Pasos para proteger tu NAS QNAP frente al malware

En el tutorial de hoy haremos un recorrido por aquellos pasos que puedes tomar para fortalecer la seguridad de tu NAS QNAP y protegerlo contra el malware y otro tipo de ataques. Para ello, modificaremos algunos valores en el sistema o instalaremos algunas utilidades que serán de ayuda para gestionarlo.

NAS equivale a Network Attached Storage o almacenamiento conectado a red. Podemos utilizar un viejo disco duro para hacer uno casero, o bien comprar uno profesional de firmas como Synology o QNAP.

Debido a la gran cantidad de datos personales y copias de seguridad que almacenamos en ellos, los ciberdelincuentes se fijan habitualmente en ellos para lanzar ataques de tipo ransomware, phishing, etcétera.

Casos recientes como el de la múltiples infecciones por el malware conocido como QSnatch (más de 60000), sin hablar de vulnerabilidades posibles, me han animado a publicar esta breve guía que servirá a quienes no conozcan bien este ecosistema, para así poder usar su dispositivo con todas las garantías posibles.

Realizar hardening en un NAS del fabricante QNAP

Todos los ajustes que haremos se realizan desde la GUI o interfaz gráfica de usuario y son fáciles de llevar a cabo, aunque requerirán algo de tiempo y pensar para qué queremos utilizar el NAS.

Básicamente se trata de seguir conceptos como «mínimo privilegio» (para nuestros usuarios/grupos) y mínima superficie de exposición, deshabilitando o haciendo «menos visibles» aquellos servicios que no sean de importancia para nosotros.

Un NAS actual como el TS-228A usado en este caso nos permiten hacer multitud de cosas, desde virtualizar con Kubernetes y montar una VPN hasta copias de seguridad con versionado de archivos o montar un PHPMyADmin, pasando por muchas otras, sobre todo si añadimos un repositorio de aplicaciones externo.

Seguro que no necesitas tenerlas todas habilitadas, y de esta forma conseguirás reducir los puertos accesibles desde el exterior.

Security Counselor

Lo primero que recomiendo es instalar el asesor de seguridad llamado Security Counselor. Lo podemos encontrar en el repositorio de aplicaciones: Sistemas > App Center. Recorreremos cada apartado habilitando todas las opciones de chequeo.

• Información general: acciones rápidas
• Security checkup: en función de la plantilla de cumplimiento que apliquemos, el sistema realizará más o menos comprobaciones y nos reportará el estado de riesgo general que tiene el NAS.
• Política de seguridad: definición de parámetros para el paso anterior.
• Configuración de seguridad: lista negra o lista blanca (podemos limitar el acceso a IPs específicas); Protección de acceso a la red (recomendado establecer valores de 5 fallos/minuto para prevenir ataques de fuerza bruta); Política de contraseñas y Verificación en dos pasos: Importantísimo habilitar esta característica en un NAS, merece una mención aparte. Para añadir el doble factor de autenticación solamente es necesario escanear el código QR con una aplicación como Google Authenticator o Authy.

Por último tenemos la opción de suscribirnos al boletín de vulnerabilidades, de forma que el fabricante nos enviará los advisories y podremos tomar medidas rápidamente si fuera preciso, ante nuevas amenazas (1) o podemos comunicar vulnerabilidades (2).

Malware Remover

Desde el Security Counselor podemos abrir la utilidad malware remover, un antimalware que por defecto realiza escaneos diarios de nuestros directorios.

En caso de encontrarse cualquier amenaza podremos consultar el evento en el área de registros de sistema, accesible desde la barra de notificaciones del menú principal.

• 

Configuraciones de sistema

Antivirus

Dentro de Panel de Control > Servidores de aplicaciones tenemos el antivirus preinstalado con el sistema operativo QTS. Buscaremos antivirus y nos aseguraremos de que esté habilitado.

Además, aconsejo crear un trabajo de exploración semanal como se muestra en las imágenes anteriores. NOTA: es mejor no escoger la opción eliminar archivos!

