Info sicurezza

[antonyb]

Vorrei aumentare la sicurezza del NAS. Pensavo di agire in questo modo:
controllare le porte del router che siano chiuse
avere un paio di backup scollegati
usare la snapshot?
usare l'antivirus sul NAS?
che altro potrei fare?
ho attivato la funzione in foto, vale solo per la rete locale oppure per gli accessi anche da internet?



Grazie.

[antonyb]

Non vi accalcate

[FFFAB]

Ciao,


...sono giunto qui a sgomitate, e qualche piede penso di averlo pestato... una calca senza precedenti...

PS: Hai solo "clamorosamente" sbagliato sezione. Capisco che per te sia un "Annuncio importante" ma, francamente, della tua sicurezza non frega niente a nessuno...

Specifica un po' meglio cosa intendi per sicurezza e come accedi al NAS (e per cosa ti serve), perché altrimenti è un concetto vasto ed è difficile consigliare.
Accesso locale o anche remoto??
Quanti utenti??
Usi MyQnapCloud??
Altro DDNS?
Servizi esposti in wan??
Servizi pubblicati in MyQnapCloud??
Ecc ecc ecc...

[antonyb]

Rispondo a te perché sei il più simpatico
Forse bisogna spostarla in altra sezione?

Ho i miei dati dentro, bè in rete ogni tanto si legge di qualche attacco anche ai NAS soprattutto come rasonware.
Accedo solo da locale.
Io come utente ma da più pc.
Non uso MyQnapCloud.
"Servizi esposti in wan??" Cosa intendi?
Mai usato e neanche li conosco i servizi MyQnapCloud.

Grazie..

[FFFAB]

Rispondo a te perché sei il più simpatico
Forse bisogna spostarla in altra sezione?

Lo possono fare solo gli amministratori, cosa che io non sono.
Non è tanto per le risposte che non hai ricevuto, ma per una possibile lettura futura di altri che cercano info simili alle tue richieste. Tutto qua..

Ho i miei dati dentro, bè in rete ogni tanto si legge di qualche attacco anche ai NAS soprattutto come rasonware.
Accedo solo da locale.
Io come utente ma da più pc.
Non uso MyQnapCloud.
"Servizi esposti in wan??" Cosa intendi?
Mai usato e neanche li conosco i servizi MyQnapCloud.

Allora: prima cosa devi essere sicuro al 100% che non hai nulla di pubblico. Quindi disattivare il MyQnapClod, il Cloudlink, l'UPNP, verificando (se il router permette logs di questo tipo) che non ci sia nulla che viene indirizzato dall'esterno verso l'ip del NAS.
Limitare gli accessi al range degli IP locali è già un'eccellente soluzione.
C'è anche la possibilità (in extremis) di un firewall hardware, ma mi pare una soluzione davvero eccessiva per un uso come il tuo.
Più che l'antivirus io abiliterei il Malware Remover: l'antivirus lo lasci su ogni client/PC.
Attiverei anche l'accesso a doppio passaggio (Google Authenticator o simili)

In merito ai ransomware, si attivano su ciò che trovano scrivibile in rete.
Quindi, banalmente, prima cosa si separano i file che hanno necessità di essere scritti da quelli in sola lettura, agendo opportunamente con i privilegi.
Poi conviene che, ad esempio, gli utenti che accedono ai dati in linea NON siano gli stessi che governano il backup, cioè che le cartelle di backup sia accessibili SOLO da un utente diverso (nemmeno admin le vede) e che questo utente non faccia altro.
Le istantanee sono una soluzione (il volume che le contiene non è visibile in alcun caso) ma anche loro possono avere un limite: se sono automatiche (ogni volta che c'è una variazione del file, si crea un'istantanea), potresti avere un ransomware che fa variare così tanto (tante volte intendo) il file da consumare tutto lo spazio dedicato alle snapshots, vanificandone l'utilità perché hai perso un punto sufficientemente vecchio in cui il file non era modificato dal ransomware medesimo (chiaro?? più o meno... ). Lavorerei di backup e privilegi, non serve molto sbattimento da questo punto di vista.

Infine, se il NAS e/o i dischi sono soggetti a possibile furto, implementare la crittografia disco con montaggio non automatico (ma qui serve un NAS "potentino" con almeno crittografia in hardware).

[antonyb]

Infatti potrebbe essere utile a molti utenti..
Andiamo per ordine altrimenti mi perdo…
MyQnapClod, il Cloudlink, l'UPNP, verificando (se il router permette logs di questo tipo) che non ci sia nulla che viene indirizzato dall'esterno verso l'ip del NAS Come verifico il tutto?

