Mi dirección IP (con un NAS) está dirigida por un pirata informático. ¿Qué hacer? ¿Deberia estar preocupado?

En cuanto a cualquier cosa adjunta a redes públicas:

1. Reduzca su superficie de ataque : ¿puede eliminar el NAS de Internet? ¿Puede limitar las IP que tienen permiso para conectarse?
2. Aumente el costo del ataque : los bloqueos son excelentes, pero también asegúrese de tener una contraseña compleja y de cambiarla con regularidad.
3. Acceso al monitor : vigile quién inicia sesión correctamente
4. Trate los riesgos : tenga un plan para el evento cuando alguien realmente ingrese. ¿Se puede usar el NAS para acceder al resto de su red? ¿Hay algo en él que sería un riesgo si cayera en las manos equivocadas? ¿Tiene copias de seguridad?

Por lo que describe, es posible que se haya dirigido desde bots que buscan IP con puertos específicos y tratan de forzarlos brutalmente con contraseñas predeterminadas de todo tipo de FTP, NAS: s o simplemente de una lista de palabras específica. Mi consejo es que, por ahora, cierre el puerto NAS de su enrutador. Existen varios métodos para evitar esos ataques. Un método es construir una red privada virtual (vpn) en casa y acceder a su NAS desde allí.

No debes preocuparte por eso porque hay muchos bots chinos, franceses y de otros países que intentan hacer lo mismo. Por lo general, se convierte en un objetivo cuando utiliza algún tipo de DNS que apunta a su IP, como noip.com.

Como alguien que ocasionalmente ha necesitado revisar los datos de Monitoreo de información de eventos de seguridad (SEIM, por sus siglas en inglés), puedo decirle que el escaneo de puertos no es nada inusual. Puede suceder tan a menudo como a diario.

Conectarse a internet es como tener una puerta de entrada a una calle concurrida. Tendrás gente llamando a tu puerta. Y algunos de ellos podrían estar interesados en robar tus cosas.

No tengo idea de por qué ha elegido conectar su NAS a Internet. No lo habría hecho pero puede que tengas una buena razón. Si va a hacerlo, reduzca la superficie de ataque limitando los puertos y las direcciones IP que permite a través de su enrutador y luego bloquee el propio NAS tanto como pueda, por ejemplo, al no ejecutar servicios que no usa. También asegúrese de que su enrutador esté ejecutando el firmware más reciente para minimizar el riesgo de que alguien utilice un exploit conocido.

El consejo dado por schroeder arriba es bastante bueno, creo. Pero para elaborar una preocupación particular de usted:

  

cuando obtiene la combinación correcta de nombre de usuario / contraseña

¿Cuáles son las probabilidades de esto?

Si usa una contraseña generada aleatoriamente con 12 caracteres, mayúsculas y minúsculas y dígitos, hay aproximadamente 3 * 10 ²¹ (62 ¹² ) posibles contraseñas.

Si está conectado a Internet con 1GBit / s, en teoría, el atacante podría enviar aproximadamente 12 millones de contraseñas de 12 letras cada una por segundo, como un ataque de fuerza bruta. A esa velocidad tomaría en promedio unos 4 millones de años adivinar su contraseña. Así que, en mi opinión, con una buena contraseña, estás bastante seguro, incluso si estás golpeado con ataques de fuerza bruta de muchas IPs.

Por supuesto, esto supone que utiliza una contraseña generada de forma completamente aleatoria (como con pwgen -s 12 1 ), y que se basa en un generador seguro de números aleatorios. Además, si alguien intercepta su contraseña (por ejemplo, con un troyano en su computadora de escritorio, o porque la anotó y perdió el papel, o porque la envió a su amigo a través de IRC ;-)), la seguridad de la contraseña no ayudará.

Además, reducir la cantidad de servicios públicos sigue siendo una buena idea, para reducir la posibilidad de que un error de seguridad sea explotado en estos servicios.

En mi opinión, definitivamente no debería permitir ninguna conexión directa a su NAS desde Internet (incluido el reenvío de puertos).

Sin embargo, depende de los datos que tengas allí. Así que hay 2 opciones:

1. Si se pretende que sea un tipo de servidor público, que usted y sus amigos / otras personas deben usar, entonces está bien, manténgalo conectado y concéntrese en hacerlo más seguro.

