Hvis du ikke ønsker at have sikkerhedsproblemer med din NAS-server, bør du aldrig udsætte administrationsporten for internettet. Selvom vi tror, at ved at bruge en god adgangskode til vores administratorbruger, med to-trinsbekræftelse, ændre standardporten på NAS'en og endda aktivere HTTPS, er sandheden, at hvis du åbner porten på routeren til NAS'en, kører du en alvorlig fejl. fare din computer bliver hacket. Cyberkriminelle drager fordel af fjernadgang til denne type enhed til at udnytte en sårbarhed og få total kontrol, i dag i denne artikel vil vi fortælle dig, hvad du kan gøre for at få adgang fra internettet sikkert.
Adgang via NAS'ens VPN-server
Denne løsning er den mest anbefalede af alle på grund af dens lette konfiguration og den sikkerhed, den giver. Hvis vi konfigurerer VPN server på selve NAS-serveren, og åbner den tilsvarende port på vores router for at oprette forbindelse fra internettet, vil vi være i stand til at tilslutte eksternt til computeren med maksimal sikkerhed, og alt dette, som om vi var forbundet via det lokale hjemmenetværk.
For at kunne oprette forbindelse på denne måde, bliver vi nødt til at konfigurere OpenVPN-serveren eller WireGuard VPN-server , eller konfigurer begge samtidigt til forskellige typer brug, da generelt alle systemer er kompatible med flere protokoller, som vi kan bruge samtidigt uden problemer. Takket være muligheden for at konfigurere en VPN-tunnel får vi sikkert adgang til vores computer, da det for forbindelsen er nødvendigt at have de tilsvarende certifikater og private nøgler, der kun er under vores domæne.
På denne måde skal vi kun i routeren åbne VPN-serverporten , og vi vil ikke direkte afsløre NAS-administrationswebsiden og beskytte den mod mulige angreb fra cyberkriminelle. Hvis en cyberkriminel udfører en portscanning og lokaliserer den åbne VPN-port, er der ikke meget, de kan gøre, da de ikke har de private nøgler til at oprette forbindelse til den.
Konfigurer en omvendt proxy med yderligere godkendelse
I de seneste år har NAS-producenter integreret en reverse proxy i deres operativsystemer, men du kan også installere den populære Traefik reverse proxy som en Docker-beholder. Producenter som QNAP, ASUSTOR eller Synology giver dig mulighed for at installere Docker containere for yderligere at udvide udstyrets funktionaliteter.
I dette tilfælde, hvis vi installerer en omvendt proxy, vil vi kun kunne få adgang til serveradministrationswebstedet ved at indtaste et specifikt underdomæne eller URL, hvilket tydeligvis gør det vanskeligt for en cyberkriminel at oprette forbindelse. I dette tilfælde skal vi kun åbne port 443 på den omvendte proxy-webserver for senere at gå til serveradministrationswebstedet.
Omvendte proxyer giver os mulighed for at tilføje yderligere sikkerhedsforanstaltninger for at afbøde og endda forhindre mulige angreb og indtrængen til de forskellige tjenester. Her er nogle af de mest almindelige og anbefalede sikkerhedsforanstaltninger, som vi bør anvende:
- Begræns adgangen til forskellige ressourcer efter land, baseret på kildens IP-adresse.
- Bloker IP-adresser baseret på forsøg på at få adgang til computeren.
- Tilføj en første godkendelse for at få adgang til de delte ressourcer, denne godkendelse kan være grundlæggende med brugernavn og adgangskode, eller brug Oauth til at godkende med Google direkte.
- Tilføj en sikker overskriftspolitik til brug.
- Begræns antallet af anmodninger pr. sekund for at afbøde mange angreb, der kan udføres.
Som du kan se, er konfiguration af en omvendt proxy med tilstrækkelig sikkerhed også endnu en metode til at oprette sikker forbindelse til vores NAS. Hvad du aldrig bør gøre er at udsætte administrationsporten for internettet, fordi enhver kunne få adgang til og udnytte en sikkerhedsfejl i webserveren.
