Pokud nechcete mít problémy se zabezpečením vašeho NAS serveru, nikdy byste neměli vystavovat port pro správu internetu. I když si myslíme, že používáním dobrého hesla pro našeho administrátora, dvoustupňovým ověřením, změnou výchozího portu NAS a dokonce povolením HTTPS, pravdou je, že pokud otevřete port na routeru do NAS, spouštíte vážnou chybu. nebezpečí hacknutí vašeho počítače. Kyberzločinci využívají vzdáleného přístupu k tomuto typu zařízení, aby zneužili zranitelnost a získali úplnou kontrolu, dnes vám v tomto článku řekneme, co můžete udělat pro bezpečný přístup z internetu.
Přístup přes VPN server NAS
Toto řešení je ze všech nejvíce doporučováno kvůli jeho snadné konfiguraci a zabezpečení, které poskytuje. Pokud nakonfigurujeme VPN serveru samotného NAS serveru a otevřete odpovídající port na našem routeru pro připojení z internetu, budeme se moci vzdáleně připojit k počítači s maximální bezpečností, a to vše jako bychom byli připojeni přes lokální domácí síť.
Abychom se mohli tímto způsobem připojit, budeme muset nakonfigurovat server OpenVPN nebo WireGuard Server VPN nebo nakonfigurovat oba současně pro různé typy použití, protože obecně jsou všechny systémy kompatibilní s několika protokoly, které můžeme bez problémů používat současně. Díky možnosti konfigurace VPN tunelu budeme mít bezpečný přístup k našemu počítači, protože pro připojení je nutné mít odpovídající certifikáty a privátní klíče, které jsou pouze pod naší doménou.
Tímto způsobem v routeru pouze musíme otevřete port serveru VPN a nebudeme přímo odhalovat webovou stránku správy NAS, abychom ji chránili před možnými útoky kyberzločinců. Pokud kyberzločinec provede skenování portu a najde otevřený port VPN, nemůže mnoho udělat, protože nemá soukromé klíče, aby se k němu mohl připojit.
Nastavte reverzní proxy s dalším ověřováním
V posledních letech výrobci NAS integrují reverzní proxy do svých operačních systémů nativně, nicméně populární reverzní proxy Traefik můžete nainstalovat také jako kontejner Docker. Instalaci umožňují výrobci jako QNAP, ASUSTOR nebo Synology Docker kontejnery k dalšímu rozšíření funkčnosti zařízení.
V tomto případě, pokud nainstalujeme reverzní proxy, budeme mít přístup k webu správy serveru pouze zadáním konkrétní subdomény nebo adresy URL, což kyberzločinci zjevně znesnadňuje připojení. V tomto případě budeme muset otevřít pouze port 443 webového serveru reverzního proxy, abychom mohli později přejít na webovou stránku správy serveru.
Reverzní proxy nám umožňují přidat další bezpečnostní opatření pro zmírnění a dokonce prevence možných útoků a průniků do různých služeb. Zde jsou některá z nejběžnějších a doporučených bezpečnostních opatření, která bychom měli použít:
- Omezte přístup k různým zdrojům podle země na základě zdrojové IP adresy.
- Blokovat IP adresy na základě pokusů o přístup k počítači.
- Přidejte první ověření, abyste měli přístup ke sdíleným zdrojům. Toto ověření může být základní s uživatelským jménem a heslem, nebo použít Oauth k přímému ověření u Google.
- Přidejte zásady zabezpečeného záhlaví, které chcete použít.
- Omezte počet požadavků za sekundu, abyste zmírnili mnoho útoků, které by mohly být provedeny.
Jak vidíte, konfigurace reverzního proxy s dostatečným zabezpečením je také další metodou, jak se bezpečně připojit k našemu NAS. Co byste nikdy neměli dělat, je vystavovat administrační port internetu, protože kdokoli by mohl získat přístup k bezpečnostní chybě na webovém serveru a zneužít ji.
