In seguito al nostro articolo sulla configurazione e installazione di un NAS, diversi lettori ci hanno rivolto svariate domande molte delle quali riconducibili ad un tema che ci sta molto a cuore, specie quando si parla di dati personali, ovvero quello della sicurezza
Non basterebbero le poche righe di un articolo per trattare un tema molto vasto e articolato come quello della sicurezza informatica, che sia di un intero sistema o di un semplice dispositivo come un NAS casalingo, pertanto ci limiteremo a dare delle “dritte”, alcune delle quali, possono funzionare non solo per i NAS ma anche per altri dispositivi quali modem, computer o videocamere di sorveglianza.
1. Aggiornare, sempre
Quando un dispositivo viene rilasciato, per funzionare ha bisogno di un programma di base che esegue ogni volta che premiamo il tasto di accensione, ovvero il firmware. Solo in seguito viene caricato in memoria ed eseguito il vero Sistema Operativo (OS). Capita sovente che, nel corso del tempo e dietro segnalazioni di malfunzionamenti, il costruttore rilasci una versione più aggiornata che corregga i problemi e chiuda tutte “le falle” conosciute. Qnap, ma anche Terramaster e Synology, rendono subito visibile l’eventuale presenza di un aggiornamento del software tramite popup all’accesso del sistema sebbene sia sempre possibile controllarne l’eventuale presenza andando su Impostazioni -> Pannello di controllo (o Informazioni di sistema) -> Controllo aggiornamenti.
Dal momento che i nostri dispositivi sono costantemente connessi in internet diventa di fondamentale importanza impedire a chiunque di sfruttare una vulnerabilità conosciuta per introdursi e rubare indistintamente dati per noi preziosi. Per questo motivo, è necessario tenere costantemente aggiornati i dispositivi come NAS, telefonini, computer, decoder e TV.
2. Disabilitare l’utente Admin
Chiunque voglia provare a rubare i nostri dati, tenterà sicuramente di entrare nel nostro dispositivo provando ad usare le credenziali (nome utente e password) dell’utente che possiede tutti i permessi di operare sul dispositivo, cioè l’amministratore di sistema (admin o root o administrator). Pertanto, è buona norma, dopo avere impostato il NAS con tutto ciò che si vuole, creare un utente con i privilegi di amministratore che abbia accesso a tutte le cartelle del sistema, con un nome diverso o difficilmente intuibile per utenti terzi, ad esempio etabeta, o Hal9000 o qualsiasi nome vi sia familiare. Assegnare una password di almeno 8 caratteri con presenza di caratteri speciali, quali @!_$%& e simili, è d’obbligo.
Dopo esservi loggati con le nuove credenziali, procedete alla disattivazione dell’utente Admin. Non sarà possibile eliminarlo per motivi di sicurezza. In questo modo, qualsiasi tentativo di eseguire il login con il nome admin automaticamente non andrà a buon fine.
A questo punto, potete creare gli utenti che vi interessano, Luigi, Sofia piuttosto che mamma o nonna sempre come utenti standard, piuttosto che amministratori, per limitare i danni ed evitare che vadano a cambiare qualche settaggio di vitale importanza.
3. Cambiare le porte di default
La navigazione tra le pagine di un browser è solo una delle attività possibili attraverso la rete Internet che possiamo immaginare come una gigantesca autostrada con moltissime corsie. Ognuna è contraddistinta da un numero diverso e ospita un determinato tipo di traffico regolamentato dal TCP, ovvero Transmission Control Protocol, una sorta di “codice della strada” consultabile sul sito IANA. Ad, esempio, ogni volta che digitiamo www.afdigitale.it sul nostro browser preferito, in realtà stiamo usando la corsia specifica per la navigazione Internet, cioè la porta numero 80. Noi scriviamo www.afdigitale.it, ma il nostro browser lo traduce in www.afdigitale.it:80 (fate la prova e otterrete lo stesso risultato). Detto questo, eventuali malfattori conoscono bene le porte di default per i vari servizi che il NAS può offrire: 80 per l’interfaccia principale, 21 per il servizio FTP (distribuzione file ai vari dispositivi), 22 per l’SSH e così via. Una semplice riassegnazione delle porte, pertanto, è un ulteriore piccolo passo per rendere la vita meno facile ad eventuali intrusi.
Se, ad esempio, cambiassimo la porta standard dalla 80 alla 4243 (possiamo inventarla a piacimento), basterà digitare l’indirizzo del nostro NAS, seguito dai “:4243”.
Esempio: se il nostro NAS fosse raggiungibile all’indirizzo 192.168.1.2, adesso basterà digitare 192.168.1.2:4243
4. Disabilitare i servizi non utilizzati
Può sembrare banale, ma se non usiamo alcuni servizi quali FTP, Telnet o se usiamo solo dispositivi Apple piuttosto che Microsoft, possiamo semplicemente spegnerli. I servizi di rete e stampa per dispositivi Windows si chiamano SAMBA, AFP per quelli Apple e NFS per Linux. Per farlo, raggiungiamo il pannello di controllo del dispositivo e provvediamo a disabilitare quello che non usiamo.
Si consiglia SEMPRE di procedere per gradi, cioè deselezionando solo una voce e controllando che tutti i dispositivi connessi alla rete continuino a funzionare regolarmente. Altrimenti si rischia, specie se non si è molto pratichi, di disabilitare dei servizi importanti per il regolare funzionamento del server domestico.
5. Scegliere l’autenticazione a due fattori
Associando il nostro numero di cellulare, sarà possibile accedere al NAS inserendo nomeutente e password regolarmente (primo fattore) e un PIN inviato al nostro numero di cellulare (secondo fattore) ogni volta che si tenta il login.
6. Abilitare l’SSL
Quando si accede da remoto al NAS, si può forzare l’utilizzo di un protocollo di sicurezza che cripti i dati di login (nomeutente e password) secondo le informazioni contenute in un certificato di sicurezza che può essere fornito dal costruttore, acquistabile a parte ma anche creabile dall’utente gratuitamente (in base alle proprie esigenze). Per maggiori informazioni è disponibile una guida e approfondimento direttamente sul sito di QNAP. In questo modo, per digitare l’indirizzo del nostro NAS da remoto, sarà necessario utilizzare il protocollo https in luogo del classico http.
Il tema della sicurezza, è sicuramente sempre attuale e molto sentito, motivo per cui, ognuno di questi consigli, richiederà maggiore attenzione nella fruizione del nostro dispositivo ma contribuirà a rendere più difficile ad eventuali malfattori il furto di dati che potrebbero essere davvero importanti per noi. Immaginate quanto danno possa fare l’eventuale furto di fotografie dei nostri cari, magari di bambini, semplicemente per avere lasciato la password di default nel nostro dispositivo (che sia NAS o modem poco importa). Non serve a nulla mettere in sicurezza il NAS se poi, ad esempio, lasciamo sul modem di casa le credenziali standard: admin admin! Pertanto abilitiamo sempre, eventuali voci quali firewall e antivirus, laddove presenti in tutti i nostri dispositivi.
Nel caso in cui, per svariati motivi, non si riuscisse più ad accedere al NAS o semplicemente, non ricordaste più le credenziali di accesso, sul retro del dispositivo si dovrebbe trovare un piccolo forellino con scritto “reset” da premere con una puntina da disegno o qualcosa di simile per tre secondi fino a sentire un beep che indicherà che il reset è avvenuto con successo. In questo modo verrà ripristinato l’utente Admin con password di default come verificabile a questo indirizzo.
Stay tuned!
© 2022, MBEditore – TPFF srl. Riproduzione riservata.