NAS con IP pubblico e servizi di condivisione di file multipli - problemi di sicurezza

1

Ho "ereditato" (è ora mia responsabilità occuparmi di esso) un WD My Cloud EX2 con un IP pubblico e dal momento che è esposto a Internet, voglio assicurarmi che i dati e le altre macchine sul la rete locale è sicura.

Ho letto che alcuni servizi sono intrinsecamente vulnerabili perché il traffico non è crittografato e i metodi di autenticazione (algoritmi di firma?) sono deboli. Sfortunatamente, conosco abbastanza poco il networking, per non parlare della sicurezza di rete, quindi ti prego di sopportare me.

Quando eseguo Nmap sull'IP pubblico del NAS dall'esterno della rete locale, ottengo il seguente elenco di porte aperte:

21/tcp    open  ftp
80/tcp    open  http
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
548/tcp   open  afp
3306/tcp  open  mysql
3689/tcp  open  rendezvous
4443/tcp  open  pharos
8080/tcp  open  http-proxy
8181/tcp  open  intermapper

Sì, posso collegarmi da OS X tramite afp, smb, ftp e chissà cosa sta usando Windows quando avvio una macchina virtuale W10 e scelgo di mappare un'unità di rete come \ip_address\share (netbios-ssn e microsoft -DB sono fondamentalmente SMB, giusto? Questo materiale legacy MS è completamente al di fuori di me) e lo vedo proprio come se fosse su una rete locale.

Per me, questo non sembra sicuro perché non so come funzionano l'autenticazione e la crittografia (a differenza di ssh, per esempio) e quindi non ho fiducia in questa implementazione.

I credo alcuni di questi servizi dovrebbero essere protetti da un firewall perché forniscono molte informazioni sulla rete locale e potrebbero essere utilizzati per un attacco. Tuttavia, la domanda quindi è come garantisco la stessa funzionalità, ovvero che qualsiasi utente sarà in grado di mappare una condivisione come unità di rete su Internet e di lavorare con i file come se fossero su un'unità locale.

Ancora una volta, credo dovrei usare una VPN per avere i client collegati in modo sicuro alla rete locale e quindi accedere al NAS, o almeno isolare il NAS dal resto della rete locale (DMZ ?).

Quali sono i rischi di avere un NAS con queste porte esposte a Internet e quali misure dovrei adottare per attenuare questi rischi?

Grazie in anticipo.

    
posta Harold Cavendish 27.10.2018 - 03:48
fonte

1 risposta

2

Rischi

Ogni porta di ascolto che lasci esposto a Internet aumenta il rischio e la probabilità di compromessi. Dubito che tu abbia una necessità legittima per la maggior parte di questi servizi, e sarei disposto a scommettere che almeno uno o più di essi sono vulnerabili, mal configurati o protetti con credenziali deboli o conosciute.

Inoltre, alcuni servizi remoti potrebbero non fornire la riservatezza che si sta cercando a causa della crittografia debole o inesistente. Ad esempio, tutto ciò che accade sul tuo servizio FTP sarà in chiaro e visibile a chiunque sia in grado di osservare la connessione. Le versioni moderne di SAMBA (servizi SMB su Linux) possono essere ragionevolmente sicure, ma potrebbe essere possibile effettuare il downgrade o man in mezzo a queste connessioni in modo tale che i dati o le credenziali possano essere letti.

Quindi, in breve, i rischi includono l'accesso non autorizzato, l'intercettazione passiva dei dati e il completo compromesso dovuto allo sfruttamento di una vulnerabilità.

Mitigazione

La soluzione ideale, come hai detto, sarebbe quella di posizionare questo dispositivo dietro una VPN. In questo modo, non dovrai più preoccuparti dell'esposizione di servizi o protocolli vulnerabili con scarsa sicurezza. L'unica preoccupazione è amministrativa; devi configurare un server VPN e gestire in che modo i client potranno accedervi.

In alternativa, è possibile configurare un firewall tra il dispositivo e Internet, consentendo solo le porte che sono assolutamente necessarie per l'accesso remoto (non è necessario, ad esempio, l'accesso remoto a MySQL). Questo riduce la superficie d'attacco generale, ma non elimina completamente i problemi che la VPN avrebbe.

    
risposta data 27.10.2018 - 17:42
fonte

Leggi altre domande sui tag