23-08-2022, 12:17 PM
(This post was last modified: 20-10-2024, 01:33 PM by Ganekogorta.)
Hola
A raíz de las consultas y preguntas que lanzan muchos usuarios noveles y los no tanto, me he decidido a crear una mini guía de los puntos que en mi opinión deberíamos hacer para tener configurada la nas con un mínimo de seguridad.
Soy de esos que opinan que es mejor no compartir y exponer la máquina si no se hace con seguridad y aún así, si es posible evitaremos hacerlo.
CONFIGURACIÓN INICIAL DEL SISTEMA DE ALMACENAMIENTO
1- Creación de volúmenes thin o thick por si queremos instantáneas (programarlas) o estáticos / legacy
Esto es algo que hemos de hacer en los primeros pasos de una nas.
Si queremos sólo almacenamiento y lo mas rápido posible, el usar volúmenes estáticos (legacy) es lo mejor.
Pero los de tipo thick o thin aunque son mas lentos, permiten cambiar su tamaño y lo mas importante, permiten instantáneas.
Eso sí, si vamos a hacer uso de las instantáneas hemos de hacer un cálculo del espacio y del número de ellas que vamos a mantener.
Es aquí cuando vemos la poca capacidad útil de nuestros discos.
Si por ejemplo vamos a activar las instantáneas, una distribución podría ser de un 75% para el volumen, dejando el 25% sin reclamar.
Ese 25% restante se usará por las instantáneas y para QTS. Incluso podemos asignar un espacio mínimo asegurado para instantáneas.
Y activamos una instantánea diaria a las 6:00AM, manteniendo las 14 últimas.
Como no es un sistema exacto, debemos revisar con cierta periodicidad la ocupación. Lo vigilaremos desde el gestor de almacenamiento de QTS para ver cuanto van ocupando las instantáneas.
Y es que si éstas ocupan mucho, podría ocurrir que agotemos el espacio del conjunto de almacenamiento y el sistema se volvería inestable.
Por cierto no hay que confundir volumen (partición con nuestros datos) con conjunto de almacenamiento (disco o agrupación de estos).
CONFIGURACIÓN DEL NAS
2- Configuramos la ip de nuestra nas como estática
Para hacerla estático vamos a panel de control, Servicios de red y archivos, Conmutador virtual y de red (en QTS antiguos red)
Ahí veremos los adaptadores disponibles. Lo editamos y ponemos una ip fija del mismo segmento de red que de el router.
Suele ser interesante coger un número fácil, para recordarlo.
Ya sabéis que los tres primeros dígitos de la ip son iguales a los de tu red
Podemos usar para la nas ips tipo x.y.z.100, x.y.z.150, x.y.z.200, x.y.z.250 o un número que recordéis y que no se use por otro equipo.
También puede ser dinámica, con la misma. Para ello hemos de configurar el servidor DHCP que generalmente será en nuestro enrutador para que haga la reserva de ip, asignación de ip a nuestra nas.
Lo mejor para no liaros, hacedla en estática.
3- Creación de otros usuarios y desactivación admin con contraseñas decentes y/o activación de 2FA.
Con los nuevos QTS Qnap nos recomienda y pide la creación de un usuario de nombre no “admin” con permisos de administración.
Creamos ese nuevo usuario con privilegios de administración y desactivaremos el usuario admin. (El motivo de desactivarlo esto es que dejamos hecho el 50% del trabajo y sólo se debe centrar en la contraseña).
Recomiendo activar un segundo factor de autenticación (2FA). Este segundo factor puede ser responder a una segunda clave o el típico programa de móvil que nos muestra un código numérico. Un buen programa para esa gestión es Authy, pero podemos usar otros de Google, Microsoft,…
Debemos de asegurarnos de cerrar el acceso desde el exterior.
Posiblemente este es el punto de seguridad más importante. Si nuestra NAS es visible desde internet entonces estás en peligro. Ya sabemos que es una maravilla poder acceder desde fuera a todas las aplicaciones del NAS, pero está absolutamente desaconsejado. Podéis buscar los numerosos ataques de ransomware que ha sufrido QNAP debido a vulnerabilidades, aunque no sea exclusivo de QNAP.
