Metti in in sicurezza il tuo NAS QNAP esposto in internet, e proteggilo dagli attacchi ransomware. Ti spiego le 11 regole d’oro.

Il 2021 ce lo ha dimostrato in modo palese e violento: le nuove minacce di tipo ransomware non colpiscono solo le reti di PC ma anche i NAS della famosissima marca QNAP. Nell’Aprile 2021 il famoso ransomware Qlocker ha attaccato milioni di dispositivi, criptandone il contenuto.

Oltre ai ransomware ci sono altri rischi per la sicurezza che affliggono tutti i NAS che sono in qualche modo esposti ad internet.

Cos’è un NAS ?

Un NAS, acronimo di Network Attached Storage, è un dispositivo di rete la cui funzione è quella di consentire a più utenti di accedere a una memoria di massa (dello spazio disco) in cui memorizzare e condividere i propri contenuti. Semplificando al massimo per i non addetti, è una specie di “disco fisso esterno” accessibile tramite la rete e quindi anche attraverso internet. Il NAS quindi può essere posizionato in qualsiasi parte del pianeta.

Esistono un’infinità di marche e modelli di NAS, quelli più famosi sono quelli della nota marca QNAP.

I NAS della marca QNAP

La definizione di NAS data in precedenza è molto limitata se parliamo dei NAS della QNAP perché questo brand ha reso i propri NAS dei prodigi di tecnologia. Essi infatti sono dei sistemi con un loro sistema operativo chiamato QTS, capaci di estendere notevolmente il numero e la tipologia dei servizi erogabili mediante la possibilità di installare delle APP, scaricabili direttamente dal NAS o dall’ App Center ufficiale QNAP.

Puoi fare moltissime cose con un NAS della QNAP!

Si va dalla sincronizzazione remota di cartelle (anche tra dispositivi mobili) tramite Qsync, alla videosorveglianza con QVR Pro, alla visualizzazione di contenuti multimediali (foto, video e musica) sulla propria TV con HybridDesk Station, alla possibilità di installare macchine virtuali Windows e Linux, creare server FTP e molto molto altro!

Tra le varie cose che puoi fare è caricare le foto e i video che fai sul tuo cellulare, direttamente sul tuo NAS senza utilizzare servizi come Google Photo e quindi senza rinunciare all’alta risoluzione delle foto e senza problemi per privacy ceduta a Google.

Questa caratteristica, insieme ad altre, hanno reso la QNAP molto famosa. Io personalmente ho provato diverse altre marche prima di approdare a QNAP, e devo dire che non tornerei indietro. QNAP è il miglior sistema per chi oltre a un NAS vuole avere molto di più!

Se vuoi conoscere meglio i NAS QNAP non perderti questa Guida per principianti: cos’è un NAS ? | QNAP

Esporre a internet un NAS, perché lo si fa ?

Un NAS può benissimo essere utilizzato in ambito domestico o di ufficio/azienda senza per forza doverlo esporre ad internet. Per la maggior parte degli utenti un NAS è solo un luogo in cui memorizzare files.

Tuttavia quando parliamo di QNAP è quasi uno spreco non utilizzarlo in internet, visto i servizi che può mettere a disposizione.

Io ad esempio trovo utilissimo poterlo tenere in casa, collegato ad internet, per poterci accedere da remoto e consultare i miei documenti o i miei lavori.

Non spiegherò qui come fare per esporre un NAS in internet, ma darò 10 consigli per ridurre al minimo i rischi.

Le 11 regole d’oro per la messa in sicurezza dei NAS della QNAP

Ti spiego le 11 regole d’oro che personalmente ho sperimentato e raccolto per te, alcune di queste fanno parte delle best practice consigliate dalla stessa QNAP.

1. Aggiorna il firmware spesso

La regola forse più ovvia. Devi controllare spesso la presenza di aggiornamenti del firmware, e se presenti installarli il prima possibile! Questa regola dovrebbe valere per qualsiasi dispositivo in generale. La QNAP rilascia uno o due aggiornamenti al mese per i modelli più recenti. Quindi controlla ogni 15 giorni.

Come fare il controllo. Appena si entra nel pannello di gestione web si viene avvisati, ed è possibile procedere all’installazione del nuovo firmware. Altrimenti vai su:

Pannello di controllo –> Aggiornamento firmware

e poi Controlla Aggiornamenti

QNAP QTS Aggiornamento firmware
QNAP QTS Aggiornamento firmware

2. Aggiorna le App regolarmente

Entra nella APP Center del tuo NAS, vedrai tutte le app installate. Verifica se necessitano di un aggiornamento.

Ricorda: una app installata sul NAS, anche se non utilizzata è una porta di ingresso per i ransomware!

Quindi se non utilizzi una determinata app poi anche decidere disinstallarla, ma non lasciarla NON aggiornata!

QNAP QTS App Center
QNAP QTS App Center

3. Eleggi un utente ad amministratore e disabilita l’utente admin

L’utente “admin” è l’utente amministratore di default. Gli attacchi quindi cercheranno di utilizzare questo utente, per questo motivo devi disabilitarlo. Prima di poterlo disabilitare però devi eleggere un altro utente ad “amministratore”.

Entra nell’interfaccia di gestione con l’utente admin.

Crea quindi un utente con un nome che NON SIA “amministratore”, “admin_user” o qualcosa di simile, ma scegli un nome che non evochi il ruolo che avrà. Ad esempio chiamalo con un nome proprio, ad esempio “alessandro”.

Una volta creato, dall’elenco degli utenti clicca sull’icona “Modifica gruppo utente

Metti la spunta sul gruppo administrators e conferma con Applica

QNAP QTS abilitazione gruppo administrators

QNAP QTS abilitazione gruppo administrators

Adesso fai il LOGOUT e riaccedi con l’utente appena creato.

