Evitar ataques externos en nuestros NAS QNAP

yeraycito · 18-08-2021, 02:31 PM

Hola, lo que dices es la forma más cómoda de hacerlo pero que sepas que NO tienes que abrir ningún puerto en el router para que funcione. Si al enlace que quieras compartir le pones una fecha de caducidad corta en principio es seguro. De todas maneras la opción más segura sería dar acceso a tu nas mediante Openvpn pero claro, es más complejo porque tendrías que compartir los datos de la vpn para que puedieran tener acceso a tu nas.

Rigodoncito · 18-08-2021, 10:52 PM

(18-08-2021, 02:31 PM)yeraycito escribió: Hola, lo que dices es la forma más cómoda de hacerlo pero que sepas que NO tienes que abrir ningún puerto en el router para que funcione. Si al enlace que quieras compartir le pones una fecha de caducidad corta en principio es seguro. De todas maneras la opción más segura sería dar acceso a tu nas mediante Openvpn pero claro, es más complejo porque tendrías que compartir los datos de la vpn para que puedieran tener acceso a tu nas.

Descarto la opción de hacerlo por VPN por lo que dices.
Entonces si por ejemplo (por seguridad) cambio el puerto SSL de serie a 5555, y entro a minas.myqnapcloud.com:5555 podría acceder desde el exterior para manejar mi NAS o compartir enlaces compartidos sin tener que abrir dicho puerto en el router?

Es que me parece raro eso de que no es necesario abrir el puerto.
Por ejemplo para acceder por VPN tengo que abrir en el router el puerto VPN que yo haya puesto, ¿no?
Gracias!

yeraycito · 19-08-2021, 02:49 PM

Independiéntemente del puerto SSL que tengas puesto en tu nas para acceder a la interfaz de administración desde el exterior tienes que abrir ese puerto en tu router redirigiéndolo a la ip local de tu nas.

Sin embargo si entras en File Station coges una carpeta o archivo, le das a compartir y de las opciones que salen escoges Crear enlace compartido sólamente y éste lo configuras que sea a través de myqnapcloud ( smartshare ) obtendrás un enlace de este tipo:

https://www.myqnapcloud.com/smartshare/x...xxxxxxxxxx

Haciéndolo así NO es necesario abrir ningún puerto en el router para que la persona a la que le des ese enlace pueda descargarse ese archivo o carpeta.
Motivos técnicos de porqué esto funciona asi los desconozco. Lo que si te puedo decir es que yo lo he hecho así en varias ocasiones y sin abrir ningún puerto en el router ha funcionado sin problemas.

Y en cuanto a lo de la vpn efectívamente para acceder a tu nas desde el exterior tienes que abrir en tu router el puerto que utiliza la vpn y poner la dirección ip local de tu nas. Aparte de eso si en tu nas tienes instalado Qufirewall deberás creas una regla que permita el acceso a la vpn. Todo ésto está explicado en este mismo post.

Rigodoncito · 19-08-2021, 03:49 PM

(19-08-2021, 02:49 PM)yeraycito escribió: Independiéntemente del puerto SSL que tengas puesto en tu nas para acceder a la interfaz de administración desde el exterior tienes que abrir ese puerto en tu router redirigiéndolo a la ip local de tu nas.

Sin embargo si entras en File Station coges una carpeta o archivo, le das a compartir y de las opciones que salen escoges Crear enlace compartido sólamente y éste lo configuras que sea a través de myqnapcloud ( smartshare ) obtendrás un enlace de este tipo:

https://www.myqnapcloud.com/smartshare/x...xxxxxxxxxx

Haciéndolo así NO es necesario abrir ningún puerto en el router para que la persona a la que le des ese enlace pueda descargarse ese archivo o carpeta.
Motivos técnicos de porqué esto funciona asi los desconozco. Lo que si te puedo decir es que yo lo he hecho así en varias ocasiones y sin abrir ningún puerto en el router ha funcionado sin problemas.

Y en cuanto a lo de la vpn efectívamente para acceder a tu nas desde el exterior tienes que abrir en tu router el puerto que utiliza la vpn y poner la dirección ip local de tu nas. Aparte de eso si en tu nas tienes instalado Qufirewall deberás creas una regla que permita el acceso a la vpn. Todo ésto está explicado en este mismo post.

No me aparece esa opción de smartshare porque tengo el myqnapcloud link desactivado. Si mal no recuerdo en este mismo foro recomiendan desactivarlo por seguridad, ¿no?. ¿Sería mejor entonces hacerlo abriendo el puerto SSL en el router y así compartiendo el link minas.myqnapcloud.com:XXXX o activar el myqnap link para compartir mediante smartshare?

Si. lo de la VPN, el Qufirewall y eso creo que lo tengo claro.

yeraycito · 19-08-2021, 05:36 PM

En principio sería más seguro activar el myqnapcloud link y compartir mediante smartshare ya que cómo te he dicho no tienes que abrir puertos en el router. De todas maneras sólo deberías tenerlo activo cuando vayas a compartir archivos.

