Asegurar un almacenamiento conectado a la red en Internet

4

Hace poco compré un almacenamiento adjunto en red para el almacenamiento de archivos personales y me gustaría que los miembros de mi familia almacenen archivos en el dispositivo desde sus computadoras como una copia de seguridad remota.

Me gustaría asegurar el puerto que se usa para sincronizar archivos para que solo sus computadoras tengan acceso. La solución debe ser fácil de implementar y usar diariamente. Creo que la copia de seguridad de los archivos debe ser fácil, sin problemas y automática. La mayoría de estos archivos son multimedia (imágenes, películas caseras, etc.). La copia de seguridad de archivos en un sistema alternativo basado en la nube no es una opción.

Mi problema es que cada una de estas computadoras tiene direcciones IP dinámicas, por lo que no es tan simple como configurar el firewall para permitir solo desde un puñado de direcciones IP. No cambian muy a menudo, pero sí cambian.

Estoy ejecutando un enrutador basado en DDWRT (estándar) conectado al NAS, por lo que puedo agregar reglas de firewall personalizadas si es necesario o ejecutar un script. Por el bien de esta pregunta, el puerto en el que se ejecuta el servicio es TCP 5678. ¿Cuál es la mejor solución para asegurar el acceso al NAS?

Posibles soluciones:

  • Configure una VPN (no es muy conveniente para los usuarios)
  • Configure reglas de firewall basadas en toda la red del ISP de los clientes
  • Configure las reglas del cortafuegos y actualice la dirección IP mediante un servicio de DNS dinámico y una secuencia de comandos que se ejecuta periódicamente

He creado un diagrama simple para mostrar mi configuración.

    
pregunta arcdegree 06.05.2013 - 20:47
fuente

3 respuestas

1

Las respuestas dependerán del protocolo / aplicación. Básicamente, si puede usar un túnel seguro o una solución VPN, tendrá una seguridad bastante buena. Alguien podría ser capaz de golpear el puerto, pero no podrá conectarse sin credenciales (y certificados, si es posible).

Puedes intentar configurar una VPN simple usando algo como Hamachi , TeamViewer o OpenVPN . Una vez que se haya configurado para su familia con los certificados y las contraseñas, podría permitirles usar cualquier protocolo existente o acceder a un recurso compartido de red (aunque, por razones de rendimiento, no recomendaría usar solo un recurso compartido de red a través de Internet / WAN).

Una solución que hace esto relativamente fácil es utilizar cualquiera de los diversos programas que le permiten montar una unidad localmente a través de SFTP. Tienen soluciones gratuitas y comerciales para varios sistemas operativos (por ejemplo, SFTP Net Drive , Opciones de OSX , google para otros). Si solo desea que puedan soltar el archivo, esta es una buena solución liviana porque puede hacer que sea otra unidad en su red y, debido a su SFTP, hay menos gastos generales que otras soluciones. La advertencia, por supuesto, es que necesitan escribir una contraseña cada vez que cargan el archivo o usted necesita almacenarlo en su sistema, pero eso probablemente sea una preocupación con cualquier cosa fácil de usar. También puedes escribir algo.

Si tiene contraseñas y certificados a su nivel de VPN y deja que su firewall administre su VPN, esto minimizaría la exposición, pero puede ser innecesario (solo porque las personas escanean mi servidor SSH, no se activan porque no tienen un cert + credenciales).

Para una copia de seguridad automatizada pura, me gustaría ver algunas de las funciones P2P gratuitas de CrashPlan . Otras herramientas de copia de seguridad también suelen tener una opción de conexión SFTP, donde puede hacer una copia de seguridad periódica tradicional de archivos con incrementos, diferenciales, deltas, etc.

    
respondido por el Eric G 06.05.2013 - 22:21
fuente
0

Su diagrama de red no se adjuntó.

Descargaría No-Ip en cada una de las estaciones de trabajo remotas de las que desea realizar una copia de seguridad. Asígnelos a todos un nombre de host y luego use el nombre de host para las reglas de su firewall para permitir el acceso. La configuración de las reglas de firewall para la red ISP no se recomienda en absoluto.

El puerto en el que se está ejecutando el servicio es irrelevante. El puerto no proporciona la seguridad, el dispositivo y los protocolos de transmisión (HTTPS, SSH, SFTP) proporcionan la seguridad.

En cuanto a la copia de seguridad, puede usar un archivo PowerShell o Batch para hacer las copias de seguridad y configurarlo en una tarea programada para hacer una copia de seguridad de sus computadoras. Probablemente necesitaría usar SFTP para realizar la transferencia de archivos, lo que requeriría que codifique la contraseña en los scripts. No es un método muy seguro en absoluto, pero en la broma de la automatización, es una necesidad.

    
respondido por el Travis 06.05.2013 - 20:57
fuente
0

Yo usaría Duplicati ( enlace ) para SFTP los archivos en el NAS. Puede configurar un recurso compartido separado para cada copia de seguridad para aislar el riesgo de compromiso si se filtró la contraseña. Configure su NAS con DNS dinámico y haga que los clientes envíen los datos al NAS, para que solo tenga que preocuparse por su dirección IP, no por la de ellos. Duplicati también puede hacer cifrado y copias de seguridad incrementales.

Además, si decide usar Duplicati, asegúrese de seleccionar la opción SSH, no la opción FTP para hacer SFTP. Es raro como eso.

    
respondido por el John 06.05.2013 - 22:03
fuente

Lea otras preguntas en las etiquetas