Seguridad en QNAP – Cómo blindar nuestro servidor QNAP

Cuando almacenas todos tus datos en un dispositivo, lo más importante es que dicho dispositivo sea seguro. Durante este post vamos a ver cómo hacer que un Servidor NAS QNAP sea seguro. Podremos evitar accesos no deseados, definiendo unas reglas para bloquear las direcciones IP que supongan un riesgo para la seguridad de nuestro servidor NAS. Aprende a asegurar tu Servidor NAS QNAP con estos sencillos pasos.

Comprar en Distribuidor Oficial

Pasos para blindar nuestro servidor QNAP

1 Entramos en panel de control

Tutorial seguridad QNAP1

2 Accedemos a Seguridad, que se encuentra dentro del apartado de Sistema

Tutorial seguridad QNAP2

3 Dentro de este apartado podemos configurar una especie de Firewall, el cual se encargará de filtrar por IP el acceso al NAS. Por ejemplo, si queremos denegar el acceso a ciertas IPs deberemos seleccionar «Denegar conexiones de la lista». Si por lo contrario queremos permitir solo las IPs desde donde solemos acceder al NAS, deberemos seleccionar «Sólo permitir conexiones de la lista», de esta forma introduciremos las direcciones IP que necesitemos y el resto las denegará.

Tutorial seguridad QNAP3

4 Para este ejemplo seleccionaremos «denegar conexiones de la lista» y pulsaremos añadir para introducir las IP que no podrán acceder.

seguridad-QNAP265 En la ventana que se abre tenemos tres opciones:

  1. Seleccionar una única IP: Esta opción es muy útil para introducir las IP desde donde solemos acceder al NAS.
  2. Introducir la dirección de una red y una máscara de red: Aquí podremos seleccionar una red local, de esta forma limitaremos el acceso al NAS en nuestra red local.
  3. Rango IP: Con esta opción podremos seleccionar regiones enteras o países. Esto es muy útil para bloquear IPs de forma masiva en caso de que estemos recibiendo ataques constantes desde una zona geográfica determinada.

 

Tutorial seguridad QNAP5
6 Ahora pasamos a la pestaña «Protección de Acceso a la Red«. En el paso anterior he explicado cómo bloquear IPs de forma masiva, ahora vamos a ver cómo afinar ese filtro para que el número de ataques que recibimos sea cero. Para ello vamos a configurar la norma de SSH. Como puedes ver en la imagen que hay abajo, seleccionamos la casilla de SSH y definimos una norma que bloqueará de por vida cualquier IP que trate de entrar (y no introduzca bien la contraseña) mas de 5 veces en un minuto.

La configuración para el resto de servicios funciona de la misma forma.

Tutorial seguridad QNAP6
En Políticas de contraseñas podemos definir normas para todas las contraseñas de los usuarios del NAS. En la imagen que puedes ver a continuación hemos definido que las nuevas contraseñas deben seguir las siguientes normas:

  • Contener al menos letras minúsculas y mayúsculas, dígitos y caracteres especiales
  • No repetir mas de tres veces el mismo carácter
  • No puede ser igual que el nombre de usuario en orden ni al revés

También hemos establecido una norma para que los usuarios del NAS cambien su contraseña una vez al mes. Si activamos la casilla que hay justo debajo de la duración de cada contraseña, avisaremos con antelación para que los usuarios cambien su contraseña.

Tutorial seguridad QNAP7

 

 

Gracias a estos sencillos pasos podremos disfrutar de una experiencia mucho mas segura con nuestro servidor NAS QNAP. En caso de que tengas un servidor Synology, te recomendamos visitar el post Configuración del Firewall Synology con el cual podrás realizar una configuración similar a la que acabamos de llevar a cabo con QNAP.

Vídeo, te lo mostramos con todo detalle

Visita nuestra tienda online, donde podrás comprar un NAS QNAP y gestionar tus datos e información de forma totalmente segura.

