Безопасность: организация базовых этапов защиты сетевого хранилища

Очень часто мы можем видеть в системном журнале устройства подобные сообщения:

Это типичная броадкастовая (многоадресная) атака. Где-то в сети злоумышленники генерируют запросы авторизации и рассылают их по разным IP-адресам. Те адреса, которые не отвечают на эти запросы исключаются из списка, а те которые отвечают (например Пароль неверен), становятся объектом более массированных атак с подбором пароля.
Как правило, для подобной атаки используется прием IP-spoofing – подмена IP-адреса компьютера отправляющего запрос. Именно поэтому мы видим запросы на авторизацию от разных IP. При такой атаке проверяются стандартные параметры для подключения: порт, логин и пароль.
Компьютер злоумышленника отправляет запрос на авторизацию по стандартному порту, со стандартным именем пользователя и паролем. Яркий пример – атака на 22 порт (служба SSH) с логином root и паролем admin. Именно такие параметры по умолчанию используются в программных продуктах на базе ОС Linux. Если по данному порту получен ответ, что "пароль не верен", злоумышленник понимает, что служба запущена, порт открыт и использует стандартный логин. С этого момента начинается атака уже с подбором пароля. Такие атаки называются атаками BruteForce (брутфорс, полный перебор или метод "грубой силы", англ. brute force).
В данной статье мы опишем способы, доступные QNAP Turbo NAS, чтобы обеспечить безопасность устройства от подобных атак.
 
ВНИМАНИЕ! Все приведенные способы могут защитить лишь от простейших проявлений атак, и не дают 100% гарантии защиты. Сетевое хранилище не обладает достаточным функционалом для самостоятельной организации надежной защиты от внешних атак. Подобные функции следует выполнять внешним устройствам, таким как маршрутизатор, межсетевой экран, либо используя функционал Virtualization Station.
 
Этапы организации защиты:
1. Смена портов
2. Отключение учетной записи admin
3. Черный список IP-адресов
 
1. Смена портов
 
Как уже было написано выше, сканированию подвергаются в первую очередь стандартные порты служб/сервисов. Наиболее часто пытаются подключиться к командной строке устройства (по telnet или SSH), FTP-серверу, web-серверу, web-конфигуратору. Порты используемые службами QNAP Turbo NAS можно посмотреть в меню Панель управления > Состояние > Системная служба.

Внимание! Порт telnet/SSH в данном меню не отображается.
Для смены порта web-конфигуратора зайдите в Панель управлений > Системные настройки > Система. Смените порт по умолчанию, на любой свободный порт. В нашем примере, мы установили порт 8882.

Обратите внимание, теперь чтобы попасть в веб-конфигуратор, необходимо указать новый порт подключения.

Меняем порт для командной строки. В меню Панель управления > Сетевые службы смените порт SSH. Мы сменили номер порта со стандартного 22, на 8722.

В нашем примере служба telnet выключена вовсе. Отключение telnet рекомендуется в большинстве случаев, когда включена служба SSH.
 
Внимание! Работа в командной строке на устройстве возможна ТОЛЬКО под учетной записью admin! Если вы сменили учетную запись администратора (как описано в пункте 2 данной инструкции), то и Telnet и SSH можно отключать целиком.
 
Также рекомендуем сменить порт FTP-сервера или отключить его вовсе, если вы не планируете его использовать. Зайдите в меню Панель управления > Сетевые службы > FTP.  В нашем примере мы изменили стандартный порт 21, на порт 8821.

Веб-сервер необходим не только для размещения сайтов и веб-страниц, но и для работы некоторых приложений, таких как Qnote и phpMyAdmin. Сменить, используемый по умолчанию 80-й порт можно в меню Панель управления > Серверы приложений > Веб-сервер.

2. Отключение учетной записи admin
 
Как уже было сказано ранее, атаки, как правило, используют стандартные данные для подключения.
Таким образом, присутствие учетных записей с именами пользователя admin и root снижают безопасность более чем в два раза.
Учетная запись администратора на QNAP по умолчанию имеет логин admin, что небезопасно!
В статье «Как отключить учетную запись admin на сетевом хранилище с микропрограммой QTS?» подробно описано как отключить эту запись.
 
Внимание! Учетную запись root используют приложения сторонних разработчиков. За инструкциями по смене логина и пароля необходимо обратиться к документации используемого приложения.
Утилита phpMyAdmin одна из самых популярных и используемых на QNAP Turbo NAS. Именно она является наиболее уязвимой, т.к. по умолчанию использует 80 порт веб-сервера и авторизацию с логином/паролем — root/admin. При установке данного приложения необходимо сменить данные учетной записи администратора для подключения!
 
Рассмотрим отключение учетной записи root для приложения phpMyAdmin.
Откройте закладку Пользователи и найдите учетную запись root для хоста localhost. Нажмите на Редактирование привилегий.
В открывшемся окне, промотайте все опции до конца, ничего не трогая. В последнем сегменте меню измените Имя пользователя на новое (в нашем примере new_root) и введите новый пароль. Введите подтверждение пароля строчкой ниже.
ОБЯЗАТЕЛЬНО! Выделите пункт "удалить старого пользователя из таблиц и перезагрузить привилегии" и нажмите ОК.
После этого удалите всех пользователей с именем root из списка. Список должен выглядеть так, как показано на скриншоте ниже. Обратите внимание, обязательно должно быть указано напротив имени пользователя Пароль – ДА, Глобальные привилегии – All Privileges.

3. Черный список IP-адресов

Несмотря на смену портов и изменение учетной записи, NAS все-равно остается уязвимым для "port scanning"-атак, и подбора пароля (bruteforce-атаки). Мы можем ограничить число ошибок при авторизации с одного IP-адреса, что сделает подбор пароля более затруднительным. Зайдите в меню Безопасность > Защита сетевого доступа. Здесь вы можете указать службу, количество неудачных попыток и временной интервал для этих попыток. В последнем столбце указывается срок, на который все запросы от "провинившегося" IP будут просто сбрасываться. Таким образом, при попытке взлома простым подбором пароля IP-адрес злоумышленника будет блокироваться на сутки. Подбирать десятизначный пароль, используя только по 5 вариантов в день можно годами. 
Рекомендация: Не ставьте слишком меленькое число попыток и срок блокировки "навсегда", иначе вы сами можете стать жертвой ваших настроек безопасности. Никто не застрахован от двух-трех опечаток подряд. 5 попыток – оптимально.
Обязательно установите правила для SSH. Именно эта служба наиболее часто подвергается атакам.
Если вы всегда подключаетесь с одного и того же IP-адреса, то можно указать его в списке разрешенных, тогда  запросы от других IP-адресов просто не будут обрабатываться. Учитывая, что большинство провайдеров используют динамические IP-адреса, этот вариант не всегда удобен.
-----------------------
Статья проверена на следующей конфигурации:
Микропрограмма QNAP Turbo NAS версии: QTS 4.2.1 build 2016/04/19 (ARM & SMB)
Приложение phpMyAdmin 4.1.13.1
 
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Еще есть вопросы? Отправить запрос

Комментарии

1 комментарий

Войдите в службу, чтобы оставить комментарий.