Na początku stycznia 2016 roku firma F-secure poinformowała, że użytkownicy serwerów NAS firmy QNAP mogą paść ofiarą ataku, które umożliwia zdalne przejęcie kontroli na serwerem QNAP NAS. Na szczęście na razie nie odnotowano przypadku takiego ataku i nie wynika to z tego, że jedne modele są bardziej odporne na atak, a drugie mniej; 90% sukcesu to prawidłowa konfiguracja serwera QNAP NAS. Okazuje się, że duża liczba właścicieli serwerów plików QNAP nie zdaje sobie sprawy z niebezpieczeństwa jakie czyha na urządzenia podłączone do sieci Internet. Jest też spore grono osób, które chcą zabezpieczyć serwer, a po prostu nie wiedzą jak to zrobić. W tym poradniku postaramy się przystępnie, krok po kroku, wytłumaczyć jak skonfigurować pamięć masową od QNAP, aby zminimalizować szanse na udany atak przez hackerów.

Ustaw bezpieczne hasło dla konta admin

Pierwsze co powinniśmy zrobić to ustawić bezpieczne hasło dla konta z loginem admin. Naszym zdaniem bezpieczne hasło to minimum 10 znaków, zawierające zarówno wielkie i małe litery, oprócz tego dobrze jest dodać przynajmniej dwie liczby i jakieś znaki specjalnie. Jest to bardzo ważne ponieważ większość bootów atakujących serwery korzystają z bazy danych haseł, które są najczęściej wykorzystywane, więc ustawienie hasła typu admin lub 12345 nie jest mądre. O zgrozo co niektórzy potrafią w ogóle nie ustawiać hasła, ale to pozostawimy już bez komentarza.

Staraj się nie korzystać z konta z loginem admin

Należy jak najmniej korzystać z konta z loginem admin, najlepiej raz ustawić mocne hasło i korzystać z niego tylko w ostateczności. Żeby mimo wszystko mieć uprawnienia admina, tworzymy nowe konto z własnym wymyślonym loginem i dodajemy je do grupy administratorów z poziomu panelu sterowania. Od tego momentu wszystko co robisz na serwerze, rób przy pomocy nowego konta.

Zmień domyślne porty do QTS

Często jest tak, że ataki są ukierunkowane na system operacyjny i w przypadku QTS domyślnie atak będzie prowadzony na portach 8080 (standardowy port ustawiony fabrycznie), dlatego dobrze jest zmienić ten porty na inny niestandardowe np. na 8007.

Port logowania do GUI

Loguj się do QTS tylko przy pomocy SSL

Loguj się tylko przy pomocy bezpiecznego połączenia HTTPS (szyfrowane – SSL) i najlepiej wyłączyć opcję logowania bez SSL, tak żeby nie kusiło. Będzie to działać nawet jak nie mamy wykupionego certyfikatu, oczywiście jego wykupienie sprawi, że stanie się to jeszcze bezpieczniejsze. Na powyższym zrzucie widać, że mam zaznaczone automatyczne przekierowanie na HTTPS. Jeżeli chcemy to możemy dodadtkowo zaimportować swój certyfikat SSL, a jeżeli go nie mamy to QNAP daje możliwość jego zakupienia. Dla osób z większą wiedzą odsyłam do strony https://letsencrypt.org/. Tam za darmo można zrobić certyfikat SSL, z tym, że trzeba go odnawiać co trzy miesiące.

Uruchom dwupoziomową weryfikację dla logowania do QTS

Nie każdy zdaje sobie sprawę, ale QNAP daje możliwość dwustopniowej weryfikacji użytkownika, który próbuje się zalogować na serwer QNAP. Pierwszy stopień weryfikacji to podanie loginu i hasła; jeżeli będzie prawidłowe do QNAP poprosi jeszcze o jednorazowy kod który zostanie wygenerowany na Waszym telefonie. Oczywiście żeby to wszystko działało trzeba pobrać odpowiednią aplikację na telefon. Aplikacja jest dostępna dla telefonów z systemem Android, Windows Phone 8 oraz Apple iOS. Pozostaje to wszystko ładnie skonfigurować. Aby to zrobić bardzo prosto w prawym górnym rogu panelu zarządzania klikamy na „admin” i z rozwijanego menu wybieramy „Opcje”.

Dwuetapowe logowanie do QNAP NAS

Następnie klikamy „Rozpocznij” i wykonujemy instrukcje podane przez kreatora instalacji. To wszystko teraz przy logowaniu po wpisaniu loginu i hasła, serwer zapyta także o jednorazowy kod.

