Secondo me, dovresti assolutamente impedire qualsiasi connessione diretta al tuo NAS da Internet (incluso il port forwarding).
Tuttavia, dipende dai dati che hai lì. Quindi ci sono 2 opzioni:
-
Se è pensato per essere una specie di server pubblico, che tu ei tuoi amici / altre persone intendete usare, quindi, tenetelo connesso e concentratevi per renderlo più sicuro.
-
Ma se memorizzi qualsiasi tipo di dati riservati e la perdita di riservatezza, disponibilità o integrità potrebbe essere dannosa per te, devi semplicemente disconnetterla immediatamente. Immediatamente significa ora, causa il rischio che il tuo NAS possa essere violato e i tuoi dati trapelati potrebbero essere troppo alti (di nuovo, dipende dalla tua valutazione su cosa ti succederà se i tuoi dati memorizzati sul NAS sono trapelati / modificati / cancellati, e come male è per te).
Nel secondo caso, la protezione del NAS non risolverà il problema , perché rimarrà un singolo punto di errore / ingresso. Anche se lo configuri correttamente, con autenticazione a due o anche a tre fattori, firewall, ecc., E anche se il tuo sistema è aggiornato, potrebbe esserci ancora solo una vulnerabilità zero-day di un servizio correttamente configurato e protetto sul tuo NAS. Like Heartbleed (vedi Come spiegare Heartbleed senza termini tecnici? e Come funziona esattamente l'exploit heartbeat (Heartbleed) di OpenSSL TLS? ). Quando Heartbleed era zero-day, e le persone avevano l'ascolto del server Web con SSL (HTTPS), anche se era configurato correttamente, poteva essere ancora violato, senza alcun avviso nei log e così via, e l'utente malintenzionato non ha bisogno di autenticarsi a tutti.
Oppure un altro esempio più pertinente per NAS: link . Immagina il momento in cui questa vulnerabilità era zero-day. Quindi, se si dispone di Synology NAS con server Web connesso a Internet, "consentirà a un utente remoto non autenticato di aggiungere dati arbitrari ai file sul sistema con privilegi di root", il che implica che l'utente malintenzionato remoto potrebbe "eseguire codice arbitrario" ( link ). Anche se hai limitato un accesso al tuo server web in modo corretto, non sarà di aiuto in questo caso, perché è la vulnerabilità del server stesso.
Che cosa fare?
Posizionare il NAS dietro un router e configurare il server VPN sul router. Quindi, per accedere al NAS, è necessario (1) connettersi tramite VPN alla rete domestica e (2) per autenticarsi sul NAS stesso. Così ora, per accedere ai tuoi dati, qualcuno dovrebbe prima hackerare il tuo router e poi hackerare il tuo NAS. Se il router ha un software diverso in esecuzione, significa che un utente malintenzionato ora necessita di 2 exploit zero-day anziché 1 se è stato configurato tutto correttamente e lo aggiorna regolarmente. Questa misura aggiunge un ulteriore livello di protezione e rende molto più difficile accedere ai dati sul NAS per un utente malintenzionato.
Naturalmente, ora è più complicato accedere ai tuoi file, ma questo è un prezzo di maggiore sicurezza. È necessario spendere tempo e denaro (per acquistare router con funzionalità VPN, probabilmente pagare per l'indirizzo IP statico se è disponibile (o addirittura cambiare fornitore), configurarlo, ecc.). Quindi puoi connetterti a VPN solo se hai un client installato. Per renderlo un po 'più semplice, potresti comunque cercare soluzioni VPN Clientless.