Včera odpoledne jsem o tom četl na redditu a souhlasím s jedním komentářem: "Stop exposing your NASes to the fscking Internet!" 🙂 A když už někdo potřebuje přístup do NASky z venku, tak rozhodně jen přes VPN (OpenVPN třeba), který mám puštěný na routeru (a bezpečně nastavený).
Já se divím, že to vůbec někdo vystavuje na internet. Já jsem u svého NASu vyzkoušel cloudový přístup a po chvíli jsem prohlásil: "hmm funguje to, ale práce s tím je naprd". Prostě přístup přes webový prohlížeč je dost neohrabaná. Jak si tu sdílenou složku nemůžu zobrazit v total commanderu tak prostě uživatelská přístupnost jde o dvě kategorie dolů. Tím pádem byla VPNka jasná a jediná volba.
NAS lze pripojit pres Webdav, na NASu mam nainstalovany NextCloud ktery je ve windows pripojen jako dalsi disk, pri praci pak nepoznate rozdil od treba Onedrive, Emby pro streamovani videi a fotografie deti pro dedu a babicku. Moznosti je spousta. NAS je treba vyuzit jinak nez jen uloziste na soubory domacich pocitacu.
Pokud se nemýlím, tak pro použití WebDAVu s přístupem z venku se musí na routeru nastavit port forwarding portů 5000-5001 k NAS a už je potenciální problém na světě.Jak už jsem tady psal, VPN na routeru je aktuálně asi nejbezpečnější forma pro přístup do sítě, kde je i NAS a další zařízení.
Pro použití WebDAVu se dá nastavit jakýkoliv port. Nas se dá zabezpečit zablokováním IP útočníka po X neúspěšných přihlášeních, vyžadováním přihlášení přes 2FA, zakázáním přihlášení z jiných geolokací a jiné, zablokováním účtu Admin a Guest, použít silné hesla. No a když i přes to kryptovirus projde, tak mi přece nezašifruje záložní data na HDD v trezoru, záložní data na kryptovaném disku a nejdůležitější data v placeném online uložišti s verzovnáním. No a těch pár filmů a seriálů ať si zašifrují jak chcou.Tím nechci zase říci že VPN nepoužívat, ale koupit si NAS a uzamknout to na LANce je asi jako koupit si terenní auto a jezdit jen na asfaltce, protože v lese si ho zašpiním a poškrábu. Se soubory na Onedrive pracuji každý den, postupně to převádím na NextCloud instalovaným na NASu ale abych při každé synchronizaci zapínal VPN tak to určitě ne. Tohle mám ale v domácím prostředí. Firemní je asi jiná.
Tím jenom omezíš vektor útoku. Pokud je chyba ve firmware tak je cokoliv otevřeného ven zranitelné. Pomůže max. ta VPN.
1. je daleko lepsie mat moznost pracovat cez web ako nepracovat vobec2. zapni si synchronizaciu3. nepotrebujes verejnu IP ani presmerovat porty4. daj si silne heslo a blokovanie prihlasenia po xy pokusoch
Jojo, takhle jsem dopadl i já před asi dvěma lety se svým starším NASem od D-Linku. Ještě, že jsem měl zálohy i jinde, ale pěkně to člověku otráví život. Velmi zábavné bylo pozorovat, že přes to, že jsem firmware nainstaloval znovu, úplně načisto, udělal tovární nastavení, naformátoval disky, tak stejně tam ten šifrovací zmetek někde zůstal a nebylo možné jej prostě odebrat. I bez přístupu do netu prostě data zašifroval. NASka pak odešla do elektroodpadu. Občas si říkám, jestli to nedělají výrobci záměrně ve vlastním zájmu - kupte novější produkt, bude bezpečnější... :-/
Zrovna u těch NASů tahle politika „kupte si novější“ moc nefunguje, protože i starší zařízení mají dost dlouhou podporu a běží na stejném softwaru jako novější modely. Tudíž i ty zranitelnosti budou nejspíš stejné.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.