Zabezpečení domácího NASu

[Radek.Kovacik]

Zdravím,

mám na zdejší znalce dotaz, jak nejlépe zabezpečit domácí NAS, na kterém je vytvořena webová galerie fotek, která by měla být přístupná i z internetu, ale zbývající obsah serveru by měl zůstat zabezpečený proti jakémukoli přístupu zvenčí. Aktuálně to mám tak, že NAS je součástí interní sítě a s ostatními počítači je propojen přes switch v routeru (v případě LAN) a přes bridge (v případě WLAN) - jedná se o Mikrotik. Tímto jsem dosáhl maximální přenosové rychlosti, ale nevím, zda je to optimální z hlediska zebezpečení.

Jak byste to řešili vy? Vytvořili byste zvláštní subnet s DMZ, kam by se ten NAS mohl přesunout a pak by se všechen provoz musel routovat nebo byste to nechali na maximální rychlosti a zebezpečení provedli jiným způsobem?

[Adolf.Shitler]

Asi nejsnadnějším řešením je pořízení extra NAS, stačí nějaký obyč. jednodiskový jenom pro tyto účely.

[Radek.Kovacik]

Ten už mám, právě o jeho zapojení a vhodnou konfiguraci Mikrotiku se mi jedná...

[ludvik]

Ono jsi to poměrně nedostatečně specifikoval. Jaké služby potřebuješ omezit? A na jaké úrovni - stačí ti port 80 a 443, nebo nějaká specifická "stránka" na tom NAS?

Když ho vysuneš do DMZ, tak budeš řešit stejné problémy. Jen s tím rozdílem, že ovlivníš i provoz klientů LAN - což může být výhodou i nevýhodou.

Filtrace portů - no problem na mikrotiku. Studuj.
Specifická stránka - pak potřebuješ buď spolupráci toho NAS, nebo mu předřadit nějakou reverzní proxy, aby rozuměla http. Což možná na MK jde, ale já nikdy nepoužíval.

[Radek.Kovacik]

Původně jsem počítal právě s těmi dvěma TCP porty 80 a 443. Že by to šlo ještě nějak jinak, to jsem něvěděl. O jakou spolupráci s NASem by se jednalo? Protože je to uzavřený systém (DSM od Synology), tak se tam toho moc dělat nedá. Jediné, co mě v této souvislosti napadá (co by možná mohlo fungovat) je filtrace L7, ale tam bych asi nedokázal sestavit ten správný výraz.

Jinak jasně, filtraci portů bych možná zvládnul (alespoň doufám), ale jde mi právě o ty výhody a nevýhody v případě změny konfigurace na DMZ. V různých článcích nebo i knížkách se můžu dočíst, že umístění serveru do DMZ je bezpečnější než když je zapojený přímo do interního subnetu, ale vlastně nevím proč. To nejde zabezpečit stejně dobře i v té interní síti bez DMZ?

[ludvik]

Bezpečnější to je - protože máš pod kontrolou komplet provoz toho zařízení v DMZ. Záleží samozřejmě, jak si to uděláš ... ale tu možnost máš. Můžeš omezovat oba směry komunikace. Kdežto když je ten server přímo součástí LAN, tak v případě jeho napadení máš útočníka přímo v posteli. Nahradit to firewallem uvnitř toho serveru sice lze, ale pokud ti někdo úspěšně napadne server, tak to obejde (se vší pravděpodobností).
Také to většinou znamená, že takový server používá jinou část infrastruktury než ostatní klienti. Pak nějaká zblázněná stanice, nebo uživatel neovlivní provoz toho serveru - sice pojede jen někomu, ale pojede.

Spoluprací jsem myslel to, že omezíš přístup jen na porty webu toho NAS, ale omezení jednotlivých částí, jednotlivých stránek už je na něm. Nedělám si ovšem iluze ... tyhle krabičky jsou většinou typu "budu za routerem, bezpečnost řešit nemusím".

L7 ti moc nepomůže pokud to budeš honit po HTTPS.

