¿qué tan seguro es un NAS doméstico con acceso ssh?

Un NAS es una computadora. Tiene una CPU "más pequeña" (generalmente un ARM en el rango de 200 MHz) pero aún funciona con un sistema operativo "normal" (a menudo un derivado de Linux) con todo su software normal y diversas vulnerabilidades. Cuando un servidor SSH tiene un desbordamiento de búfer, es vulnerable, incluso si la caja externa no "parece" una computadora.

Para ser considerado seguro, un NAS, como cualquier otra computadora, debe ser administrado, con una instalación rápida de las correcciones de seguridad. Aquí es donde radica el problema: contrario a lo que sucede con las computadoras de escritorio de pleno derecho, los proveedores de NAS rara vez distribuyen parches de seguridad diariamente. Existe una latencia inherente, lo que significa que cuando se encuentra una vulnerabilidad, los atacantes tienen algunas semanas (¡o meses) de ventaja antes de que la solución se empaquete e instale en la mayoría de los dispositivos implementados. Este es un tema bastante grande. Convierte los exploits de 0 días en exploits de 0 meses.

Mi consejo sería abstenerse de poner dicho dispositivo "en Internet" a menos que reemplace el sistema operativo con otro que controle, y ofrezca actualizaciones de seguridad de baja latencia (y, por supuesto, lo hace verifíquelos e instálelos con toda la presteza). Por ejemplo, puede instalar Debian en QNAP NAS .

No ponga en internet si no lo necesita. Si lo necesita, haga que todos los demás servicios solo estén disponibles localmente y solo permita ssh desde Internet. Luego puede hacer un túnel a través de ssh y acceder a sus otros servicios a través de ese túnel.

Recuerde que es un HOME NAS, así que mejor manténgalo en su LAN.

Los dispositivos QNAP tienen un servidor ssh muy limitado instalado como estándar: debe iniciar sesión como administrador (es decir, acceso de root), lo que es un riesgo en sí mismo. Puede reemplazarlo con openssh; consulte las instrucciones aquí: enlace

sin embargo, tenga mucho cuidado de cambiar la contraseña de la cuenta de invitado. Aprendí esto a mi costo cuando noté que varios usuarios externos no deseados se registraron como invitados.

También puede reforzar la configuración de openssh para denegar el acceso a la contraseña, y solo permitir el acceso con el intercambio de claves públicas.

¿Tiene la intención de colocar en el NAS las fotos de su familia, la biblioteca de música, la colección de DVD grabados y los documentos internos?

Si es así, ¿cuánto le importaría si:

• Estaban en internet.
• Todos fueron borrados.

Si cualquiera de estos problemas es importante para usted, es mejor que no haga un agujero en su firewall exponiendo este NAS a internet.

Si estas cosas simplemente no importan, ¿puede aislar el NAS del resto de dispositivos de su hogar, por ejemplo? una 'casa DMZ'? De esa manera, si el NAS se ve comprometido, su acceso a Internet y otros dispositivos domésticos no están en riesgo.