• [cancellato]

  • Modificato

GianniRossi

Troppe porte aperte. La 80 è di solito per HTTP, e non per FTP, averla aperta apre a possibili attacchi su eventuali server su quella porta. La 81 serve solo se c'è qualcosa esplicitamente in ascolto su quella porta (e che sia necessario accedere dall'esterno).

Il comportamento di FTP cambia se si usa la modalità passiva od attiva.

Per configurare FTP passivo, che non richiede di aprire porte sul client, devi:

  1. Aprire la porta 21 per il canale di controllo di FTP
  2. Aprire un intervallo di porte TCP (non UDP, FTP non lo usa) per permettere ai client FTP di connettersi, il server FTP indicherà di volta in volta quale porta usare. Le stesse porte devono essere configurate sul server FTP per l'uso con FTP passivo.
  3. Dietro ad un NAT può essere necessario configurare il server FTP per conoscere l'IP pubblico.

Non aprire un intervallo eccessivo, è solo un rischio per la sicurezza, ci possono essere servizi vulnerabili già in ascolto su quelle porte. Serve solo una porta per ogni connessione. A meno che non prevediate di avere migliaia di connessioni bastano poche decine di porte, meglio scelte fra le porte "dinamiche" (da 49152 a 65535).

Attenzione che FTP trasmette le password in chiaro e i file in chiaro. Per proteggerli è necessario configurare il server con TLS (FTPS).

    [cancellato] tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?
    Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

      GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

      Toglile del tutto che non servono a nulla.

      Apri un range a caso in TCP (tipo 45000-45010) per l'FTP che poi dovrai specificare nelle impostazioni del server ftp.

      Ma devi proprio usare FTP?

      • [cancellato]

      GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

      Sì, tutte quelle porte sono troppe - probabilmente il NAS ha persino dei servizi attivi su qualcuna di quelle porte che se esposti possono essere attaccabili, perché ci sono ormai molti servizi che usano porte sopra la 1024.

      Devi usare porte TCP o FTP non funziona. Come detto sopra, con FTP passivo serve una porta per ogni connessione contemporanea. Interveall elevati di porte vengono impostati solo su server FTP dedicati che devono servire migliaia di utenti in contemporanea, e dove ci si assicura che non ci possono essere altri servizi attivi su quelle porte.

      GianniRossi Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

      "Esterno" in che senso? Che è una macchina a parte? Non cambia nulla.

        [cancellato] esterno dicevo per farti capire che è una cosa a parte perché si possono creare anche ftp interni ai propri computer senza usare i nas credo.
        Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

          • [cancellato]

          GianniRossi si possono creare anche ftp interni ai propri computer senza usare i nas credo.

          Sì, certo, un server FTP è un software che puoi installare dove vuoi. Ma se vuoi fare accedere qualcuno dall'esterno non cambia nulla per quanto riguarda le porte da aprire. Il criterio deve rimanere quello di aprire solo quanto strettamente necessario. Altrimenti ti esponi solo a rischi inutili, che sia il tuo PC o un NAS dedicato. C'è chi fa scan continui per scoprire servizi vulnerabili, ci si fanno soldi con le macchine compromesse, specialmente quelle che sono sempre accese.

          GianniRossi Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

          Giusto. Poi le stesse porte che apri sul router devono essere configurate come porte disponibili per l'FTP passivo sul server FTP (ci sarà sul NAS da qualche parte una pagina dove fare questa configurazione). Così che il server FTP possa aprire una di quelle porte quando un client si connette, e comunicare al client automaticamente di usare quella porta per i trasferimenti di file.

            ma perchè non usare sftp, che è criptato ed usa una porta statica (22 TCP)?

              texd86 ci capisco poco e non saprei usarlo

              • texd86 ha risposto a questo messaggio

                [cancellato] Ma esiste un Nas oppure una cosa simile ma più facile da usare senza aprire porte e cose varie nei router dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

                  • [cancellato]

                  GianniRossi

                  Il problema non è il NAS. È il NAT del router che agisce implicitamente da firewall, bloccando le connessioni in ingresso. E questo è un bene, dal punto di vista della sicurezza.

                  Volendo puoi mettere il NAS in DMZ, e automaticamente tutte le porte sono aperte. Poi però se qualcuno trova un servizio vulnerabile e compromette il NAS, scaricando/criptando/cancellando i vostri dati e utilizzandolo poi per i suoi scopi (botnet, spam, ransomware, ecc.) non potete lamentarvi.

                  Come consiglia texd86, si può usare SFTP (se il NAS lo supporta, ma è probabile) che è automaticamente più sicuro e facile da configurare - basta aprire la sola porta 22.

