Guida
7031

Proteggi il tuo NAS

Martin Jud
20.5.2019
Traduzione: tradotto automaticamente

Il tuo NAS è sufficientemente protetto contro un attacco hacker? Il mio non lo era. Ma ora l'ho migliorato.

Questo articolo ti aiuterà a non commettere gravi errori durante la configurazione di un NAS. I consigli per la sicurezza iniziano con il primo titolo. Ma prima una prefazione, che è onesta ma che non mi piace scrivere.

Mi scuso per la tempesta in una tazza da tè. A causa di improvvisi e persistenti problemi di velocità e del fatto che il mio IP è stato pubblicato su Internet per errore, ho temuto di averlo configurato male e che qualcuno stesse armeggiando con il mio NAS.

Ho trovato l'errore solo dopo ore di studio dei log di sistema e di prove in una rete isolata da Internet. I problemi non erano causati da influenze esterne, ma da una porta LAN difettosa sul mio Synology DS918+. Il mio NAS ha due porte LAN, ed è per questo che ho notato il difetto in primo luogo. Anche se questo è fastidioso, sono molto contento che non sia peggiorato.

La porta LAN 1 ora fornisce solo circa 350 KB/s.
La porta LAN 1 ora fornisce solo circa 350 KB/s.
Grazie alla porta LAN 2, i miei problemi sono finiti.
Grazie alla porta LAN 2, i miei problemi sono finiti.

Come puoi vedere, la mia prima porta LAN fornisce solo circa 350 kilobyte al secondo, ma la seconda funziona come dovrebbe.

Quindi il mio NAS è di nuovo funzionante. Ma ciò che mi fa riflettere è che, come temevo, ho commesso qualche grave errore durante la configurazione. Ho dimenticato di reindirizzare correttamente due porte standard. Questo significa che le pagine di login dell'interfaccia web e del server Plex erano accessibili agli interessati. Dovrei essere messo alla gogna per questo!

Se ti succede una cosa del genere, non sorprenderti se qualche sceneggiatore ti ruba il database dei film o sfrutta la CPU del NAS per il coin mining.

NAS e sicurezza: devi pensarci bene

Nessun sistema offre una protezione completa contro gli abusi. Ma se pensi alle basi prima di configurare una rete domestica o un NAS, puoi proteggerti in larga misura. Prenditi il tempo necessario per informarti e configura il tuo NAS con attenzione. Non distrarti durante il processo.

Salva sul NAS solo i dati che puoi sopportare di perdere

Siiiate consapevoli che le scansioni di rete e gli attacchi vengono effettuati 24 ore su 24 su Internet. Anche se configuri e proteggi bene il tuo hardware di rete, non potrai mai escludere la possibilità che qualcuno acceda ai tuoi dati. Inoltre, un NAS non funge da supporto di backup. Un motivo in più per non archiviare file importanti sul NAS. Archivia solo ciò che puoi sopportare se finisce nelle mani di qualcun altro.

Principi fondamentali di sicurezza: Router e NAS

Prima di collegare il NAS alla rete, devi dare un'occhiata al tuo router. È la prima linea di sicurezza della tua rete. Dovresti controllare/implementare i seguenti punti. Naturalmente, questi punti sono validi anche per il tuo NAS:

  • Se possibile, crea un nuovo utente di amministrazione che non si chiami "admin". Elimina il vecchio account.
  • Impostate password separate per ogni dispositivo o servizio. Queste dovrebbero essere lunghe e casuali. Devono inoltre contenere lettere maiuscole e minuscole, nonché caratteri speciali e numeri.
  • Si consiglia di impostare password separate per ogni dispositivo o servizio.
  • Se hai attivato il Wi-Fi, devi controllare se il WPS è attivato come crittografia. In caso affermativo, dovrai disattivarlo e utilizzare invece WPA2.
  • Abilita la crittografia SSL, se disponibile, per accedere solo tramite HTTPS (vedi sotto).
  • Controlla se la funzione di accesso remoto è disattivata. Disattivala se non sai esattamente cosa stai facendo.
  • Mantieni aggiornati tutti i dispositivi e i servizi. Se disponibile, attiva gli aggiornamenti automatici per i nuovi firmware/aggiornamenti.
  • Abilita la verifica in due passaggi. Ciò significa che potrai accedere solo se, oltre alla tua password, inserirai un codice che ti verrà inviato a un indirizzo e-mail predefinito.
  • Abilita la funzione di auto-blocco in modo che un IP venga bloccato da ulteriori accessi dopo un certo numero di tentativi di accesso falliti.
  • Controlla che il firewall sia attivo e installa un software antivirus sui tuoi dispositivi.
  • Attiva la registrazione in modo da bloccare un IP dopo un certo numero di tentativi di accesso falliti.
  • Abilita la registrazione in modo da poter rintracciare il problema nei log in caso di incidente.

