quanto è sicuro un NAS domestico con accesso ssh?

Un NAS è un computer. Ha una CPU "più piccola" (di solito un ARM nella gamma 200 MHz) ma gestisce ancora un sistema operativo "normale" (spesso un derivato Linux) con tutto il suo software normale e vulnerabilità assortite. Quando un server SSH ha un overflow del buffer, è vulnerabile, anche se la casella esterna non "assomiglia" a un computer.

Per essere considerato sicuro, è necessario gestire un NAS, come qualsiasi altro computer, con l'installazione rapida di correzioni di sicurezza. È qui che si trova il problema: contrario a ciò che accade con i computer desktop full-fledge, i fornitori NAS distribuiscono raramente patch di sicurezza su base giornaliera. Esiste una latenza intrinseca, il che significa che quando viene rilevata una vulnerabilità, gli hacker hanno alcune settimane (o mesi!) Di vantaggio prima che la correzione venga confezionata e installata nella maggior parte dei dispositivi distribuiti. Questo è un problema piuttosto grande. Trasforma gli exploit da 0 giorni in exploit da 0 mesi.

Il mio consiglio sarebbe di astenermi dal mettere tale dispositivo "su Internet" a meno che non si sostituisca il sistema operativo con un altro che si controlla, e offre aggiornamenti di sicurezza a bassa latenza (e, naturalmente, fare controllali e installali con tutta la dovuta alacrità). Ad esempio, puoi installare Debian su QNAP NAS .

Non mettere su internet se non ne hai bisogno. Se ne hai bisogno, rendi tutti gli altri servizi disponibili solo localmente e consenti solo ssh da internet. È quindi possibile creare un tunnel attraverso ssh e accedere agli altri servizi attraverso quel tunnel.

Ricorda che è un NAS HOME quindi è meglio tenerlo sulla tua LAN.

I dispositivi QNAP hanno un server ssh molto limitato installato come standard - devi accedere come amministratore (cioè l'accesso root), che è un rischio di per sé. Puoi sostituire con openssh: consulta le istruzioni qui: link

comunque stai molto attento a cambiare la password dell'account ospite. Ho imparato questo a mio costo quando ho notato che più utenti esterni indesiderati hanno effettuato l'accesso come ospite!

Puoi anche indurire la configurazione di openssh per negare l'accesso alla password e consentire solo l'accesso con lo scambio di chiavi pubbliche.

Hai intenzione di mettere le foto di famiglia, la libreria musicale, la raccolta di DVD strappati e i documenti di casa sul NAS?

In caso affermativo, quanto sarebbe importante per te se:

• Erano su Internet.
• Sono stati tutti cancellati.

Se una di queste cose ti interessa, è meglio non fare un buco nel firewall per esporre questo NAS a Internet.

Se queste cose non contano, puoi isolare il NAS dal resto dei tuoi dispositivi domestici, ad es. una 'casa DMZ'? In questo modo, se il NAS viene compromesso, l'accesso a Internet e altri dispositivi domestici non sono a rischio.