Protezione di una rete collegata all'archiviazione su Internet

Naviga le tue risposte
4

Recentemente ho acquistato uno spazio di archiviazione collegato alla rete per l'archiviazione di file personali e vorrei che i membri della mia famiglia memorizzassero i file sul dispositivo dai loro computer come backup remoto.

Vorrei proteggere la porta utilizzata per sincronizzare i file in modo che solo i loro computer abbiano accesso. La soluzione dovrebbe essere facile da implementare e utilizzare quotidianamente. Credo che il backup dei file debba essere semplice, continuo e automatico. La maggior parte di questi file sono media (immagini, filmati domestici, ecc.). Il backup dei file su un sistema basato su cloud alternativo non è un'opzione.

Il mio problema è che ognuno di questi computer ha indirizzi IP dinamici quindi non è così semplice come configurare il firewall per consentire solo da una manciata di indirizzi IP. Non cambiano molto spesso, ma cambiano.

Sono in esecuzione un router (standard) basato su DDWRT collegato al NAS in modo da poter aggiungere regole firewall personalizzate se necessario o eseguire uno script. Per rispondere a questa domanda, la porta su cui è in esecuzione il servizio è TCP 5678. Qual è la soluzione migliore per proteggere l'accesso al NAS?

Possibili soluzioni:

  • Imposta una VPN (non molto comoda per gli utenti)
  • Imposta le regole del firewall in base all'intera rete dei client ISP
  • Imposta le regole del firewall e aggiorna l'indirizzo IP utilizzando un servizio DNS dinamico e uno script che viene eseguito periodicamente

Ho creato un semplice diagramma per mostrare la mia configurazione.

    
posta arcdegree 06.05.2013 - 20:47
fonte

3 risposte

1

Le risposte dipenderanno dal protocollo / dall'applicazione. Fondamentalmente, se puoi usare un tunnel sicuro o una soluzione VPN, avrai una buona sicurezza. Qualcuno potrebbe essere in grado di bussare alla porta, ma non sarà in grado di connettersi senza credenziali (e certificati se è possibile).

Potresti provare a configurare una VPN semplice usando qualcosa come Hamachi , TeamViewer o OpenVPN . Una volta impostato per la famiglia con certs e password, è possibile consentire loro di utilizzare qualsiasi protocollo esistente o accedere a una condivisione di rete (sebbene per motivi di prestazioni non consiglierei di utilizzare solo una condivisione di rete su Internet / WAN).

Una soluzione che rende questo relativamente facile è l'utilizzo di uno qualsiasi dei numerosi software che consentono di montare un'unità in locale tramite SFTP. Dispongono di soluzioni gratuite e commerciali per vari sistemi operativi (ad esempio, SFTP Net Drive , Opzioni OSX , google per gli altri). Se vuoi solo che siano in grado di rilasciare il file, questa è una buona soluzione leggera perché puoi semplicemente renderla un'altra unità sulla loro rete e dal momento che la sua SFTP presenta un sovraccarico di altre soluzioni. Il caveat, naturalmente, è che devono digitare una password ogni volta che caricano il file o è necessario archiviarlo sul proprio sistema, ma è probabile che si tratti di un problema con qualcosa di user friendly. Potresti anche scrivere qualcosa.

Se hai password e certificati a livello VPN e lascia che il firewall gestisca la tua VPN che ridurrebbe al minimo l'esposizione, ma potrebbe essere inutile (solo perché le persone scansionano il mio SSH sever, non vanno d'accordo perché non hanno un cert + credenziali).

Per un puro backup automatico, vorrei esaminare alcune delle funzioni P2P di CrashPlan gratuite. Gli altri strumenti di backup di solito dispongono anche di un'opzione di connessione SFTP, in cui è possibile eseguire un backup di file periodici tradizionale con incrementi, differenziali, delta ecc.

    
risposta data 06.05.2013 - 22:21
fonte
0

Il tuo diagramma di rete non è stato allegato.

Vorrei scaricare No-Ip su ciascuna delle workstation remote di cui vuoi eseguire il backup. Assegnare loro tutti un nome host e quindi utilizzare il nome host per le regole del firewall per consentire l'accesso. L'impostazione delle regole del firewall per la rete ISP non è raccomandata affatto.

La porta su cui è in esecuzione il servizio è irrilevante. La porta non fornisce la sicurezza, il dispositivo e i protocolli di trasmissione (HTTPS, SSH, SFTP) forniscono la sicurezza.

Per quanto riguarda il backup, è possibile utilizzare un file PowerShell o Batch per eseguire i backup e impostarlo su un'attività pianificata per eseguire il backup dei propri computer. Probabilmente avresti bisogno di usare SFTP per eseguire il trasferimento di file che richiederebbe l'hardcode della password negli script. Non è un metodo molto sicuro, ma per l'automazione, è un must.

    
risposta data 06.05.2013 - 20:57
fonte
0

Userei Duplicati ( link ) per SFTP i file sul NAS. È possibile impostare una condivisione separata per ciascun backup per isolare il rischio di compromissione in caso di perdita della password. Configura il tuo NAS con DNS dinamico e chiedi ai clienti di trasferire i dati sul NAS, in modo tale da preoccuparti solo del tuo indirizzo IP, non del loro. Duplicati può anche eseguire la crittografia e backup incrementali.

Inoltre, se decidi di usare Duplicati, assicurati di selezionare l'opzione SSH, non l'opzione FTP per fare SFTP. È strano così.

    
risposta data 06.05.2013 - 22:03
fonte

Leggi altre domande sui tag

Autentica gli utenti tramite Google utilizzando solo un token di accesso OAuth2 NaCl: US Export Regulations