Servizi e port forwarding: non usare porte standardizzate

Considera attentamente i servizi che vuoi utilizzare sul tuo NAS. In particolare, quali servizi vuoi rendere accessibili al di fuori della rete locale. Meno port forwarding imposti, minore sarà la possibilità di essere violato in qualche momento. Ad esempio, se utilizzi l'accesso SFTP al tuo NAS solo sporadicamente, è consigliabile inoltrare le porte in questione solo nei momenti in cui hai realmente bisogno di accedervi. È inoltre consigliabile consentire l'inoltro solo agli IP dei paesi in cui ti trovi.

Le insidie dell'inoltro delle porte

Se configuri il tuo accesso a Internet su un NAS Synology utilizzando la procedura guidata o attivi un nuovo servizio, il port forwarding ti viene suggerito automaticamente.

Purtroppo, il sistema non ti informa che non è una buona idea utilizzare porte standardizzate. Il produttore del NAS dovrebbe migliorare questo aspetto. Infatti, se hai attivato Universal Plug and Play (UPnP) sul tuo router o utilizzi il NAS in una zona demilitarizzata (DMZ), la regola suggerita o il rischio di sicurezza suggerito saranno adottati.

Come inoltrare correttamente le porte

La cosa migliore da fare è disattivare l'UPnP sul router e creare il port forwarding manualmente. Puoi scoprire come funziona per il tuo router nel manuale o su questa pagina. Naturalmente, se non l'hai ancora fatto, devi prima assegnare un IP fisso al tuo NAS. Puoi scoprire come funziona anche sulla pagina web citata in precedenza.

Se vuoi essere sicuro di non intercettare nessuna porta predefinita, ti consigliamo di dare un'occhiata a questo elenco. Assicurati di non aprire nessuna di queste porte. Ad esempio, se vuoi abilitare la porta TCP 5001 per l'accesso crittografato all'interfaccia web di Synology, imposta una porta diversa per la porta del router. Ad esempio, la porta 26953, il che significa che la porta aperta verrà trovata solo se qualcuno esegue una scansione nell'area corrispondente.

Non condividere nessuna porta standardizzata.
Non condividere nessuna porta standardizzata.

Puoi trovare le regole di port forwarding in Synology alla voce "Pannello di controllo/Accesso esterno/Configurazione router". Se hai configurato l'inoltro manualmente sul lato del router e inserisci le regole anche qui, puoi fare una prova per verificare se le porte funzionano dall'interfaccia del NAS. Non dimenticare di creare/controllare le regole del firewall del NAS per i rispettivi servizi. Su Synology, puoi trovarle in "Pannello di controllo/Sicurezza/Firewall". Come già detto, è una buona idea abilitare i servizi/le porte nel firewall solo per alcuni paesi.

Prova se una porta indesiderata è aperta

Una volta terminato l'inoltro delle porte, devi fare una prova per verificare se è stata lasciata una falla aperta da qualche parte. A tal fine, esegui una scansione delle porte. Puoi farlo, ad esempio, da questa homepage.

Inserisci il tuo IP e le porte standardizzate da scansionare e parti. Se hai fatto tutto correttamente, non riceverai alcun riscontro dalle porte:

Scansione delle porte su 178.xx.xxx.xx
178.xx.xxx.xx non risponde sulla porta 21 (ftp).
178.xx.xxx.xx non risponde sulla porta 23 (telnet).
178.xx.xxx.xx non risponde sulla porta 25 (smtp).
178.xx.xxx.xx non risponde sulla porta 80 (http).
178.xx.xxx.xx non risponde sulla porta 110 (pop3).
178.xx.xxx.xx non risponde sulla porta 139 (netbios-ssn).
178.xx.xxx.xx non risponde sulla porta 443 (https).
178.xx.xxx.xx non risponde sulla porta 445 (microsoft-ds).
178.xx.xxx.xx non risponde sulla porta 1433 (ms-sql-s).
178.xx.xxx.xx non risponde sulla porta 1521 (ncube-lm).
178.xx.xxx.xx non risponde sulla porta 1723 (pptp).
178.xx.xxx.xx non risponde sulla porta 3306 (mysql).
178.xx.xxx.xx non risponde sulla porta 3389 (ms-wbt-server).
178.xx.xxx.xx non risponde sulla porta 5900.
178.xx.xxx.xx non risponde sulla porta 8080 (webcache).
178.xx.xxx.xx non risponde sulla porta 5000 (commplex-main).
178.xx.xxx.xx non risponde sulla porta 5001 (commplex-link).
178.xx.xxx.xx non risponde alla porta 32000.