                  Va fatta attenzione però che l'autenticazione è la stessa di SSH, e chi ha la password potrebbe accedere anche ad una shell di comando del NAS, se l'utente ha permessi troppo elevati, la password non è sicura (e non si usano le chiave SSH), e non si configura una root che impedisca di accedere a qualsiasi file, ci si espone a qualche rischio.

                  Oppure usare WebDAV (sulla porta 80, o meglio con connessioni TLS sulla 443).

                  Ogni protocollo ha i suoi pro e i suoi contro.

                  GianniRossi dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

                  Oggi il modo più semplice per farlo è usare DropBox/OneDrive/GoogleDrive/ecc. Se vuoi offrire servizi da una tua macchina devi inevitabilmente capire come configurarla e come proteggerla da accessi indesiderati.

                  Altrimenti nel giro di poco tempo ti trovi una macchina compromessa. Uomo avvisato....

                    GianniRossi ma guarda che con sftp puoi usare winscp che è un client facilissimo da usare...

                      • [cancellato]

                      texd86

                      Anche FileZilla e molti altri client nati per FTP ormai supportano anche SFTP. Attenzione ai permessi di accesso, però.

                      [cancellato] A me avevano suggerito per non combattere troppo con le porte da aprire nel router un tipo di nas che si appoggia a dei server tramite un programma che installandolo da tutte e due i computer hai un libero accesso di condividere cartelle anche protette da password, un pò come funziona teamviever per l'accesso remoto che non devi aprire nessuna porta e sis entra ovunque basta che si installa nel computer!!!

                        Se ci dici che tipo di NAS hai, magari possiamo guidsarti ad attivare un bel server SFTP, da poter poi usare in sicurezza per trasferie file, senza esporre mezza rete su internet

                          texd86 è un netgear readynas nv+ ma complicatissimo da settare e poi ha una interfaccia grafica che puoi vedere solo sui vecchi windows 7 o vista appunto lo vogliamo cambiare con una cosa molto più facile da utilizzare.

                            • [cancellato]

                            GianniRossi me avevano suggerito per non combattere troppo con le porte da aprire nel router un tipo di nas che si appoggia a dei server tramite un programma che installandolo da tutte e due i computer

                            Probabilmente i due client creano una connessione con un server esterno che fa da intermediario, quindi non essendoci connessioni create dall'esterno non hai bisogno di aprire porte. Devi fidarti del server esterno, e sono applicazioni/protocolli proprietari che richiedono il loro specifico client. Quindi o quel tipo di software/servizio è supportato dal NAS che usi, o se non puoi installarcelo dovresti usare un altro PC che faccia da ponte.

                            A quel punto fai prima con DropBox & C. A meno che tu non voglia condividere parecchi GB (se non TB) gratis...

                            GianniRossi poi ha una interfaccia grafica che puoi vedere solo sui vecchi windows 7 o vista

                            Già solo questo fa pensare che il firmware sia ormai obsoleto. Da quello che vedo ci sono diverse versioni del NAS, e quelle più vecchie parrebbero avere firmware non aggiornati da anni. Esporli su Internet potrebbe essere rischioso, specialmente se fatto un po' alla carlona.

                              [cancellato] il firmware gliela abbiamo aggiornamento ma si tratta sempre di un nas vecchio, che per adesso ci da problemi con windows 10 perché non riusciamo ad entrarci a prelevare file ma solo ad upparli e invece con windows 8.1 si, un mistero ormai non più risolvibile io ho buttato la spugna, appunto lo vogliamo cambiare con una cosa facile e intuitiva sia per me che il mio amico che non siamo delle cime nel campo.

                              • [cancellato]

                              È possibile che in Windows 10 abbiate SMBv1 disabilitato mentre il NAS supporta solo quella versione. C'è un valido motivo per il quale SMBv1 in Windows 10 è disabilitato di default.

                              Con nuovi NAS è possibile che ci sia qualche servizio "cloud" che vi permetta di accedere da remoto senza fare alcuna configurazione particolare.

                                Fai una prova...
                                se il NAS è aggiornato alla versione 6, segui la guida a questa pagina per abilitare l'accesso tramite SSH

                                https://kb.netgear.com/30068/ReadyNAS-OS-6-SSH-access-support-and-configuration-guides

                                una volta abilitato, dovresti essere in grado di accedere al NAS tramite sftp (WinSCP) usando l'utente root e la password con cui accedi all'interfaccia web.
                                Fai solo una prova, vedi se riesci a navigare il contenuto del NAS.

                                N.B. L'utente root ha permessi illimitati, quindi non va usato alla leggera

                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                P.I. IT16712091004 - info@fibraclick.it

                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile