NAS con una IP pública y múltiples servicios para compartir archivos - problemas de seguridad

1

He 'heredado' (ahora es mi responsabilidad cuidarlo) un WD My Cloud EX2 con una IP pública y, como está expuesto a Internet, quiero asegurarme de que los datos y otras máquinas en el Las redes locales son seguras.

He leído que ciertos servicios son inherentemente vulnerables porque el tráfico no está cifrado y los métodos de autenticación (¿algoritmos de firma?) son débiles. Desafortunadamente, sé bastante poco acerca de las redes, y mucho menos la seguridad de las redes, así que por favor, tengan paciencia conmigo.

Cuando ejecuto Nmap en la IP pública del NAS desde fuera de la red local, obtengo la siguiente lista de puertos abiertos:

21/tcp    open  ftp
80/tcp    open  http
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
548/tcp   open  afp
3306/tcp  open  mysql
3689/tcp  open  rendezvous
4443/tcp  open  pharos
8080/tcp  open  http-proxy
8181/tcp  open  intermapper

Efectivamente, puedo conectarme desde OS X a través de afp, smb, ftp, y quién sabe qué usa Windows cuando arranco una máquina virtual W10 y elijo asignar una unidad de red como \ip_address\share (netbios-ssn y microsoft -se trata básicamente de smb, ¿verdad? Este material heredado de MS está completamente fuera de mi alcance y lo veo como si estuviera en una red local.

Para mí, esto no parece seguro porque no sé cómo funcionan la autenticación y el cifrado (a diferencia de ssh, por ejemplo) y, por lo tanto, no confío en esta implementación.

Yo creo algunos de estos servicios deberían estar detrás de un firewall porque proporcionan mucha información sobre la red local y posiblemente podrían usarse para un ataque. Sin embargo, la pregunta entonces es cómo puedo garantizar la misma funcionalidad, es decir, que cualquier usuario podrá asignar un recurso compartido como unidad de red a través de Internet y trabajar con archivos como si estuvieran en una unidad local.

Nuevamente, creo debería usar una VPN para que los clientes se conecten de manera segura a la red local y luego accedan al NAS, o posiblemente al menos aíslen el NAS del resto de la red local (DMZ ?).

¿Cuáles son los riesgos de tener un NAS con estos puertos expuestos a Internet y qué pasos debo tomar para mitigar estos riesgos?

Gracias de antemano.

    
pregunta Harold Cavendish 27.10.2018 - 03:48
fuente

1 respuesta

2

Risks

Cada puerto de escucha que deje expuesto a Internet aumenta su riesgo y su probabilidad de compromiso. Dudo que tenga una necesidad legítima para la mayoría de esos servicios, y estaría dispuesto a apostar que al menos uno o más de ellos es vulnerable, está mal configurado o está protegido con credenciales débiles o conocidas.

Además, es posible que algunos de los servicios remotos no proporcionen la confidencialidad que está buscando debido a un cifrado débil o inexistente. Por ejemplo, todo lo que suceda a través de su servicio FTP será de texto plano y visible para cualquier persona que pueda observar la conexión. Las versiones modernas de SAMBA (servicios SMB en Linux) pueden ser razonablemente seguras, pero es posible degradar o interrumpir estas conexiones de manera que los datos o credenciales puedan leerse.

En resumen, los riesgos incluyen acceso no autorizado, intercepción pasiva de datos y compromiso completo debido a la explotación de una vulnerabilidad.

Mitigation

La solución ideal, como ha mencionado, sería colocar este dispositivo detrás de una VPN. De esa manera, ya no tendrá que preocuparse por la exposición de servicios o protocolos vulnerables con poca seguridad. La única preocupación es administrativa; necesita configurar un servidor VPN y administrar la forma en que los clientes accederán a él.

Alternativamente, puede configurar un servidor de seguridad entre el dispositivo e Internet, permitiendo solo los puertos que son absolutamente necesarios para el acceso remoto (por ejemplo, no necesita acceso remoto a MySQL). Esto reduce la superficie de ataque general, pero no elimina por completo los problemas que la VPN haría.

    
respondido por el multithr3at3d 27.10.2018 - 17:42
fuente

Lea otras preguntas en las etiquetas