En mi opinión, definitivamente no debería permitir ninguna conexión directa a su NAS desde Internet (incluido el reenvío de puertos).
Sin embargo, depende de los datos que tengas allí. Así que hay 2 opciones:
-
Si se pretende que sea un tipo de servidor público, que usted y sus amigos / otras personas deben usar, entonces está bien, manténgalo conectado y concéntrese en hacerlo más seguro.
-
Pero si almacena allí algún tipo de datos confidenciales y la pérdida de confidencialidad, disponibilidad o integridad podría ser perjudicial para usted, simplemente desconéctelo de inmediato. Inmediatamente significa ahora mismo, porque el riesgo de que su NAS sea hackeado y su información filtrada sea demasiado alto (nuevamente, depende de su propia evaluación sobre lo que le sucederá si su información almacenada en NAS se filtra / modifica / elimina, y cómo malo es para ti).
En el segundo caso, proteger su NAS realmente no solucionará el problema , ya que seguirá siendo un punto único de falla / entrada. Incluso si lo configura correctamente, con autenticación de dos o incluso tres factores, firewall, etc., e incluso si su sistema está actualizado, es posible que exista una vulnerabilidad de día cero de un servicio debidamente configurado y protegido en su NAS. Me gusta Heartbleed (consulte ¿Cómo explicar Heartbleed sin términos técnicos? y ¿Cómo funciona exactamente la explotación del latido (Heartbleed) de OpenSSL TLS? ). Cuando Heartbleed era de día cero y la gente tenía un servidor web con SSL (HTTPS) escuchando, incluso si estaba configurado correctamente, aún podría ser pirateado, sin alertas en los registros, etc., y el atacante no necesita autenticarse. en absoluto.
O otro ejemplo más relevante para NAS tal vez: enlace . Imagine el momento en que esta vulnerabilidad fue de día cero. Entonces, si tiene su Synology NAS con un servidor web conectado a Internet, "permitirá que un usuario remoto no autenticado agregue datos arbitrarios a los archivos en el sistema bajo privilegios de raíz", lo que implica que el atacante remoto podría "ejecutar código arbitrario" ( enlace ). Incluso si restringió el acceso a su servidor web de manera adecuada, en este caso no será de ayuda, ya que es una vulnerabilidad del propio servidor.
Entonces, ¿qué hacer?
Coloque su NAS detrás de un enrutador y configure el servidor VPN en el enrutador. Luego, para acceder a su NAS, necesita (1) conectarse a través de VPN a su red doméstica y (2) para autenticarse en el propio NAS. Así que ahora, para acceder a sus datos, alguien primero debe piratear su enrutador y luego piratear su NAS. Si el enrutador tiene un software diferente en ejecución, significa que un atacante ahora necesita 2 ataques de día cero en lugar de 1 si ha configurado todo correctamente y lo actualiza regularmente. Esta medida agrega un nivel de protección más y hace que sea más difícil acceder a sus datos en NAS para un atacante.
Por supuesto, ahora también es más complicado para usted acceder a sus archivos, pero este es un precio de mayor seguridad. Debe gastar tanto tiempo como dinero (para comprar un enrutador compatible con VPN, probablemente pague una dirección IP estática si está disponible (o incluso cambie de proveedor), configúrela, etc.). Entonces solo puede conectarse a VPN si tiene un cliente instalado. Sin embargo, para hacerlo un poco más fácil, puede buscar soluciones VPN sin cliente.