Se non vuoi avere problemi di sicurezza con il tuo server NAS, non dovresti mai esporre la porta di gestione a Internet. Sebbene pensiamo che utilizzando una buona password per il nostro utente amministratore, con la verifica in due passaggi, modificando la porta predefinita del NAS e persino abilitando HTTPS, la verità è che se apri la porta del router verso il NAS, stai eseguendo un errore grave. Pericolo del tuo computer che viene violato. I criminali informatici sfruttano l'accesso remoto a questo tipo di dispositivi per sfruttare una vulnerabilità e ottenere il controllo totale, oggi in questo articolo ti diremo cosa puoi fare per accedere da Internet in sicurezza.
Accesso tramite il server VPN del NAS
Questa soluzione è la più consigliata di tutte per la sua facilità di configurazione e la sicurezza che fornisce. Se configuriamo il VPN server del server NAS stesso, e aprire la porta corrispondente sul nostro router per connetterci da Internet, potremo connetterci da remoto al computer con la massima sicurezza, e tutto questo come se fossimo connessi tramite la rete locale di casa.
Per poterci connettere in questo modo, dovremo configurare il server OpenVPN o il Gabbia di protezione Server VPN , oppure configurarli entrambi contemporaneamente per diversi tipi di utilizzo, poiché generalmente tutti i sistemi sono compatibili con più protocolli che possiamo utilizzare contemporaneamente senza problemi. Grazie alla possibilità di configurare un tunnel VPN, accederemo al nostro computer in modo sicuro, poiché per la connessione è necessario disporre dei certificati e delle chiavi private corrispondenti che sono solo sotto il nostro dominio.
In questo modo, nel router non ci resta che farlo aprire la porta del server VPN e non esporremo direttamente la pagina web di amministrazione del NAS, proteggendola da possibili attacchi dei criminali informatici. Se un criminale informatico esegue una scansione delle porte e individua la porta VPN aperta, non può fare molto in quanto non dispone delle chiavi private per connettersi ad essa.
Configura un proxy inverso con autenticazione aggiuntiva
Negli ultimi anni, i produttori di NAS stanno integrando un proxy inverso nei loro sistemi operativi in modo nativo, tuttavia è anche possibile installare il popolare proxy inverso Traefik come contenitore Docker. Produttori come QNAP, ASUSTOR o Synology consentono l'installazione Contenitori Docker per ampliare ulteriormente le funzionalità delle apparecchiature.
In questo caso, se installiamo un proxy inverso, saremo in grado di accedere al sito Web di amministrazione del server solo inserendo un sottodominio o un URL specifico, il che rende chiaramente difficile la connessione di un criminale informatico. In questo caso, dovremo solo aprire la porta 443 del server Web proxy inverso, per passare successivamente al sito Web di amministrazione del server.
I proxy inversi ci consentono di aggiungere ulteriori misure di sicurezza per mitigare e persino prevenire possibili attacchi e intrusioni ai diversi servizi. Ecco alcune delle misure di sicurezza più comuni e consigliate che dovremmo applicare:
- Limita l'accesso a diverse risorse per paese, in base all'indirizzo IP di origine.
- Blocca gli indirizzi IP in base ai tentativi di accesso al computer.
- Aggiungi una prima autenticazione per poter accedere alle risorse condivise, questa autenticazione può essere di base con nome utente e password, oppure utilizzare Oauth per autenticarsi direttamente con Google.
- Aggiungi una policy di intestazione sicura da utilizzare.
- Limita il numero di richieste al secondo, per mitigare molti attacchi che potrebbero essere effettuati.
Come puoi vedere, la configurazione di un proxy inverso con sicurezza sufficiente è anche un altro metodo per connettersi in modo sicuro al nostro NAS. Quello che non dovresti mai fare è esporre la porta di amministrazione a Internet, perché chiunque potrebbe accedere e sfruttare una falla di sicurezza nel server web.