Iremos al Menú principal -> myQNAPcloud -> Publicar Servicios y nos cercioraremos de despublicar todos los servicios y aplicamos, después iremos a Menú principal -> myQNAPcloud -> myQNAPcloudLink y nos cercioraremos de que se encuentre deshabilitado. (Esta parte es un poco contraintuitiva el botón de Habilitar/Deshabilitar debe estar en Deshabilitar en gris) después vamos a Menú principal -> myQNAPcloud -> Control del acceso y lo ponemos en privado.
4- Creación de carpetas compartidas con asignación de permisos.
Hay unas ya creadas por defecto que NO se pueden eliminar. Y podemos crear otras a nuestra conveniencia.
Mi recomendación es crear unas para contenidos concretos como las descargas, los vídeos, las fotografías, los libros,…
En cambio de cara a datos comunes de ofimática para usuarios externos de la red recomiendo una sola carpeta y dentro de ella crear subcarpetas con permisos extras para esos usuarios.
CONFIGURACIÓN DE SERVICIOS REMOTOS
5- Activación OpenVPN, Wireguard
Esta parte es lo mas importante si vamos a realizar accesos externos a nuestra nas.
De hecho no debemos exponer a internet nuestra nas de forma directa por apertura de puertos en nuestro router.
En mi opinión yo daría la siguiente preferencia de uso de VPN:
WireGuard > WireGuard en Docker > OpenVPN > L2PT/IPSEC > PPTP
Para que funcionen cualquier VPN, hemos de abrir un único puerto de nuestra elección en el router (cambiad el puerto por defecto a uno arbitrario entre 1024 y 65500) y que apunte a la ip de nuestra nas (por eso interesa una ip estática).
Siempre recomiendo hacer usuarios exclusivos para la VPN y no tener uno sólo para que mucha gente pueda usarlo.
OpenVPN está ya muy probada y extendida, lo cual nos permite tener clientes integrados en muchos otros dispositivos como por ejemplo un enrutador en otra ubicación, un móvil o un ordenador.
Al estar integrado en QTS la gestión es sencilla y podemos monitorizar las conexiones y ver los históricos de actividad.
La principal pega es que no es muy rápido a nivel de ancho de banda.
WireGuard en QTS, que ha aparecido en la versión 5. No está disponible en todas las nas como en las de CPU ARM.
Es mucho mas rápido y la gestión no es tan fácil como en OpenVPN, pero no es complicada.
Y no hay un histórico de conexiones.
Luego tenemos las versiones en Docker que muchas nas con ARM pueden usar.
Hace poco he descubierto gracias al usuario @Yeraycito un docker que tiene una gestión mas visual de usuarios y permite el uso de código bidmensionales para la configuración de los equipos clientes.
Hay otros tipos de VPN integrados en QTS como son los clásicos PPTP y L2TP/IPSEC.
Bueno de esto hay varios hilos en el foro:
-OpenVPN
-Wireguard en QTS 5
-WireGuard en Docker
-Easy Wireguard en Docker
6. Activación servicio DDNS
Con esto lo que hacemos es saber una dirección dns para saber como llegar desde el exterior a nuestra nas. Y es que generalmente siempre tenemos una ip pública de tipo dinámico. Este tipo de numeración, además de ser difícil de recordar, es algo que va cambiando.
Por ello hacemos usos de servicios de DDNS para que mediante un nombre nos sea más cómodo.
Como tenemos una QNAP, usaremos un servicio de DDNS que nos suministran de forma gratuita. Y todos ellos tendrán la misma terminación “.myqnapcloud.com” siendo precedidos por el nombre de nuestra nas.
No estamos obligados a usar el de Qnap y podemos usar otros ddns como los de duckdns, no-ip, dyndns,…
ANTIVIRUS
7- Activación de escáner antivirus
Primero vamos a aclarar que no es un antivirus al uso y que no está residente en memoria analizando la actividad de la nas. Lo que hace es escanear en busca de ellos en los archivos de las carpetas de nuestra nas que le indiquemos.
Hay un programa llamada Malware Remover que como su nombre indica es una herramienta “especializada” en eliminar este tipo de afecciones.
Debido a esta forma de trabajar de ambos, yo recomiendo programar el escaneo con una frecuencia no muy alta. Por ejemplo cada x días y que se inicie a horas sin actividad de los usuarios en la nas. Por ejemplo durante la madrugada de un día de labor. Esta frecuencia hemos de calcularla en función del número de archivos a comprobar, de la velocidad del disco y de la potencia de la CPU.
Los que tengáis Nas viejas sin soporte veréis que el antivirus no se actualiza. Es así y Qnap no va a arreglarlo ?. Básicamente lo que dices es que hagas los escaneados de las carpetas compartidas de la nas desde un pc ?