Dall’elenco degli utenti individua admin e fai click sull’icona della matita per modificarlo.

Metti la spunta su Disabilita questo account e OK per confermare.

QNAP QTS diabilitazione utente admin
QNAP QTS diabilitazione utente admin

Alla fine devi trovarti con l’utente admin disabilitato

QNAP QTS utente admin disabilitato
QNAP QTS utente admin disabilitato

4. Ferma o disabilita questi servizi di rete

Ferma o disabilita questi servizio di rete: Telnet / SSH (togli le spunte qui sotto)

QNAP QTS Telnet - SSH
QNAP QTS Telnet – SSH

consigliato inoltre disabilitare questi altri servizi: SQL server, phpMyAdmin and PostgreSQL.

5. Abilitare il protocollo criptato HTTPS e forzarne l’utilizzo

Per criptare il traffico web è consigliato abilitare il protocollo HTTPS e inoltre forzare il NAS ad utilizzare solo quello!

Vai su Pannello di Controllo –> Applicazioni –> Server Web

Spuntare le voci come segue:

  • Abilitare Connessione Sicura (HTTPS)
  • Forzare soltanto la connessione sicura (HTTPS)

QNAP QTS abilitare e forzare HTTPS
QNAP QTS abilitare e forzare HTTPS

Inoltre è possibile installare i cerificati SSL gratuiti di Let’s Encrypt

Questa opzione si trova sotto: Pannello di Controllo –> QTS SSL Certificate

QNAP QTS Certificato SSL
QNAP QTS Certificato SSL

6. Cambia le porte web di default http e https

le porte standard dei servizi http e https sono le più usate per gli attacchi dato che quasi nessuno le modifica.

Queste porte di default sono: 80, 443, 8080 and 8081 per la parte web

Vai nella schermata vista in precedenza sotto Pannello di Controllo –> Applicazioni –> Server Web e cambia la porta 80 e la 8080/8081 in qualcos’altro, ad esempio la 8080 modificala in 9527. La porta 80 in realtà non dovrebbe più servirti dato che al passo precedente abbiamo forzato la connessione https. Modificala comunque per non dimenticartene casomai disattivassi per sbaglio l’https.

QNAP QTS modifica numero delle porte
QNAP QTS modifica numero delle porte

7. Scegli password complesse per i tuoi utenti

Scegli sempre password complesse per i tuoi utenti, specialmente per l’utente amministratore.

Come regola per la scelta delle password io consiglio di seguire queste regole:

  • lunghezza di almeno 10-15 caratteri
  • presenza di caratteri sia MAIUSCOLI sia minuscoli
  • presenza di caratteri speciali come ad esempio questi ~ ! @ # $ % ^ & *_ – + * = | ( ){ }[ ] : ; ” ‘<> , . ? / )
  • presenza di numeri. attenzione NON utilizzare numeri consecutivi come 1234, etc e non utilizzare le date di nascita dei familiari o l’anno corrente!!
  • non deve contenere nomi propri di persone o di animali domestici

se sei a corto di fantasia ti consiglio questo sito per generare la tua password: https://passwordsgenerator.net/

8. Attiva l’autenticazione a due fattori 2FA

L’autenticazione a 2 fattori, detta anche 2FA ti permette di impostare una sicurezza in più oltre al nome utente e alla password. Puoi utilizzare l’app Google Authenticator sul tuo cellulare per convalidare il login ogni volta che accedi.

Essendo la procedura un po’ laboriosa, ti lascio il link alla guida ufficale Migliorare la protezione dell’account tramite la verifica in 2 fasi

9. Blocca gli indirizzi IP che tentano intrusioni

Il sistema QTS permette di bloccare per un tempo determinato (30 minuti, 1 giorno, o anche per sempre) gli indirizzi IP da cui provengono numerosi tentativi di accesso per i vari protocolli.

Vai su Pannello di Controllo –> Sicurezza –> Protezione accesso IP

QNAP QTS Protezione accesso IP
QNAP QTS Protezione accesso IP

Puoi decidere per ogni protocollo dopo quanti tentativi bloccare gli IP e per quanto tempo.

10. Schedula scansioni antimalware con Malware Remover

Esiste un’ app per il tuo QNAP che regolarmente effettua scansioni anti malware. Si chiama Malware Remover. Installala e aggiornala.

QNAP Malware Remover
QNAP Malware Remover

11. spegni il NAS quando non utilizzato

Sembra banale ma pochi ci poensano. Se il NAS è spento non è attaccabile 🙂

Quindi spegnilo la notte, nei weekend, o quando non prevedi di utilizzarlo.

QNAP permette di schedulare accensioni e spegnimenti in base ad un programma giornaliero personalizzato.

Questa impostazione la trovi sotto Pannello di Controllo –> Sistema –> Alimentazione –> Programmazione alimentazione

QNAP QTS Programmazione alimentazione
QNAP QTS Programmazione alimentazione

Cosa fare se si scopre di essere infettati da un ransomware ?

Il segnale è chiaro. Troverai i tuoi files criptati e zippati in formato 7Zip protetto da password, con un file di testo con le chiare istruzioni per pagare il riscatto.

In questo caso come prima coasa NON SPEGNERE IN NAS! Se lo farai non potrai tentare di recuperare i dati successivamente.

Come seconda cosa contatta subito il sevizio clienti QNAP

Aiutami a sostenere questo blog

Se vuoi puoi aiutarmi concretamente a sostenere questo blog. Puoi farlo con una donazione libera, con carta di credito o paypal. Te ne sarò riconoscente.