Wiedza Jak zabezpieczyć NAS, aby zminimalizować szanse na atak?

Zakładamy, że każdy z Was już ma serwer QNAP :), ale czy to oznacza, że macie go prawidłowo skonfigurowanego ? Poniższy poradnik pokazuje, jak dobrze zabezpieczyć NAS, żeby zminimalizować szanse na udany atak ze strony osób niepożądanych.

Źródło: Jak zabezpieczyć serwer NAS firmy QNAP - BackUp Academy

afiles.backupacademy.pl_2017_01_Zabezpiecz_dane_na_serwerze_QNAP_NAS_660x330.jpg


Na początku stycznia 2016 roku firma F-secure poinformowała, że użytkownicy serwerów NAS firmy QNAP mogą paść ofiarą ataku, które umożliwia zdalne przejęcie kontroli na serwerem QNAP NAS. Na szczęście na razie nie odnotowano przypadku takiego ataku i nie wynika to z tego, że jedne modele są bardziej odporne na atak, a drugie mniej; 90% sukcesu to prawidłowa konfiguracja serwera QNAP NAS. Okazuje się, że duża liczba właścicieli serwerów plików QNAP nie zdaje sobie sprawy z niebezpieczeństwa jakie czyha na urządzenia podłączone do sieci Internet. Jest też spore grono osób, które chcą zabezpieczyć serwer, a po prostu nie wiedzą jak to zrobić. W tym poradniku postaramy się przystępnie, krok po kroku, wytłumaczyć jak skonfigurować pamięć masową od QNAP, aby zminimalizować szanse na udany atak przez hackerów.


Ustaw bezpieczne hasło dla konta admin
Pierwsze co powinniśmy zrobić to ustawić bezpieczne hasło dla konta z loginem admin. Naszym zdaniem bezpieczne hasło to minimum 10 znaków, zawierające zarówno wielkie i małe litery, oprócz tego dobrze jest dodać przynajmniej dwie liczby i jakieś znaki specjalnie. Jest to bardzo ważne ponieważ większość bootów atakujących serwery korzystają z bazy danych haseł, które są najczęściej wykorzystywane, więc ustawienie hasła typu admin lub 12345 nie jest mądre. O zgrozo co niektórzy potrafią w ogóle nie ustawiać hasła, ale to pozostawimy już bez komentarza.


Staraj się nie korzystać z konta z loginem admin
Należy jak najmniej korzystać z konta z loginem admin, najlepiej raz ustawić mocne hasło i korzystać z niego tylko w ostateczności. Żeby mimo wszystko mieć uprawnienia admina, tworzymy nowe konto z własnym wymyślonym loginem i dodajemy je do grupy administratorów z poziomu panelu sterowania. Od tego momentu wszystko co robisz na serwerze, rób przy pomocy nowego konta.


Zmień domyślne porty do QTS
Często jest tak, że ataki są ukierunkowane na system operacyjny i w przypadku QTS domyślnie atak będzie prowadzony na portach 8080 (standardowy port ustawiony fabrycznie), dlatego dobrze jest zmienić ten porty na inny niestandardowe np. na 8007.

afiles.backupacademy.pl_2017_01_QNAP_domy_C5_9Blny_porty_GUI_1_1024x528.png

Port logowania do GUI


Loguj się do QTS tylko przy pomocy SSL
Loguj się tylko przy pomocy bezpiecznego połączenia HTTPS (szyfrowane – SSL) i najlepiej wyłączyć opcję logowania bez SSL, tak żeby nie kusiło. Będzie to działać nawet jak nie mamy wykupionego certyfikatu, oczywiście jego wykupienie sprawi, że stanie się to jeszcze bezpieczniejsze. Na powyższym zrzucie widać, że mam zaznaczone automatyczne przekierowanie na HTTPS. Jeżeli chcemy to możemy dodadtkowo zaimportować swój certyfikat SSL, a jeżeli go nie mamy to QNAP daje możliwość jego zakupienia. Dla osób z większą wiedzą odsyłam do strony Let's Encrypt - Free SSL/TLS Certificates. Tam za darmo można zrobić certyfikat SSL, z tym, że trzeba go odnawiać co trzy miesiące.