8- Docker Station
Es nuestro gestor de virtualización ligera de Qnap para poder usar dockers como el de Easy Wireguard.
No veo nada escrito en el foro, pero si en la web de Qnap en este enlace
9- Políticas de backup con hbs3 y otros programas
Este programa es fundamental, se debe tener un backup de la información y lo haremos a través de esta herramienta. Independientemente de haber asegurado el NAS a intrusiones desde el exterior, haber configurado instantáneas y tener un RAID que permita que se pueda seguir funcionando aunque se estropee un disco, el backup es una parte fundamental de la seguridad y lo haremos con este programa.
La estrategia más típica y sencilla es conectar un HD externo por USB manualmente y que el HBS3 cuando detecte que se ha conectado comience el backup hacia ese disco y configurar que el disco se desmonte automáticamente cuando haya terminado la tarea.
Es muy importante desconectarlo del puerto USB cuando hayamos terminado no seríais los primeros en haber sido infectado por un ransomware y que este haya encriptado el backup por no haber desconectado el disco.
Se puede usar para hacer copias completas o sincronizaciones de carpetas de datos a otras ubicaciones (locales, remotas o nubes).
También permite hacer copias de seguridad de esas carpetas compartidas.
Y junto con los programas de PC NetBak Replicator y QuDedup podemos apoyarnos en las restauraciones o creación de copias de datos del PC a la nas.
También tenemos la utilidad de extracción Qenc Decrypter para archivos comprimidos y cifrados por HBS3.
Tenemos la opción de hacerlas programadas o bien por el desencadenante de la detección de un disco duro externo conectado al USB.
Independientemente de lo anterior, hay que recordar que un RAID no es una copia de seguridad y deberíamos tener una política de Backup 3-2-1
Espero y deseo que estos consejos y recomendaciones os hagan mas fácil y seguro los inicios con vuestra nas de Qnap.
Debido a que es un tema que abarca muchos aspectos, este hilo espero hacerlo vivo e iré modificando para mejorar su contenido, con la idea de que no sea una enciclopedia, pero si un buen resumen de lo básico.
Nota: he modificado y agregado contenido según sugerencias de montxu, otro miembro del foro.
A raíz de las consultas y preguntas que lanzan muchos usuarios noveles y los no tanto, me he decidido a crear una mini guía de los puntos que en mi opinión deberíamos hacer para tener configurada la nas con un mínimo de seguridad.
Soy de esos que opinan que es mejor no compartir y exponer la máquina si no se hace con seguridad y aún así, si es posible evitaremos hacerlo.
CONFIGURACIÓN INICIAL DEL SISTEMA DE ALMACENAMIENTO
1- Creación de volúmenes thin o thick por si queremos instantáneas (programarlas) o estáticos / legacy
Esto es algo que hemos de hacer en los primeros pasos de una nas.
Si queremos sólo almacenamiento y lo mas rápido posible, el usar volúmenes estáticos (legacy) es lo mejor.
Pero los de tipo thick o thin aunque son mas lentos, permiten cambiar su tamaño y lo mas importante, permiten instantáneas.
Eso sí, si vamos a hacer uso de las instantáneas hemos de hacer un cálculo del espacio y del número de ellas que vamos a mantener.
Es aquí cuando vemos la poca capacidad útil de nuestros discos.
Si por ejemplo vamos a activar las instantáneas, una distribución podría ser de un 75% para el volumen, dejando el 25% sin reclamar.
Ese 25% restante se usará por las instantáneas y para QTS. Incluso podemos asignar un espacio mínimo asegurado para instantáneas.
Y activamos una instantánea diaria a las 6:00AM, manteniendo las 14 últimas.
Como no es un sistema exacto, debemos revisar con cierta periodicidad la ocupación. Lo vigilaremos desde el gestor de almacenamiento de QTS para ver cuanto van ocupando las instantáneas.
Y es que si éstas ocupan mucho, podría ocurrir que agotemos el espacio del conjunto de almacenamiento y el sistema se volvería inestable.
Por cierto no hay que confundir volumen (partición con nuestros datos) con conjunto de almacenamiento (disco o agrupación de estos).
CONFIGURACIÓN DEL NAS
2- Configuramos la ip de nuestra nas como estática
Para hacerla estático vamos a panel de control, Servicios de red y archivos, Conmutador virtual y de red (en QTS antiguos red)
Ahí veremos los adaptadores disponibles. Lo editamos y ponemos una ip fija del mismo segmento de red que de el router.
