Mettere in sicurezza NAS QNAP

[cancellato] · 2022-08-01T06:51:33+00:00

Ciao a tutti, vi spiego brevemente la mia situazione. Ho due nas qnap che utilizzo oltre al classico storage di rete anche per QVR Pro e un paio di VM tra cui home assistant e AdGuard.
Il mio problema nasce dal fatto che non ho ancora trovato un modo per poter visualizzare le telecamere tramite QVR Pro senza necessariamente dover lasciare aperte le porte per accesso all'interfaccia di configurazione.
Ho già un server open vpn configurato su uno dei nas che uso quando devo collegarmi alla rete dall'esterno ma volevo evitare di dover tirare su una vpn tutte le volte sul telefono per guardare le telecamera.
Qnap ha il myqnapcloudlink e l'ho correttamente associato sia su nas che su app mobile ma ha ugualmente bisogno delle porte aperte per funzionare. Mi viene da pensare che non abbiano ancora implementato un loro cloud per bypassare questa cosa.
Ho attivato l'autenticazione a due fattori su tutti gli account tranne quello che uso su home assitant (altrimenti non va) per monitorare i nas ma dato che spesso c'è qualche buontempone che si diverte a provare ad accederci dall'esterno volevo togliere questa seccatura.
Ah dimenticavo, sulle regole firewall dei due nas ho già autorizzato solo il traffico proveniente dall'italia perchè sennò ogni due giorni mi provavano a bucare da Russia, Ucraina e compagnia bella.

[cancellato] · 2022-08-01T07:11:39+00:00

Myqnap non richiede nessuna porta aperta se hai upnp attivo (cioè le apre quando servono). Poi che sarebbe meglio non averlo attivo per sicurezza è un altro discorso.

[cancellato] · 2022-08-01T07:18:05+00:00

[cancellato]

Il modo più sicuro per accedere e ridurre la superficie di attacco è proprio usare la VPN. Altrimenti inevitabilmente le applicazioni devono essere direttamente visibili esternamente. Si può pensare di utilizzare un reverse proxy per accederci (immagino siano applicazioni web) ma va configurato con cura. e comunque si ha l'applicazione direttamente (o quasi) visibile da internet, si riesce probabilmente a riconoscerla (a meno di non imporre un'autenticazione separata sul proxy).

O si può usare un tunnel SSH - quest'ultimo richiede comunque una connessione separata come la VPN, più la configurazione del tunnel.

[cancellato] Mi viene da pensare che non abbiano ancora implementato un loro cloud per bypassare questa cosa.

Non è che un loro cloud aumenti la sicurezza. Specialmente servizi "gratis" sono offerti al risparmio e nel loro interesse (es. cattura dati), non nel tuo.

[cancellato] · 2022-08-01T07:45:13+00:00

[cancellato] Io ho provato proprio a lasciarle configurate tramite upnp e ti confermo che sono sempre aperte perchè riesco ad accededere sempre all'interfaccia web tramite browser dall'esterno e anche sulla pagina del fritz risultano sempre aperte.

[cancellato] · 2022-08-01T07:47:19+00:00

[cancellato] Grazie mille per i consigli. Diciamo che l'implementazione non è proprio così semplice e non so se il gioco vale la candela. Forse meglio sbattersi ad attivare la VPN.

[cancellato] Non è che un loro cloud aumenti la sicurezza. Specialmente servizi "gratis" sono offerti al risparmio e nel loro interesse (es. cattura dati), non nel tuo.

Vero anche questo... però mi sembrava meno peggio di avere il nas accessibile al mondo

[cancellato] · 2022-08-01T08:27:36+00:00

[cancellato] sì, cioè sono sempre aperte se il nas è acceso se no non sarebbe raggiungibile.

x_term · 2022-08-01T10:32:55+00:00

[cancellato] io ti consiglio di tenere una VPN always on, tanto mica devi passarci tutto internet (o stai facendo passare tutto = 0.0.0.0/0?) Io uso Wireguard che su iOS ha pure la on demand, cioè attacca e stacca la VPN in base alle richieste, mi trovo benissimo.

[cancellato] · 2022-08-01T12:08:58+00:00

x_term Attualmente ci sto inoltrando tutto il traffico internet anche perchè spesso mi torna comodo per bypassare le limitazioni su alcune reti.
Wireguard avevo provato a configurarlo ma poi avevo abbandonato l'idea perhè con openvpn mi son sempre trovato bene.
C'è qualche configurazione in particolare? Ho visto che c'è tra i vari servizi sul qnap ma non ho ben capito la logica di funzionamento.

x_term · 2022-08-01T14:17:35+00:00

[cancellato] Wireguard ci dovresti mettere poco a configurarlo, solo che cambiano alcune logiche tipiche delle VPN. Non ha una definizione di client e server propria, ma peer uguali tra loro. Le chiavi credo che te le possa generare la GUI? Ma non sono certo, non ho ben presente su QNAP come sia. Ogni peer avrà un IP nella subnet da te scelta e dovrai consentire il traffico tramite “IP consentiti”.
Lato client poi puoi addirittura fare due VPN, una da tenere sempre accesa solo con la LAN, un’altra con full tunnel per quando ti serve. Io faccio così, non devi cambiare nulla lato QNAP per switchare tra le due:

Anche @ag23900 ha un setup identico

[cancellato] · 2022-08-01T14:27:11+00:00

x_term Gentilissimo, appena ho due minuti provo a guardarci. Effettivamente era proprio la logica diversa dal classico concetto di vpn che mi fregava nella configurazione e per pigrizia non ho mai approfondito. Ora che però mi hai illuminato su questa cosa direi che approfondirò senza ombra di dubbio.
Grazie mille

[cancellato] · 2022-08-06T14:18:14+00:00

x_term oggi ho trovato il tempo di fare delle prove e finalmente sono riuscito a far andare WireGuard. Devo dire che è propio comodo averlo attivo on demand. Ho chiuso tutte le porte e lasciato aperto solo quella per la vpn. Consigli di lasciare la porta standard o metterne una diversa?
Sai se la funziona on demand funziona anche su Android? Eventualmente dovrei implementarlo anche per la rete a casa dei miei.
Grazie mille ancora

MMarco25 · 2022-08-06T14:42:34+00:00

[cancellato] Consigli di lasciare la porta standard o metterne una diversa?

Porta 53 (DNS), 123 (NTP), 443 (QUIC) se ti interessa collegarti da reti che bloccano le porte meno comuni.

x_term · 2022-08-06T14:53:14+00:00

[cancellato] Sai se la funziona on demand funziona anche su Android

Onestamente non saprei, ma al limite la split tunnel la possono tenere sempre accesa