SEGURIDAD EN UN NAS, COMO EVITAR ATAQUES E INTRUSIONES

3d illustration of locked glowing binary rings orbiting around a steel globe

Este artículo está dedicado a un tema que considero muy importante y que por el contrario se le presta muy poca atención. Un  NAS realmente es un servidor, está conectado a internet 24 horas al día, 7 días a la semana, 365 días al año. Cada vez que conectamos un dispositivo a internet corremos un potencial peligro de ser atacados y debido a la gran cantidad de horas/año que estamos en línea nuestras posibilidades de sufrir un ataque aumentan.

Como es sabido por todos, grandes compañías mundiales como Sony, Yahoo, Adobe,… han sido hackeadas. Nadie está a salvo de sufrir ataques de los ciberdelincuentes. Imagina los firewalls, los ingenieros de sistemas y expertos en seguridad que tendrán estas compañías para proteger sus servidores y aun así han resultado vulnerablesCualquier experto en seguridad te dirá que no existe ningún sistema inexpugnable, pero podemos  poner el mayor número de dificultades a los hackers.

No pretendo meterte miedo ,pero sí que tomes conciencia de que en tu nas hay muchos datos y que debemos protegerlos al máximo de ataques de externos.

Un pensamiento muy generalizado en informática es pensar que a mi no me van a atacar porque mi ordenador o mi servidor (nas) no es importante y a nadie le importa los datos que tenga dentro. Este es un craso error. Si bien es cierto que los ataques a estas grandes compañías sí son ataques dirigidos,  los ataques los realizan máquinas que lo que hacen es escanear recursivamente todas las direcciones IP de la red buscando equipos con puntos débiles a los cuales acceder. Estas máquinas van escaneando puertos abiertos y brechas de seguridad por las cuales colarse y realizar el ataque. Yo mismo he sufrido ataques en mis nas y seguramente tu también los has sufrido aunque no te hayas enterado.

Los expertos en seguridad te dirán que el mayor fallo de seguridad en un sistema es  “el error de capa 8”. Esto quiere decir, que el problema se sitúa entre el teclado y el usuario, que la persona que está utilizando el computador es quien no está haciendo lo correcto. Esta broma, muy usada por los expertos, tiene su origen en el Modelo OSI (Open System Interconnection) y que ahora no viene al caso explicar. De una manera más sencilla quiere decir que muchas veces nosotros somos los culpables de los fallos de nuestro sistema.

En las películas cuando una organización quiere acceder a los servidores de un gran empresa u organización siempre contratan a un super-hacker que consigue romper todas las medidas de seguridad y acaba colándose dentro del ordenador central. Eso es muy difícil de hacer, estos ordenadores suelen estar muy protegidos. En la vida real es mucho más sencillo, generalmente se busca el eslabón más débil. Siempre hay algún empleado con acceso al sistema que es descuidado con su ordenador o con los dispositivos con los que accede. Siempre hay alguien que entra en páginas que no debería entrar o descarga ficheros que tampoco debería descargar. Lo más normal es que intenten infectar su ordenador o alguno de sus dispositivos y desde allí colarse. Este es nuestro caso, si nuestro nas está bien protegido pero nosotros descuidamos el resto de nuestro sistema creamos eslabones débiles en la cadena de la seguridad.

 No te asustes, nosotros no trabajamos para ningún servicio secreto, la seguridad nacional no depende de nosotros ni somos objetivo de ninguna potencia extranjera. Voy intentar explicarte unas sencillas medidas que deberemos adoptar para evitarnos disgustos.

En primer lugar los nas tienen un sistema operativo basado en linux. Es un sistema muy robusto, estable y seguro pero como todo en esta vida nada es perfecto. Los fabricantes van descubriendo fallos de seguridad y los van cerrando en las sucesivas actualizaciones de firmware, por lo que deberemos tener siempre nuestro firmware actualizado y si publicasen algún  parche de seguridad deberemos aplicarlo inmediatamente. Este consejo es válido para cualquier dispositivo que tengas: ordenador, móvil, tablet, router, ….

Otro punto débil es cuando nos conectamos a nuestro nas de manera remota. Muchas veces accedemos a nuestro nas desde la oficina o desde nuestro dispositivo móvil y en ocasiones desde redes inseguras. Voy a poner un ejemplo práctico que entenderás fácilmente. Estamos con nuestro portátil o con nuestro dispositivo móvil en una cafetería o en una gran superficie con wifi abierto y pensamos: “voy a conectarme al nas para ver una película y unas fotos, total como la wifi es gratis”. En su día cuando configuramos por primera vez el nas pusimos una contraseña al usuario “admin” que viene por defecto (tiene acceso a todas las funciones) y no creamos ningún usuario más, ¡total qué más da si todo funciona!. Nosotros no lo sabemos pero hay un tipo con otro portátil conectado a la misma wifi con un “snifer” que es un programita que captura todas nuestras contraseñas, por lo cual acabamos de darle acceso total a nuestro nas. Ahora esa persona ya puede ver nuestras pelis (con la consiguiente pérdida de velocidad de nuestra red), ver nuestras fotos familiares, acceder a nuestros datos y tal vez hemos guardado algún documento en texto plano con claves bancarias o datos confidenciales pensando que allí estaban seguros. La moraleja es evidente.

Otro caso sería acceder desde casa al nas con un dispositivo para ver películas. Tenemos un apple TV2 con jailbreak o accedemos desde un dispositivo iOS con jailbreak o un android rooteado. También podemos tener un mediacenter conectado a la televisión que se “alimenta” de la multimedia que tenemos almacenada en nuestro nas. Nosotros no nos preocupamos por todos estos dispositivos, no les prestamos importancia pero también son susceptibles de ser hackeados (sobre todo si los hemos modificado sin consentimiento del fabricante) o directamente no nos preocupamos de actualizarlos. Para conectarlo al nas le metemos el usuario “admin” y su clave como en el caso anterior. Si alguno de estos dispositivos es hackeado volvemos al mismo problema antes descrito.

 Debemos crear un usuarios con distintos niveles de acceso a las diferentes carpetas del nas en función de su importancia. Imaginemos que creamos un usuario que se llame “multimedia” (con su correspondiente contraseña) y sólo le damos acceso a la carpeta donde tenemos nuestras series y películas. En nuestros ejemplos anteriores el hacker habría obtenido nuestras claves pero sólo tendría acceso a nuestra multimedia, nunca a todas las carpetas y servicios del nas. Para las carpetas con archivos importantes crearemos otro usuario diferente con otra contraseña distinta. El usuario “administrador” con privilegios totales lo usaremos sólo cuando sea necesario para configurar el nas ya que para ver películas o descargar archivos podemos usar otros diferentes con niveles de permisos más bajos.

Cuando estemos fuera de nuestra red en un entorno no seguro podemos conectarnos a través de una red VPN (Virtual Private Network). Este tipo de conexiones van cifradas de manera que si alguien intercepta nuestra conexión no pueda leerla. Nuestros nas tienen la posibilidad de crear un servidor VPN y son muy fáciles de usar. Recordad que deberemos tener también nuestro dispositivo móvil o portátil configurado con los datos de nuestra VPN. Con esta conexión además tenemos la ventaja de poder navegar desde una wifi abierta sin peligro .

Otro fallo que podemos cometer es no conectarnos a través de una conexión segura (SSL). Es un protocolo que proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía, es decir, nuestras claves y datos están a salvo. Para explicarlo más fácil, SSL es cuando nos conectamos a páginas web seguras y en la barra del navegador aparece el candadito y https en vez de http. Al igual que con VPN estamos protegidos en caso de que nuestro tráfico de red sea leído.

Si tus conocimientos técnicos no son muy básicos puedes cambiar los puertos por defecto de los diferentes servicios del nas. Todos los servicios de un servidor tienen unos puertos configurados por defecto ( ftp: 21, ftps: 22, SSL: 443, smb: 135-139 y 445 …) pero nosotros podemos cambiarlos y poner los que queramos. Cuando un hacker ataca un ordenador o un servidor espera encontrarse los puertos por defecto y aprovecha la ventaja de conocer el servicio asociado a un puerto en concreto. Nosotros por ejemplo podemos configurar el FTP en el puerto 1.280, en el el 1.7457 o en el que nos plazca (siempre que no usemos un puerto asociado ya a un servicio y creemos un conflicto). Después deberemos abrir los puertos correspondientes del router y deberemos estar atentos para cambiar la configuración de todos los programas que utilicen estos servicios. Si como hemos dicho hemos cambiado el puerto FTP, el programa o cliente FTP que usemos vendrá configurado por defecto para el puerto 21 y deberemos cambiarlo manualmente indicándole qué puerto hemos configurado. Haciendo esto se lo ponemos más difícil a nuestros atacantes.

 Una costumbre que deberemos adoptar es cambiar las claves de acceso de vez en cuando. Ya sé que es un rollo porque debemos recordarla y volver a configurar todos los dispositivos desde los que accedemos al nas, pero ahora hay programas que nos ayudan (lastpass, 1password, KeePass). Realmente este proceso deberíamos hacerlo con todas nuestras contraseñas críticas como el correo electrónico, Facebook, twitter, servicios bancarios, …

Por último ten cabeza y no guardes ningún dato importante sin encriptar. Piensa que si guardas datos sensibles (listados de contraseñas, datos del trabajo, claves bancarias,…) y no están  encriptados, si tu nas es hackeado pueden leerlos sin ningún problema. Hoy en día hay muchos programas capaces de encriptar y desencriptar ficheros. Es la última barrera defensiva es caso de que tu sistema haya sido vulnerado. Al igual que con el cambio de contraseña es un poco más tedioso pero vale la pena.

 Espero que con este artículo no te haya asustado, no hay que ser un obseso de la seguridad. Tan sólo te pido que reflexiones un poco y cambies un poquito tus rutinas. Aplica un poco de lógica (por ejemplo no he mencionado que las claves deben ser fuertes con letras mayúsculas, minúsculas y números porque eso se da por hecho) y verás como no es difícil.