Wyłącz dostęp SSH i Telnet

Kolejną ważną sprawą jest wyłączenie w serwerze QNAP usług SSH i Telnet. Jeżeli jednak okaże się, że musisz mieć dostęp do konsoli (bo jesteś zapalonym użytkownikiem i miłośnikiem Linuxa) to zmień port 22 dla SSH na inny, przykładowo może to być 8022 i staraj się logować tylko lokalnie. Jeżeli musisz mieć zdalny dostęp to łącz się do serwera przy pomocy szyfrowanego łącza  wykorzystując np. protokół VPN. Warto też skonfigurować dodatkową autentykację dla protokołu SSH, która oprócz loginu i hasła będzie weryfikować także klucz szyfrujący.

Zmiana domyślnego portu SSH w QNAP NAS

 

Nie udostępniaj dysku sieciowego w Internecie

Jeżeli nie musisz, to nie otwieraj dostępu do QNAP przez sieć Internet. Tak, wiemy, że wielu z was kupiło serwer QNAP po to, żeby świadczył funkcjonalność prywatnej chmury, ale jest też wielu, którzy wykorzystują go tylko lokalnie i w takich przypadkach nie ma sensu kusić losu dając do niego dostęp z sieci zewnętrznej i nie korzystać z tego.

Przekierowuj porty z głową

W przypadku gdy musisz przekierować porty na routerze, żeby umożliwić zdalny dostęp do usług na serwerze QNAP to zmieniaj porty domyślne na nietypowe. Po drugie pod żadnym pozorem nie otwieraj portów, z których nie będziesz korzystał, a już, o zgrozo, nie dodawaj serwera QNAP do DMZ. Ważne, aby wiedzieć co się robi, dlatego przekierowując porty rób to z poziomu routera a nie przy pomocy automatów wbudowanych w system QTS. Nie wolno także korzystać z wynalazków typu CloudLink. My wiemy, że to są fajne usługi, wszystko robią za nas, ale jednocześnie prosimy pamiętać, że nie mamy nad nimi kontroli i jeżeli się okaże, że zawierają bug lub backdoor, który później ktoś wykorzysta to możemy mieć duże problemy. Jak widzicie na poniższych screenach przekierowane są porty tylko potrzebne, a automatyczne aplikacje o których wspominaliśmy są nie skonfigurowane.

5

Automatycznie blokuj nieznane IP

Fajnym narzędziem, które posiada większość serwerów NAS z którego trzeba skorzystać jest możliwość automatycznego blokowania adresów IP. W przypadku gdy z danego adresu IP ktoś błędnie wpisze login i hasło w krótkim odstępie czasu, serwer automatycznie zablokuje wszelkie połączenia z niego. Zalecamy ustawienie ilości prób na 5 w czasie 60 sekund i ustawienie bezterminowej blokady tego adresu. Ci którzy uważają, że ich serwer nie będzie atakowany zdziwią się, jak w pierwszych dwóch tygodniach liczba IP będzie rosła w zastraszającym tempie.

Automatyczne blokowanie IP na QNAP NAS

Uruchamiaj tylko te usługi, z których korzystasz

Jak wszyscy wiecie QNAP ma duże możliwości, ale to nie znaczy, że z wszystkiego będziecie korzystać. Po to jest centrum pakietów, żeby dostosować system do swoich potrzeb, a nie żeby instalować wszystko bezmyślnie na zasadzie „może kiedyś to uruchomię i sprawdzę”. Dlatego ważne: instalujemy tylko te usługi, z których korzystamy. Dzięki czemu skorzystamy podwójnie, po pierwsze serwer nie będzie obciążony innymi usługami co sprawi, że będzie działał szybciej, a po drugie mniej zainstalowanych paczek oznacza mniejszą szansę na trafienie na bug, który może być wykorzystany do ataku.

Centrum aplikacji w QNAP NAS

Automatyczna aktualizacja oprogramowanie QTS

F-secure twierdzi, że exploid, który stworzyli umożliwia zdalne przejęcie kontroli nad serwerem QNAP NAS, jeżeli ten ma włączoną automatyczną aktualizację QTS. Firma QNAP potwierdziła ten bug i poinformowała, że pracuje nad jego usunięciem, dlatego do momentu, aż nie zostanie wypuszczony nowy firmware rozwiązujący ten problem należy koniecznie wyłączyć funkcję automatycznej aktualizacji.

QNAP automatyczna aktualizacja QTS

Uważaj co instalujesz

Jako, że serwery QNAP są bardzo popularne, dlatego można spotkać sporo nieautoryzowanego przez QNAP oprogramowanie, które można zainstalować na serwerze. I tutaj powinna zapalić się  nam lampka. Zanim coś takiego zainstalujesz, to zastanów się czy autor jest wiarygodny i jaką masz pewność że oprócz usługi której oczekujesz nie doinstalujesz jakiegoś bonusa, który później umożliwi włamanie na serwer? Nie masz żadnej pewności, więc lepiej nie instalować paczek z poza oficjalnego repozytoriumQNAP. Poniżej screen, który pokazuje, że QNAP ma możliwość dodania zewnętrznych repozytoriów, jednak my osobiście z tego nie korzystamy.

Nieoficjalne repozytoria aplikacji dla QNAP

Antywirus

Pamiętajcie też, że złośliwe oprogramowanie możemy sami wgrać na serwer razem z jakimiś zainfekowanymi plikami, dlatego trzeba mieć zawsze uruchomiony wbudowany na QNAP antywirus, który regularnie raz dziennie, np. o 1 w nocy codziennie będzie skanował dane i weryfikował czy nie mamy zainfekowanego serwera. Na QNAP mamy do wybory darmowy antywirus od ClamAV lub płatny McAfee.

Antywirus na QNAP NAS

 

Zdalny dostęp do danych tylko przez VPN

Jeżeli musisz koniecznie skorzystać zdalnie z danych, które przechowujesz na serwerze, to  zainstaluj serwer VPN i łącz się z serwerem przez IPsec lub OpenVPN. Te dwa standardy obsługuje każdy system operacyjny, a nawet urządzenia mobilne. Konfiguracja jest naprawdę łatwa. Fakt VPN spowalnia działanie urządzeń i prędkość transmisji, ale musisz zadać sobie pytanie czy chcesz, aby twoje dane były bezpieczne czy może wolisz działać szybko i bez zabezpieczeń. Wystarczy w centrum pakietów zainstalować paczkę QVPN Service.

VPN IPsec na QNAP NAS

Następnie po zainstalowaniu pakietu klikamy w ikonę QVPN Service i po lewej stronie wybieramy L2TP/IPSec, a po prawej stronie klikamy „Uruchom serwer L2TP/IPSec”. To wszystko co musimy zrobić na serwerze QNAP. Pozostało nam przekierować na ruterze porty  500, 4500, 1701 UDP na lokalny adres IP QNAP i skonfigurować połączenie VPN na naszym systemie. Poniżej przykład z Windows 8.

W „Centrum sieci i udostępnienia” klikamy „Skonfiguruj nowe połączenie lub nową sieć”

1

Z dostępnych opcji wybieramy „Połącz z miejscem pracy”

2

Następnie wybieramy „Użyj mojego połączenie internetowego (VPN)”

3

W kolejnych krokach podajemy adres IP lub nazwę domeny oraz wpisujemy login i hasło i to wszystko. Połączenie jest już skonfigurowane.

Teraz jak przejdziemy do połączeń sieciowych mamy nowe rozłączone połączenie sieci VPN. Klikamy na nie prawym przyciskiem myszy i wybieramy z rozwijanego menu opcję Połącz. Po połączeniu mamy dostęp do serwera i do tego na takiej zasadzie, że mimo iż logujemy się zdalnie to korzystamy z niego tak jakbyśmy byli w tej samej sieci lokalnej w której znajduje się serwer.

Szyfruj ważne dane

QNAP daje możliwość szyfrowania wybranych udziałów lub całych woluminów (czego nie ma konkurencja) kluczem AES 256 bitów. Dane, które tam się znajdują są procesowane tak samo szybko jak te nie szyfrowane, a to dlatego, że QNAP ma sprzętowe wsparcie do szyfrowania. W przypadku gdy ktoś fizycznie ukradnie serwer to mamy pewność, że po uruchomieniu nie będzie miał dostępu do tych danych. Oczywiście to Ty decydujesz czy szyfrujesz cały wolumin czy tylko wybrane udziały. Opcję szyfrowania wybiera się przy tworzenia nowego woluminu lub udziału. Tylko niech ktoś nie wpadnie na głupi pomysł i nie zaznaczy zapisywania klucza na serwerze QNAP i montowania automatycznego przy uruchomieniu :).

