家はどのくらい安全ですかNAS sshアクセスで?
NAS Synology(またはQNap)から取得することを考えています。これらは非常に優れていますNASで、ファイルを保存するだけではありません。いくつかの追加機能が含まれます:
- ssh、ftp、telnet、メールサーバー
- フォトギャラリー(NASから直接!)
- mysql/php(そこからWebサイトを実行することもできます)
- そして、はるかに
スペックの面では、LANサーバーのように見えますが、インターネットからもこれらのサービスにアクセスできます。そして今、私はあなたが実際に複数のサーバーを配置していて、忘れずにそのデバイスに保存されているすべての個人ファイルインターネット上を考慮しているので、それがどれほど安全か疑問に思っています。
私は少し調査しましたが、2段階認証を使用してsshアクセスを強化することができますが、他のサービスについては、すべてがsshを通過する必要がない限り、わかりませんか?
これとあなたの家を安全にする他の可能な方法についてのあなたの見解をNAS安全にしてください。
A NASはコンピュータです。 "小さな" CPU(通常は200MHzの範囲でARM))を備えていますが、それでも "通常の"動作を実行しますすべての通常のソフトウェアと各種の脆弱性を備えたシステム(多くの場合Linux派生物)SSHサーバーにバッファオーバーフローがある場合、外部ボックスがコンピュータのように見えなくても脆弱です。
安全であると見なされるには、他のコンピューターと同様に、NASをセキュリティ修正プログラムの迅速なインストールで管理する必要があります。これが問題のある場所です:反対本格的なデスクトップコンピューターで何が起こるか、NASベンダーがセキュリティを配布することはめったにありませんパッチは毎日適用されます。固有のレイテンシがあります。つまり、脆弱性が発見された場合、攻撃者は修正がパッケージ化され、配備されたデバイスの大部分にインストールされるまでに数週間(または数か月)の頭のスタートがあります。これは、かなり大きな問題で、0日間の悪用を0か月間の悪用に変えます。
私のアドバイスは、OSを自分が管理する別のOSに置き換え、低遅延のセキュリティ更新を提供する場合(そしてもちろん、あなたを提供しない限り、そのようなデバイスを「インターネット上」に置くことを控えることです。 )doそれらをチェックし、すべての適切な精度でインストールします)。たとえば、 Debian on QNAP NAS をインストールできます。
QNAPデバイスには標準で非常に限られたsshサーバーがインストールされています-管理者(つまりrootアクセス)としてログインする必要がありますが、それ自体がリスクです。 opensshで置き換えることができます-こちらの手順を参照してください: http://wiki.qnap.com/wiki/How_To_Replace_SSH_Daemon_With_OpenSSH
ただし、ゲストアカウントのパスワードを変更するときは十分注意してください。ゲストとしてログインしている複数の歓迎されない外部ユーザーに気付いたとき、私はこれを自費で学びました!
Openssh設定を強化してパスワードアクセスを拒否し、公開鍵交換によるアクセスのみを許可することもできます。
あなたがそれを必要としない場合は、インターネットに載せないでください。必要な場合は、他のすべてのサービスをローカルでのみ利用可能にし、インターネットからのsshのみを許可してください。その後、sshを介してトンネルを作成し、そのトンネルを介して他のサービスにアクセスできます。
[〜#〜] home [〜#〜] NASであることを覚えておいてくださいLANに保存することをお勧めします。
家族の写真、音楽ライブラリ、取り込んだDVDコレクション、ハウスドキュメントをNASに置くつもりですか?
もしそうなら、あなたにとってどれほど重要ですか:
- 彼らはインターネット上にいた。
- それらはすべて消されました。
これらのいずれかが問題となる場合は、ファイアウォールに穴を開けないようにして、NASをインターネットに公開しないようにしてください。
これらが問題ではない場合、NASを他のホームデバイス、たとえば「ホームDMZ」から分離できますか?そのように、NASが危険にさらされており、インターネットアクセスおよびその他のホームデバイスは危険にさらされていません。