Bloquear el acceso por regiones a los NAS Synology

Cuando accedemos a nuestro NAS a través de internet lo mas común es que lo hagamos desde nuestro propio país, si esto es así podemos cerrar el acceso a nuestro dispositivo si la conexión proviene de otro lugar.

 

El firewall integrado en nuestro NAS nos va a permitir fácilmente realizar esta acción.

 

En primer lugar tenemos que acceder a Panel de control - Seguridad - Cortafuegos

 

Primero crearemos una regla para permitir el acceso sólo desde España:

1. Pulsamos el botón Crear.
2. En puerto dejamos marcado Todo.
3. En IP de origen marcamos Región y tras darle al botón Seleccionar elegimos el país/región desde el que queremos permitir el acceso. En mi caso España. Se pueden elegir un máximo de 15.
4. En Acción dejamos permitir.
5. Pulsamos OK para guardar la regla.

Además de permitir el acceso desde IPs externas del país especificado es muy importante permitir el acceso desde nuestra propia red local.

 

A continuación crearemos una regla para permitir el acceso desde nuestra red local:

1. Pulsamos el botón Crear.
2. En puerto dejamos marcado Todo
3. En IP de origen marcamos IP específica pulsamos el botón Seleccionar
4. En Rango IP introducimos el rango de nuestra LAN. En mi caso De: 192.168.1.1 A: 192.168.1.254
5. Pulsamos OK para aceptar.
6. En Acción dejamos permitir.
7. Pulsamos OK para guardar la regla.

El último paso y para que el bloqueo funcione correctamente es seleccionar en la parte baja de la ventana en "Si no se satisface ninguna regla" la opción "Denegar acceso".

 

Nos ha debido quedar una ventana como esta:

 

 

Hay que tener en cuenta que estamos abriendo todos los puertos en el firewall del NAS y que debemos controlar los puertos que abrimos en nuestro router.

 

Os recuerdo que es muy importante tener siempre actualizado nuestro NAS a la ultima versión de DSM, para debemos mirar en Panel de control - Actualizar y restaurar, en la línea de estado nos dirá si tenemos alguna actualización disponible.

Asegurar tu NAS Synology

En estos últimos día ha saltado la noticia de una malware que esta afectando a algunos usuarios de NAS de Synology. Concretamente se trata de un ransomware (secuestro) llamado SynoLocker que lo que hace es encriptar los archivos para que no podamos acceder a ellos y nos pide un rescate para poder recuperalos.

El programa sustituye la página inicial de acceso al NAS por el mensaje que veis en la imagen, para poder recuperar los archivos hay que pinchar en el enlace que nos envía a una pagina de la red Tor en la que realizando un pago de 0,6 bitcoins (261,13 EUR) nos liberan los archivos.

Aunque de momento hay poca información oficial parece que solo están afectados los NAS con versiones de DSM antiguas (DSM 4.3-3810 o anteriores), al hacer uso de una vulnerabilidad de seguridad que se había resuelto en diciembre de 2013.

Independientemente de este problema lo mejor si tenemos nuestro NAS conectado a internet es protegernos. ¿Y que podemos hacer para protegernos?

1. Tener actualizado nuestro dispositivo a la última versión disponible. Continuamente los fabricantes vas sacando nuevas versiones que no sólo añaden nuevas funcionalidades sino que además corrigen errores que se van detectando. Se realiza desde Panel de control - Actualizar y restaurar - Actualización de DSM.
2. Crear un nuevo usuario con privilegios de administrador y desactivar la cuenta admin que es la que se usa por defecto. Se realiza desde Panel de control - Usuario - Usuario.
3. Activar el bloqueo automático de IP por intentos de conexión fallido. Esta opción bloquea las conexiones desde una dirección IP cuando detecta mas de 5 intentos fallidos en menos de 5 minutos. Se puede cambiar el numero de intentos y el tiempo. Se realiza desde Panel de control - Seguridad - Bloqueo automático.
4. Activar el firewall interno y bloquear IPs de países de los que no vamos a recibir conexiones. Es poco común nuestro NAS vaya a recibir conexiones de cualquier sitio del mundo por lo que podemos o limitar la conexión solo a nuestro país o, al menos, limitar conexiones desde países desde los que no vamos a recibir conexiones. Se realiza desde Panel de control - Seguridad - Cortafuegos.
5. Cambiar puertos de conexión predeterminados.  Por defecto se utilizan los puertos 5000 (http) y 5001 (https) que pueden ser cambiados por cualquier otro. Se realiza desde Panel de control - Red - Configuración de DSM.
6. Activar verificación en dos pasos desde el menú de opciones. Esta opción nos obliga a introducir además de nuestro usuario y contraseña un código que recibiremos cada vez que vayamos a conectarnos a DSM.
7. Abrir en el router solo los puertos que de verdad necesitemos.

Si seguimos estas instrucciones se lo pondremos mas complicado a los intrusos que pretendan acceder a nuestro NAS sin nuestro permiso.

Si tengo tengo tiempo detallaré en una futura entrada cada una de las opciones, mientras tanto si necesitáis mas información nada mas que tenéis que poneros en contacto conmigo.