Y en cuanto a términos generales referidos a seguridad en el nas por supuesto, cuantos menos servicios del nas estén expuestos a internet mejor. Y si tenemos nuestro nas activo en modo sólo local mejor aún. Pero claro, un nas se puede utilizar de muchas maneras y ya que lo tenemos algunas de sus funciones cómo la de compartir archivos o, por ejemplo, montar un servidor de libros, molan mucho aunque para usarlas requieren permitir el acceso desde el exterior al nas. Así que en estos casos no nos queda más remedio que confiar en que no pase nada. Nuestros nas no están siempre y a todas horas siendo atacados ni hay 1000 hackers esperando para conseguir entrar en nuestro nas así que tampoco debemos perder la cabeza con la seguridad del nas. Eso si, lo que hay que hacer es tomar ciertas precauciones cómo cambiar los puertos que usa Qnap por defecto en el nas, instalar Qufirewall, usar una vpn, etc, etc.

**Ganekogorta** · 19-08-2021, 05:45 PM

Hola
Efectivamente funcionaría si tenemos activados myqnapcloud link. Es decir, es una conexión inversa, pero ese tipo de enlace es un riesgo. Por ahí entraron en su día con el
Qlocker.

Yo prefiero gestionarme mi seguridad y abrir el puerto que necesite con la seguridad adecuada. [emoji2371]

Si lo que buscáis es compartir puntualmente yo uso seafile en un contenedor. Aplicación que si tengo publicada y a la que subo el contenido a compartir.

Rigodoncito · 19-08-2021, 07:20 PM

Muchas gracias a los dos!!
Todo muy claro! Creo que activaré el link de manera puntual cuando me haga falta compartir algo, que es de manera muy esporádica, y el resto de conexión mediante VPN.

Un saludo!!

Rigodoncito · 20-08-2021, 12:30 AM

Hola de nuevo.

Ya me he puesto a ello. He dejado abierto solo el puerto del VPN. Pero tengo 3 dudas:

1) En el Qufirewall, cuando creo la regla para el VPN, en el apartado "Interface" qué debo poner? Adaptador 1 / VPN (Gateway) / All ?

2) Es normal que antes de crear la regla ya haya conseguido conectarme a la VPN? Lo he hecho desde un móvil conexión de datos. Imagino que será por estar en España, porque la otra regla se lo permite, y que esta regla de la VPN en concreto es por si me conecto desde el extranjero. ¿Es así?

3) A pesar de conectarme correctamente a la VPN desde el móvil con la conexión de datos y que la conexión aparece en el NAS, no puedo navegar en el móvil. Al buscar alguna web me aparece "no se ha podido encontrar la dirección DNS de la página". ¿Alguna idea? Cuando configuré OpenVPN en el NAS, en el botón de "asistente rápido de DNS" lo configuré con "Configuración predeterminada del NAS".

Mil gracias!

**Ganekogorta**

(20-08-2021, 12:30 AM)Rigodoncito escribió: Hola de nuevo.

Ya me he puesto a ello. He dejado abierto solo el puerto del VPN. Pero tengo 3 dudas:

1) En el Qufirewall, cuando creo la regla para el VPN, en el apartado "Interface" qué debo poner? Adaptador 1 / VPN (Gateway) / All ?

En el cortafuegos, el orden de las reglas es muy, muy importante.
Si ponemos una muy restrictiva arriba, bloqueará primero a las siguientes.
Echa una ojeada al comentario de [mention]yeraycito [/mention] en este hilo https://www.qnapclub.es/showthread.php?tid=4069

(20-08-2021, 12:30 AM)Rigodoncito escribió: 2) Es normal que antes de crear la regla ya haya conseguido conectarme a la VPN? Lo he hecho desde un móvil conexión de datos. Imagino que será por estar en España, porque la otra regla se lo permite, y que esta regla de la VPN en concreto es por si me conecto desde el extranjero. ¿Es así?

Si, lo normal es que permitan acceder.
Las reglas de defecto del QuFirewall permitirán todos los accesos. Y si seguiste el asistente sólo harán bloqueos geográficos para evitar accesos de otros países.

(20-08-2021, 12:30 AM)Rigodoncito escribió: 3) A pesar de conectarme correctamente a la VPN desde el móvil con la conexión de datos y que la conexión aparece en el NAS, no puedo navegar en el móvil. Al buscar alguna web me aparece "no se ha podido encontrar la dirección DNS de la página". ¿Alguna idea? Cuando configuré OpenVPN en el NAS, en el botón de "asistente rápido de DNS" lo configuré con "Configuración predeterminada del NAS".

Mil gracias!

El móvil debería hacer todo el tráfico vía la nas, pero lo hará sólo si configuras en la vpn que la puerta de enlace es la nas.
Yo primero suelo comprobar, mediante un ping, que veo a la nas y a algún equipo de la red de casa. Y luego voy a alguna página web de las que te dice cuál es tu ip pública (https://ip.Irontec.com) que debería ser la de tu router de casa.

Rigodoncito · 31-08-2021, 12:48 AM

Hola a todos de nuevo.

Por fin he conseguido solucionar lo del error de "no se ha podido encontrar la dirección DNS de la página" cuando intentaba navegar desde el móvil conectado a la VPN.
En el asistente de configuración de la VPN, en donde pone "asistente rápido de DNS" yo siempre ponía "configuración predeterminada del NAS". He probado a cambiar y marcar "DNS Pública" y marcar la de OpenDNS y ahora si que navego sin problema.

¿Alguna idea de por qué no me iba con la configuración predeterminada? ¿Es seguro navegar teniendo configurado los de OpenDNS?

Muchas gracias!

Iniciar sesión




Recordarme ¿Perdiste tu contraseña?