Čo je to NAS? Načo sa využíva? Ako ho môžeme chrániť?
Stalo sa Vám už niekedy, že ste mali preplnený disk a nemali ste svoje dáta kam uložiť alebo zálohovať? Ak pracujete na viacerých počítačoch čelili ste už problému že musíte svoje dáta neustále kopírovať na USB a prenášať do ďalších zariadení aby ste mali svoje dáta vždy aktuálne na každom jednom zariadení? Je to dosť nekomfortné a chaotické.
Nebolo by ideálne mať všetky svoje dáta (audio, video, webové stránky, textové súbory a dokumenty) pohromade a pristupovať k nim z akéhokoľvek zariadenia? Práve túto možnosť nám ponúka sieťové úložisko NAS.
Počuli ste už túto skratku? Viete čo to je? Ak nie, v tomto článku Vám prinášame informácie o tom, čo je NAS, na čo sa to používa a samozrejme ako ho používať bezpečne.
NAS = Network-Attached Storage
Je to zariadenie, ktoré je pripojené a prístupné prostredníctvom počítačovej siete. Je to vlastne taký malý počítač, ktorý obsahuje procesor a operačný systém (väčšinou Linux) a pevné disky. Je flexibilný a škálovateľný – ak potrebujete viac úložného miesta, jednoducho pridáte ďalší disk. Jeho jedinou úlohou je ukladať a poskytovať dáta a vďaka tomuto sú dáta nepretržite prístupné.
Je to jednoduché a efektívne riešenie, ale má aj svoje negatíva ak zabudneme na bezpečnosť. Môžeme totiž prísť o všetky svoje dáta a zálohy, ktoré sme si z našich počítačov na NAS ukladali. Žijeme uponáhľaným životom a o nejakej bezpečnosti nerozmýšľame, pretože potrebujeme mať produkt rýchlo k dispozícii a tak si skoro vždy zvolíme možnosť Plug and Play (ako to často ponúka aj jednoduchý manuál). Dôkladným nastaveniam tohto sieťového zariadenia nevenujeme pozornosť ani čas (a mnohí vlastne ani netušia, čomu by pozornosť mali venovať) a tak nechávame otvorené dvierka pre potencionálnych útočníkov.
Viete, že mnohí to urobia až tak nesprávne, že ich domáce videá a fotky (často krát také, ktoré by verejne nechceli ukázať) sú voľne dostupné z internetu. Akýkoľvek útočník ich môže vidieť, pristupovať k nim a využívať ich bez toho, aby ste o tom vôbec vedeli. A vôbec to nie je ťažké, takýchto zariadení (aj na Slovensku) sa dá nájsť hromada!
Čo ak váš NAS napadne nejaký malvér? Zašifruje všetky dáta a na zariadení, na ktoré ste spoliehali a vy buď zaplatíte pár tisíc, alebo sa s dátami rozlúčite.
V článku vám v skratke vysvetlíme, aké možnosti pri zabezpečení vašich dát na NAS máte, čomu sa určite chvíľku venovať a ušetriť si tak čas, peniaze a nervy, aby ste minimalizovali možnosť, že vám niekto zašifruje dáta, alebo zverejní na webe vaše domáce – často intímne – fotky.
Zabezpečenie NAS
Na slovenskom trhu je veľa značiek NAS (napr. QNAP, Synology, Western Digital, NETGEAR) a každá z nich ponúka rôzne spôsoby konfigurácie. Preto do detailov konfigurácie nepôjdeme, ale majú aj tzv. „spoločné črty“, ktorými viete zvýšiť bezpečnosť svojho NAS.
Opatrenia na NAS
Sú to opatrenia, ktoré je vhodné realizovať priamo na zariadení NAS.
Zmena hesiel
Nové zariadenia sú väčšinou dodávané s predvolenými továrenskými nastaveniami prihlasovacích údajov (meno a heslo), napr. admin, admin. Manuál toto nastavenie uvádza. Vašim prvým krokom by mala byť zmena prihlasovacieho mena a hesla pre správcu zariadenia. Najlepšie je heslo si vygenerovať generátorom náhodných hesiel a to heslo si bezpečne uchovať napr. v password manažérovi. Ak NAS umožňuje dlhé heslá, tak si zvoliť čo najdlhšie. Čím dlhšie heslo, tým viac času je potrebné na jeho rozšifrovanie hrubou silou.
Ak vám vaše zariadenie neponúka možnosť zmeniť prihlasovacie meno správcu je vhodné tento správcovský účet zakázať a vytvoriť si svoj vlastný účet správcu. Tým výrazne sťažíme prácu hackerom.
Ak NAS umožňuje nastaviť politiku hesiel (dĺžku a silu hesla) tak to nastavte, aby nikto z používateľov, ktorí sa vedia do NAS prihlásiť, nemohol zadať jednoduché heslo, prípadne určiť pre zmenu hesla v nastavený časový interval..
Aktualizácie, aktualizácie, stále samé aktualizácie
Nie na darmo sa hovorí, že opakovanie je matka múdrosti. Preto zas a znovu opakujeme, že aktualizácie softvéru/firmvéru sú nevyhnutnou súčasťou zabezpečenia akéhokoľvek zariadenia. Býva zvykom, že aktualizácie obsahujú bezpečnostné záplaty na vzniknuté problémy. Vždy sa objavujú nové spôsoby útokov a to je ďalší dôvod na to aby sme pravidelne aktualizovali softvér. V bežnom živote sa málo kedy stíhame informovať a zaujímať o to, aké zraniteľnosti má práve naše zariadenie a ako to môžeme opraviť. Ale verte, ak už sa rozhodnete pre ktorú koľvek značku, tak aktualizácia vám rozhodne pomôže zachrániť vaše dáta.
