NAS: Jak na firewall a zabezpečení?
28.6.2013, Radan Tuhý, návod
Ke správné a kompletní konfiguraci NASu patří nepochybně také jeho zabezpečení. Pokud chcete mít svá data v bezpečí, je dobré osvojit si základní pravidla přidělování práv, oprávnění, síly hesel a v neposlední řadě mít správně nakonfigurovaný firewall.
Kapitoly článku:
- Úvod, jednotlivé oblasti, na které se zaměříme
- Uživatelské účty a práva, hesla
- Sdílení a pravidla oprávnění
- Aktualizace firmware a aplikací
- Firewall, závěr
Prvním účtem, který bude na NASu vytvořen, je účet administrátora. Tento účet má již ve výchozím nastavení kompletní práva k celému systému a jeho součástem, včetně přístupu ke složkám a souborům. Obvykle se jedná o uživatelské jméno "administrator", "admin", případně nějaký podobný ekvivalent.
Jak je patrné z předchozího odstavce, naprostá většina síťových zařízení má takovýto účet, proto je velmi důležité mít u administrátorského účtu silné heslo. O heslech si ještě něco málo povíme v druhé části této kapitoly. Je také dobrou praxí tento účet využívat výhradně k administraci NASu. Pro běžné využívání si proto vytvořte standardní účet, který bude mít pouze taková práva a možnosti, které běžně potřebujete.
Druhým důležitým faktorem je, aby každý uživatel NASu vlastnil samostatný uživatelský účet. Sdílení účtů a hesel je všeobecně nesmyslná praktika, která dříve či později bude znamenat problém. V neposlední řadě to pak znemožňuje přiřadit speciální oprávnění k datům, povolit různé aplikace pro různé uživatele, případně v případě potřeby účet zakázat úplně.
Pokud požadujeme, aby více uživatelů mělo stejné oprávnění k určitým datům, vytvoříme jednoduše skupinu, do které uživatele následně vložíme. Je to navíc lepší, protože budeme mít možnost na první pohled poznat, kam kdo může nebo nemůže přistupovat.
Samotná tvorba účtu je poměrně jednoduchým úkonem a zabere nám pouze několik málo minut. V rámci našeho referenčního modelu Synology DS413 stačí otevřít ovládací panel (Control Panel), kliknout na Users a v nově otevřeném okně kliknout na tlačítko Create. Tím zobrazíme dialog, do kterého zadáme standardní údaje, tedy uživatelské jméno a heslo. Dobrou praxí je vytvořit dočasné heslo, které si bude moci uživatel následně změnit.
V dalším kroku zvolíme skupinu (případně skupiny), do které bude daný uživatel přiřazen. Tím vlastně přebírá práva a oprávnění dané skupiny (bez nutnosti je explicitně specifikovat). Následně se zobrazí seznam všech aktuálně sdílených složek. Zobrazená oprávnění jsou výsledkem členství ve skupinách specifikovaných v předchozím kroku, přičemž zde je možné oprávnění přidat (eventuálně odebrat), ačkoli tento způsob přiřazování oprávnění nepatří mezi zcela doporučený. Přesto na samotnou úroveň zabezpečení vliv nemá.
Po případném nastavení kvót (limit dat, které má daný uživatel k dispozici, nemá na zabezpečení jako takové prakticky vliv) se dostaneme v dialogu k možnosti specifikovat práva k jednotlivým aplikacím, které máme aktuálně nastaveny na NASu. V tomto případě je vhodné uživateli povolit pouze takové aplikace, které skutečně potřebuje, což platí zejména pro aplikace, ke kterým je možné přistupovat z internetu (typicky FTP, VPN apod.).
V předposledním kroku lze nastavit omezení rychlosti přístupu k NASu (to obvykle nebývá úplně žádoucí a v principu to nemá vliv na zabezpečení). Posledním krokem je pak závěrečná rekapitulace nastavení, které jsme provedli v předchozích krocích. Pokud je vše v pořádku, potvrdíme tlačítkem Apply. Tím jsme vytvořili nového uživatele, který se následně může přihlásit do webového rozhraní (kde uvidí povolené aplikace) a přistupovat ke sdíleným složkám, ke kterým má povolený přístup.
Takto vytvořený uživatelský účet lze samozřejmě v budoucnu upravit (přidávat oprávnění, práva k aplikacím, apod.) případně zcela odstranit.
Kamenem úrazu bývají často špatná a nekvalitní hesla, která nejsou dostatečně silná. Lidé mají tendenci do hesel vkládat svoje jméno, rok narození, případně jména zvířecích miláčků. To je sice pěkné, ale takové heslo lze poměrně jednoduše uhodnout metodou pokus/omyl a následně pak čelíme řadě potenciálně nebezpečných situací.
Kupříkladu heslo "martin1970" je sice na první pohled relativně dobré (obsahuje písmena i číslice), ale pokud danou osobu alespoň rámcově známe (a víme, že se narodil v roce 1970), můžeme se tohoto hesla poměrně snadno dopátrat. Proto je všeobecně dobré vytvářet hesla, která splňují požadavky silného hesla. Této oblasti jsme se již věnovali v jedné z kapitol předcházejícího článku.
Pokud je to alespoň trochu možné, snažte se uživatele nabádat ke tvorbě co nejsilnějších hesel. Velmi výrazně to eliminuje potenciální riziko útoku zvenčí, zvláště pak v situaci, kdy má daný uživatel povolený přístup k aplikacím typu VPN, nebo třeba FTP. Pokud chceme mít jistotu, že si uživatelé takové heslo skutečně vytvoří, je možné v konfiguraci síly hesel tuto skutečnost vynutit, čili hesla nesplňující určité parametry nebudou akceptována.
