Riesgos del ingreso NAS recóndito y cómo entrar a él de manera segura

📑 Aquí podrás encontrar 👇

Los peligros de entrar a mi NAS de forma remota

En la mayoría de los casos, se puede entrar al servidor NAS por medio de Internet, y este puede entrar a todos y cada uno de los servicios y recursos que requerimos, lo más normal es, por ejemplo, que tengamos la posibilidad acceder al portal web de administración del servidor NAS mediante Internet, tenemos la posibilidad de acceder a archivos. desde dentro de FTP, e incluso tenemos la posibilidad de abrir el enrutador para activar el control a distancia a través de SSH. No obstante, si abrimos nuestro servidor NAS a Internet, existen una secuencia de riesgos que debemos evitar en la medida de lo posible, con lo que si decidimos exponer nuestro servidor NAS y entrar a él desde el exterior, debemos tomar una serie de precauciones. ... arreglos para la reunión.

En nuestra casa, todos utilizamos enrutadores con NAT y UPnP. El servidor NAS admite UPnP para abrir puertos en el enrutador de manera dinámica y automática. Sin embargo, esto muestra peligros de seguridad, puesto que tienen la posibilidad de abrir puertos que no desea abrir. Debe contrastar esmeradamente la configuración UPnP de su servidor NAS para evitar esto. No obstante, es mejor deshabilitar UPnP en el servidor NAS o aun en su enrutador a fin de que deba abrir puertos de cierta manera (reenvío de puertos) y entender precisamente qué puertos abrir para qué dispositivo.

El enrutador no abre puertos para el servidor NAS en NAT, lo que quiere decir que el servidor NAS no está conectado a Internet, con lo que el acceso recóndito unicamente se puede realizar a través de el link inverso, que actualmente proporcionan fabricantes como QNAP. O ASUSTOR: así, al iniciar sesión en la interfaz en la nube, el servidor NAS se conecta de manera directa al servidor del propio fabricante para que los usuarios puedan establecer una conexión remota sin abrir puertos. Debemos rememorar que cuando el dispositivo lo necesite se abrirá de forma automática el puerto en NAT de "en NAT" a "fuera de NAT", pero si la conexión se inicia desde Internet, esto no va a suceder, lo necesitaremos si usted quiere conseguir el servicio final, utilice el puerto del enrutador.

¿Es segura esta conexión con el servidor NAS? De entrada, esto es viable pues el fabricante del servidor NAS es responsable de la seguridad de su plataforma. Si su interfaz se ve comprometida, todos y cada uno de los servidores NAS que tengan esta función habilitada se verán comprometidos y puede procurar acceder a ella por medio de Internet tras autenticarse.

Si abre un puerto (reenvío de puertos) para el servidor NAS en su enrutador (Internet HTTP, Internet HTTPS, FTP, FTPES, SSH, etc.), puede ser atacado por ciberdelincuentes, para entrar al servidor NAS, simplemente abra Los puertos de los servicios que necesita no abren más puertos de los necesarios para minimizar la superficie de ataque.

Intentando piratear las credenciales de usuario

Uno de los ataques que se pueden efectuar es piratear nuestras credenciales de usuario, entrar al control de acceso a través del menú web cuando compartimos un servidor FTP, o incluso un servidor SSH (si lo hubiese). Consecuentemente, hemos abierto puertos en nuestro enrutador. Existen programas totalmente gratuitos que nos dejan automatizar ataques a distintas hosts: por ejemplo, utilizando el popular Nmap, podemos efectuar escaneos de puertos para contrastar qué puertos TCP y UDP hemos abierto para un servicio en particular en el enrutador, y después averiguarlo dónde nos encontramos. qué servicio tiene un puerto, qué versión del servicio nos encontramos ejecutando y otra información.

Fuga de contraseña

Los ciberdelincuentes conocen el servicio, o aun la versión del servicio, y tienen la posibilidad de usar programas como Nmap NSE para procurar usar un diccionario o usar ferozmente una contraseña en miles de combinaciones de nombre de usuario y contraseña.

Acceso ilegal al sistema

Si el ataque previo fue exitoso y dependiendo de las credenciales del usuario cuya contraseña fue descifrada, puede conseguir acceso al sistema de manera ilegal, es decir, puede entrar a la administración del NAS, efectuar los cambios deseados en el servidor FTP o vía SSH, robar información y codificar la información robada, demandando luego un salve e incluso demoliendo la red local en la que estaba configurado el servidor NAS.

Por esta razón, es primordial contrastar las alertas y los registros del servidor NAS y entender siempre y en todo momento si alguien ha iniciado sesión en el servidor NAS en vez de nosotros para que podamos encender de manera rápida y eficiente al permitir el ingreso a los servidores NAS truncados hasta el momento en que revise los registros y averigüe qué pasó. Es imperativo que si descubrimos algún acceso a nuestro sistema, lo desactivemos a la mayor brevedad e investiguemos qué logró este ciberdelincuente en nuestro servidor NAS.

Explotación de NAS

Con programas como Nmap, puede averiguar qué versión del servidor web, FTP o SSH está en uso en un servidor NAS en particular. Si el S.O. del servidor NAS usa un servicio que ha sido reconocido y popular como vulnerable, los ciberdelincuentes pueden explotar la vulnerabilidad para supervisar e infectar completamente el servidor NAS. Es importante actualizar el firmware y el S.O. del servidor NAS. provisión para eludir que exploten vulnerabilidades de seguridad conocidas.

