Se hai già disattivato tutti i LAN Access da e verso la rete 192.168.70.x direi solo questo: Protezione accesso alla rete (pagina 67 del manuale).
Dato che il tuo NAS è in una DMZ, tutto il traffico per il quale non è prevista una diversa destinazione viene instradato direttamente verso il suo indirizzo IP. Questo significa che il tuo NAS è direttamente esposto agli attacchi diretti degli scanner che in continuazione scansionano la rete alla ricerca di server deboli o vulnerabili.
Quando ne individuano uno non è raro che il malcapitato dispositivo venga poi bombardato di tentativi di hacking, tramite script automatizzati, che fanno n-mila tentativi di forzare la password o sfruttare vulnerabilità note.
La protezione principale che hai contro questi attacchi è proprio quella di lasciare spento il dispositivo ma una volta che questo viene acceso diventa vulnerabile e in questo caso ti aiuta lasciare "spente" le funzionalità non necessarie al momento. In aggiunta, esistono dei servizi in grado di analizzare i log di sistema per individuare eventuali tentativi di intrusione, con techiche più o meno raffinate, e contrastarli generalmente mettendo in "DROP" l'IP dell'attaccante nel firewall del dispositivo.
Il QNAP prevede uno strumento analogo (non userà il firewall dato che abbiamo visto non lo integra ma quello che conta è il risultato) per bloccare gli IP da cui provengono un determinato numero di tentativi di login falliti per un determinato lasso di tempo. Quello che a te importa principalmente è "HTTP(S)" ma dato che ci sei io li lascerei tutti attivi, tanto sono gratis... Il contro è che non è impossibile tagliarsi fuori (esperienza personale!!).
Per determinare il lasso di tempo, considera che gli script automatizzati fanno parecchi tentativi in poco tempo mentre un essere umano fà generalmente meno tentativi in tempi più lunghi.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Se non ti viene in mente altro... Direi che potremmo aver finito!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Ok
Ora non riesco (ho la sveglia all'alba ufffffffffff) però domani nei buchi mi leggo il manuale QNAP alla sezione che mi hai indicato così domani sera provo subito a configurarla
Solo un'ultima cosa visto che ormai siamo alla fine credo. Se ho ben capito, per sicurezza, devo modificare
- la porta per il WOL
- l'account DynDNS
- la porta SSL
- la porta 8080 (??)
corretto? O c'è altro che mi conviene modificare?
P.s. Sono davvero contento!!!!!!!!!!!!!!!!!!!!
EDIT
Ho visto ora il tuo messaggio...
Credo che hai già fatto tantissimo per me!!!! Molto più di quello che speravo all'inizio (4 mesi di lavoro!!!!!)...direi che può essere più che sufficiente!!!!
Se in futuro mi verrà in mente altro o se avrò problemi...so che in questo fantastico forum potrò trovare aiuto e consigli...
Grazie di cuore per tutto!!!!
Ok, non lo avevo visto.
Qui hai già risolto tu.
Esatto.
Disabilita tutti i servizi dalla Ethernet con ip 192.168.70.2 tranne "Interfaccia di gestione NAS su base WEB". Se poi ti serve qualcosa ti colleghi all'interfaccia web e lo attivi.
Bravo!
Sorry, non avevo notato il post in precedenza.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Esatto.
Su queste puoi fare delle prove.
A quanto ho visto, c'è un redirect automatico che gira sempre sulla porta 8080. Puoi provare a cambiarle entrambe ma considera che se cambi la porta SSL (443) per accedere all'interfaccia del nas dovrai usare un url in questo formato:
https://account.dyndns.-web.org:porta-che-hai-scelto
Es:
https://vmaradei.dyndns-web.com:4444
Bene così: Noi siamo qui!!
Di niente!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Frakka una domanda. Abilitando l'SSL come unico modo di accesso, la porta 8080 praticamente non la userei più vero? O è quella a cui mi collegherei comunque da LAN?
Ultima cosa. Nel fare il porforwarding (ad esempio della porta 443 o della stessa 8080), su che base scelgo "TCP" o "UDP"?
Ultimissima cosa (si dice sempre così ) . Eventuali aggiornamenti del firmware Shibby o di Cisco e D-Link, posso farli "tranquillamente" (previo backup delle configurazioni in essere)? Ri-parametrizzare tutto sarebbe un bel macello..
Ancora grazie di tutto
Ultima modifica di vincmara : 08-02-2013 a 12:10
Il discorso è un pò diverso:
Quando ti connetti ad un sito web, è sempre necessario specificare il protocollo di connessione e la porta su cui ti vuoi collegare se questa è diversa dalla porta predefinita per il protocollo indicato.