Suele ser interesante coger un número fácil, para recordarlo.
Ya sabéis que los tres primeros dígitos de la ip son iguales a los de tu red
Podemos usar para la nas ips tipo x.y.z.100, x.y.z.150, x.y.z.200, x.y.z.250 o un número que recordéis y que no se use por otro equipo.
También puede ser dinámica, con la misma. Para ello hemos de configurar el servidor DHCP que generalmente será en nuestro enrutador para que haga la reserva de ip, asignación de ip a nuestra nas.
Lo mejor para no liaros, hacedla en estática.
3- Creación de otros usuarios y desactivación admin con contraseñas decentes y/o activación de 2FA.
Con los nuevos QTS Qnap nos recomienda y pide la creación de un usuario de nombre no “admin” con permisos de administración.
Creamos ese nuevo usuario con privilegios de administración y desactivaremos el usuario admin. (El motivo de desactivarlo esto es que dejamos hecho el 50% del trabajo y sólo se debe centrar en la contraseña).
Recomiendo activar un segundo factor de autenticación (2FA). Este segundo factor puede ser responder a una segunda clave o el típico programa de móvil que nos muestra un código numérico. Un buen programa para esa gestión es Authy, pero podemos usar otros de Google, Microsoft,…
Debemos de asegurarnos de cerrar el acceso desde el exterior.
Posiblemente este es el punto de seguridad más importante. Si nuestra NAS es visible desde internet entonces estás en peligro. Ya sabemos que es una maravilla poder acceder desde fuera a todas las aplicaciones del NAS, pero está absolutamente desaconsejado. Podéis buscar los numerosos ataques de ransomware que ha sufrido QNAP debido a vulnerabilidades, aunque no sea exclusivo de QNAP.
Iremos al Menú principal -> myQNAPcloud -> Publicar Servicios y nos cercioraremos de despublicar todos los servicios y aplicamos, después iremos a Menú principal -> myQNAPcloud -> myQNAPcloudLink y nos cercioraremos de que se encuentre deshabilitado. (Esta parte es un poco contraintuitiva el botón de Habilitar/Deshabilitar debe estar en Deshabilitar en gris) después vamos a Menú principal -> myQNAPcloud -> Control del acceso y lo ponemos en privado.
4- Creación de carpetas compartidas con asignación de permisos.
Hay unas ya creadas por defecto que NO se pueden eliminar. Y podemos crear otras a nuestra conveniencia.
Mi recomendación es crear unas para contenidos concretos como las descargas, los vídeos, las fotografías, los libros,…
En cambio de cara a datos comunes de ofimática para usuarios externos de la red recomiendo una sola carpeta y dentro de ella crear subcarpetas con permisos extras para esos usuarios.
CONFIGURACIÓN DE SERVICIOS REMOTOS
5- Activación OpenVPN, Wireguard
Esta parte es lo mas importante si vamos a realizar accesos externos a nuestra nas.
De hecho no debemos exponer a internet nuestra nas de forma directa por apertura de puertos en nuestro router.
En mi opinión yo daría la siguiente preferencia de uso de VPN:
WireGuard > WireGuard en Docker > OpenVPN > L2PT/IPSEC > PPTP
Para que funcionen cualquier VPN, hemos de abrir un único puerto de nuestra elección en el router (cambiad el puerto por defecto a uno arbitrario entre 1024 y 65500) y que apunte a la ip de nuestra nas (por eso interesa una ip estática).
Siempre recomiendo hacer usuarios exclusivos para la VPN y no tener uno sólo para que mucha gente pueda usarlo.
OpenVPN está ya muy probada y extendida, lo cual nos permite tener clientes integrados en muchos otros dispositivos como por ejemplo un enrutador en otra ubicación, un móvil o un ordenador.
Al estar integrado en QTS la gestión es sencilla y podemos monitorizar las conexiones y ver los históricos de actividad.
La principal pega es que no es muy rápido a nivel de ancho de banda.
WireGuard en QTS, que ha aparecido en la versión 5. No está disponible en todas las nas como en las de CPU ARM.
Es mucho mas rápido y la gestión no es tan fácil como en OpenVPN, pero no es complicada.
Y no hay un histórico de conexiones.
Luego tenemos las versiones en Docker que muchas nas con ARM pueden usar.