Uruchom dwupoziomową weryfikację dla logowania do QTS
Nie każdy zdaje sobie sprawę, ale QNAP daje możliwość dwustopniowej weryfikacji użytkownika, który próbuje się zalogować na serwer QNAP. Pierwszy stopień weryfikacji to podanie loginu i hasła; jeżeli będzie prawidłowe do QNAP poprosi jeszcze o jednorazowy kod który zostanie wygenerowany na Waszym telefonie. Oczywiście żeby to wszystko działało trzeba pobrać odpowiednią aplikację na telefon. Aplikacja jest dostępna dla telefonów z systemem Android, Windows Phone 8 oraz Apple iOS. Pozostaje to wszystko ładnie skonfigurować. Aby to zrobić bardzo prosto w prawym górnym rogu panelu zarządzania klikamy na „admin” i z rozwijanego menu wybieramy „Opcje”.

afiles.backupacademy.pl_2017_01_dwupoziomowa_weryfikacja_przy_logowaniu_do_QNAP_1024x604.png

Dwuetapowe logowanie do QNAP NAS

Następnie klikamy „Rozpocznij” i wykonujemy instrukcje podane przez kreatora instalacji. To wszystko teraz przy logowaniu po wpisaniu loginu i hasła, serwer zapyta także o jednorazowy kod.


Wyłącz dostęp SSH i Telnet
Kolejną ważną sprawą jest wyłączenie w serwerze QNAP usług SSH i Telnet. Jeżeli jednak okaże się, że musisz mieć dostęp do konsoli (bo jesteś zapalonym użytkownikiem i miłośnikiem Linuxa) to zmień port 22 dla SSH na inny, przykładowo może to być 8022 i staraj się logować tylko lokalnie. Jeżeli musisz mieć zdalny dostęp to łącz się do serwera przy pomocy szyfrowanego łącza wykorzystując np. protokół VPN. Warto też skonfigurować dodatkową autentykację dla protokołu SSH, która oprócz loginu i hasła będzie weryfikować także klucz szyfrujący.

afiles.backupacademy.pl_2017_01_QNAP_i_ssh_1024x520.png

Zmiana domyślnego portu SSH w QNAP NAS


Nie udostępniaj dysku sieciowego w Internecie
Jeżeli nie musisz, to nie otwieraj dostępu do QNAP przez sieć Internet. Tak, wiemy, że wielu z was kupiło serwer QNAP po to, żeby świadczył funkcjonalność prywatnej chmury, ale jest też wielu, którzy wykorzystują go tylko lokalnie i w takich przypadkach nie ma sensu kusić losu dając do niego dostęp z sieci zewnętrznej i nie korzystać z tego.


Przekierowuj porty z głową
W przypadku gdy musisz przekierować porty na routerze, żeby umożliwić zdalny dostęp do usług na serwerze QNAP to zmieniaj porty domyślne na nietypowe. Po drugie pod żadnym pozorem nie otwieraj portów, z których nie będziesz korzystał, a już, o zgrozo, nie dodawaj serwera QNAP do DMZ. Ważne, aby wiedzieć co się robi, dlatego przekierowując porty rób to z poziomu routera a nie przy pomocy automatów wbudowanych w system QTS. Nie wolno także korzystać z wynalazków typu CloudLink. My wiemy, że to są fajne usługi, wszystko robią za nas, ale jednocześnie prosimy pamiętać, że nie mamy nad nimi kontroli i jeżeli się okaże, że zawierają bug lub backdoor, który później ktoś wykorzysta to możemy mieć duże problemy. Jak widzicie na poniższych screenach przekierowane są porty tylko potrzebne, a automatyczne aplikacje o których wspominaliśmy są nie skonfigurowane.

afiles.backupacademy.pl_2014_08_58.png


Automatycznie blokuj nieznane IP
Fajnym narzędziem, które posiada większość serwerów NAS z którego trzeba skorzystać jest możliwość automatycznego blokowania adresów IP. W przypadku gdy z danego adresu IP ktoś błędnie wpisze login i hasło w krótkim odstępie czasu, serwer automatycznie zablokuje wszelkie połączenia z niego. Zalecamy ustawienie ilości prób na 5 w czasie 60 sekund i ustawienie bezterminowej blokady tego adresu. Ci którzy uważają, że ich serwer nie będzie atakowany zdziwią się, jak w pierwszych dwóch tygodniach liczba IP będzie rosła w zastraszającym tempie.

