NAS: Jak na firewall a zabezpečení?
28.6.2013, Radan Tuhý, návod
Ke správné a kompletní konfiguraci NASu patří nepochybně také jeho zabezpečení. Pokud chcete mít svá data v bezpečí, je dobré osvojit si základní pravidla přidělování práv, oprávnění, síly hesel a v neposlední řadě mít správně nakonfigurovaný firewall.
Kapitoly článku:
Poslední a velmi podstatnou součástí celkového zabezpečení NASu je firewall. Jeho konfigurace je ve výchozím nastavení poměrně nešikovná, navíc samotný firewall je po první instalaci NASu vypnutý. Po konfiguraci všech funkcionalit je tedy poměrně příhodné firewall aktivovat a následně správně nakonfigurovat. To si nyní shrneme v několika bodech.
Firewall je standardní součástí systému. Není tedy potřeba jej dodatečně instalovat přes Package Center (alespoň u NASu od výrobce Synology). Namísto toho postačí otevřít ovládací panel (Control Panel) a kliknout na ikonku s názvem Firewall and QoS.
V nově otevřeném okně uvidíme výchozí konfiguraci, tedy prázdné okno. Jelikož je ve spodní části aplikována volba, která vše povoluje (pokud není něco explicitně zakázáno), v praxi to znamená, že je v tuto chvíli povoleno vše. To je situace, které se do budoucna budeme snažit vyvarovat, jelikož nás příliš neochrání - nikdo v naprosté většině případů netuší, odkud (z jaké IP adresy) potenciální útočník může přistupovat.
Vytvoření nového pravidla je poměrně jednoduché. Kliknutím na tlačítko Create se nám otevře nové okno s dialogem, který nás bude tvorbou pravidla provázet.
Prvním krokem je zvolení portu (případně rozsahu portů), pro který (které) budeme chtít pravidlo aplikovat. K dispozici je také poměrně obsáhlý seznam aplikací, které mají porty předdefinované, proto si nemusíme např. pamatovat, že server OpenVPN využívá port 1194, ale postačí jej vybrat v seznamu aplikací.
Další sekcí je IP adresa, ze které se bude k NASu přistupovat. Typicky půjde o veřejnou IP adresu, která se nebude moc měnit, proto je vhodné ji konkrétně specifikovat (eventuálně lze definovat konkrétní subnet).
Poslední možností je chování pravidla, tedy jestli je přistup k danému portu z dané IP adresy povolený, nebo zakázaný. Pak již stačí kliknout na tlačítko OK, čímž pravidlo uložíme. Pravidlo se objeví na samostatném řádku ve výpisu pravidel. Takto můžeme definovat více pravidel dle potřeby. Jakmile budeme mít vše definováno, klikneme na tlačítko Save. V tento okamžik teprve dojde k tomu, že NAS začne brát tato pravidla v potaz.
Pro zjednodušení jsme vytvořili velmi jednoduchou modelovou situaci. Pravděpodobně málokdo bude mít zájem blokovat lokální síť, proto jsme vytvořili dvě pravidla, která povolují vše v rámci lokálního subnetu, resp. všech lokálních subnetů (my máme dva). Dále jsme dvěma přátelům povolili přistup k našemu NASu, takže jsme definovali jejich IP adresy a dále nespecifikovali porty. Vše ostatní je nežádoucí, proto je vše ostatní zakázáno.
Výsledek tedy může vypadat například takto. Tvorba pravidel je poměrně rychlá a výše zmíněný systém je překvapivě funkční. Jako všude jinde i zde platí, že co není potřeba povolit, je vhodné mít zakázáno. Tím se do budoucna vyvarujeme nepříjemným překvapením a nežádoucím situacím.
Pokusili jsme se obsáhnout nejdůležitější oblasti, které by měly být společné pro většinu NASů na trhu, tedy především tvorbu uživatelů, přiřazování systémových práv a přístupových oprávnění ke složkám a souborům, to vše v kombinaci s vhodnou konfigurací firewallu. Pokud budete postupovat dle těchto doporučení, dosáhnete stavu, kdy eliminujete naprostou většinu potenciálních útoků. V případě potřeby je vždy možné provést patřičné úpravy (např. povolit novou IP adresu, ze které se plánujete připojovat, atp.).
Zbývá zmínit způsob konfigurace lokální sítě. I router by neměl zbytečně forwardovat porty, které nejsou nutné (případně využity). Proto pokud je například pro přístup k datům z internetu využíváno pouze FTP, je praktické povolit pouze porty potřebné pro FTP. Zbytek portů router odfiltruje již na začátku.