Abilita SSL, usa HTTPS

La trasmissione criptata non deve essere utilizzata solo per tutti i servizi NAS. Dovrebbe essere utilizzata anche sulla rete in generale. Questo perché la crittografia garantisce l'autenticità dei dati trasmessi. Grazie all'HTTPS, ciò che il server ti invia arriva. Questo impedisce manipolazioni o attacchi man-in-the-middle.

Ecco un esempio di come puoi abilitare l'SSL per accedere all'interfaccia web di un Synology NAS:

  1. Abilita l'opzione "Reindirizza automaticamente le connessioni HTTP a HTTPS" in "Pannello di controllo/Impostazioni di rete/DSM".
  2. Inserisci il nome dell'host del NAS e la porta esterna desiderata in "Pannello di controllo/Accesso esterno/Avanzate".

Per configurare una porta esterna, usa il nome del NAS.3. Configura un port forwarding in cui la porta esterna appena definita viene reindirizzata alla porta dell'interfaccia web (l'impostazione predefinita è 5001).

Si consiglia di creare una richiesta di registrazione del certificato e di importare un certificato firmato. Se non lo fai, il browser si lamenterà del fatto che il certificato non è affidabile quando vi si accede. Puoi trovare maggiori informazioni su come funziona con Synology qui.

Utilizzare una VPN

Considera l'utilizzo di un server VPN. Se accedi alla tua LAN tramite Virtual Private Network, questo ti garantirà una grande sicurezza. Se impostata correttamente, nemmeno il tuo provider di servizi internet sarà in grado di vedere cosa tu o il tuo NAS state facendo su internet. Tutto ciò che viene registrato è la connessione al server VPN. Dovendo aprire una sola porta per la VPN, si riduce la superficie di attacco. Naturalmente, la selezione del fornitore di VPN deve essere fatta con attenzione.

L'accesso tramite VPN offre generalmente i seguenti vantaggi:

  • La cronologia delle ricerche, il comportamento online, i modelli di utilizzo e la posizione dei download sono nascosti al tuo provider di servizi internet.
  • Se il tuo provider di servizi internet o il governo blocca/censura determinati contenuti su internet, puoi accedervi nuovamente grazie alla VPN.
  • Il geo spoofing ti permette di nascondere la tua vera posizione e di accedere a contenuti normalmente riservati a determinati paesi
  • Puoi anche utilizzare una VPN per assicurarti che il tuo comportamento di navigazione, i tuoi login e i tuoi dati rimangano nascosti anche quando utilizzi un fornitore di WiFi pubblico e gratuito (aeroporto, stazione ferroviaria, negozio di kebab)

Puoi trovare le istruzioni su come impostare una VPN su un Synology NAS qui.

C'è dell'altro?

Se metti in pratica i consigli di sicurezza descritti sopra, dovresti essere in una posizione relativamente buona. Tuttavia, non tutto è detto e fatto. L'argomento è così complesso che non fa mai male continuare a fare ricerche e a ripensare/ridefinire il proprio concetto di sicurezza.

Oltre a questo, ci sono anche delle regole di comportamento che dovresti stabilire tu stesso. Ad esempio, devi pensare bene se e a chi affidare i login per determinati servizi. Fornisci i dati di accesso solo con molta attenzione. Inoltre, è sempre importante usare il buon senso. Se utilizzi il tuo NAS anche come server di posta, cliccare su link sospetti è ovviamente un tabù. Soprattutto se sono stati inoltrati alla tua rete locale.

Vuoi un ultimo consiglio? Ne ho un altro: puoi attivare le notifiche sulla maggior parte dei NAS. Ad esempio, una notifica via e-mail, che viene inviata non appena qualcuno effettua un tentativo di accesso corretto o meno.

Quindi, questa è la fine della storia per ora. Se hai altri punti importanti che non sono stati menzionati qui, ti sarei molto grato per i tuoi suggerimenti. Sarò anche felice di ampliare/aggiornare l'articolo con questi suggerimenti, se necessario. <p

A 70 persone piace questo articolo

User Avatar
User Avatar
Martin Jud
Senior Editor
martin.jud@digitecgalaxus.ch

La mia musa ispiratrice si trova ovunque. Quando non la trovo, mi lascio ispirare dai miei sogni. La vita può essere vissuta anche sognando a occhi aperti.

Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

Potrebbero interessarti anche questi articoli

  • Guida

    Tre router da viaggio a confronto per avere sempre con te il WiFi

    di Lorenz Keller

  • Guida

    Upgrade del Synology NAS: 2,5 gigabit con adattatore LAN USB

    di Martin Jud

  • Guida

    Dati online in caso di morte: come funziona l'«eredità digitale»

    di Florian Bodoky

31 commenti

Avatar
later