{"id":78,"date":"2013-10-09T09:02:00","date_gmt":"2013-10-09T07:02:00","guid":{"rendered":"http:\/\/vm.piszki.pl\/nas-w-domu-suplement"},"modified":"2014-03-25T08:04:04","modified_gmt":"2014-03-25T07:04:04","slug":"nas-w-domu-suplement","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=78","title":{"rendered":"NAS w domu, suplement."},"content":{"rendered":"

Kwestie bezpiecze\u0144stwa.<\/p>\n

M\u00f3j Synology<\/a> jest od d\u0142u\u017cszego czasu wystawiony w strefie DMZ bezpo\u015brednio do Internetu. Korzystam z praktycznie wszystkich element\u00f3w sieciowych jakie udost\u0119pnia DSM 4.3 i musz\u0119 przyzna\u0107, \u017ce poziom zabezpiecze\u0144 jest zadowalaj\u0105cy. Z jednym wyj\u0105tkiem, ale o tym za chwil\u0119. Czasy mamy takie, \u017ce Internet od dawna nie jest mi\u0142ym i spokojnym jeziorkiem, to raczej czarny ocean z wielkimi falami przyboju. Wystawianie czegokolwiek na zewn\u0105trz wi\u0105\u017ce si\u0119 ze sporym ryzykiem o ile nie posiadamy troch\u0119 do\u015bwiadczenia, odpowiednich narz\u0119dzi, oraz sporej dawki szcz\u0119\u015bcia.<\/p>\n

Gdy wystawiamy \u201cpude\u0142kowe\u201d rozwi\u0105zanie, ryzyko jest jeszcze wi\u0119ksze. Z jednej strony producent dba o bezpiecze\u0144stwo, z drugiej mamy tylko te narz\u0119dzia, kt\u00f3re on nam daje. W przypadku DSM 4.3 mamy jedno ca\u0142kiem fajne rozwi\u0105zanie i drugie, kt\u00f3re jest mniej fajne. Pierwszym jest mo\u017cliwo\u015b\u0107 automatycznego blokowania host\u00f3w z kt\u00f3rych podejmowane s\u0105 (nieudane) pr\u00f3by logowania do systemu (ataki na poczt\u0119, ssh). Jest to troszk\u0119 uproszczone rozwi\u0105zanie rodem z DenyHost<\/a>, dzia\u0142a bardzo prosto, dodaje hosty do pliku host.deny, w pe\u0142ni konfigurowalne i zadziwiaj\u0105co skuteczne.<\/p>\n

\"blokowanie\"<\/a><\/p>\n

\n

<\/p>\n

Drugim rozwi\u0105zaniem, takim mniej fajnym, jest firewall. Konfiguracja jest prosta, \u0142atwa i przyjemna, ale jak wida\u0107 poni\u017cej poza najprostszymi regu\u0142ami zezw\u00f3l\/zabro\u0144 niewiele zrobimy.<\/p>\n

\"firewall\"<\/a><\/p>\n

A problem jest, i to powa\u017cny, w momencie gdy u\u017cywamy w\u0142asnego serwera DNS. Aktualnie najpopularniejszym atakiem w sieci na serwery nazw jest DNS Aplification<\/a>. Przy takim ataku nie jeste\u015bmy ofiarami, jeste\u015bmy wsp\u00f3\u0142udzia\u0142owcami. Objawia si\u0119 takimi wpisami w logu:<\/p>\n

26-Sep-2013 13:12:14.649 security: client 180.210.203.237#25345 (isc.org): query (cache) 'isc.org\/ANY\/IN’ denied
26-Sep-2013 13:12:15.669 queries: client 180.210.203.237#25345 (isc.org): query: isc.org IN ANY +ED (192.168.0.200)
26-Sep-2013 13:12:15.670 security: client 180.210.203.237#25345 (isc.org): query (cache) 'isc.org\/ANY\/IN’ denied
26-Sep-2013 13:12:16.684 queries: client 180.210.203.237#25345 (isc.org): query: isc.org IN ANY +ED (192.168.0.200)
26-Sep-2013 13:12:16.684 security: client 180.210.203.237#25345 (isc.org): query (cache) 'isc.org\/ANY\/IN’ denied
26-Sep-2013 13:12:17.702 queries: client 180.210.203.237#25345 (isc.org): query: isc.org IN ANY +ED (192.168.0.200)
26-Sep-2013 13:12:17.702 security: client 180.210.203.237#25345 (isc.org): query (cache) 'isc.org\/ANY\/IN’ denied
26-Sep-2013 13:12:18.715 queries: client 180.210.203.237#25345 (isc.org): query: isc.org IN ANY +ED (192.168.0.200)
26-Sep-2013 13:12:18.740 security: client 180.210.203.237#25345 (isc.org): query (cache) 'isc.org\/ANY\/IN’ denied<\/font><\/p>\n

Denied wcale nie oznacza \u017ce jest ok, dopiero drop na zaporze rozwi\u0105za\u0142by problem. Przeciwdzia\u0142a\u0107 mo\u017cna wi\u0119c na dwa sposoby, dodaj\u0105c atakuj\u0105ce podsieci do \u201czabro\u0144\u201d w zaporze (r\u0119cznie, czyli na d\u0142u\u017csz\u0105 met\u0119 nie do opanowania) lub filtruj\u0105c stringi z popularnymi zapytaniami takimi jak np. isc.org.<\/p>\n

DiskStation> cd \/lib\/iptables
DiskStation> ls
libip6t_LOG.so        libipt_LOG.so         libipt_icmp.so        libxt_multiport.so    libxt_tcp.so
libip6t_icmp6.so      libipt_MASQUERADE.so  libxt_MARK.so         libxt_standard.so     libxt_udp.so
libipt_DNAT.so        libipt_REDIRECT.so    libxt_limit.so        libxt_state.so<\/p>\n

<\/font> <\/p>\n

Niestety, to tyle, wi\u0119cej modu\u0142\u00f3w iptables w DSM nie znajdziemy, bardziej inteligentne filtrowanie nie jest mo\u017cliwe. W moim przypadku oznacza\u0142o to, \u017ce po dw\u00f3ch miesi\u0105cach podda\u0142em si\u0119 i przenios\u0142em swoje us\u0142ugi DNS do zewn\u0119trznego hostingu. Bywa \"U\u015bmiech\"<\/p>\n

Na pocieszenie mog\u0119 powiedzie\u0107, \u017ce do bezpiecze\u0144stwa us\u0142ug typu http\/https\/dav\/ssh\/poczta nie mog\u0119 si\u0119 przyczepi\u0107, wszystko jest ok.<\/p>\n

P.S. Istnieje mo\u017cliwo\u015b\u0107, \u017ce wy\u017csze modele Synology s\u0105 dostarczane z bardziej rozbudowan\u0105 wersj\u0105 DSM, ale to ju\u017c kto\u015b musia\u0142by potwierdzi\u0107.<\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Kwestie bezpiecze\u0144stwa. M\u00f3j Synology jest od d\u0142u\u017cszego czasu wystawiony w strefie DMZ bezpo\u015brednio do Internetu. Korzystam z praktycznie wszystkich element\u00f3w sieciowych jakie udost\u0119pnia DSM 4.3 i musz\u0119 przyzna\u0107, \u017ce poziom zabezpiecze\u0144 jest zadowalaj\u0105cy. Z jednym wyj\u0105tkiem, ale o tym za … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1527,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[1],"tags":[7],"class_list":["post-78","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ogolne","tag-nas"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":1,"sum_votes":5},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/78"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=78"}],"version-history":[{"count":9,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions"}],"predecessor-version":[{"id":845,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions\/845"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1527"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=78"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=78"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=78"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}