Pokud se vám podaří osvojit si v tomto článku zmíněné postupy a pravidla, v budoucnu se vám budou určitě hodit. Neplatí totiž pouze pro NAS, ale obecně pro jakýkoli file server, případně síťový prvek tohoto typu.
Konfigurace firewallu
Firewall je standardní součástí systému. Není tedy potřeba jej dodatečně instalovat přes Package Center (alespoň u NASu od výrobce Synology). Namísto toho postačí otevřít ovládací panel (Control Panel) a kliknout na ikonku s názvem Firewall and QoS.
V nově otevřeném okně uvidíme výchozí konfiguraci, tedy prázdné okno. Jelikož je ve spodní části aplikována volba, která vše povoluje (pokud není něco explicitně zakázáno), v praxi to znamená, že je v tuto chvíli povoleno vše. To je situace, které se do budoucna budeme snažit vyvarovat, jelikož nás příliš neochrání - nikdo v naprosté většině případů netuší, odkud (z jaké IP adresy) potenciální útočník může přistupovat.
Vytvoření nového pravidla je poměrně jednoduché. Kliknutím na tlačítko Create se nám otevře nové okno s dialogem, který nás bude tvorbou pravidla provázet.
Prvním krokem je zvolení portu (případně rozsahu portů), pro který (které) budeme chtít pravidlo aplikovat. K dispozici je také poměrně obsáhlý seznam aplikací, které mají porty předdefinované, proto si nemusíme např. pamatovat, že server OpenVPN využívá port 1194, ale postačí jej vybrat v seznamu aplikací.
Další sekcí je IP adresa, ze které se bude k NASu přistupovat. Typicky půjde o veřejnou IP adresu, která se nebude moc měnit, proto je vhodné ji konkrétně specifikovat (eventuálně lze definovat konkrétní subnet).
Poslední možností je chování pravidla, tedy jestli je přistup k danému portu z dané IP adresy povolený, nebo zakázaný. Pak již stačí kliknout na tlačítko OK, čímž pravidlo uložíme. Pravidlo se objeví na samostatném řádku ve výpisu pravidel. Takto můžeme definovat více pravidel dle potřeby. Jakmile budeme mít vše definováno, klikneme na tlačítko Save. V tento okamžik teprve dojde k tomu, že NAS začne brát tato pravidla v potaz.
Konkrétní příklad nastavení
Pro zjednodušení jsme vytvořili velmi jednoduchou modelovou situaci. Pravděpodobně málokdo bude mít zájem blokovat lokální síť, proto jsme vytvořili dvě pravidla, která povolují vše v rámci lokálního subnetu, resp. všech lokálních subnetů (my máme dva). Dále jsme dvěma přátelům povolili přistup k našemu NASu, takže jsme definovali jejich IP adresy a dále nespecifikovali porty. Vše ostatní je nežádoucí, proto je vše ostatní zakázáno.
Výsledek tedy může vypadat například takto. Tvorba pravidel je poměrně rychlá a výše zmíněný systém je překvapivě funkční. Jako všude jinde i zde platí, že co není potřeba povolit, je vhodné mít zakázáno. Tím se do budoucna vyvarujeme nepříjemným překvapením a nežádoucím situacím.
Závěrem
Pokusili jsme se obsáhnout nejdůležitější oblasti, které by měly být společné pro většinu NASů na trhu, tedy především tvorbu uživatelů, přiřazování systémových práv a přístupových oprávnění ke složkám a souborům, to vše v kombinaci s vhodnou konfigurací firewallu. Pokud budete postupovat dle těchto doporučení, dosáhnete stavu, kdy eliminujete naprostou většinu potenciálních útoků. V případě potřeby je vždy možné provést patřičné úpravy (např. povolit novou IP adresu, ze které se plánujete připojovat, atp.).
Zbývá zmínit způsob konfigurace lokální sítě. I router by neměl zbytečně forwardovat porty, které nejsou nutné (případně využity). Proto pokud je například pro přístup k datům z internetu využíváno pouze FTP, je praktické povolit pouze porty potřebné pro FTP. Zbytek portů router odfiltruje již na začátku.
Pokud se vám podaří osvojit si v tomto článku zmíněné postupy a pravidla, v budoucnu se vám budou určitě hodit. Neplatí totiž pouze pro NAS, ale obecně pro jakýkoli file server, případně síťový prvek tohoto typu.
