Il mio indirizzo IP (con un NAS) è preso di mira da un hacker. Cosa fare? Dovrei essere preoccupato?

Come qualsiasi cosa collegata alle reti pubbliche:

1. Riduci la superficie di attacco : puoi rimuovere il NAS da Internet? Puoi limitare gli IP che sono autorizzati a connettersi?
2. Aumenta il costo dell'attacco - i blocchi sono ottimi, ma assicurati anche di disporre di una password complessa e di cambiarla regolarmente
3. Accesso al monitoraggio : tieni d'occhio chi accede correttamente
4. Trattare i rischi - disporre di un piano per l'evento quando qualcuno effettivamente si intromette. Il NAS può essere utilizzato per accedere al resto della rete? C'è qualcosa su di esso che sarebbe un rischio se cadesse nelle mani sbagliate? Hai dei backup?

Da ciò che descrivi è possibile che tu sia stato preso di mira da bot che stanno cercando IP con porte specifiche e provando a forzarli brutalmente con password predefinite di tutti i tipi di FTP, NAS: o solo da una specifica lista di parole. Il mio consiglio: per ora chiudere la porta NAS nel router. Esistono diversi metodi per evitare tali attacchi. Un metodo consiste nel costruire una rete privata virtuale (VPN) a casa e accedere al NAS da esso.

Non dovresti esserne preoccupato perché ci sono un sacco di robot cinesi, francesi e di altri paesi che cercano di fare la stessa cosa. Di solito diventi un obiettivo quando utilizzi una sorta di DNS che punta al tuo IP, come noip.com.

Come qualcuno che ha occasionalmente bisogno di rivedere i dati di SEIM (Security Event Information Monitoring), posso dirti che la scansione della porta non è nulla di insolito. Può accadere ogni giorno.

Connessione a Internet è come avere una porta principale su una strada trafficata. Avrai gente che bussa alla tua porta. E alcuni di loro potrebbero essere interessati a rubare le tue cose.

Non ho idea del motivo per cui hai scelto di connettere il NAS a Internet. Non l'avrei fatto ma potresti avere una buona ragione. Se lo si fa, ridurre la superficie di attacco limitando le porte e gli IP consentiti attraverso il router, quindi bloccare il NAS stesso il più possibile, ad esempio non eseguendo servizi che non si utilizzano. Assicurati inoltre che sul tuo router sia installato il firmware più recente per ridurre al minimo il rischio che qualcuno usi un exploit conosciuto.

Il consiglio fornito da schroeder sopra è abbastanza buono, credo. Ma per approfondire una tua particolare preoccupazione:

when he gets the right username/password combination

Quali sono le probabilità di questo?

Se usi una password generata a caso con 12 caratteri, maiuscolo / minuscolo e cifre, ci sono circa 3 * 10 ²¹ (62 ¹² ) possibili password.

Se sei connesso a Internet con 1 GBit / s, in teoria l'autore dell'attacco potrebbe inviare circa 12 milioni di password di 12 lettere al secondo, come attacco a forza bruta. A quella velocità ci vorrebbero in media circa 4 milioni di anni per indovinare la tua password. Quindi, secondo me, con una buona password sei abbastanza sicuro anche se sei martellato con attacchi a forza bruta da molti IP.

Questo ovviamente presuppone che tu usi una password generata in modo completamente casuale (come con pwgen -s 12 1 ), e che sia basata su un generatore di numeri casuali sicuro. Inoltre, se qualcuno intercetta la tua password (ad esempio con un cavallo di Troia sul tuo computer desktop, o perché lo hai scritto e perso il foglio, o perché lo hai inviato al tuo amico tramite IRC ;-)), la sicurezza della password non aiuterà.

Inoltre, ridurre il numero di servizi pubblici è ancora una buona idea, per ridurre la possibilità che un bug di sicurezza venga sfruttato in questi servizi.

Secondo me, dovresti assolutamente impedire qualsiasi connessione diretta al tuo NAS da Internet (incluso il port forwarding).

Tuttavia, dipende dai dati che hai lì. Quindi ci sono 2 opzioni:

1. Se è pensato per essere una specie di server pubblico, che tu ei tuoi amici / altre persone intendete usare, quindi, tenetelo connesso e concentratevi per renderlo più sicuro.