[Radek.Kovacik]

A v případě, že bych se rozhodl to do DMZ přesunout, tak v Mikrotiku ve firewallu by pak asi museli být celkem 3 typy pravidel (pokud to správně chápu) - jedna sada by upravovala provoz mezi DMZ a internetem, další mezi interním subnetem a internetem a třetí mezi stejným subnetem a DMZ. Nebo je to jinak? Jak by to pak (principielně) mělo vypadat? První typ by se asi řešil DSTNATem a povolením daného portu ve firewallu (zákaz všech ostatních), druhý typ by byla asi klasická maškaráda s povolením všeho pouze zevnitř a jak by měl vypadat třetí netuším.

[Standa99]

A nestačil by jenom port forwarding na tu webovou galerii? Tzn. 80+443 port z té veřejky přesměruju na dané porty toho NASu. Akorát se nesmí krýt port webové galerie s portem webové konfigurace na tom NASu.

[Radek.Kovacik]

Port forwarding není totéž, jako to, co jsem výše popsal? Mi to podle manuálu na wiki připadlo stejné...
Co se týče překrytí portů, k tomu by (alespoň v tomto případě) nemělo dojít.

[Standa99]

Každá služba má svůj port, NAS je za NATem (sám uvádíš, že je součástí interní sítě), tzn. co nepřesměruješ, to není vidět. Kdyby na tom NASu byla přímo veřejka, tak pochopím, že na něm budeš chtít dobře nastavený firewall, ale takhle je to zbytečný poprask. Takže pokud přesměruješ pouze HTTP+HTTPS (80+443), tak logicky nebude do NETu nasdílen port pro sambu (445), FTP (21), SSH (22), nebo cokoliv jiného, co na tom NASu běží. Tím pádem bude splněn tvůj požadavek "zbývající obsah serveru by měl zůstat zabezpečený proti jakémukoli přístupu zvenčí", protože to přes NAT logicky neprojde.

[ludvik]

A kde mu běží management? Na gopheru? nebo jen telnet?

[ludvik]

V první řadě se oprosti od názoru, že NAT je součást firewallu. Není. Vytluč si to z hlavy, zapomeň.

Teprve potom se zabývej nějakým zabezpečením. Pravidla budou obecně řečeno minimálně dvoje - komunikace z internetu a komunikace z intranetu. Plus případné třetí pro komunikaci NASu ven (ať už do internetu, do lan, nebo do obou).

Maškarádu (srcnat) je jen jedna - směrem do internetu.
DSTNAT je také jen jeden - směrem z internetu.
Mezi DMZ a LAN nic takového nepatří. To je prostě routing.

A v případě, že bych se rozhodl to do DMZ přesunout, tak v Mikrotiku ve firewallu by pak asi museli být celkem 3 typy pravidel (pokud to správně chápu) - jedna sada by upravovala provoz mezi DMZ a internetem, další mezi interním subnetem a internetem a třetí mezi stejným subnetem a DMZ. Nebo je to jinak? Jak by to pak (principielně) mělo vypadat? První typ by se asi řešil DSTNATem a povolením daného portu ve firewallu (zákaz všech ostatních), druhý typ by byla asi klasická maškaráda s povolením všeho pouze zevnitř a jak by měl vypadat třetí netuším.

Ale abych pravdu řekl ... udělej si DST nat na web porty toho NAS, povol to na forwardu routeru a zbytek zablokuj dropem. Budeš to mít jednodušší. Holt bude na internetu celé webové rozhraní NASu.

[Radek.Kovacik]

A kde mu běží management? Na gopheru? nebo jen telnet?

Chvíli jsem přemýšlel, na koho ta otázka byla směrovaná a co tím tazatel vlastně myslel. Jestli to bylo na mně a jedná se o management NASu, tak ten je přes webové rozhraní na portu 5000 a 5001.

V první řadě se oprosti od názoru, že NAT je součást firewallu. Není. Vytluč si to z hlavy, zapomeň.

Tohle vím a ani si to nemyslím. Já jsem to pouze pro zjednodušení spojil do jedné věty, aby to bylo stručnější.

A co se týká toho třetího případu, jasně routing by tam byl, ale ten probíhá obousměrně bez omezení. Pokud by to řešení s DMZ mělo být bezpečnější než bez něj, tak tam musím šoupnout další "ochranný val" - minimálně zakázat průchod požadavků z DMZ do vnitřní sítě nebo ne?