Devo preoccuparmi?

[Skyler]

Ho solo attivo il log locale,
come si attiva il log di tentativi di accesso esterni in generale
senza specificare il dispositivo?

[dMajo]

nel log trovi le connessioni con l'ip di provenienza ... sta a te capire se sono da ip privati (locali) o pubblici (esterni)

[Skyler]

chiarissimo, grazie...

[peterflyer]

mi scuso per il ritardo con cui reintervengo ma a volte gli impegni non permettono.
Ringrazio tutti per le risposte.
Riassumendo, una volta rientrato a casa per fortuna la situazione era meno compromessa rispetto a quanto mi sarei aspettato.
L'account admin era ancora intatto e sono riuscito ad entrare nella DS, ho subito provveduto a creare un altro account admin e a disabilitare quello di default.
Ho tolto il nat esterno alle porte 500X 21, 22 23 e a quelle per i servizi FTP e Telnet.

Mi servo della DS, al momento principalmente per condividere contenuti multimediali (video e foto soprattutto) entro la mia LAN casalinga.

Ho un TV Samsung smart della serie 8000 il quale anche in queste condizioni di chiusura ermetica riesce ad accedere a tutti i contenuti.

Tuttavia il mio PC (WIN 8) attualmente non mi consente di creare una nuova risorsa e di linkare nessuna delle cartelle condivise della DS.

@dMajo: quando scrivi questo:"Le porte 5000/5001/22/23 non sia aprono mai sul router e si vincolano solo agli ip privati sul fw del nas (es 192.168.0.0/255.255.0.0 e 10.0.0.0/255.0.0.0)" e soprattutto questo:"si vincolano solo agli ip privati sul fw del nas (es 192.168.0.0/255.255.0.0 e 10.0.0.0/255.0.0.0)" come devo procedere esattamente?

Scusami ma sono ai primi approcci con questi arnesi diabolici, in se potenzialmente utili ma a quanto vedo anche molto fragili se non settati nella maniera più opportuna.

Quello che chiedo è di sapere come rendere di nuovo disponibile la condivisione delle cartelle sul PC senza passare dall'interfaccia web della DS, sulla quale posso vederle tranquillamente, vorrei averle disponibili sul PC come unità virtuali.

Per quanto concerne il LOG degli accessi ho avuto il piacere di aver ricevuto in circa 3 settimane bel 2600 tentativi di accesso fraudolento soporattutto da IP cinesi e sudamericani (Brasile e cile in particolare), nessuno per fortuna è andato a buon fine. Tutti sono stati bloccati dalla DS soprattutto dopo che ho impostato il BAN dell'IP (come da voi suggerito) dopo 2 tentativi.
I tentativi di accesso venivano perpetrati sica da telnet con utente ROOT che da ftp con utente admin.
da quando ho chiuso le porte e ho tolto l'utente admin non ho più visto sul log alcun tentativo di accesso da parte di estranei.

Ho ritenuto utile anche attivare l'avviso per mail in caso di allarme "giallo".

Per testare ho provato a loggarmi con un proxy da PC esterno sbagliando volutamente la pass per 2 volte di seguito e ho immediatamente ricevuto la mail con l'avviso del blocco dell'IP.

Confido su dMajo, Burghy e voi tutti per avere ulteriori informazioni su come settare in modo sicuro la DS senza compromettere gli accessi esterni.

Grazie di nuovo

Peter

[ponzo79]

Io ti consiglio di chiudere tutte le porte sul router, impostare una vpn e usare solo quella per accedere da remoto.

[peterflyer]

Io ti consiglio di chiudere tutte le porte sul router, impostare una vpn e usare solo quella per accedere da remoto.

Le porte le ho chiuse e non ho più, da allora, avuto problemi di tentativi di accesso sul log.
Il problema ora è che con il PC win 8 all'interno della lan casalinga non riesco ad accedere alla DS se non tramite la sua interfaccia web, mentre io vorrei disporre per comodità delle cartelle condivise sulla DS come unità virtuali del PC.
Quando cerco di creare una unità virtuale delle stesse sul PC ho un errore che mi dice che non ho credenziali di accesso.

Ripeto sono all'interno della LAN e il TV samsung invece accede tranquillamente.

Immagino di dover settare qualcosa, tipo una utenza per il PC sulla DS, ma in che modo lo chiedo a voi.

Grazie delle risposte.

[dMajo]

@dMajo: quando scrivi questo:"Le porte 5000/5001/22/23 non sia aprono mai sul router e si vincolano solo agli ip privati sul fw del nas (es 192.168.0.0/255.255.0.0 e 10.0.0.0/255.0.0.0)" e soprattutto questo:"si vincolano solo agli ip privati sul fw del nas (es 192.168.0.0/255.255.0.0 e 10.0.0.0/255.0.0.0)" come devo procedere esattamente?

Se si credeva necessario aprire le porte 500x a causa dell'utilizzo della varia app DSxxxx, questo può esser ovviato andando nel portale applicazioni e configurando le porte alternative per quelle usate.

AppPortal.png

Questo potrebbe esser un esempio di come fare poi le regole sul FW del NAS. Ovviamente a seconda dei servizi utilizzati e/o ambienti possono essere personalizzate.
Attenzione: Questa "demo" usa la scheda "PPPoE" in quanto non potevo stravolgere le mie configurazioni, tu dovrai usare probabilmente "Lan1" o "Bond1" in caso tu usi LACP.