Hace poco he descubierto gracias al usuario @Yeraycito un docker que tiene una gestión mas visual de usuarios y permite el uso de código bidmensionales para la configuración de los equipos clientes.
Hay otros tipos de VPN integrados en QTS como son los clásicos PPTP y L2TP/IPSEC.
Bueno de esto hay varios hilos en el foro:
-OpenVPN
-Wireguard en QTS 5
-WireGuard en Docker
-Easy Wireguard en Docker
6. Activación servicio DDNS
Con esto lo que hacemos es saber una dirección dns para saber como llegar desde el exterior a nuestra nas. Y es que generalmente siempre tenemos una ip pública de tipo dinámico. Este tipo de numeración, además de ser difícil de recordar, es algo que va cambiando.
Por ello hacemos usos de servicios de DDNS para que mediante un nombre nos sea más cómodo.
Como tenemos una QNAP, usaremos un servicio de DDNS que nos suministran de forma gratuita. Y todos ellos tendrán la misma terminación “.myqnapcloud.com” siendo precedidos por el nombre de nuestra nas.
No estamos obligados a usar el de Qnap y podemos usar otros ddns como los de duckdns, no-ip, dyndns,…
ANTIVIRUS
7- Activación de escáner antivirus
Primero vamos a aclarar que no es un antivirus al uso y que no está residente en memoria analizando la actividad de la nas. Lo que hace es escanear en busca de ellos en los archivos de las carpetas de nuestra nas que le indiquemos.
Hay un programa llamada Malware Remover que como su nombre indica es una herramienta “especializada” en eliminar este tipo de afecciones.
Debido a esta forma de trabajar de ambos, yo recomiendo programar el escaneo con una frecuencia no muy alta. Por ejemplo cada x días y que se inicie a horas sin actividad de los usuarios en la nas. Por ejemplo durante la madrugada de un día de labor. Esta frecuencia hemos de calcularla en función del número de archivos a comprobar, de la velocidad del disco y de la potencia de la CPU.
Los que tengáis Nas viejas sin soporte veréis que el antivirus no se actualiza. Es así y Qnap no va a arreglarlo ?. Básicamente lo que dices es que hagas los escaneados de las carpetas compartidas de la nas desde un pc ?
8- Docker Station
Es nuestro gestor de virtualización ligera de Qnap para poder usar dockers como el de Easy Wireguard.
No veo nada escrito en el foro, pero si en la web de Qnap en este enlace
9- Políticas de backup con hbs3 y otros programas
Este programa es fundamental, se debe tener un backup de la información y lo haremos a través de esta herramienta. Independientemente de haber asegurado el NAS a intrusiones desde el exterior, haber configurado instantáneas y tener un RAID que permita que se pueda seguir funcionando aunque se estropee un disco, el backup es una parte fundamental de la seguridad y lo haremos con este programa.
La estrategia más típica y sencilla es conectar un HD externo por USB manualmente y que el HBS3 cuando detecte que se ha conectado comience el backup hacia ese disco y configurar que el disco se desmonte automáticamente cuando haya terminado la tarea.
Es muy importante desconectarlo del puerto USB cuando hayamos terminado no seríais los primeros en haber sido infectado por un ransomware y que este haya encriptado el backup por no haber desconectado el disco.
Se puede usar para hacer copias completas o sincronizaciones de carpetas de datos a otras ubicaciones (locales, remotas o nubes).
También permite hacer copias de seguridad de esas carpetas compartidas.
Y junto con los programas de PC NetBak Replicator y QuDedup podemos apoyarnos en las restauraciones o creación de copias de datos del PC a la nas.
También tenemos la utilidad de extracción Qenc Decrypter para archivos comprimidos y cifrados por HBS3.
Tenemos la opción de hacerlas programadas o bien por el desencadenante de la detección de un disco duro externo conectado al USB.
Independientemente de lo anterior, hay que recordar que un RAID no es una copia de seguridad y deberíamos tener una política de Backup 3-2-1
Espero y deseo que estos consejos y recomendaciones os hagan mas fácil y seguro los inicios con vuestra nas de Qnap.
Debido a que es un tema que abarca muchos aspectos, este hilo espero hacerlo vivo e iré modificando para mejorar su contenido, con la idea de que no sea una enciclopedia, pero si un buen resumen de lo básico.
Nota: he modificado y agregado contenido según sugerencias de montxu, otro miembro del foro.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η