Configurar y/o deshabilitar servicios

En Panel de Control > Servicios de red y de archivos tenemos diferentes áreas con servicios que podemos activar o desactivar, así que pensaremos en si son necesarios en nuestro caso (no mencionaré aquellos que son básicos para el NAS).

• Network & Virtual Switch > DDNS: nos permite alcanzar nuestro NAS a través de internet. Esta configuración debería estar apagada si no vamos a utilizar la característica.
• Telnet / SSH: este tipo de conexiones normalmente no serán necesarias salvo en casos o tareas de configuración muy particulares. Se activarán a petición y luego se dejarán inhabilitadas.
• SNMP: puede ser útil para monitorizar el NAS. Si no lo necesitamos, desmarcaremos la casilla y ese puerto no será visible. Un problema menos.
• Service discovery: Este servicio es necesario junto con el de DDNS para encontrar el NAS a través de internet o en red local. Este servicio sí puede mantenerse, aunque puedes deshabilitarlo sin problema.
• FTP: File Transfer Protocol es un protocolo de transmisión de archivos que probablemente no utilices mucho en el NAS. SI es así, recomiendo deshabilitarlo.

Lo mismo aplica al apartado Servidores de aplicaciones. En esta área tenemos servicios populares como iTunes, DLNA, SQL o RADIUS, entre otros.

Recomiendo prestar especial atención a SQL (MariaDB), el servidor web y el servidor de TFTP, dado que estadísticamente son los que más vulnerabilidades podrían ofrecer a un atacante si consigue acceso a nuestra red.

Para nuestros servicios cambiaremos los números de puerto predefinido, usando alternativas a los 22, 443, 80, 8080 y 8081. Así dificultaremos algo el reconocimiento.

Contraseñas

Este apartado ya ha sido mencionado antes en Security Counselor. Simplemente indicar que es posible llegar a este ajuste además desde Panel de control > Sistema > Seguridad.

Los ajustes por defecto son apropiados, considero innecesario forzar a los usuarios del NAS a cambiar contraseñas, en condiciones normales.

Robustez de las contraseñas

Es necesario tener en cuenta que crear contraseñas seguras es un paso de vital importancia a la hora de prevenir ataques de fuerza bruta contra las diferentes cuentas de acceso del NAS, esto incluye lo siguiente:

• La contraseña del admin
• Contraseñas de resto de usuarios
• La contraseña del QNAP ID

Privilegios y cuentas de usuario

Un apartado a tener muy en cuenta se sitúa en el área de «Privilegio». Consultaremos los usuarios existentes en el sistema y su nivel de permiso (ver Acción, parte derecha) así como otras opciones.

Es recomendable dar los mínimos privilegios posibles tanto a carpetas como a aplicaciones. Una buena práctica es, por ejemplo, crear un usuario con permisos de solo lectura sobre carpetas si vamos a compartir dicho usuario con terceros para que accedan al NAS.

El apartado grupos es perfecto para esto. Podemos crear un grupo llamado externos, asignando al mismo permisos de solo lectura (o denegar el acceso) a los directorios que queramos.

Finalmente, podemos integrar el producto con un servidor LDAP o Active Directory, lo que nos permitirá poblar los usuarios y controlar sus permisos desde allí.

Actualizaciones en el firmware

Un punto muy muy importante con un NAS es contar siempre con el firmware más reciente, dado que se corrigen ciertas vulnerabilidades mediante actualizaciones de sistema.

• Sistema > Panel de control > Actualización del firmware
• Desde aquí escogeremos «actualización en directo».

Palabras finales

Como hemos visto hoy, resulta de vital importancia proteger nuestro NAS frente a amenazas como el phishing, el malware o el temido ransomware. Esto es fácil de conseguir desde el panel de control si le dedicamos un rato.

Incluso podemos ir un paso más allá y adquirir un appliance doméstico del tipo de Firewalla Blue o Red, que se encargue de bloquear las intrusiones de forma desatendida, añadiendo una importante capa de seguridad para toda nuestra red.

---

19 Agosto 2020: entrada original

25 Agosto 2020: añadido cambio de contraseñas predefinidas, cambio de puertos predefinidos, actualizaciones de firmware