Ho "ereditato" (è ora mia responsabilità occuparmi di esso) un WD My Cloud EX2 con un IP pubblico e dal momento che è esposto a Internet, voglio assicurarmi che i dati e le altre macchine sul la rete locale è sicura.
Ho letto che alcuni servizi sono intrinsecamente vulnerabili perché il traffico non è crittografato e i metodi di autenticazione (algoritmi di firma?) sono deboli. Sfortunatamente, conosco abbastanza poco il networking, per non parlare della sicurezza di rete, quindi ti prego di sopportare me.
Quando eseguo Nmap sull'IP pubblico del NAS dall'esterno della rete locale, ottengo il seguente elenco di porte aperte:
21/tcp open ftp
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
548/tcp open afp
3306/tcp open mysql
3689/tcp open rendezvous
4443/tcp open pharos
8080/tcp open http-proxy
8181/tcp open intermapper
Sì, posso collegarmi da OS X tramite afp, smb, ftp e chissà cosa sta usando Windows quando avvio una macchina virtuale W10 e scelgo di mappare un'unità di rete come \ip_address\share
(netbios-ssn e microsoft -DB sono fondamentalmente SMB, giusto? Questo materiale legacy MS è completamente al di fuori di me) e lo vedo proprio come se fosse su una rete locale.
Per me, questo non sembra sicuro perché non so come funzionano l'autenticazione e la crittografia (a differenza di ssh, per esempio) e quindi non ho fiducia in questa implementazione.
I credo alcuni di questi servizi dovrebbero essere protetti da un firewall perché forniscono molte informazioni sulla rete locale e potrebbero essere utilizzati per un attacco. Tuttavia, la domanda quindi è come garantisco la stessa funzionalità, ovvero che qualsiasi utente sarà in grado di mappare una condivisione come unità di rete su Internet e di lavorare con i file come se fossero su un'unità locale.
Ancora una volta, credo dovrei usare una VPN per avere i client collegati in modo sicuro alla rete locale e quindi accedere al NAS, o almeno isolare il NAS dal resto della rete locale (DMZ ?).
Quali sono i rischi di avere un NAS con queste porte esposte a Internet e quali misure dovrei adottare per attenuare questi rischi?
Grazie in anticipo.