Sicurezza dei NAS QNAP- le 11 regole d’oro
Metti in in sicurezza il tuo NAS QNAP esposto in internet, e proteggilo dagli attacchi ransomware. Ti spiego le 11 regole d’oro.
Il 2021 ce lo ha dimostrato in modo palese e violento: le nuove minacce di tipo ransomware non colpiscono solo le reti di PC ma anche i NAS della famosissima marca QNAP. Nell’Aprile 2021 il famoso ransomware Qlocker ha attaccato milioni di dispositivi, criptandone il contenuto.
Oltre ai ransomware ci sono altri rischi per la sicurezza che affliggono tutti i NAS che sono in qualche modo esposti ad internet.
Cos’è un NAS ?
Un NAS, acronimo di Network Attached Storage, è un dispositivo di rete la cui funzione è quella di consentire a più utenti di accedere a una memoria di massa (dello spazio disco) in cui memorizzare e condividere i propri contenuti. Semplificando al massimo per i non addetti, è una specie di “disco fisso esterno” accessibile tramite la rete e quindi anche attraverso internet. Il NAS quindi può essere posizionato in qualsiasi parte del pianeta.
Esistono un’infinità di marche e modelli di NAS, quelli più famosi sono quelli della nota marca QNAP.
I NAS della marca QNAP
La definizione di NAS data in precedenza è molto limitata se parliamo dei NAS della QNAP perché questo brand ha reso i propri NAS dei prodigi di tecnologia. Essi infatti sono dei sistemi con un loro sistema operativo chiamato QTS, capaci di estendere notevolmente il numero e la tipologia dei servizi erogabili mediante la possibilità di installare delle APP, scaricabili direttamente dal NAS o dall’ App Center ufficiale QNAP.
Puoi fare moltissime cose con un NAS della QNAP!
Si va dalla sincronizzazione remota di cartelle (anche tra dispositivi mobili) tramite Qsync, alla videosorveglianza con QVR Pro, alla visualizzazione di contenuti multimediali (foto, video e musica) sulla propria TV con HybridDesk Station, alla possibilità di installare macchine virtuali Windows e Linux, creare server FTP e molto molto altro!
Tra le varie cose che puoi fare è caricare le foto e i video che fai sul tuo cellulare, direttamente sul tuo NAS senza utilizzare servizi come Google Photo e quindi senza rinunciare all’alta risoluzione delle foto e senza problemi per privacy ceduta a Google.
Questa caratteristica, insieme ad altre, hanno reso la QNAP molto famosa. Io personalmente ho provato diverse altre marche prima di approdare a QNAP, e devo dire che non tornerei indietro. QNAP è il miglior sistema per chi oltre a un NAS vuole avere molto di più!
Se vuoi conoscere meglio i NAS QNAP non perderti questa Guida per principianti: cos’è un NAS ? | QNAP
Esporre a internet un NAS, perché lo si fa ?
Un NAS può benissimo essere utilizzato in ambito domestico o di ufficio/azienda senza per forza doverlo esporre ad internet. Per la maggior parte degli utenti un NAS è solo un luogo in cui memorizzare files.
Tuttavia quando parliamo di QNAP è quasi uno spreco non utilizzarlo in internet, visto i servizi che può mettere a disposizione.
Io ad esempio trovo utilissimo poterlo tenere in casa, collegato ad internet, per poterci accedere da remoto e consultare i miei documenti o i miei lavori.
Non spiegherò qui come fare per esporre un NAS in internet, ma darò 10 consigli per ridurre al minimo i rischi.
Le 11 regole d’oro per la messa in sicurezza dei NAS della QNAP
Ti spiego le 11 regole d’oro che personalmente ho sperimentato e raccolto per te, alcune di queste fanno parte delle best practice consigliate dalla stessa QNAP.
1. Aggiorna il firmware spesso
La regola forse più ovvia. Devi controllare spesso la presenza di aggiornamenti del firmware, e se presenti installarli il prima possibile! Questa regola dovrebbe valere per qualsiasi dispositivo in generale. La QNAP rilascia uno o due aggiornamenti al mese per i modelli più recenti. Quindi controlla ogni 15 giorni.
Come fare il controllo. Appena si entra nel pannello di gestione web si viene avvisati, ed è possibile procedere all’installazione del nuovo firmware. Altrimenti vai su:
Pannello di controllo –> Aggiornamento firmware
e poi Controlla Aggiornamenti
2. Aggiorna le App regolarmente
Entra nella APP Center del tuo NAS, vedrai tutte le app installate. Verifica se necessitano di un aggiornamento.
Ricorda: una app installata sul NAS, anche se non utilizzata è una porta di ingresso per i ransomware!
Quindi se non utilizzi una determinata app poi anche decidere disinstallarla, ma non lasciarla NON aggiornata!
3. Eleggi un utente ad amministratore e disabilita l’utente admin
L’utente “admin” è l’utente amministratore di default. Gli attacchi quindi cercheranno di utilizzare questo utente, per questo motivo devi disabilitarlo. Prima di poterlo disabilitare però devi eleggere un altro utente ad “amministratore”.
Entra nell’interfaccia di gestione con l’utente admin.
Crea quindi un utente con un nome che NON SIA “amministratore”, “admin_user” o qualcosa di simile, ma scegli un nome che non evochi il ruolo che avrà. Ad esempio chiamalo con un nome proprio, ad esempio “alessandro”.