Anni fa avevo pensato ad un firewall esterno ma a parte ceh bucano anche quelli non credo sia il mio caso, non ho tutti questi dati preziosi, sono anche pochi…

Attiverei anche l'accesso a doppio passaggio (Google Authenticator o simili) Sul nas? come?

Malware Remover come si comporta? non è che mi elimina qualche file?

Per i privilegi e la crittografia vediamo...

[vabacca]

Malware Remover dovrebbe evitare cose del genere:
https://www.qnap.com/it-it/security-adv ... -201805-24

[antonyb]

Bene leggo il tutto... ma riguardo le funzioni in foto che ho abilitato non si sa nulla?

[FFFAB]

ma riguardo le funzioni in foto che ho abilitato non si sa nulla?

Beh, ma cosa vuoi sapere??
Da quanto vedo, hai limitato l'accesso agli IP locali. Punto.
Se non hai protocolli accessibili dall'esterno, non serve a molto.
E non serve a niente per eventuali triangolazioni WAN --> PC --> NAS: qui, come dicevo, devi lavorare di privilegi e protezione (istantanee + backup).

[antonyb]

Quindi quell'opzione agisce solo in locale?

Come verifico tutto questo?

Allora: prima cosa devi essere sicuro al 100% che non hai nulla di pubblico. Quindi disattivare il MyQnapClod, il Cloudlink, l'UPNP, verificando (se il router permette logs di questo tipo) che non ci sia nulla che viene indirizzato dall'esterno verso l'ip del NAS.

Limitare gli accessi al range degli IP locali è già un'eccellente soluzione.

Attiverei anche l'accesso a doppio passaggio (Google Authenticator o simili)

[FFFAB]

Quindi quell'opzione agisce solo in locale?

??? Questa non l'ho capita... Agisce sugli IP che imposti, locale o non locale.

Come verifico tutto questo?
Allora: prima cosa devi essere sicuro al 100% che non hai nulla di pubblico. Quindi disattivare il MyQnapClod, il Cloudlink, l'UPNP, verificando (se il router permette logs di questo tipo) che non ci sia nulla che viene indirizzato dall'esterno verso l'ip del NAS.
Limitare gli accessi al range degli IP locali è già un'eccellente soluzione.
Attiverei anche l'accesso a doppio passaggio (Google Authenticator o simili)

Sul manuale QTS e sui tutorial trovi tutto:

https://www.qnap.com/it-it/how-to/tutorial

Poi ti studi il manuale/interfaccia del tuo router, e verifichi (se possibile) il traffico in ingresso.

[antonyb]

Quindi quell'opzione agisce solo in locale?

??? Questa non l'ho capita... Agisce sugli IP che imposti, locale o non locale.
Quindi se qualcuno da fuori ha un ip diverso non si connette, giusto?

Come verifico tutto questo?
Allora: prima cosa devi essere sicuro al 100% che non hai nulla di pubblico. Quindi disattivare il MyQnapClod, il Cloudlink, l'UPNP, verificando (se il router permette logs di questo tipo) che non ci sia nulla che viene indirizzato dall'esterno verso l'ip del NAS.
Limitare gli accessi al range degli IP locali è già un'eccellente soluzione.
Attiverei anche l'accesso a doppio passaggio (Google Authenticator o simili)

Sul manuale QTS e sui tutorial trovi tutto:

https://www.qnap.com/it-it/how-to/tutorial

Poi ti studi il manuale/interfaccia del tuo router, e verifichi (se possibile) il traffico in ingresso.

Da quel link non ho visto UPNP... comunque sarebbe comoda una guida… va bè grazie..

[FFFAB]

Quindi se qualcuno da fuori ha un ip diverso non si connette, giusto?

Giusto.
Ma se, come hai scritto, non hai (o non vorresti avere) servizi esposti in wan (http, http, ftp, webdav, ecc ecc), nessuno si connette cmq perché non esiste un "canale" per entrare nel NAS.
Studiati bene cosa sono i protocolli TCP e IP e come funzionano: se non ho porte aperte, nessuno entra... e non perché gli proibisco di entrare, ma solo perché non c'è alcuna entrata

[antonyb]

Bene, quindi diciamo che con quella opzione che ho attivato ho una sicurezza in più, soprattutto se un gg attiverò accesso al nas da esterno, correggimi se toppo.

Darò un'occhiata ai protocolli ma la vedo dura…

Riguardo al post 10 come posso verificare?

Secondo me visto le tue conoscenze dovresti fare una mini guida per gli utenti meno esperti… certo chi ti paga? Però sarebbe bello..

[FFFAB]

Bene, quindi diciamo che con quella opzione che ho attivato ho una sicurezza in più, soprattutto se un gg attiverò accesso al nas da esterno, correggimi se toppo.

