Un NAS sensibile dietro un router è sicuro?

3

Ho quattro PC collegati a uno switch collegato a un router che viene connesso direttamente a Internet.

Quanto è sicuro un NAS collegato allo stesso router insieme alla spina dell'interruttore?

Mi piacerebbe avere il NAS disponibile internamente ma al sicuro da qualsiasi intrusione (contiene dati sensibili).

Modifica: è stato chiesto di aggiungere ulteriori dettagli così qui vengono: i quattro PC hanno tutti i sistemi operativi Windows 7, sono macchine moderne, le copie vengono costantemente aggiornate con gli aggiornamenti del sistema operativo. Utilizziamo solo elementi essenziali di sicurezza di Microsoft e nessun antivirus / firewall aggiuntivo per tenerli alla luce. Il router è un Netgear (non si può ricordare esattamente quale modello) con funzionalità wi-fi (e il wi-fi è solitamente abilitato, i pc non lo usano però, e nemmeno il NAS in alcun modo).

    
posta user3834459 08.01.2015 - 22:17
fonte

2 risposte

5

Se il NAS non è direttamente accessibile da Internet, i PC rappresentano il collegamento più debole.

Un attacco si concentrerebbe sul PC. Quindi, con l'accesso al PC, ottenere l'accesso al NAS sarebbe facile.

In primo luogo, attaccare il PC è più facile, perché - Effettuano connessioni a Internet regolarmente. La navigazione sul Web e l'e-mail costituiscono ottimi percorsi per un utente malintenzionato. - Sono più complicati del NAS, il che spesso significa più vulnerabilità.

Insieme questo li rende molto più facili da hackerare di attaccare direttamente il NAS.

Se hai una buona sicurezza sui PC (evita siti ingannevoli, installa un buon software di sicurezza host e mantienili con le patch ...), probabilmente sei in forma ragionevole per un piccolo ufficio o una situazione domestica.

E, penso ovviamente, come suggerito nei commenti. Disabilita il Wi-Fi se non lo usi.

Suppongo anche che:

  • Sei solo preoccupato dell'intrusione remota. Ti fidi delle persone che usano i computer e che hanno accesso fisico al sistema.
  • Non sei preoccupato o hai preso provvedimenti per ridurre le probabilità che il NAS sia stato rubato. Furto vecchio stile.
  • Il router è configurato in modo sicuro (e aggiornato anche con le patch di sicurezza). E configurato in modo sicuro, intendo che fornisce NAT e non hai abilitato funzioni rischiose come le opzioni 'DMZ' o 'port forwarding' che i router economici offrono allegramente. Inoltre, non ha l'amministrazione remota abilitata dall'indirizzo IP pubblico di Internet.

Potresti ricevere un'intrusione?

Quindi, hai preso provvedimenti per ridurre il rischio. L'esecuzione di AV, l'utilizzo di sistemi moderni e il mantenimento di tali patch ha una lunga tradizione.

Ma un attacco è possibile. Nonostante livelli e livelli di sicurezza aggiuntivi, le aziende con sistemi connessi a Internet vengono violate frequentemente.

Come è potuto accadere?

Puoi dividere gli attacchi remoti in due categorie.

  • Attacchi mirati - in cui qualcuno sta mirando in modo specifico ai tuoi dati.
  • Attacchi non mirati - in cui qualcuno sta tentando di hackerare un mucchio di computer e, per caso, il tuo computer è incluso nell'elenco.

Attacco mirato

Gli attacchi mirati sono attività costose e / o che richiedono tempo per un aggressore.

Potrebbero aver bisogno di scrivere un nuovo virus, uno che non viene rilevato da Microsoft AV. Quindi potrebbero inviarlo a te, via e-mail o forse tramite un link a una pagina web.

Potrebbe essere necessario che qualcuno faccia clic sul link, o forse è necessario utilizzare una nuova vulnerabilità che non ha ancora rilasciato una patch di sicurezza. Questi sono noti come zero day vulnerabilità.

Ma queste sono attività costose. Le nuove vulnerabilità sono preziose per gli aggressori. E scrivere virus che bypassano i controlli AV richiede un piccolo sforzo. Quindi devi essere un obiettivo che conoscevano e di cui erano interessati.

Da un articolo sugli attacchi:

Of the 18 attacks studied, 15 targeted 102 or fewer of the 11 millions hosts that were monitored. Eight of the exploits were directed at three or fewer hosts. The data confirms conventional wisdom that zero-day attacks are typically reserved for high-value targets.

(Articolo completo: link )

Attacchi non mirati

C'è anche la possibilità che tu venga colpito da un nuovo attacco, in cui sei solo uno dei migliaia di possibili bersagli, usando nuove vulnerabilità e / o virus. Saresti sfortunato ma succede - ma succede.

Anche se spesso sono subito dopo una rapida vincita finanziaria - forse la password per la tua banca - o per crittografare il tuo disco rigido e chiedere un riscatto per i tuoi dati. Non tutti gli hack di questo tipo risulterebbero interessati a ciò che è presente sul NAS.

Quindi, quanto sei sicuro

Dipende da quanto interessanti sono i tuoi dati, e se i possibili attaccanti lo sanno, se è probabile che sia un attacco mirato. Forse lo hai già provato.

Sono sicuro che ci sono alcune statistiche sugli attacchi non mirati su internet da qualche parte. Cercherò alcune figure.

Che cosa dovresti fare?

Forse un'altra domanda interessante è che altro potresti fare se vuoi essere più sicuro. Il consiglio risultante potrebbe formare un libro abbastanza lungo.

La soluzione più semplice: se i dati sono davvero molto sensibili, non collegarli a Internet. Non accedervi da un computer che può accedere a Internet.

L'alternativa pratica per i non professionisti: Oppure, se hai bisogno della flessibilità di connessione a Internet, ma vuoi ancora una vera sicurezza sulla sicurezza, procurati alcuni esperti di sicurezza, spiega il livello di sicurezza di cui hai bisogno e disponi di recensione dettagliata fatta. Non è economico però - e devi assicurarti di ricevere un buon consiglio!

    
risposta data 08.01.2015 - 22:53
fonte
0

Dovresti essere in grado di impedire al NAS di accedere / essere accessibile dal lato WAN del router, e quindi accessibile solo agli host LAN.

In realtà dovrebbe essere configurato in questo modo per impostazione predefinita, a meno che non sia stato abilitato specificamente il port forwarding sul router

    
risposta data 09.01.2015 - 15:49
fonte

Leggi altre domande sui tag