Suscríbete a los comentarios
Notificación de
guest

10 Comentarios
Comentarios en línea
Ver todos los comentarios
Cristian gallego Rodríguez

Buenos días ante todo y gracias por adelantado, tengo un problema… poseo un qnap ts653pro desde que actualice a la Versión de firmware actual:4.3.3.0210 y la hybridesck station a la 3.1.B tengo una subida de cpu de mas de un 65% por dos procesos que suelen estar activos y antes no estaban, uno es el vpnfilter y el otro es el qsync.php
He leído en algunos foros como desactibarlos con putty, pero al meterme en el nas a traves de putty y pongo los parametros encontrados en un foro no me encuentra nada, not found… te pego los procesos
# killall -9 qsync.php
# killall -9 vpnfilter
# rm -f /etc/config/qsync.php
# rm -f /etc/config/qsync_init.sh
# rm -rf /mnt/ext/opt/fsget
# sed -i ‘/qsync_init/d’ /etc/config/crontab
Vosotros estáis al tanto de este problema? sabeis porque pasa? sabeis como solucionarlo? la verdad es que me duele ver como el servidor esta a mas del 65% de cpu en reposo y calentandose poco a poc, parece ser que por los foros de otros países se esta generalizando el problema
Gracias y un saludo!

Cristian gallego Rodríguez

Se me ha olvidado comentarte que he leído que puede ser que nos hayan entrado un malware para minar bitcoins, tengo el antivirus y el malware remover instalado y no detectan nada

Juan

La opcion de bloquear un rango de IPs esta muy bien, pero hay paises, como por ejemplo la Federacion rusa, que tiene cientos de rangos…
Parece una tarea herculea tener que introducirlos todos ¿no?
¿No hay otra solucion?
Saludos y gracias

Unai

Hace ya 2 días que sufro intentos de entrada en mi NAS QNAP vía http y no se lo q hacer.
Los intentos de entrada son con el usuario «admin» cada 20 segundos, probando todas las contraseñas (mediante un programa supongo); el usuario «admin» hace tiempo q lo tengo deshabilitado, mi contraseña es robusta y además tengo la verificación en dos pasos para más seguridad. Y además tengo lo de bloquear la IP al de 5 intentos fallidos; cosa q no funciona pq esta persona con cada ataque cambia su IP.
Pero aún así estoy intranquilo, es como si alguien estaría todo el rato llamando a mi puerta sabiendo que no le voy a abrir, pero ahí está dando el peñazo!!!!
Puedo hacer algo más para q cesen los intentos????

Leyendo en foros, se que se pueden restringir las IP a solo las de una lista… y con el rango podría restringirlas a las de España por ejemplo; pero no se muy bien como se hace…
Cerrando el servicio http, que pierdo???? Mi NAS lo utilizo para bajar películas y servir pelis a la family vía Plex.
Me puedes echar un cable??? Muchas gracias.

Javier Sempere

Vaya fastidio Unai, pero tiene solución.

Podrías crear una whitelist (aceptar sólo conexiones de una lista). En el paso 3 de nuestro tutorial podrás ver la opción, pero en lugar de «Denegar conexiones de la lista» debes seleccionar «Sólo permitir conexiones de la lista». Luego seleccionas añadir y metes el rango de IPs que quieres habilitar. El problema es que QNAP no deja añadir rangos de forma masiva y la lista de rangos de España es superior a 1000. Así que por ahora mi consejo es que cambies los puertos por defecto, especialmente el de Plex.

El puerto de acceso por defecto se cambia así: https://soporte.qloudea.com/hc/es/articles/205889932-Cambiar-puerto-de-acceso-web-a-Qnap

Cuando hagas el cambio intenta no coincidir con el de otros servicios: https://soporte.qloudea.com/hc/es/articles/205889932-Cambiar-puerto-de-acceso-web-a-Qnap
También recuerda que deberás abrir el puerto en el router.

un saludo

Octavio Toledo

Hola, he configurado para solo permitir solo ciertas direcciones ip y al intentar hacer pruebas de otros lados si me permite entrar. Estaré haciendo algo mal, faltará hacer algo adicional?

Juan Holgado

Hola,
Creo que he sufirdo un ataque, me he encontrado con todas las fotos encriptadas. Las he podido recuperar con una imagen guardada.
Tengo un TS-228A. Tengo la versión 4.4.1.1456. No puedo instalar una version mas nueva porque no me funciona bien.
Cuando tengo instalada otra version mas reciente no me deja cargar las aplicaciones ni hacer copias de seguridad.
Gracias