Szyfrowanie danych na QNAP NAS

Rozsądnie przyznawaj uprawnienia

Nigdy nie przyznawaj uprawnień na na wyrost. Najlepiej, żeby w grupie administratorów było tylko dwóch administratorów: domyślny admin i ten stworzony przez nas. Oczywiście można i czasami nawet trzeba stworzyć komuś konto administratora, ale pomyśl 10 razy zanim komuś dasz taki dostęp. Istnieje duża szansa, że inne osoby mogą nie przykładać tak dużego znaczenia do bezpieczeństwa danych jak Ty.

Backup

Zawsze warto zrobić dodatkowy backup na zewnętrzny dysk na USB i po jego wykonaniu wrzucić go w bezpieczne miejsce. Dla osób, które mają fundusze zalecam zakup drugiego mniejszego serwera i wykonywanie zdalnej replikacji danych na nim. Pamiętajcie, RAID to nie wszystko, dyski mogą ulec awarii. Mieliśmy przypadki gdzie uszkodziły się dwa dyski w RAID 1 w tym samym czasie lub przypadki gdy podczas odbudowy RAID5 awarii ulegał kolejny dysk. Dlatego pamiętajcie zawsze, że trzeba mieć przynajmniej jedną kopię danych z serwera, najlepiej poza lokalizacją gdzie jest serwer. Nawet jak ktoś jest pewny, że jego dyski wytrzymają wszystko to czy macie pewność, że nie spali się dom, lub czy powódź nie zaleje serwera, albo że zwykły złodziej go ukradnie. Świat nie jest idealny i warto brać pod uwagę każdą pesymistyczną opcję. Inna sprawa to czy wykonane backup-y są prawidłowe, czy nie zaszkodziło im np. ciche uszkodzenie danych, ale to już temat na inny artykuł.

Przyczyny utraty danych (źródło: http://thedatarecoveryblog.com)

RAID to nie Backup

Przypadki kiedy RAID nie pomoże:

  1. Błąd ludzki, czyli przypadkowe skasowanie danych
  2. Uszkodzenie systemu plików
  3. Awaria kilku dysków twardych w tym samym momencie
  4. Pożar, powódź, trzęsienie ziemi
  5. Ransomware (wirusy szyfrujące dane)

Wirusy szyfrujące dane to obecnie największy problem, niestety jak dane zostaną zaszyfrowane to od razu na wszystkich dyskach. QNAP NAS ma jednak narzędzie, które umożliwia szybkie odzyskanie danych, są to migawki. QNAP umożliwia wykonanie 256 migawek na wolumin. Migawki pozwalają serwerowi QNAP NAS zarejestrować stan systemu w dowolnym momencie. W razie wystąpienia awarii w systemie można go przywrócić do wcześniejszego stanu zarejestrowanego w migawce. Migawki możemy także replikować na innych QNAP NAS w celu zabezpieczenia się przed punktami od 1 do 4. Jeżeli chodzi o migawki to polecam przeczytać ten samouczek: https://www.qnap.com/pl-pl/tutorial/con_show.php?op=showone&cid=147

Migawki na QNAP NAS

QNAP Security Counselor

QNAP sam zauważył, że coraz więcej użytkowników ma problem z prawidłowym skonfigurowaniem serwera w taki sposób, aby był on prawidłowo zabezpieczony, dlatego przygotował specjalną aplikację Security Counselor. Aplikacja ma za zadanie wykryć źle skonfigurowane rzeczy i podpowiedzieć użytkownikowi jak prawidłowo je skonfigurować, aby zminimalizować szanse atakującego. Sprawdziliśmy jak działa ta aplikacja w praktyce i z czystym sumieniem możemy ją polecić, idealnie by było, aby każdy użytkownik serwera QNAP mógł się pochwalić wynikiem skanowania z samymi zerami jak na poniższym zrzucie ekranu.

Podsumowanie

Jeśli zastosujecie się do powyższych zaleceń to gwarantujemy Wam, że zminimalizujecie podatność Waszego serwera na ataki z zewnątrz i na pewno zwykłe booty nic wam nie zrobią. Natomiast zaznaczamy – nikt Wam nie zagwarantuje 100% skuteczności i bezpieczeństwa danych. Wyznajemy zasadę, że jak ktoś chce się włamać, to się włamie – kwestia tylko czasu, narzędzi i wiedzy. A sprzęt bezpieczny to sprzęt odpięty od sieci i najlepiej wyłączony.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *