidad de 90 días es más que suficiente en un entorno doméstico. Interesante chequear la opción de envió de correo electrónico días antes de la caducidad a modo de recordatorio.

• Ubicación DSM 6: Panel de control > Usuario > Avanzado > Caducidad de la contraseña

OPCIONES DE SEGURIDAD (Panel de Control)

Continuamos dentro del Panel de Control, en esta ocasión repasamos las opciones de la sección "Seguridad"

BLOQUEO AUTOMATICO POR INTENTOS DE CONEXION FALLIDOS

• Ubicación DSM 6: Panel de control > Seguridad > Cuenta >Bloqueo automático

ACTIVA LA PREVENCION DE DENEGACION DE SERVIVIO (DoS)

Un ataque de "denegación de servicio" es un intento explícito de denegar a los usuarios legítimos el uso de un recurso de servicio o de ordenador bloqueando con trafico falso el uso de nuestras redes.

Al habilitar la función de protección DoS se puede filtrar los paquetes sospechosos o poco razonables para evitar que se inunde nuestra red local con grandes cantidades de tráfico falso.

Esta protección la podemos aplicar a cada una de las interfaces de red de nuestro NAS.

• Ubicación DSM 6: Panel de control > Seguridad > Protección

OPCIONES DE RED (Panel de Control)

CAMBIAR PUERTOS DE ADMINISTRACION PREDETERMINADOS

Este consejo no es que sea algo primordial que debas hacer, pero estará bien cambiar el puerto por defecto que utilizamos para conectarnos al escritorio del NAS ya que cada marca utiliza siempre el mismo por defecto para acceder a la interfaz web.

Synology utiliza los puertos 5000 y 5001 para acceder al escritorio, variarlos es una buena opción para bloquear intentos de inicio de sesión malintencionados.

También es recomendable la redirección de la conexión HTTP a HTTPS.

• Ubicación DSM 6: Panel de control > Red > Configuración de DSM

DESACTIVA IPv6 SI NO LO USAS

Por defecto utilizamos el sistema IPv4 como protocolo de internet para resolver las direcciones IP de los dominios. Como se están acabando las direcciones IPv4 a nivel mundial, se crearon las IPv6 que utilizan direcciones de 128 bits, pero de momento parece que no esta extendido, por lo que no tiene sentido que lo tengamos activado. Si tu NAS tiene dos tarjetas de Red, habrá que repetir el cambio en ambas conexiones LAN.

• Ubicación DSM 6: Panel de control > Red > Interfaz de red > LAN

CREA REGLAS DE CONTROL DE TRAFICO

Esta no es una opción especifica para aumentar la seguridad, pero sí que nos va a permitir limitar el ancho de banda que puede utilizar una aplicación. Es configurable para ambas conexiones LAN y tenemos la posibilidad de elegir entre las aplicaciones instaladas su ancho de banda máximo y uno garantizado, ideal cuando utilizas Transmission o similares para evitar saturar la conexión.

ACCESO A TRAVES DEL TERMINAL (Panel de Control)

No todos los usuarios necesitan utilizar el Terminal para utilizar los Protocolos de acceso SSH/SFTP o TELNET, solamente en caso de editar el código de las aplicaciones evitando el interfaz gráfico.

DESACTIVA LOS SERVICIOS SSH Y TELNET

Además de utilizar QuickConnect para acceder desde el exterior al escritorio de nuestro NAS, acceso que se realiza a través de un proxy inverso seguro, también podemos entrar en el NAS a través del Terminal, la pantalla negra de comandos de toda la vida. Los servicios utilizados para ello son Telnet y SSH, ambos utilizan el puerto 22 para conectarse al NAS y es uno de los más escaneados por los Bots, si lo tienes abierto y la contraseña es poco segura, tienes todas las posibilidades de que alguien entre en tu equipo.

Por defecto no suele venir activado en el NAS, ya que principalmente lo utilizan usuarios avanzados, pero por si acaso, revísalo y comprueba que no estén habilitados.

• Ubicación DSM 6: Panel de control > Terminal y SNMP > Terminal

SERVICIOS DE ARCHIVOS EN DSM (Panel de Control)

Seguimos con otro consejo, en este caso hace mención al sistema de compartición de archivos utilizados en los NAS, no tienen porque estar todos habilitados.

Uno de los usos principales del NAS es el de compartir archivos dentro de la red local. Existen diferentes protocolos para transferir los ficheros entre los dispositivos: SMB, FTP, NFS, AFP. 

Por ejemplo para un usuario de Windows, tan solo es necesario tener activado SMB si queremos acceder a las carpetas compartidas en red, no tiene sentido tener activo el protocolo AFP utilizado en IOS de Apple.

• Windows: SMB/CIFS, FTP, WebDAV
• Mac: SMB, FTP, AFP, WebDAV
• Linux: SMB, FTP, NFS, WebDAV

CREA REGLAS DE CONTROL DE TRAFICO

DiskStation Manager tiene una aplicación especifica denominada: Consejero de seguridad, es muy sencilla de configurar y te ahorrara muchos pasos.

Si después de leer estos consejos te da pereza activarlos, con el consejero de seguridad aplicaras parte de estas configuraciones de forma automática, tan solo tienes que elegir uno de los tres perfiles de los que dispone DSM y se aplicaran con un único clic.

En los NAS de Synology tienes tres perfiles:

• Para uso domestico y personal
• Para trabajo y Negocios
• Personalizado

En función del que selecciones se aplicaran más o menos ajustes.

• Ubicación DSM 6: Menú Principal > Consejero de Seguridad