Säkra upp NAS från intrång?

Trädvy Permalänk
Medlem
Registrerad
Jul 2017

Säkra upp NAS från intrång?

Hej allihopa! En sprillans ny medlem behöver hjälp med lite datorsäkerhet.
Är lite osäker på om tråden ligger rätt, annars får den gärna flyttas till rätt forumdel.

Jag har en Synology DS216play som står hemma i garderoben och agerar musik-, film- och fotoserver. Och jag funderar nu på hur jag kan säkra upp så att jag förhindrar intrång så mycket som möjligt.
Det jag har gjort hittills är att jag har säkrat upp mitt trådlösa nätverk med WPA2-Personal-kryptering och aktiverat MAC-filtrering så att endast kända enheter kan ansluta till wifi-nätverket. Jag har även kikat så att portar i routern inte står öppna i onödan.
På NASen har aktiverat tvåstegs-autentiering för att logga in via DSM och jag har även aktiverat DoS-skyddet.

Det är ungefär så här långt mina kunskaper sträcker sig. Men vad kan jag mer göra för att säkra upp för att förhindra att obehöriga tar sig in? Förslag mottages tacksamt, även förslag på artiklar i ämnet är av intresse.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2007
Skrivet av SadButTrue:

Hej allihopa! En sprillans ny medlem behöver hjälp med lite datorsäkerhet.
Är lite osäker på om tråden ligger rätt, annars får den gärna flyttas till rätt forumdel.

Jag har en Synology DS216play som står hemma i garderoben och agerar musik-, film- och fotoserver. Och jag funderar nu på hur jag kan säkra upp så att jag förhindrar intrång så mycket som möjligt.
Det jag har gjort hittills är att jag har säkrat upp mitt trådlösa nätverk med WPA2-Personal-kryptering och aktiverat MAC-filtrering så att endast kända enheter kan ansluta till wifi-nätverket. Jag har även kikat så att portar i routern inte står öppna i onödan.
På NASen har aktiverat tvåstegs-autentiering för att logga in via DSM och jag har även aktiverat DoS-skyddet.

Det är ungefär så här långt mina kunskaper sträcker sig. Men vad kan jag mer göra för att säkra upp för att förhindra att obehöriga tar sig in? Förslag mottages tacksamt, även förslag på artiklar i ämnet är av intresse.

Är NAS:en exponerad mot Internet? Skall den serva något direkt mot Internet(menar då inte via VPN)?

Grundregel för felsökning: Bryt och begränsa.

Trädvy Permalänk
Medlem
Registrerad
Jul 2017

@Veni: Just nu är det endast Photostation som jag har intresse av att komma åt utifrån. Jag har därför öppnat port 443 i routern och pekat på NASens lokala ip-adress.
En sak som jag glömde i inlägget ovan är att jag har aktiverat https, men endast med ett egensignerat certifikat.

I framtiden finns planer på att den eventuellt ska rymma en egen hemsida via tex Wordpress. Är det något speciellt jag måste tänka på här?

Trädvy Permalänk
Medlem
Registrerad
Aug 2007

@SadButTrue: Hosta inte hemsida på din NAS om du inte är trygg med att den är tillgänglig via nätet. Det finns ju billiga tjänster typ digitalocean för att hosta sidor? Då slipper du oroa dig över att ha din NAS exponerad mot Internet.

MSI Z77A-S03 Inet Ed. | i5 2500k @ 4.2Ghz | 2x Intel 520 SSD + 3TB Lagring | 32GB RAM | ASUS 760 DCII 2GB OC | EVGA Supernova G2 750W Gold+ | Fractal Design R4 | Phantek PH-TC14PE | Citera eller Pinga mig för svar!

Trädvy Permalänk
Medlem
Registrerad
Jul 2017
Skrivet av xtQ:

@SadButTrue: Hosta inte hemsida på din NAS om du inte är trygg med att den är tillgänglig via nätet. Det finns ju billiga tjänster typ digitalocean för att hosta sidor? Då slipper du oroa dig över att ha din NAS exponerad mot Internet.

Ok, tack för tipset! Som sagt, detta är i dagsläget endast en tanke för framtiden, inget som är i drift i dag. Men är det något mer jag bör/kan göra för att säkra upp för intrång?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jun 2017

En klassiker

Är ju att införskaffa och sätta upp en lite hw-brandvägg där du får
En ganska bra kontroll över trafik in och ut. En maskin som du kör IDS via tripwire
Så du får koll ifall nån lyckats komma in. Om du är riktigt paranoid så rekommenderar jag en maskin med flertalet "honeypots".
Mvh
/ Hockey

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2007

Din NAS hade kunnat vara relativ säkrad om den enbart skulle nås lokalt. Då hade Du t.o.m. kunnat fimpa DNS och Gateway uppgifter i den och då gjort den väldigt svår att nå från Internet(man hade blivit tvungen att ha en angreppspunkt via en av dina övriga maskiner i ditt nätverk).

Om Du är verkligen mån om yttre hot och behöver ha tjänster åtkomliga direkt via Internet så hade jag tillämpat följande:

* IPS som uppdateras dagligen.
* Starkt lösenord och användarnamn för internt bruk.
* Starkt lösenord och/eller nyckel samt annat användarnamn om där skall finnas åtkomst till skyddade sidor.
* Stäng ner root från allt från utsidan.

* Begränsa med en brandvägg eller i inställningarna för respektive påslagen tjänst så att enbart vissa IP-adresser är tillåtna för vissa tjänster som Du vet inte behöver exponeras utåt.

* Prenumerera på säkerhetsutskick angående dom tjänster som körs på NAS:en så att Du är ajour med vilka säkerhetsbrister som föreligger. Hos FreeBSD så ser man även om där finns en lösning runt problemet om där inte finns en färdig binär uppdatering.

Titta även på nätverkssegmentering men det kan vara knepigt. T.ex. att NAS:en kommer ej åt ditt riktiga nätverk men att ditt riktiga nätverk kommer åt den. Då finns där ingen "jäsningspunkt" i NAS:en som kan angripa ditt övriga nätverk, men det vet Du bäst gällande hur dina maskiner med filmer/bilder/dokument ligger fördelade idag.

Jag kan säga från personlig erfarenhet att jag segmenterar allt så att olika maskiner(mest VM:ar) ligger i olika VLAN och brandväggen bestämmer vad som kommer åt vad, så vill jag inte att vissa av mina dokument skall ligga på en maskin som exponeras mot Internet så hamnar dokumenten på t.ex. en annan maskin. Lägger ej allt i en skål. Så skulle t.ex. min webbserver bli drabbad så är det enbart den som blir drabbad eftersom ingen trafik som initieras i det segmentet kan nå mina andra segment.

Grundregel för felsökning: Bryt och begränsa.