Quando scrivi "http://mio.sito.com" in realtà il browser traduce l'url in "http://mio.sito.com:80" perchè la porta 80 è la porta predefinita del protocollo http
Quando scrivi "https://mio.sito.com" in realtà il browser traduce l'url in "https://mio.sito.com:443" perchè la porta 443 è la porta predefinita del protocollo http cifrato o https
La porta 8080 è una porta non standard per il protocollo http o https: Quando tu tenti di raggiungere il menù del NAS, uno script integrato nel servizio web del NAS rimanda automaticamente la tua connessione sulla porta 80 o 443 verso la porta 8080 usando il protocollo originario quindi http o https.
Se scegli di forzare l'uso di SSL, semplicemente il NAS non dovrebbe più rispondere alla chiamate sul protocollo http, indipendentemente dalla porta utilizzata.
Se scegli di cambiare la porta 8080 con un'altra, l'interfaccia web semplicemente non sarà più raggiungibile su questa porta e lo script integrato nel servizio web del NAS rimanderà le connessioni in ingresso su questa nuova porta.
Quindi:
Con SSL forzato e porta 8080 cambiata, ad esempio, in 8000:
"http://mio.sito.com:80" non dovrebbe più funzionare, perchè il server è forzato all'uso di https.
"https://mio.sito.com:443" dovrebbe funzionare, e rimandare il tuo browser all'url "https://mio.sito.com:8000".
"http://mio.sito.com:8000" non dovrebbe funzionare perchè non stai usando https
"https://mio.sito.com:8000" dovrebbe mostrarti direttamente l'interfaccia web in https
Quindi già con le impostazioni di default potresti non usare più la porta 443.
Questa porta la potresti forwardare, ad esempio, verso un altro dispositivo per pubblicare anche l'accesso a questa interfaccia o verso il nulla (un IP non configurato) per ridurre le possibilità che uno scanner possa raggiungere l'interfaccia del QNAP.
Nella tua configurazione, comunque, la migliore sicurezza contro gli scanner è il fatto di tenere il QNAP spento quando non ti serve.
Il protocollo usato è standard per il servizio: Il servizio WEB lavora solo in TCP, il WOL solo in UDP e così via... La scelta la fai quindi in base al servizio che devi gestire.
Comunque il NAS è in una DMZ pertanto non dovresti avere mail l'esigenza di fare portforwarding verso il NAS. Nel caso del WOL configurare un forwarding si è reso necessario per applicare un trucchetto (reindirizzare il pacchetto non direttamente al NAS ma verso il MAC address ff:ff:ff:ff:ff:ff).
Non te lo posso garantire... Cisco e D-Link direi sicuramente sì, per l'ASUS credo anche (alla fine abbiamo fatto tutto dall'interfaccia) ma non posso esserne sicuro. La cosa migliore è che lo chiedi direttamente a loro.
Per il QNAP lo script di autostart probabilmente non viene raccolto nel backup della configurazione quindi se un eventuale aggiornamento cancella il contenuto della flash e lo riscrive andrà sicuramente perso, mentre se effettua un aggiornamento "in place" è probabile che sia conservato.
Di niente!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Frakka intanto grazie mille per tutte le spiegazioni...ho fatto un pò di prove e tutto funziona come ti aspettavi...non ho bisogno di port forwarding per accedere dall'esterno
Grazie anche per le spiegazioni sulle porte 8080 e 443...ora devo solo configurare bene l'accesso...tenendo sempre in conto che se non serve, il NAS è meglio che stia spento
Credo che metterò l'accesso forzato via SSL e modificherò la porta 8080. La porta 443 credo che farò come mi hai suggerito...un portforwarding verso un ip inutilizzato (mi basta mettere 443 come porta interna e l'IP verso cui voglio fare il forwarding vero?)
Volevo poi segnalarti una cosa. Sto avendo un pò di problemi con il mediaplayer collegato al Cisco. In sostanza non prende più la corretta configurazione IP e quindi non vede nè la LAN nè si riesce a collegare ad internet. Ho provato sia mettendogli IP fisso sia facendolo assegnare in automatico (da qui mi sono reso conto che c'era qualcosa di strano in quanto l'IP che veniva assegnato era estraneo alla classe che abbiamo definito ed inoltre la Subnet era 255.255.0.0). Fino a poco tempo fa tutto funzionava correttamente. Da stamattina invece si comporta in questa maniera strana. A cosa può essere dovuto secondo te?
Il mediaplayer è un Popcorn Hour (basato su linux ed accessibile via putty...mi sembra).
Come sempre, grazie mille per il prezioso aiuto
Ci sono attualmente 2 utenti che stanno visualizzando questa discussione. (0 utenti e 2 ospiti)