2. Pero si almacena allí algún tipo de datos confidenciales y la pérdida de confidencialidad, disponibilidad o integridad podría ser perjudicial para usted, simplemente desconéctelo de inmediato. Inmediatamente significa ahora mismo, porque el riesgo de que su NAS sea hackeado y su información filtrada sea demasiado alto (nuevamente, depende de su propia evaluación sobre lo que le sucederá si su información almacenada en NAS se filtra / modifica / elimina, y cómo malo es para ti).

En el segundo caso, proteger su NAS realmente no solucionará el problema , ya que seguirá siendo un punto único de falla / entrada. Incluso si lo configura correctamente, con autenticación de dos o incluso tres factores, firewall, etc., e incluso si su sistema está actualizado, es posible que exista una vulnerabilidad de día cero de un servicio debidamente configurado y protegido en su NAS. Me gusta Heartbleed (consulte ¿Cómo explicar Heartbleed sin términos técnicos? y ¿Cómo funciona exactamente la explotación del latido (Heartbleed) de OpenSSL TLS? ). Cuando Heartbleed era de día cero y la gente tenía un servidor web con SSL (HTTPS) escuchando, incluso si estaba configurado correctamente, aún podría ser pirateado, sin alertas en los registros, etc., y el atacante no necesita autenticarse. en absoluto.

O otro ejemplo más relevante para NAS tal vez: enlace . Imagine el momento en que esta vulnerabilidad fue de día cero. Entonces, si tiene su Synology NAS con un servidor web conectado a Internet, "permitirá que un usuario remoto no autenticado agregue datos arbitrarios a los archivos en el sistema bajo privilegios de raíz", lo que implica que el atacante remoto podría "ejecutar código arbitrario" ( enlace ). Incluso si restringió el acceso a su servidor web de manera adecuada, en este caso no será de ayuda, ya que es una vulnerabilidad del propio servidor.

Entonces, ¿qué hacer?

Coloque su NAS detrás de un enrutador y configure el servidor VPN en el enrutador. Luego, para acceder a su NAS, necesita (1) conectarse a través de VPN a su red doméstica y (2) para autenticarse en el propio NAS. Así que ahora, para acceder a sus datos, alguien primero debe piratear su enrutador y luego piratear su NAS. Si el enrutador tiene un software diferente en ejecución, significa que un atacante ahora necesita 2 ataques de día cero en lugar de 1 si ha configurado todo correctamente y lo actualiza regularmente. Esta medida agrega un nivel de protección más y hace que sea más difícil acceder a sus datos en NAS para un atacante.

Por supuesto, ahora también es más complicado para usted acceder a sus archivos, pero este es un precio de mayor seguridad. Debe gastar tanto tiempo como dinero (para comprar un enrutador compatible con VPN, probablemente pague una dirección IP estática si está disponible (o incluso cambie de proveedor), configúrela, etc.). Entonces solo puede conectarse a VPN si tiene un cliente instalado. Sin embargo, para hacerlo un poco más fácil, puede buscar soluciones VPN sin cliente.

Hay muchas cosas que puede hacer para proteger su NAS:  - Patrón de contraseña complicado, 2 factor de inicio de sesión ....  - Encienda y refuerce el conjunto de reglas de su enrutador de enrutador.  - Enciende y fortalece tu firewall NAS.  - Acceso restringido de puerto TCP y servicio desde segmento interno y    Internet.  - usar siempre https  - Utilizar VPN  - Apague y bloquee todos los servicios que no sean necesarios para exponer a internet.  - Asigne acceso limitado a la aplicación con una cuenta de usuario que se utilizará a través de Internet (para acceder a su NAS).

Puedes probar DenyHosts. Recopila números de IP ofensivos de todos sus usuarios y luego puede elegir utilizar esta lista global de IP para proteger su NAS.

Lo he usado durante 4-5 años sin problemas, pero cuando realicé una reinstalación de mi NAS hace unos meses, intenté correr sin DenyHosts por un tiempo. Luego, los intentos de inicio de sesión aparecieron después de menos de una semana.