afiles.backupacademy.pl_2017_01_Automatyczne_blokowanie_IP_na_QNAP_NAS_1024x531.png

Automatyczne blokowanie IP na QNAP NAS


Uruchamiaj tylko te usługi, z których korzystasz
Jak wszyscy wiecie QNAP ma duże możliwości, ale to nie znaczy, że z wszystkiego będziecie korzystać. Po to jest centrum pakietów, żeby dostosować system do swoich potrzeb, a nie żeby instalować wszystko bezmyślnie na zasadzie „może kiedyś to uruchomię i sprawdzę”. Dlatego ważne: instalujemy tylko te usługi, z których korzystamy. Dzięki czemu skorzystamy podwójnie, po pierwsze serwer nie będzie obciążony innymi usługami co sprawi, że będzie działał szybciej, a po drugie mniej zainstalowanych paczek oznacza mniejszą szansę na trafienie na bug, który może być wykorzystany do ataku.

afiles.backupacademy.pl_2017_01_Centrum_aplikacji_w_QNAP_NAS_1024x441.png

Centrum aplikacji w QNAP NAS


Automatyczna aktualizacja oprogramowanie QTS
F-secure twierdzi, że exploid, który stworzyli umożliwia zdalne przejęcie kontroli nad serwerem QNAP NAS, jeżeli ten ma włączoną automatyczną aktualizację QTS. Firma QNAP potwierdziła ten bug i poinformowała, że pracuje nad jego usunięciem, dlatego do momentu, aż nie zostanie wypuszczony nowy firmware rozwiązujący ten problem należy koniecznie wyłączyć funkcję automatycznej aktualizacji.

afiles.backupacademy.pl_2017_01_QNAP_automatyczna_aktualizacja_QTS_1024x512.png

QNAP automatyczna aktualizacja QTS


Uważaj co instalujesz
Jako, że serwery QNAP są bardzo popularne, dlatego można spotkać sporo nieautoryzowanego przez QNAP oprogramowanie, które można zainstalować na serwerze. I tutaj powinna zapalić się nam lampka. Zanim coś takiego zainstalujesz, to zastanów się czy autor jest wiarygodny i jaką masz pewność że oprócz usługi której oczekujesz nie doinstalujesz jakiegoś bonusa, który później umożliwi włamanie na serwer? Nie masz żadnej pewności, więc lepiej nie instalować paczek z poza oficjalnego repozytoriumQNAP. Poniżej screen, który pokazuje, że QNAP ma możliwość dodania zewnętrznych repozytoriów, jednak my osobiście z tego nie korzystamy.

afiles.backupacademy.pl_2017_01_Nieoficjalne_repozytoria_aplikacji_dla_QNAP_1024x499.png

Nieoficjalne repozytoria aplikacji dla QNAP


Antywirus
Pamiętajcie też, że złośliwe oprogramowanie możemy sami wgrać na serwer razem z jakimiś zainfekowanymi plikami, dlatego trzeba mieć zawsze uruchomiony wbudowany na QNAP antywirus, który regularnie raz dziennie, np. o 1 w nocy codziennie będzie skanował dane i weryfikował czy nie mamy zainfekowanego serwera. Na QNAP mamy do wybory darmowy antywirus od ClamAV lub płatny McAfee.

afiles.backupacademy.pl_2017_01_Antywirus_na_QNAP_NAS_1024x514.png

Antywirus na QNAP NAS


Zdalny dostęp do danych tylko przez VPN
Jeżeli musisz koniecznie skorzystać zdalnie z danych, które przechowujesz na serwerze, to zainstaluj serwer VPN i łącz się z serwerem przez IPsec lub OpenVPN. Te dwa standardy obsługuje każdy system operacyjny, a nawet urządzenia mobilne. Konfiguracja jest naprawdę łatwa. Fakt VPN spowalnia działanie urządzeń i prędkość transmisji, ale musisz zadać sobie pytanie czy chcesz, aby twoje dane były bezpieczne czy może wolisz działać szybko i bez zabezpieczeń. Wystarczy w centrum pakietów zainstalować paczkę QVPN Service.