Ehm... no, se un giorno attiverai l'accesso dall'esterno, tale accesso non funzionerà MAI perchè l'IP lato internet (quello esterno appunto) non appartiene alla lista degli indirizzi ammissibili.
Sarebbe possibile solo se l'ip remoto non cambiasse mai (e ci sono situazioni in cui questo avviene: IP pubblico statico).
Quello che hai impostato va bene adesso (nessun accesso esterno, nè tuo nè di altri), ma un giorno che vorrai accedere, dovrai modificarlo.
PS: per inciso... a mio parere qui sul forum quasi nessuno usa una restrizione pesante come la tua, perchè si preferisce lasciare qualche protocolli esposto (almeno almeno l'http/https per potersi collegare da remoto all'interfaccia del NAS).
Cmq studia, studia, studia e quando pensi di aver finito, ricomincia da capo

[antonyb]

Va bene, cerco di studiare ma altri suggerimenti sono sempre ben accetti…
grazie.

[nicolam]

Quindi se qualcuno da fuori ha un ip diverso non si connette, giusto?

Giusto.
Ma se, come hai scritto, non hai (o non vorresti avere) servizi esposti in wan (http, http, ftp, webdav, ecc ecc), nessuno si connette cmq perché non esiste un "canale" per entrare nel NAS.
Studiati bene cosa sono i protocolli TCP e IP e come funzionano: se non ho porte aperte, nessuno entra... e non perché gli proibisco di entrare, ma solo perché non c'è alcuna entrata

Gentilissimo FFFAB, come vedi, non dimentico mai chi mi è stato vicino nel momento del bisogno...

Anche alla luce di questa situazione che ho vissuto insieme ad altri, legata alla impossibilità di fare girare malware e antivirus, poi risolta, leggendo il tuo post, mi chedo:
- chi, come il sottoscritto, usa myqnapcloud e cloudlink per poter leggere i file su Smartphone e tablet, nonché webdav per accedere ai file in remoto, come può aumentare i rischi di intrusione? Ok per la doppia validazione, per l'uso di utenti che hanno solo possibilità di leggere e non dare neanche all' admin potere di accesso, ma dovrei fare altro?
Io controllo regolarmente gli accessi ed eventuali anomalie, ho impostato il ban dopo 10 tentativi etc. ma non saprei cosa altro fare.
Non temo la lettura dei dati (quelli più sensibili sono criptati) ma al massimo un randomware.
Grazie sempre... Nicola

[antonyb]

I ransomware li temono tutti…
Avevo aperto il topic per aumentare la sicurezza, ci vorrebbe una guida terra terra per i comuni mortali.

[FFFAB]

...non dimentico mai chi mi è stato vicino nel momento del bisogno...

Cioè, in pratica, sono stato paragonato alla carta igienica... ah... andiamo bene... si pensa di aiutare le persone e poi questa è la moneta con la quale si viene ricambiati... andiamo proprio bene...

Tutto quello che avete fatto va benissimo ed è bene, prima di ogni cosa, che vi poniate il problema.
Per quanto leggo e vedo, l'errore più tipico è non capire bene cosa fa il router, quali sono le sue prerogative e come si comporta (lui, ancor prima di ciò che c'è a valle) nei confronti della rete (esterna soprattutto).
La parte firewall (software) presente in praticamente tutti i router moderni, andrebbe digerita il meglio possibile, capita e, quindi, sfruttata.
Si tratta di studiarsi (internet è piena zeppa di guide gratuite) i protocolli TCP e IP: non tanto per diventare dei sistemisti espertissimi, ma se non altro per avere gli strumenti di base per capire le problematiche e le caratteristiche (nicolam: la questione dell'apertura di una singola porta o di un intervallo di porte nel nostro recente scambio nella discussione sul WebDAV ne è un esempio) e ragionare il più possibile con la propria testa, applicando ciò che si sa (o si pensa di sapere) al caso personale di ognuno.
Aver la pappa pronta non serve a nulla, anche perché non vi conosco, non valuto il caso particolare o lo valuto in modo errato, non sono a conoscenza di dettagli che invece voi date (giustamente dal vs. punto di vista) per scontati.
E quando poi cambierà la pappa, il piatto o l'intero menù, non resterà nulla in mano.

Basta: vi ho rotto i maroni già abbastanza con 'sta ramanzina (che è poi solo un amichevole consiglio).
Affrontiamo il caso singolo volta per volta, e, se vi bloccate o vi perdete, io (per quello che so) ed altri (più esperti di me) vi aiuteremo di certo

[antonyb]

Io alla fine ho lasciato tutto in default. il router dovrebbe avere tutte le porte chiuse.