2. Ma se memorizzi qualsiasi tipo di dati riservati e la perdita di riservatezza, disponibilità o integrità potrebbe essere dannosa per te, devi semplicemente disconnetterla immediatamente. Immediatamente significa ora, causa il rischio che il tuo NAS possa essere violato e i tuoi dati trapelati potrebbero essere troppo alti (di nuovo, dipende dalla tua valutazione su cosa ti succederà se i tuoi dati memorizzati sul NAS sono trapelati / modificati / cancellati, e come male è per te).

Nel secondo caso, la protezione del NAS non risolverà il problema , perché rimarrà un singolo punto di errore / ingresso. Anche se lo configuri correttamente, con autenticazione a due o anche a tre fattori, firewall, ecc., E anche se il tuo sistema è aggiornato, potrebbe esserci ancora solo una vulnerabilità zero-day di un servizio correttamente configurato e protetto sul tuo NAS. Like Heartbleed (vedi Come spiegare Heartbleed senza termini tecnici? e Come funziona esattamente l'exploit heartbeat (Heartbleed) di OpenSSL TLS? ). Quando Heartbleed era zero-day, e le persone avevano l'ascolto del server Web con SSL (HTTPS), anche se era configurato correttamente, poteva essere ancora violato, senza alcun avviso nei log e così via, e l'utente malintenzionato non ha bisogno di autenticarsi a tutti.

Oppure un altro esempio più pertinente per NAS: link . Immagina il momento in cui questa vulnerabilità era zero-day. Quindi, se si dispone di Synology NAS con server Web connesso a Internet, "consentirà a un utente remoto non autenticato di aggiungere dati arbitrari ai file sul sistema con privilegi di root", il che implica che l'utente malintenzionato remoto potrebbe "eseguire codice arbitrario" ( link ). Anche se hai limitato un accesso al tuo server web in modo corretto, non sarà di aiuto in questo caso, perché è la vulnerabilità del server stesso.

Che cosa fare?

Posizionare il NAS dietro un router e configurare il server VPN sul router. Quindi, per accedere al NAS, è necessario (1) connettersi tramite VPN alla rete domestica e (2) per autenticarsi sul NAS stesso. Così ora, per accedere ai tuoi dati, qualcuno dovrebbe prima hackerare il tuo router e poi hackerare il tuo NAS. Se il router ha un software diverso in esecuzione, significa che un utente malintenzionato ora necessita di 2 exploit zero-day anziché 1 se è stato configurato tutto correttamente e lo aggiorna regolarmente. Questa misura aggiunge un ulteriore livello di protezione e rende molto più difficile accedere ai dati sul NAS per un utente malintenzionato.

Naturalmente, ora è più complicato accedere ai tuoi file, ma questo è un prezzo di maggiore sicurezza. È necessario spendere tempo e denaro (per acquistare router con funzionalità VPN, probabilmente pagare per l'indirizzo IP statico se è disponibile (o addirittura cambiare fornitore), configurarlo, ecc.). Quindi puoi connetterti a VPN solo se hai un client installato. Per renderlo un po 'più semplice, potresti comunque cercare soluzioni VPN Clientless.

Un sacco di cose che puoi fare per proteggere il NAS:  - complicato modello di password, accesso a 2 fattori ....  - Attiva e rafforza la serie di regole del firewall del router.  - Accendi e rafforza il tuo firewall NAS.  - accesso limitato della porta TCP e del servizio dal segmento interno e    Internet.  - usa sempre https  - Usa VPN  - Spegni e blocca tutti i servizi che non è necessario esporre ad internet.  - Assegnare un accesso limitato alle applicazioni con un account utente da utilizzare su Internet (per accedere al NAS).

Potresti provare DenyHosts. Raccoglie i numeri IP offensivi da tutti i suoi utenti e quindi puoi scegliere di utilizzare questo elenco globale di IP per proteggere il tuo NAS.

L'ho usato per 4-5 anni senza problemi, ma quando ho fatto una reinstallazione del mio NAS qualche mese fa, ho provato a correre senza DenyHosts per un po '. Quindi i tentativi di accesso sono spuntati dopo meno di una settimana.