afiles.backupacademy.pl_2017_01_VPN_IPsec_na_QNAP_NAS_1024x607.png

VPN IPsec na QNAP NAS


Następnie po zainstalowaniu pakietu klikamy w ikonę QVPN Service i po lewej stronie wybieramy L2TP/IPSec, a po prawej stronie klikamy „Uruchom serwer L2TP/IPSec”. To wszystko co musimy zrobić na serwerze QNAP. Pozostało nam przekierować na ruterze porty 500, 4500, 1701 UDP na lokalny adres IP QNAP i skonfigurować połączenie VPN na naszym systemie. Poniżej przykład z Windows 8.

W „Centrum sieci i udostępnienia” klikamy „Skonfiguruj nowe połączenie lub nową sieć”

afiles.backupacademy.pl_2014_08_113_1024x576.png

Z dostępnych opcji wybieramy „Połącz z miejscem pracy”

afiles.backupacademy.pl_2014_08_213.png

Następnie wybieramy „Użyj mojego połączenie internetowego (VPN)”

afiles.backupacademy.pl_2014_08_313.png

W kolejnych krokach podajemy adres IP lub nazwę domeny oraz wpisujemy login i hasło i to wszystko. Połączenie jest już skonfigurowane.

Teraz jak przejdziemy do połączeń sieciowych mamy nowe rozłączone połączenie sieci VPN. Klikamy na nie prawym przyciskiem myszy i wybieramy z rozwijanego menu opcję Połącz. Po połączeniu mamy dostęp do serwera i do tego na takiej zasadzie, że mimo iż logujemy się zdalnie to korzystamy z niego tak jakbyśmy byli w tej samej sieci lokalnej w której znajduje się serwer.


Szyfruj ważne dane
QNAP daje możliwość szyfrowania wybranych udziałów lub całych woluminów (czego nie ma konkurencja) kluczem AES 256 bitów. Dane, które tam się znajdują są procesowane tak samo szybko jak te nie szyfrowane, a to dlatego, że QNAP ma sprzętowe wsparcie do szyfrowania. W przypadku gdy ktoś fizycznie ukradnie serwer to mamy pewność, że po uruchomieniu nie będzie miał dostępu do tych danych. Oczywiście to Ty decydujesz czy szyfrujesz cały wolumin czy tylko wybrane udziały. Opcję szyfrowania wybiera się przy tworzenia nowego woluminu lub udziału. Tylko niech ktoś nie wpadnie na głupi pomysł i nie zaznaczy zapisywania klucza na serwerze QNAP i montowania automatycznego przy uruchomieniu :).

afiles.backupacademy.pl_2017_01_Szyfrowanie_danych_na_QNAP_NAS_1024x519.png

Szyfrowanie danych na QNAP NAS


Rozsądnie przyznawaj uprawnienia
Nigdy nie przyznawaj uprawnień na na wyrost. Najlepiej, żeby w grupie administratorów było tylko dwóch administratorów: domyślny admin i ten stworzony przez nas. Oczywiście można i czasami nawet trzeba stworzyć komuś konto administratora, ale pomyśl 10 razy zanim komuś dasz taki dostęp. Istnieje duża szansa, że inne osoby mogą nie przykładać tak dużego znaczenia do bezpieczeństwa danych jak Ty.