Una volta creato, dall’elenco degli utenti clicca sull’icona “Modifica gruppo utente“
Metti la spunta sul gruppo administrators e conferma con Applica
QNAP QTS abilitazione gruppo administrators
Adesso fai il LOGOUT e riaccedi con l’utente appena creato.
Dall’elenco degli utenti individua admin e fai click sull’icona della matita per modificarlo.
Metti la spunta su Disabilita questo account e OK per confermare.
Alla fine devi trovarti con l’utente admin disabilitato
4. Ferma o disabilita questi servizi di rete
Ferma o disabilita questi servizio di rete: Telnet / SSH (togli le spunte qui sotto)
consigliato inoltre disabilitare questi altri servizi: SQL server, phpMyAdmin and PostgreSQL.
5. Abilitare il protocollo criptato HTTPS e forzarne l’utilizzo
Per criptare il traffico web è consigliato abilitare il protocollo HTTPS e inoltre forzare il NAS ad utilizzare solo quello!
Vai su Pannello di Controllo –> Sistema –> Impostazioni Generali –> Amministrazione di Sistema
Spuntare le voci come segue:
- Porta di sistema: cambiare da 8080 (valore predefinito) ad altro valore a piacimento, ad esempio 9527
- Abilitare Connessione Sicura (HTTPS)
- Compatibilità con la 1.2 e successivi
- Abilita suite di cifratura complesse
- Numero porta: qui va cambiata da 443 ad altra…ad esempio 455
- Forzare soltanto la connessione sicura (HTTPS)
Inoltre è possibile installare i cerificati SSL gratuiti di Let’s Encrypt
Questa opzione si trova sotto: Pannello di Controllo –> QTS SSL Certificate
6. Cambia le porte web di default http e https
le porte standard dei servizi http e https sono le più usate per gli attacchi dato che quasi nessuno le modifica.
Queste porte di default sono: 80, 443, 8080 and 8081 per la parte web
Vai nella schermata vista in precedenza sotto Pannello di Controllo –> Applicazioni –> Server Web e cambia la porta 80 e la 8080/8081 in qualcos’altro, ad esempio la 8080 modificala in 9527. La porta 80 in realtà non dovrebbe più servirti dato che al passo precedente abbiamo forzato la connessione https. Modificala comunque per non dimenticartene casomai disattivassi per sbaglio l’https.
7. Scegli password complesse per i tuoi utenti
Scegli sempre password complesse per i tuoi utenti, specialmente per l’utente amministratore.
Come regola per la scelta delle password io consiglio di seguire queste regole:
- lunghezza di almeno 10-15 caratteri
- presenza di caratteri sia MAIUSCOLI sia minuscoli
- presenza di caratteri speciali come ad esempio questi ~ ! @ # $ % ^ & *_ – + * = | ( ){ }[ ] : ; ” ‘<> , . ? / )
- presenza di numeri. attenzione NON utilizzare numeri consecutivi come 1234, etc e non utilizzare le date di nascita dei familiari o l’anno corrente!!
- non deve contenere nomi propri di persone o di animali domestici
se sei a corto di fantasia ti consiglio questo sito per generare la tua password: https://passwordsgenerator.net/
8. Attiva l’autenticazione a due fattori 2FA
L’autenticazione a 2 fattori, detta anche 2FA ti permette di impostare una sicurezza in più oltre al nome utente e alla password. Puoi utilizzare l’app Google Authenticator sul tuo cellulare per convalidare il login ogni volta che accedi.
Essendo la procedura un po’ laboriosa, ti lascio il link alla guida ufficale Migliorare la protezione dell’account tramite la verifica in 2 fasi
9. Blocca gli indirizzi IP che tentano intrusioni
Il sistema QTS permette di bloccare per un tempo determinato (30 minuti, 1 giorno, o anche per sempre) gli indirizzi IP da cui provengono numerosi tentativi di accesso per i vari protocolli.
Vai su Pannello di Controllo –> Sicurezza –> Protezione accesso IP
Puoi decidere per ogni protocollo dopo quanti tentativi bloccare gli IP e per quanto tempo.
10. Schedula scansioni antimalware con Malware Remover
Esiste un’ app per il tuo QNAP che regolarmente effettua scansioni anti malware. Si chiama Malware Remover. Installala e aggiornala.
11. spegni il NAS quando non utilizzato
Sembra banale ma pochi ci poensano. Se il NAS è spento non è attaccabile 🙂
Quindi spegnilo la notte, nei weekend, o quando non prevedi di utilizzarlo.
QNAP permette di schedulare accensioni e spegnimenti in base ad un programma giornaliero personalizzato.
Questa impostazione la trovi sotto Pannello di Controllo –> Sistema –> Alimentazione –> Programmazione alimentazione
Cosa fare se si scopre di essere infettati da un ransomware ?
Il segnale è chiaro. Troverai i tuoi files criptati e zippati in formato 7Zip protetto da password, con un file di testo con le chiare istruzioni per pagare il riscatto.
In questo caso come prima coasa NON SPEGNERE IN NAS! Se lo farai non potrai tentare di recuperare i dati successivamente.
Come seconda cosa contatta subito il sevizio clienti QNAP
Aiutami a sostenere questo blog
Se vuoi puoi aiutarmi concretamente a sostenere questo blog. Puoi farlo con una donazione libera, con carta di credito o paypal. Te ne sarò riconoscente.