viernes, 19 de febrero de 2016

Conexión SSH con vuestro NAS Synology

Introducción: 

Para realizar una conexión por SSH a vuestro NAS synology, hay una serie de aspectos que debereis tener en cuenta y que describo a continuación.

Como habilitar el servicio:

Para activar el servicio SSH solo teneis que ir a:
  • Control panel > Terminal & SNMP > Enable SSH at port 22
No te recomiendo usar telnet, ya que la conexión no está protegida como el caso de ssh.

Como utilizar servicio:

Para utilizar el servicio, teneis que conectaros obligatoriamente con el usuario admin. Este usuario tendrá la contraseña del usuario administrador del NAS. Aunque no te podrás conectar con este.

Comando
ssh admin@IPtoNAS
Ejemplo usando un DDNS habilitado
ssh admin@vgonisanz.synology.me
Alternativamente puedes usar un cliente como putty o fireSSH

¿Por que no cambiar el puerto 22 por defecto?

Muchas personas, están tentadas de cambiar el puerto por defecto para "despistar" a atacantes que llaman a ips al azar y tratan de loguearse con contraseñas por defecto. Yo lo intenté cuando el NAS me avisaba de la cantidad de IPS que bloquea que intentan entrar. ¿Es efectivo? En realidad no.

La razón es que aunque el puerto por defecto sea el 22, los atacantes probaran con varios puertos, no solo con 1. Así que aunque no todos, seguirán llegando. No se pueden abrir puertos por debajo del 1024. La razón es que estos están reservados solo a conexiones de administradores de sistemas.Es decir, usando el puerto 22, solo se podrá abrir el puerto con acceso root, si está en el puerto 9999, se podrá abrir sin serlo. En este caso, con un simple script que imite ssh escuchando el puerto 9999, se podría robar tus contraseñas.

Si quieres sabes más del tema te recomiendo consultar este post.

¿Cómo proteger para evitar ataques?

Por defecto, synology viene configurado para bloquear N intentos fallidos en un periodo de tiempo T. Lo encontraras en:
  •  Control Panel > Security > Auto-block
Además, puedes poner IPs que no se bloqueen, por si a veces olvidas la contraseña y no tienes acceso físico al NAS. Es efectiva, fácil de activar (de hecho viene por defecto), y dificilmente entrarán en el sistema con unos pocos intentos a menos que hayas puesto tu admin con un password del tipo "1234", "qwer", "password".... No deberías usar ninguna de este articulo. Puedes hacerlo de forma "casera" como recomiendo la fundación Mozilla, o puedes usar un gestor de contraseñas.
Menu de auto bloqueo

Una solución algo peor, de la que hablo en el punto anterior, es cambiar el puerto, por ejemplo, al 9999. Aunque disminuyen, porque no todos prueban varios puertos, el sistema persistirá.

Una solución más elegante, es el bloqueo de regiones. Normalmente no te vas a teletransportar, ni viajar a paises como China, o Zimbabwe. Puedes hacer reglas en el firewall de forma sencilla que permitan solo acceder de tu pais, o denegar de ciertos paises.

  • Control Panel > Security > Firewall > Create...
Ahora no se podrá acceder desde China, a menos que usen proxys
 Y bueno, la solución más compleja es utilizar Port Knocking, descrito en este tutorial. Básicamente se configuran las tablas de sistema para aceptar solo conexiones que sigan un patrón. Dista de ser un método trivial, pero si te animas a implementarlo aquí tienes un tutorial que lo explica paso a paso.

Espero que todo esto te sirva para manejar como un profesional tu NAS a distancia.

No hay comentarios:

Publicar un comentario