Säkra upp NAS från intrång?

Är NAS:en exponerad mot Internet? Skall den serva något direkt mot Internet(menar då inte via VPN)?

@SadButTrue: Hosta inte hemsida på din NAS om du inte är trygg med att den är tillgänglig via nätet. Det finns ju billiga tjänster typ digitalocean för att hosta sidor? Då slipper du oroa dig över att ha din NAS exponerad mot Internet.

Din NAS hade kunnat vara relativ säkrad om den enbart skulle nås lokalt. Då hade Du t.o.m. kunnat fimpa DNS och Gateway uppgifter i den och då gjort den väldigt svår att nå från Internet(man hade blivit tvungen att ha en angreppspunkt via en av dina övriga maskiner i ditt nätverk).

Om Du är verkligen mån om yttre hot och behöver ha tjänster åtkomliga direkt via Internet så hade jag tillämpat följande:

* IPS som uppdateras dagligen.
* Starkt lösenord och användarnamn för internt bruk.
* Starkt lösenord och/eller nyckel samt annat användarnamn om där skall finnas åtkomst till skyddade sidor.
* Stäng ner root från allt från utsidan.

* Begränsa med en brandvägg eller i inställningarna för respektive påslagen tjänst så att enbart vissa IP-adresser är tillåtna för vissa tjänster som Du vet inte behöver exponeras utåt.

* Prenumerera på säkerhetsutskick angående dom tjänster som körs på NAS:en så att Du är ajour med vilka säkerhetsbrister som föreligger. Hos FreeBSD så ser man även om där finns en lösning runt problemet om där inte finns en färdig binär uppdatering.

Titta även på nätverkssegmentering men det kan vara knepigt. T.ex. att NAS:en kommer ej åt ditt riktiga nätverk men att ditt riktiga nätverk kommer åt den. Då finns där ingen "jäsningspunkt" i NAS:en som kan angripa ditt övriga nätverk, men det vet Du bäst gällande hur dina maskiner med filmer/bilder/dokument ligger fördelade idag.

Jag kan säga från personlig erfarenhet att jag segmenterar allt så att olika maskiner(mest VM:ar) ligger i olika VLAN och brandväggen bestämmer vad som kommer åt vad, så vill jag inte att vissa av mina dokument skall ligga på en maskin som exponeras mot Internet så hamnar dokumenten på t.ex. en annan maskin. Lägger ej allt i en skål. Så skulle t.ex. min webbserver bli drabbad så är det enbart den som blir drabbad eftersom ingen trafik som initieras i det segmentet kan nå mina andra segment.