Про (не) доступность NAS извне к домашней сети
Доступ к NAS из интернетов - один из самых частых вопросов в этом блоге. А у меня до сих пор не описан. Дело в том, что я - параноик. До такой степени, что сам не использую никакого доступа извне. А сервисам, что его дают (плексу например) по возможности обрубаю. Хочу этот вопрос публично обсудить. Продвинутые камрады, надеюсь, расскажут что и как используют. Может сам паранойю чуть подлечу. Кому-то придёт понимание опасности оставлять ключи под ковриком и хотелки ослабнут.
Я не слежу внимательно за уязвимостями, хотя интересуюсь вопросом больше, чем нормальный домашний пользователь. В процессе написания просто на память две довольно свежих уязвимости (ссылки, конечно, не из памяти - нагуглил)
уязвимость glibbc - для атаки достаточно подменить ответ DNS сервера
ntp уязвимости - описан случай из реальности, когда злоумышленники ввели свои сервера в наиболее популярный пул серверов времени и сканировали в ответ ip6 адреса, с которых запрашивалось время. (Хорошее, кстати, иллюстрация к тому, почему при словах "Интерент Вещей" у меня на роже появляется кривая ухмылка.)
Но это были громкие проблемы - а о скольких проблемах я знать не знаю? Сотнях? Десятках тысяч? Да не важно. Важно, что я не могу ни сам уделять необходимого времени поддержанию безопасности сети, ни купить должного качества сервисы для этого. К счастью, ни вы ни я - не Сноуден и ценность наших данных в локальной сети для потенциального хакера невысока. Ну и плюс возможность использовать наше железо как часть зомби-сетей. Но этой ценности достаточно для того, чтобы мириады ботов день и ночь сканировали ваши входные адреса в поисках зацепок.
И паранойя диктует мне, что чем больше дверок - тем больше вероятность, что что-то не углядишь. А если человек нуждается в моих инструкциях - его квалификация точно недостаточна для администрирования безопасности своей сети. Роутер по самой своей сути смотрит в Интернет. Пусть и будет единственным окном в мир. Его можно и нужно регулярно обновлять. Если с поддержкой моего что-то случится - перейду на что то в тот гипотетический момент годное.
А любой доступ к потрохам локальной сети извне IMHO не так и нужен. Если же всё же нужен - IMHO это VPN. И место ему скорее всего на роутере. Который у каждого - свой. И под них есть инструкции.
Есть, конечно исключения. Я не настолько параноик, чтобы выносить в демилитаризованную зону торрент качалку. Я открываю порты для SyncThing и тп. Но только то, что реально и сейчас необходимо. BTSync после истории с монетизацией снёс. Owncloud настроил - и остановил. Потому, что защиты от тупого перебора паролей в коробке нет, а сам всё не прилажу, хоть более квалифицированные люди (хоть alexey123) сделали. Plex-у отключил лишний доступ в сеть. И так далее.
PS А есть и ещё одна сторона у паранойи. Если ключа нет - его нельзя ни потерять ни украсть.
Я не слежу внимательно за уязвимостями, хотя интересуюсь вопросом больше, чем нормальный домашний пользователь. В процессе написания просто на память две довольно свежих уязвимости (ссылки, конечно, не из памяти - нагуглил)
уязвимость glibbc - для атаки достаточно подменить ответ DNS сервера
ntp уязвимости - описан случай из реальности, когда злоумышленники ввели свои сервера в наиболее популярный пул серверов времени и сканировали в ответ ip6 адреса, с которых запрашивалось время. (Хорошее, кстати, иллюстрация к тому, почему при словах "Интерент Вещей" у меня на роже появляется кривая ухмылка.)
Но это были громкие проблемы - а о скольких проблемах я знать не знаю? Сотнях? Десятках тысяч? Да не важно. Важно, что я не могу ни сам уделять необходимого времени поддержанию безопасности сети, ни купить должного качества сервисы для этого. К счастью, ни вы ни я - не Сноуден и ценность наших данных в локальной сети для потенциального хакера невысока. Ну и плюс возможность использовать наше железо как часть зомби-сетей. Но этой ценности достаточно для того, чтобы мириады ботов день и ночь сканировали ваши входные адреса в поисках зацепок.
И паранойя диктует мне, что чем больше дверок - тем больше вероятность, что что-то не углядишь. А если человек нуждается в моих инструкциях - его квалификация точно недостаточна для администрирования безопасности своей сети. Роутер по самой своей сути смотрит в Интернет. Пусть и будет единственным окном в мир. Его можно и нужно регулярно обновлять. Если с поддержкой моего что-то случится - перейду на что то в тот гипотетический момент годное.
А любой доступ к потрохам локальной сети извне IMHO не так и нужен. Если же всё же нужен - IMHO это VPN. И место ему скорее всего на роутере. Который у каждого - свой. И под них есть инструкции.
Есть, конечно исключения. Я не настолько параноик, чтобы выносить в демилитаризованную зону торрент качалку. Я открываю порты для SyncThing и тп. Но только то, что реально и сейчас необходимо. BTSync после истории с монетизацией снёс. Owncloud настроил - и остановил. Потому, что защиты от тупого перебора паролей в коробке нет, а сам всё не прилажу, хоть более квалифицированные люди (хоть alexey123) сделали. Plex-у отключил лишний доступ в сеть. И так далее.
PS А есть и ещё одна сторона у паранойи. Если ключа нет - его нельзя ни потерять ни украсть.