FWRules.png

Probabilmente ne abbiamo più di quante servano ad un utente normale, e forse ne manca qualcuna ... ma per chiarire il concetto ...
Esaminiamole (porte fra parentesi; notare la numerazione aggiunta a sx. prima del "enabled"):

1. (80/443) Aperto a tutti per pubblicazione siti residenti sul nas e/o utilizzo esterno della mail station
   • Nella MailStation (Roundcube) consigliata la redirezione di http su https (necessario intervento via telnet/ssh)
2. (25,465,587,993,995) smtp, smtps, pop3s e imaps aperti a tutti per utilizzo esterno delle caselle mail su smartphone e dispositivi mobili (utilizzo SSL)
3. (25, 110, 143) smtp, pop3 e imap solo su ip privati per consentire l'utilizzo eventualmente da outlook e pc fissi su protocollo non crittografato (più leggero)
4. (quelle del portale applicazioni, colonna https) aperto a tutti, questo consente di utilizzare le varie app senza dare per forza accesso al DSM
5. aperto a tutti downloadstation e fpt si presume richiedano accesso esterno.
6. utilizzo del media streaming dlna su reti private.
7. se usato, il dns server potrebbe richiedere accesso dall'esterno
8. il vpn server invece lo richiede sicuramente
9. servizi comuni di networking, questi in caso di utilizzo di diverse subnet andranno sicuramente estesi al di la della lan locale, ma mail all'esterno.
10. come sopra, con la differenza che la condivisione file potrebbe essere ulteriormente ristretto
11. (23 e 5000 - telnet e DSM) l'accesso potrebbe esser conveniente su protocollo non crittografato (più snello) ma assolutamente vincolato alla sola lan locale (l'ip 192.168.1.0/24 presuppone che il router es sia 192.168.1.1, il nas 192.168.1.10 ed il pc 192.168.1.100; modificare opportunamente la subnet /24)
12. (22 e 5001 - ssh e DSM) su protocollo crittografato l'accesso potrà esser esteso a lan/client remote/i via VPN ma possibilmente evitare quello esterno.
13. (10000=webmin;667=darkstat) puramente d'esempio, per mostrare la configurazione di porte custom; in questo caso trattasi di due app di management quindi vale il discorso delle 2 regole precedenti.
14. (ICMP) conviene sempre aggiungerlo quantomeno per la subnet locale, altrimenti il NAS non risponde ai ping che potrebbero servire in fase di diagnostica.

ATTENZIONE: fare le regole 11/12 e salvare PRIMA di chiudere il firewall, altrimenti potremmo chiuderci fuori (anche se il nas dovrebbe verificarlo ed eventualmente impedire l'impostazione errata)

Come puoi vedere molte regole sono triplicate a causa dell'impossibilità di inserire più indirizzi/range nella stessa regola. (192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8).
Se si usa una sola subnet potrebbe bastare 192.168.0.0/24 (192.168.0.0/255.255.255.0) ma se ben ricordo ad esempio il server vpn assegna gli indirizzi ai client sulla 10.0.0.0/24
Ad ogni modo le 3 regole (192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8) consentono qualsiasi indirizzo privato escludendo tutti quelli pubblici (esterni) mentre quelle "ALL" consentono l'accesso a quella determinata porta a tutti. Ciò non toglie che per consentirlo dall'esterno comunque vanno aperte anche sul router.

L'avere però le regole, anche di massima (distinguendo solo fra interno-privato ed esterno-pubblico), consente di mantenere la protezione sul NAS nel caso smanettando sul router avessimo aperto un po' troppo commettendo degli errori magari senza accorgercene.


ATTENZIONE: Quando si personalizzano così fare attenzione durante l'aggiornamento dei pacchetti. Purtroppo per impostazione predefinita l'installazione del pacchetto le fa con accesso a tutti ("ALL"). Conviene tenere uno screenshot salvato da qualche parte oppure la configurazione documentata (e riverificarle dopo l'aggiornamento).
Lo stesso dicasi per le porte custom: quando cominciano esser tante si potrebbe far fatica a ricordare a quale programma/servizio appartengano.

Spero di esser stato sufficientemente chiaro/semplice.

[peterflyer]

mi scuso per essere rientrato solo ora ma gli impegni me l'hanno impedito.

Grazie Dmajo sei stato chiaro, utile e soprattutto hai pubblicato una vera e propria guida che ti ha richiesto tempo prezioso.

Devo leggermi bene quanto hai scritto, dai post precedenti non avevo capito che andavano creati dei criteri di inoltro sul firewall della DS.

Devo studiarmi la sintassi per non sbagliare.

vedro di concentrarmi e di trovare il tempo soprattutto, che arnesi diabolici che sono queste DS risolvono problemi ma ne creano altri ......

[emmedi]

Tra ieri ed oggi ho letto diversi topic su questo forum inerenti la sicurezza, e l'argomento firewall mi sembra poco dibattuto.
Da quando ho preso il nas (ds214se) ho utilizzato solamente la condivisione di file nella lan e solo ora sto sperimentando altre funzioni, e da qui la necessità di "blindare" il dispositivo.
Ringrazio quindi dMajo per le ottime indicazioni fornite 2 post addietro.
Se non chiedo troppo potresti utilizzare quanto scritto per la compilazione di una guida, magari aggiungendo qualche altro dettaglio utile a chi si avvicina per la prima volta alla configurazione del nas.

Buone feste