Autentifikácia
Zaužívaným pravidlom by malo byť používanie dvojstupňovej (dvojfaktorovej) autentifikácie – pre úspešné prihlásenie sa tak nebude stačiť len používateľské meno a heslo ale aj ďalšie zariadenie ktoré vlastníte, aby ste pri prihlasovaní sa systém „uistili“, že ste to naozaj vy. Budete k tomu potrebovať najskôr zrejme nejakú v manuály NAS odporúčanú aplikáciu, ktorú si stiahnete z Google Play, alebo z Apple Store.
Ďalším dobrým krokom k väčšej zabezpečenosti zariadenia je obmedziť neznámym IP adresám počet neúspešných pokusov o autentifikáciu. Takto zabránite, aby sa nejaký automat pokúšal opakovanými pokusmi odhadnúť heslo. Skôr než tak urobí mu po pár neúspešných pokusoch ďalšie pokusy zablokujete.
4. Povolenie HTTPS
Ak máte možnosť povoliť protokol HTTPS na svojom zariadení, určite tak urobte. Môžete ním šifrovať prenos medzi zariadením a pripojenými užívateľmi – ochrana pred bežnými formami odpočúvania alebo ochrana pred útokmi man-in-the-middle.
Ak chcete, aby vaše HTTPS spojenie bolo autentifikované dôveryhodným certifikátom (napr. ak pristupujete na NAS viacerí a chcete mať istotu, že je to naozaj váš NAS a nie „podhodený“) tak musíte na svoj NAS SSL certifikát nainštalovať (väčšinou je to platené, ale napr. spoločnosť Synology má podporu certifikátov Let’s Encrypt SSL zadarmo). Postup nie je úplne triviálny, ale napr. Synology ho má celkom dobre popísaný.
Nastavenie Firewall
NAS zariadenia majú svoj vlastný firewall. Firewall sa môže zdať ako celkom dobrá ochrana, pretože pomocou neho môžete automaticky blokovať akékoľvek pripojenie, ktoré vaše NAS neidentifikuje. Pravidlá si môže prispôsobiť podľa svojho vkusu. Napríklad, zakážete nepoužívané služby alebo zablokujete IP adresy.
Zmena predvolených portov
Zmenou default predvolených portov pre jednotlivé služby (protokoly) NAS zariadenia na vlastné adresy portov síce nezabránime cieleným útokom na dané služby, no môžeme tým odradiť bežné hrozby, ktoré útočia iba na konkrétne preddefinované služby. Príklad: Protokol HTTP využíva port 80 ale my si ho môžeme zmeniť napr. na číslo portu 5000 a protokol HTTPS ktorý využíva port s číslom 443 zmeníme číslo portu na napr. 5001. Netreba zabudnúť ani na protokol SSH, ktorému je tiež dobré zmeniť predvolené číslo portu, ak často využívate prístup k shellu.
Opatrenia na FW (routri)
Vaša sieť a zariadenia na nej sú len tak bezpečné, ako je bezpečný prístup do vašej siete. Preto by ste nemali zabúdať na zvýšenie ochrany vášho wifi routra. Podrobne sme o tom písali v našom inom článku „10 tipov ako si bezpečne nastaviť WiFi router“
Minimálne nezabudnite na:
- Zmeniť default prihlasovacie údaje
- Zakázať funkciu WPS
- Šifrovanie WPA2
- Aktualizácie
Opatrenia pre prístup – VPN
Ak ste mimo domova a potrebujete sa pripájať k svojmu zariadeniu NAS, určite tak urobte len cez VPN spojenie. VPN pridáva vrstvu šifrovania pre celú komunikáciu, ktorá prechádza medzi vašou sieťou a počítačom z ktorého na NAS pristupujete. To znamená, že prípadným útočníkom sa značne sťaží možnosť zachytiť prihlasovacie údaje do vášho NAS.
Máte v podstate 2 možnosti.
Buď využijete VPN spojenie priamo na NAS, ak vaše NAS podporuje funkciu VPN server. V takom prípade bude komunikácia šifrovaná priamo medzi počítačom a NAS serverom. Na svojom domácom smerovači tak musíte povoliť port VPN, na ktorom VPN server vášho NAS komunikuje. Je to asi najlepšie a najbezpečnejšie riešenie.
Alebo sa pripojíte na VPN server na vašom smerovači. Tak bude šifrovaná komunikácia medzi vašim počítačom a VPN serverom na vašom smerovači. Od smerovača do vašej siete, kde je NAS už pôjde nešifrovaný prenos. Budete mať prístup k celej vašej LAN sieti. Prirodzene bude to záležať aj od nastavenia pravidiel firewalu na vašom smerovači.
Na záver
Online hrozby pribúdajú, zraniteľnosti majú všetky zariadenia, preto by sme mali byť veľmi ostražití a nebrať kybernetickú bezpečnosť na ľahkú váhu. Bezpečnosť bohužiaľ nie je o tom, že ak urobíte nastavenia a hore popísané kroky raz, tak máte pokoj na dlhé roky. Tak to naozaj nie je. Mnohé kroky, hlavne aplikovanie záplat musíte realizovať pravidelne, pravidelne kontrolovať svoje zariadenia, len tak udržíte svoje dáta v bezpečí a peniaze v peňaženke.
(L.H)
