He 'heredado' (ahora es mi responsabilidad cuidarlo) un WD My Cloud EX2 con una IP pública y, como está expuesto a Internet, quiero asegurarme de que los datos y otras máquinas en el Las redes locales son seguras.
He leído que ciertos servicios son inherentemente vulnerables porque el tráfico no está cifrado y los métodos de autenticación (¿algoritmos de firma?) son débiles. Desafortunadamente, sé bastante poco acerca de las redes, y mucho menos la seguridad de las redes, así que por favor, tengan paciencia conmigo.
Cuando ejecuto Nmap en la IP pública del NAS desde fuera de la red local, obtengo la siguiente lista de puertos abiertos:
21/tcp open ftp
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
548/tcp open afp
3306/tcp open mysql
3689/tcp open rendezvous
4443/tcp open pharos
8080/tcp open http-proxy
8181/tcp open intermapper
Efectivamente, puedo conectarme desde OS X a través de afp, smb, ftp, y quién sabe qué usa Windows cuando arranco una máquina virtual W10 y elijo asignar una unidad de red como \ip_address\share
(netbios-ssn y microsoft -se trata básicamente de smb, ¿verdad? Este material heredado de MS está completamente fuera de mi alcance y lo veo como si estuviera en una red local.
Para mí, esto no parece seguro porque no sé cómo funcionan la autenticación y el cifrado (a diferencia de ssh, por ejemplo) y, por lo tanto, no confío en esta implementación.
Yo creo algunos de estos servicios deberían estar detrás de un firewall porque proporcionan mucha información sobre la red local y posiblemente podrían usarse para un ataque. Sin embargo, la pregunta entonces es cómo puedo garantizar la misma funcionalidad, es decir, que cualquier usuario podrá asignar un recurso compartido como unidad de red a través de Internet y trabajar con archivos como si estuvieran en una unidad local.
Nuevamente, creo debería usar una VPN para que los clientes se conecten de manera segura a la red local y luego accedan al NAS, o posiblemente al menos aíslen el NAS del resto de la red local (DMZ ?).
¿Cuáles son los riesgos de tener un NAS con estos puertos expuestos a Internet y qué pasos debo tomar para mitigar estos riesgos?
Gracias de antemano.