Kromě toho je také dobrou praxí heslo po určité době změnit. Doporučujeme tak učinit alespoň jednou za 3 měsíce, v optimálním případě jednou za měsíc.
Jak je patrné z předchozího odstavce, naprostá většina síťových zařízení má takovýto účet, proto je velmi důležité mít u administrátorského účtu silné heslo. O heslech si ještě něco málo povíme v druhé části této kapitoly. Je také dobrou praxí tento účet využívat výhradně k administraci NASu. Pro běžné využívání si proto vytvořte standardní účet, který bude mít pouze taková práva a možnosti, které běžně potřebujete.
Druhým důležitým faktorem je, aby každý uživatel NASu vlastnil samostatný uživatelský účet. Sdílení účtů a hesel je všeobecně nesmyslná praktika, která dříve či později bude znamenat problém. V neposlední řadě to pak znemožňuje přiřadit speciální oprávnění k datům, povolit různé aplikace pro různé uživatele, případně v případě potřeby účet zakázat úplně.
Pokud požadujeme, aby více uživatelů mělo stejné oprávnění k určitým datům, vytvoříme jednoduše skupinu, do které uživatele následně vložíme. Je to navíc lepší, protože budeme mít možnost na první pohled poznat, kam kdo může nebo nemůže přistupovat.
Vytváříme uživatelský účet
Samotná tvorba účtu je poměrně jednoduchým úkonem a zabere nám pouze několik málo minut. V rámci našeho referenčního modelu Synology DS413 stačí otevřít ovládací panel (Control Panel), kliknout na Users a v nově otevřeném okně kliknout na tlačítko Create. Tím zobrazíme dialog, do kterého zadáme standardní údaje, tedy uživatelské jméno a heslo. Dobrou praxí je vytvořit dočasné heslo, které si bude moci uživatel následně změnit.
V dalším kroku zvolíme skupinu (případně skupiny), do které bude daný uživatel přiřazen. Tím vlastně přebírá práva a oprávnění dané skupiny (bez nutnosti je explicitně specifikovat). Následně se zobrazí seznam všech aktuálně sdílených složek. Zobrazená oprávnění jsou výsledkem členství ve skupinách specifikovaných v předchozím kroku, přičemž zde je možné oprávnění přidat (eventuálně odebrat), ačkoli tento způsob přiřazování oprávnění nepatří mezi zcela doporučený. Přesto na samotnou úroveň zabezpečení vliv nemá.
Po případném nastavení kvót (limit dat, které má daný uživatel k dispozici, nemá na zabezpečení jako takové prakticky vliv) se dostaneme v dialogu k možnosti specifikovat práva k jednotlivým aplikacím, které máme aktuálně nastaveny na NASu. V tomto případě je vhodné uživateli povolit pouze takové aplikace, které skutečně potřebuje, což platí zejména pro aplikace, ke kterým je možné přistupovat z internetu (typicky FTP, VPN apod.).
V předposledním kroku lze nastavit omezení rychlosti přístupu k NASu (to obvykle nebývá úplně žádoucí a v principu to nemá vliv na zabezpečení). Posledním krokem je pak závěrečná rekapitulace nastavení, které jsme provedli v předchozích krocích. Pokud je vše v pořádku, potvrdíme tlačítkem Apply. Tím jsme vytvořili nového uživatele, který se následně může přihlásit do webového rozhraní (kde uvidí povolené aplikace) a přistupovat ke sdíleným složkám, ke kterým má povolený přístup.
Takto vytvořený uživatelský účet lze samozřejmě v budoucnu upravit (přidávat oprávnění, práva k aplikacím, apod.) případně zcela odstranit.
Silné heslo je základ
Kamenem úrazu bývají často špatná a nekvalitní hesla, která nejsou dostatečně silná. Lidé mají tendenci do hesel vkládat svoje jméno, rok narození, případně jména zvířecích miláčků. To je sice pěkné, ale takové heslo lze poměrně jednoduše uhodnout metodou pokus/omyl a následně pak čelíme řadě potenciálně nebezpečných situací.
Kupříkladu heslo "martin1970" je sice na první pohled relativně dobré (obsahuje písmena i číslice), ale pokud danou osobu alespoň rámcově známe (a víme, že se narodil v roce 1970), můžeme se tohoto hesla poměrně snadno dopátrat. Proto je všeobecně dobré vytvářet hesla, která splňují požadavky silného hesla. Této oblasti jsme se již věnovali v jedné z kapitol předcházejícího článku.
Pokud je to alespoň trochu možné, snažte se uživatele nabádat ke tvorbě co nejsilnějších hesel. Velmi výrazně to eliminuje potenciální riziko útoku zvenčí, zvláště pak v situaci, kdy má daný uživatel povolený přístup k aplikacím typu VPN, nebo třeba FTP. Pokud chceme mít jistotu, že si uživatelé takové heslo skutečně vytvoří, je možné v konfiguraci síly hesel tuto skutečnost vynutit, čili hesla nesplňující určité parametry nebudou akceptována.
Kromě toho je také dobrou praxí heslo po určité době změnit. Doporučujeme tak učinit alespoň jednou za 3 měsíce, v optimálním případě jednou za měsíc.