Un aspecto muy importante es que nunca debemos compartir la administración web del NAS a través de HTTP o HTTPS. Los servidores web son muy vulnerables a las vulnerabilidades XSS, y los ciberdelincuentes tienen la posibilidad de explotar las vulnerabilidades XSS descubiertas e procurar infectar cualquier servidor NAS que no solucione la puerta de inseguridad. La forma mucho más segura es no abrir nunca el sitio web de administración de NAS; si precisas acceder a él, la mejor forma es entrar a él de otras formas, que te enseñamos a continuación.

Explotar los agujeros de seguridad y los asaltos de ransomware

Ha habido casos en los que los ciberdelincuentes no solo comprometieron el NAS de un usuario al explotar fallas de seguridad conocidas en el programa del NAS, sino también usaron asaltos de ransomware para cifrarlo completamente y luego obtener un salve por los archivos de recuperación solicitados. Debemos rememorar que comúnmente empleamos servidores NAS como nuestras nubes privadas, aun para respaldos. Por consiguiente, este género de ataque es uno de los peores asaltos que nos pueden pasar. Si bien el sistema operativo tiene una función de “instantánea” o “instantánea”, si los ciberdelincuentes consiguen ingreso como gestor del sistema, tienen la posibilidad de eliminar estas instantáneas, y si no posee una backup externa, no tienen la posibilidad de recobrar la información.

Cuando entendamos todos los peligros asociados con detener un servidor NAS online, vamos a explicar cómo tenemos la posibilidad de acceder a él por medio de Internet en el momento en que no poseemos otra alternativa.

Cómo acceder de manera segura a su NAS mediante Internet

Si bien un servidor NAS se puede usar idealmente en una red local y no requiere ingreso a Internet, sigue siendo muy favorable poder entrar de manera recóndita a todos y cada uno de los recursos del NAS. Si necesitamos ingreso remoto a nuestro servidor NAS para compartir archivos y carpetas, administrarlo por cualquier fundamento o emplear alguno de sus servicios, la sugerencia es indudable: Si es posible, hágalo a través del servidor VPN del servidor NAS....

Todos los sistemas operativos de servidor NAS tienen un servidor VPN, generalmente OpenVPN y L2TP / IPsec, así como protocolos VPN patentados o aun la habitual WireGuard VPN. En la situacion del servidor VPN, solo requerimos abrir los puertos TCP o UDP que el servidor VPN necesita para aceptar conexiones entrantes en el enrutador. En el momento en que entramos a la VPN, puede entrar de manera segura al resto de elementos (SMB, FTP, FTPES, SSH, etcétera.). Así, solo abrimos un puerto en el enrutador, tras el como hay un servicio VPN que necesita un certificado digital para la autenticación.

Si precisa abrir otros puertos para acceder a varios servicios como servidores FTP o SSH, nuestras sugerencias son las próximas:

  • Abra el puerto de servicio que necesita, no hay más puertos.
  • Proteja el servicio de múltiples intentos de comienzo de sesión. Todos los NAS contienen una herramienta "fail2ban" que bloquea múltiples intentos fallidos de acceder a una IP y la bloquea en el transcurso de un período de tiempo concreto.
  • Encienda el firewall y bloquee por región. Si somos de España Si deseas conectarte desde, una buena estrategia es aceptar solo conexiones desde direcciones IP en España y denegar el resto del mundo. El servidor NAS combinó firewall y GeoIP para sostenernos a salvo.

Tenga en cuenta que, con independencia de si está usando HTTP o HTTPS, no se recomienda abrir el puerto de ingreso de administración web, puesto que los servidores web suelen ser atacables a las vulnerabilidades XSS, lo que genera inconvenientes de seguridad y ingreso ilegal al NAS. servidor.

Al final, en el momento en que necesite proveer servicios web en Internet, acceda a múltiples servicios como un administrador de claves de acceso interno, Nextcloud para acompasar ficheros y carpetas, control interno de Internet y otros puertos de servicio que han de estar disponibles para Internet ( HTTP - 80 y / o HTTPS - 443), es una buenísima iniciativa modificar un proxy inverso como Traefik.

La mayoría de los servidores NAS permiten una virtualización fácil utilizando contenedores como Docker. Traefik es un proxy inverso gratuito y verdaderamente completo con opciones de configuración muy avanzadas, este proxy inverso nos deja proveer solo puertos HTTP y / o HTTPS a fin de que Internet acceda a todos los elementos internos del servidor NAS sin tener que contactarnos. múltiples puertos. Puede redirigir a otro servicio mediante un subdominio (por poner un ejemplo, nextcloud.redeszone.net) o de la próxima manera: redeszone.net/nextcloud La ventaja de Traefik es que poseemos middleware para mejorar la seguridad del sistema. Podemos emplear nombres de usuario y contraseñas para modificar autenticación agregada para varios servicios. Tenemos la posibilidad de usar Google+ para llevar a cabo los servicios de autenticación OAuth, o incluso la verificación en dos pasos, antes de que pueda entrar al último servicio que puede efectuar la autenticación básica.

Otra virtud de Traefik es que podemos disponer varios extensiones, por ejemplo instalar fail2ban para todos o varios de los servicios que garantizamos, también tenemos la posibilidad de modificar GeoIP para que unicamente se deje la dirección IP de un país y el resto se bloqueen. etc. Espera un poco mucho más.

Como puede ver, cuando abrimos un servidor NAS para acceder a Internet, existen muchos peligros. No obstante, si hacemos un óptimo trabajo y seguimos nuestras recomendaciones, creemos que se puede acceder de manera fácil de forma remota, pero debes saber que no existe el 100% de seguridad, en especial si se descubre una vulnerabilidad que no se ha solucionado de manera oportuna. , y se lleva a cabo un ataque dirigido o global a todos y cada uno de los clientes del servicio de una marca particular de servidores NAS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir