2gusia (2gusia) wrote,
2gusia
2gusia

Category:

Про (не) доступность NAS извне к домашней сети

Доступ к NAS из интернетов - один из самых частых вопросов в этом блоге. А у меня до сих пор не описан. Дело в том, что я - параноик. До такой степени, что сам не использую никакого доступа извне. А сервисам, что его дают (плексу например) по возможности обрубаю. Хочу этот вопрос публично обсудить. Продвинутые камрады, надеюсь, расскажут что и как используют. Может сам паранойю чуть подлечу. Кому-то придёт понимание опасности оставлять ключи под ковриком и хотелки ослабнут.

Я не слежу внимательно за уязвимостями, хотя интересуюсь вопросом больше, чем нормальный домашний пользователь. В процессе написания просто на память две довольно свежих уязвимости (ссылки, конечно, не из памяти -  нагуглил)

уязвимость glibbc - для атаки достаточно подменить ответ DNS сервера
ntp уязвимости - описан случай из реальности, когда злоумышленники ввели свои сервера в наиболее популярный пул серверов времени и сканировали в ответ ip6 адреса, с которых запрашивалось время. (Хорошее, кстати, иллюстрация к тому, почему при словах "Интерент Вещей" у меня на роже появляется кривая ухмылка.)

Но это были громкие проблемы - а о скольких проблемах я знать не знаю? Сотнях? Десятках тысяч? Да не важно. Важно, что я не могу ни сам уделять необходимого времени поддержанию безопасности сети, ни купить должного качества сервисы для этого. К счастью, ни вы ни я - не Сноуден и ценность наших данных в локальной сети для потенциального хакера невысока. Ну и плюс возможность использовать наше железо как часть зомби-сетей. Но этой ценности достаточно для того, чтобы мириады ботов день и ночь сканировали ваши входные адреса в поисках зацепок.

И паранойя диктует мне, что чем больше дверок - тем больше вероятность, что что-то не углядишь. А если человек нуждается в моих инструкциях - его квалификация точно недостаточна для администрирования безопасности своей сети. Роутер по самой своей сути смотрит в Интернет. Пусть и будет единственным окном в мир. Его можно и нужно регулярно обновлять. Если с поддержкой моего что-то случится - перейду на что то в тот гипотетический момент годное.

А любой доступ к потрохам локальной сети извне IMHO не так и нужен. Если же всё же нужен - IMHO это VPN. И место ему скорее всего на роутере. Который у каждого - свой. И под них есть инструкции.

Есть, конечно исключения. Я не настолько параноик, чтобы выносить в демилитаризованную зону торрент качалку. Я открываю порты для SyncThing и тп. Но только то, что реально и сейчас необходимо. BTSync после истории с монетизацией снёс. Owncloud настроил - и остановил. Потому, что защиты от тупого перебора паролей в коробке нет, а сам всё не прилажу, хоть более квалифицированные люди (хоть alexey123) сделали. Plex-у отключил лишний доступ в сеть. И так далее.

PS А есть и ещё одна сторона у паранойи. Если ключа нет - его нельзя ни потерять ни украсть.
Tags: it, nas, nas4free, Безопасность
Subscribe

  • Резо Габриадзе

    Вчера умер Резо Габриадзе. Ну как умер - почило бренное тело. Но весь, как и Пушкин, написавший это про себя, он не умер и умереть не мог. Остались…

  • Perseverance: была ли жизнь на Марсе?

    Через несколько часов американский марсоход Perseverance окажется на Марсе. По Москве это будет в 6 минут после полуночи, на Марсе - на 11 минут…

  • Атака на род человеческий

    Обычно цитата " Хочешь погубить народ, истреби его язык", принадлежащая, вероятно, А.С. Шишкову, вспоминается, как и задумал писатель, по…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 38 comments

  • Резо Габриадзе

    Вчера умер Резо Габриадзе. Ну как умер - почило бренное тело. Но весь, как и Пушкин, написавший это про себя, он не умер и умереть не мог. Остались…

  • Perseverance: была ли жизнь на Марсе?

    Через несколько часов американский марсоход Perseverance окажется на Марсе. По Москве это будет в 6 минут после полуночи, на Марсе - на 11 минут…

  • Атака на род человеческий

    Обычно цитата " Хочешь погубить народ, истреби его язык", принадлежащая, вероятно, А.С. Шишкову, вспоминается, как и задумал писатель, по…