Qual a melhor maneira de configurar a segurança de um NAS?

Question

Bom dia!

Para os que n&atilde;o sabem o NAS (Network Attached Storage), armazenamento conectado a rede. Nesse caso, me refiro aos para pequenas empresas e uso dom&eacute;stico. Por serem dispositivos conectados na rede, diferente do Storage normal que voc&ecirc; conecta via cabo USB ou antigamente no eSATA, podem sofrer ataques da mesma forma que no seu computador. Podemos dizer que tamb&eacute;m s&atilde;o um servidor NAS, pois o equipamento tem processador, mem&oacute;ria e sistema operacional dedicado.


Tive por muito tempo um QNap T231 (vendi) que foi um excelente NAS, esse tem um sistema operacional baseado no kernel Linux, mas nem por isso podemos dizer que &eacute; 100% seguro.

Ent&atilde;o queria saber de voc&ecirc;s, principalmente os que tenham NAS ou trabalhem com ele. Quais configura&ccedil;&otilde;es (al&eacute;m das feitas pelo pr&oacute;prio sistema operacional do NAS) para fortalecer seguran&ccedil;a na rede nos dois pontos, entre as esta&ccedil;&otilde;es e o NAS.

Answer

Isso depende muito do tipo de NAS que tem (comprado ou artesanal). Se for artesanal, pode adicionar pacotes de seguran&ccedil;a. O TrueNas permite isso, j&aacute; que &eacute; baseado no FreeBSD. Independente do tipo, &eacute; fundamental n&atilde;o utilizar protocolos obsoletos, como SMB1 e SMB2. Muitos ataques de ransomware exploram esse tipo de vulnerabilidade. 

Vou considerar um ambiente empresarial, onde mesmo que n&atilde;o haja uma empresa propriamente dita, mas a estrutura e principalmente, a responsabilidade, &eacute; de um ambiente assim.

A redund&acirc;ncia do NAS &eacute; primordial. Ent&atilde;o um arranjo de RAID1, no m&iacute;nimo. Importante destacar o uso de HDs voltado para esse tipo de atividade. Nada de HDs de entrada, sob pena de perda de performance ou at&eacute; do HD durar menos.

Sistema de arquivo: Editar as permiss&otilde;es de acesso tanto das pastas bem como de usu&aacute;rios e compartilhamentos. 

Uma boa su&iacute;te de seguran&ccedil;a SOHO. A ideia &eacute; proteger a rede toda, ent&atilde;o, um antiv&iacute;rus que n&atilde;o proteja s&oacute; 1 computador mas todo o ambiente da rede. Hoje j&aacute; temos os EDR e MDR, que est&atilde;o um n&iacute;vel al&eacute;m, e, dependendo do tipo e tamanho da empresa, passa a ser vantajoso.

Firewall appliance. Talvez at&eacute; mais importante do que um bom antiv&iacute;rus &eacute; o firewall, ou melhor, um NG Firewall. Este &eacute; um dispositivo (comprado ou artesanal) que faz as tarefas do firewall tradicional, IDS, IPS.

Em um ambiente SOHO &eacute; poss&iacute;vel alcan&ccedil;ar esse n&iacute;vel de seguran&ccedil;a, tendo uma boa su&iacute;te de seguran&ccedil;a e um mikrotik (ou similar, ou at&eacute; para fazer o Firewall.) Se usar o TrueNAS, ele tem autentica&ccedil;&atilde;o 2FA, auditoria, IDS e v&aacute;rios outros recursos bem &uacute;teis.

Ferramentas

Mover Tópico