Introducción:
Para realizar una conexión por SSH a vuestro NAS synology, hay una serie de aspectos que debereis tener en cuenta y que describo a continuación.Como habilitar el servicio:
Para activar el servicio SSH solo teneis que ir a:- Control panel > Terminal & SNMP > Enable SSH at port 22
Como utilizar servicio:
Para utilizar el servicio, teneis que conectaros obligatoriamente con el usuario admin. Este usuario tendrá la contraseña del usuario administrador del NAS. Aunque no te podrás conectar con este.Comando
ssh admin@IPtoNASEjemplo usando un DDNS habilitado
ssh admin@vgonisanz.synology.meAlternativamente puedes usar un cliente como putty o fireSSH
¿Por que no cambiar el puerto 22 por defecto?
Muchas personas, están tentadas de cambiar el puerto por defecto para "despistar" a atacantes que llaman a ips al azar y tratan de loguearse con contraseñas por defecto. Yo lo intenté cuando el NAS me avisaba de la cantidad de IPS que bloquea que intentan entrar. ¿Es efectivo? En realidad no.La razón es que aunque el puerto por defecto sea el 22, los atacantes probaran con varios puertos, no solo con 1. Así que aunque no todos, seguirán llegando. No se pueden abrir puertos por debajo del 1024. La razón es que estos están reservados solo a conexiones de administradores de sistemas.Es decir, usando el puerto 22, solo se podrá abrir el puerto con acceso root, si está en el puerto 9999, se podrá abrir sin serlo. En este caso, con un simple script que imite ssh escuchando el puerto 9999, se podría robar tus contraseñas.
Si quieres sabes más del tema te recomiendo consultar este post.
¿Cómo proteger para evitar ataques?
Por defecto, synology viene configurado para bloquear N intentos fallidos en un periodo de tiempo T. Lo encontraras en:- Control Panel > Security > Auto-block
Menu de auto bloqueo |
Una solución algo peor, de la que hablo en el punto anterior, es cambiar el puerto, por ejemplo, al 9999. Aunque disminuyen, porque no todos prueban varios puertos, el sistema persistirá.
Una solución más elegante, es el bloqueo de regiones. Normalmente no te vas a teletransportar, ni viajar a paises como China, o Zimbabwe. Puedes hacer reglas en el firewall de forma sencilla que permitan solo acceder de tu pais, o denegar de ciertos paises.
- Control Panel > Security > Firewall > Create...
Ahora no se podrá acceder desde China, a menos que usen proxys |
Espero que todo esto te sirva para manejar como un profesional tu NAS a distancia.
No hay comentarios:
Publicar un comentario