Seguridad de acceso al NAS
#1
Hola.
Hace algun tiempo que estoy viendo en los registros de actividad de mi QNAP intentos de acceso fallidos desde diferentes IPs (normalmente provenientes de la Federacion rusa)
He comprobado que la mayor parte de los que han intentado acceder, lo hacen utilizando el usuario "admin"... Este es un problema que creo no tiene solucion pues creo recordar que el NAS no permite cambiar el nombre de usuario, lo cual me parece bastante cutre.
Hasta ahora todos los intentos de acceso no han conseguido entrar en el NAS (imagino que sera porque tengo una contraseña bastante fuerte)
He activado la proteccion de acceso a red (en las opciones de seguridad del NAS) para todos los servicios de tal manera que cualquiera que introduzca 5 veces una contraseña erronea en el lapso de 30 minutos, sea bloqueado de por vida.
Tambien tengo instalado el certificado Lets encrypt.
Indagando en internet de como mejorar la seguridad vienen algunos consejos para configurar algunos parametros en el NAS.
Uno es el de bloquear el rango de IPs del pais o area geografica que se desee. Este me parece bastante interesante, pero cuando me he puesto a trabajarlo, resulta que, por ejemplo, la Federacion rusa. tiene cientos de rangos IP y la tarea de introducirlos todos se torna mas bien imposible.
¿Hay alguna otra manera de hacer esto para mejorar la seguridad?
En fin, se aceptan sugerencias para mejorar el nivel de seguridad de mi NAS.
Muchas gracias y feliz 2018.
Saludos.
QNAP TS 253A
RAM: 4GB
Bahia 1: Disco WD Red 3TB
Bahia 2: Disco WD Red 3TB
RAID 1
  Responder
#2
Hola Juantel

Una opción es desactivar el usuario admin, pero previamente créate uno alternativo con sus privilegios.
Desgraciadamente Qnap solo permite ssh con admin. Pero si no lo usas ssh es una opción a usar.

Por lo demás has hecho bien en poner bloqueo infinito tras X intentos.
Pero por lo que dices tienes abierto ese puerto en tu router, DESACTIVA ese puerto en el router. Abre sólo los puertos que necesites y sólo esos. No deberían ser muchos (2 o 3 ).

En cuanto a lo bloquear países, yo tengo algún cortafuegos que lo hace, y aunque es sencillo el hacerlo corres el peligro de bloquear ip inesperadas. Tenia como países del “mal” [emoji48] a Rusia, China, Corea,Brasil,... y resulta que la de Brasil afectaba a alguna página de Chile ☹️. Así que no es tal sencillo como parece.
A ver si Qnap agrega algún servicio para hacer algo similar. Porque en mi casa no hilo tan fino [emoji6]



Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
(08-01-2018, 07:37 PM)Ganekogorta escribió: Pero por lo que dices tienes abierto ese puerto en tu router, DESACTIVA ese puerto en el router. Abre sólo los puertos que necesites y sólo esos. No deberían ser muchos (2 o 3 ).

Un saludo
Agur eta ondo ibili

No se a que puerto te refieres...
No he comentado nada de puertos...
Saludos.
QNAP TS 253A
RAM: 4GB
Bahia 1: Disco WD Red 3TB
Bahia 2: Disco WD Red 3TB
RAID 1
  Responder
#4
Si, si has comentado actividad sospechosa externa, eso es porque tienes puertos abiertos al exterior o bien tienes la nas en una DMZ (lo cual implica que está en Internet sin el paraguas del router).


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
(09-01-2018, 08:15 AM)Ganekogorta escribió: Si, si has comentado actividad sospechosa externa, eso es porque tienes puertos abiertos al exterior o bien tienes la nas en una DMZ (lo cual implica que está en Internet sin el paraguas del router).


Un saludo
Agur eta ondo ibili
Claro que tengo puertos abiertos... De otra manera hay cosas que no funcionarían. Tengo los que el NAS necesita para poder funcionar.
Y tengo el ONT del ISP y un router conectado a el para la red doméstica, en donde está conectado todo, incluso el NAS.
En el ONT, la IP del NAS está en dmz. Los puertos están abiertos en el router que maneja la red doméstica. Así es como me lo dejó el técnico en redes que vino a configurar mi red doméstica.
Saludos.

Enviado desde mi LG-H815 mediante Tapatalk
QNAP TS 253A
RAM: 4GB
Bahia 1: Disco WD Red 3TB
Bahia 2: Disco WD Red 3TB
RAID 1
  Responder
#6
Hola
El dejar un dispositivo en la DMZ significa que está en internet sin protección del router. Es como tener TODOS los puertos abiertos de tu nas, 65535 puertos [emoji15]

Te recomiendo sacarlo de la dmz y abrir los puertos que necesites en el router hacia tu nas.

El técnico que te hizo eso, lo hizo por su comodidad frente a tu seguridad.


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#7
(09-01-2018, 05:26 PM)Ganekogorta escribió: Hola
El dejar un dispositivo en la DMZ significa que está en internet sin protección del router. Es como tener TODOS los puertos abiertos de tu nas, 65535 puertos [emoji15]

Te recomiendo sacarlo de la dmz y abrir los puertos que necesites en el router hacia tu nas.

El técnico que te hizo eso, lo hizo por su comodidad frente a tu seguridad.


Un saludo
Agur eta ondo ibili
Gracias.
Hablaste con el

Enviado desde mi LG-H815 mediante Tapatalk
QNAP TS 253A
RAM: 4GB
Bahia 1: Disco WD Red 3TB
Bahia 2: Disco WD Red 3TB
RAID 1
  Responder
#8
Hola
¿Que yo hablé con él? [emoji15][emoji15][emoji15]

Apunta en papel qué servicios usas en la nas para recopilar los puertos a redirigir. No van a ser tantos.

Una regla de oro en seguridad Informatica es tener todo cerrado por defecto y según se necesite se va abriendo.
Créeme que esto te evitará sustos y disgustos [emoji6]



Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#9
(09-01-2018, 05:34 PM)Ganekogorta escribió: Hola
¿Que yo hablé con él? [emoji15][emoji15][emoji15]

Apunta en papel qué servicios usas en la nas para recopilar los puertos a redirigir. No van a ser tantos.

Una regla de oro en seguridad Informatica es tener todo cerrado por defecto y según se necesite se va abriendo.
Créeme que esto te evitará sustos y disgustos [emoji6]



Un saludo
Agur eta ondo ibili
Perdón.
Quise decir que yo hablaré con el.
Gracias

Enviado desde mi LG-H815 mediante Tapatalk
QNAP TS 253A
RAM: 4GB
Bahia 1: Disco WD Red 3TB
Bahia 2: Disco WD Red 3TB
RAID 1
  Responder
#10
Buenas tardes, tengo una pregunta bastante estupida creo, cual es la mejor manera de acceder a nuestro NAS por http o https?

Obviamente por https la conexion es mas segura pero y si solo accedemos a traves de la red local?

Lo progunto pq llevo semanas intentando configurar un servidor de Emby y solo acepta conexion http ya que por https tendria que comprar certificados un dominio, etc...vamos un pastel.

Gracias
  Responder




Usuarios navegando en este tema: 2 invitado(s)