Backup
Zawsze warto zrobić dodatkowy backup na zewnętrzny dysk na USB i po jego wykonaniu wrzucić go w bezpieczne miejsce. Dla osób, które mają fundusze zalecam zakup drugiego mniejszego serwera i wykonywanie zdalnej replikacji danych na nim. Pamiętajcie, RAID to nie wszystko, dyski mogą ulec awarii. Mieliśmy przypadki gdzie uszkodziły się dwa dyski w RAID 1 w tym samym czasie lub przypadki gdy podczas odbudowy RAID5 awarii ulegał kolejny dysk. Dlatego pamiętajcie zawsze, że trzeba mieć przynajmniej jedną kopię danych z serwera, najlepiej poza lokalizacją gdzie jest serwer. Nawet jak ktoś jest pewny, że jego dyski wytrzymają wszystko to czy macie pewność, że nie spali się dom, lub czy powódź nie zaleje serwera, albo że zwykły złodziej go ukradnie. Świat nie jest idealny i warto brać pod uwagę każdą pesymistyczną opcję. Inna sprawa to czy wykonane backup-y są prawidłowe, czy nie zaszkodziło im np. ciche uszkodzenie danych, ale to już temat na inny artykuł.

afiles.backupacademy.pl_2017_01_Przyczyny_utraty_danych.png

Przyczyny utraty danych (źródło: The Data Recovery Blog by Kroll Ontrack)


RAID to nie Backup
Przypadki kiedy RAID nie pomoże:
  1. Błąd ludzki, czyli przypadkowe skasowanie danych
  2. Uszkodzenie systemu plików
  3. Awaria kilku dysków twardych w tym samym momencie
  4. Pożar, powódź, trzęsienie ziemi
  5. Ransomware (wirusy szyfrujące dane)
Wirusy szyfrujące dane to obecnie największy problem, niestety jak dane zostaną zaszyfrowane to od razu na wszystkich dyskach. QNAP NAS ma jednak narzędzie, które umożliwia szybkie odzyskanie danych, są to migawki. QNAP umożliwia wykonanie 256 migawek na wolumin. Migawki pozwalają serwerowi QNAP NAS zarejestrować stan systemu w dowolnym momencie. W razie wystąpienia awarii w systemie można go przywrócić do wcześniejszego stanu zarejestrowanego w migawce. Migawki możemy także replikować na innych QNAP NAS w celu zabezpieczenia się przed punktami od 1 do 4. Jeżeli chodzi o migawki to polecam przeczytać ten samouczek: Tworzenie i przywracanie do migawek oraz zarządzanie migawkami serwera QNAP Turbo NAS :: Backup ::NAS :: QNAP

afiles.backupacademy.pl_2017_01_Migawki_na_QNAP_NAS_1024x505.png

Migawki na QNAP NAS


Podsumowanie
Jeśli zastosujecie się do powyższych zaleceń to gwarantujemy Wam, że zminimalizujecie podatność Waszego serwera na ataki z zewnątrz i na pewno zwykłe booty nic wam nie zrobią. Natomiast zaznaczamy – nikt Wam nie zagwarantuje 100% skuteczności i bezpieczeństwa danych. Wyznajemy zasadę, że jak ktoś chce się włamać, to się włamie – kwestia tylko czasu, narzędzi i wiedzy. A sprzęt bezpieczny to sprzęt odpięty od sieci i najlepiej wyłączony.
 
Szkoda że Wasza firma nie umożliwia weryfikacji dwuetapowej w postaci np yubikey.
 
uff, dobrze że to nie moja fima, Q ma chyba Google 2FA
 
Szkoda że Wasza firma nie umożliwia weryfikacji dwuetapowej w postaci np yubikey.

To byłoby dobre.

Jak działa ta aplikacja do dwustopniowej weryfikacji, potrzebuje dostępu do Internetu, czy generuje hasła (tokeny) offline?
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. szyfrowanie połączenie
  2. aktualizacja qvpn
  3. lokalizacja aplikacji
  4. backup android
  5. ClamAV
  6. ustawienie portów
  7. repozytoria
  8. repozytoria QNAP
  9. wolumin tylko dla aplikacji
  10. openvpn dostęp do dysku
  11. zminimalizować szanse na atak
  12. zdalne wyłączenie
  13. liczba woluminów
  14. https://forum.qnap.net.pl/threads/jak-zabezpieczy%C4%87-nas-aby-zminimalizowa%C4%87-szanse-na-atak.20446/
  15. jak wyłączyć szyfrowanie
  16. szyfrowanie woluminów
  17. ustawienie portów w web
  18. telnet via cmd
  19. SSH logowanie kluczem
  20. szyfrowane dysków