NAS con samba raggiungibile da rete esterna

  • 8 Risposte
  • 3551 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline hronir

  • Nuovo Iscritto
  • *
  • 7
NAS con samba raggiungibile da rete esterna
« il: 07 Giugno 2020, 18:02 »
Ciao a tutti,
ho regolarmente configurato samba sul mio raspberry pi in modo da rendere disponibile alla rete interna dello spazio disco a cui possono accedere tutti i dispositivi che ho in casa (portatile con windows, cellulare android, etc...).
La mia connessione è da poco passata da una semplice ADSL ad una FTTC e stavo pensando di approfittarne per rendere questo NAS disponibile anche da rete esterna. In linea di principio credo basti fare il port-forwarding delle porte di samba, e mi pare di esserci anche riuscito in una prova veloce.
I miei dubbi però riguardano la sicurezza: mi sembra tutto troppo facile (port-forwarding, dynamic-dns, password protection), perché esistono software e hardware specifici per avere il proprio cloud fatto in casa? Questioni di sicurezza (samba non è ssh)?

Offline MisterFTTH

  • Global Moderator
  • Esperto
  • *****
  • 946
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #1 il: 07 Giugno 2020, 18:12 »
I tuoi dubbi sono fondati: SAMBA è un protocollo che non prevede meccanismi di crittazione, esporne il servizio su rete pubblica è più che sconsigliato e se proprio vuoi farlo, configura il tutto dietro VPN (di fatto NON esporresti per l'appunto pubblicamente il servizio).

Se la VPN ti fosse scomoda, valuta altre modalità di condivisione quali SFTP o HTTPS (ad esempio un file manager self-hosted sul NAS).
Netiquette del Forum

Offline hronir

  • Nuovo Iscritto
  • *
  • 7
Re:NAS con samba raggiungibile da rete esterna
« Risposta #2 il: 07 Giugno 2020, 19:00 »
Leggevo che dalla versione 3 è stato introdotto l'encryption...
Quanto alle alternative, ho pensato ad SSHFS, ma con windows è un macello...
Proverò ad indagare SFTP, grazie.

Offline MisterFTTH

  • Global Moderator
  • Esperto
  • *****
  • 946
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #3 il: 07 Giugno 2020, 20:33 »
Ammetto che non aggiornavo le mie informazioni su SMB/CIFS da un bel po' di tempo...dalla versione 3 è stata introdotta proprio la crittazione AES-CCM!

Rimango comunque critico a priori sull'opportunità di utilizzare quel protollo in WAN, per quanto comprenda l'immediatezza del suo utilizzo.
Netiquette del Forum

Offline fabiobassa

  • Esperto
  • ****
  • 727
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #4 il: 08 Giugno 2020, 13:04 »
Nonostante  l' introduzione della crittografia, esporre le porte  ( samba poi... ) su internet è sempre un bel punto di vulnerabilita.

quando anche non riuscissero a bucare il protocollo avresti infiniti tentativi di accesso col possibile risultato di un DDOS sulla macchina per l'elevato brute force intentato.

Personalmente metterei su un vpn avendo cura di cambiare la porta di default che è la 1194 su un raspberry o qualcosina del genere e con un fail2ban per bannare i tentativi andati a male

Offline MisterFTTH

  • Global Moderator
  • Esperto
  • *****
  • 946
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #5 il: 08 Giugno 2020, 13:15 »
 :yes: :yes: :yes:
Netiquette del Forum

Offline hronir

  • Nuovo Iscritto
  • *
  • 7
Re:NAS con samba raggiungibile da rete esterna
« Risposta #6 il: 08 Giugno 2020, 13:37 »
quando anche non riuscissero a bucare il protocollo avresti infiniti tentativi di accesso col possibile risultato di un DDOS sulla macchina per l'elevato brute force intentato.

Ok, però un problema di DDoS è diverso da quello di accesso ai dati: in teoria anche con altri servizi criptati aperti (uno per tutti: ssh) sono vulnerabile a DDoS. Certo, posso spostare il server in ascolto su una porta non-standard diversa dalla 22 (o addirittura implementare meccanismi di port knocking) per ridurre gli attacchi più banali, ma se anche il mio raspberry dovesse andare down per un DDoS... amen.
Se invece qualcuno dovesse accedere ai miei backup, be', la cosa, diciamo così, mi seccherebbe molto di più.
:(

Offline MisterFTTH

  • Global Moderator
  • Esperto
  • *****
  • 946
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #7 il: 08 Giugno 2020, 15:22 »
Se non si utilizzano servizi di rete che per definizione devono stare in ascolto su WAN (webserver pubblici, ad esempio) e per i quali si deve provvedere in ogni caso alla migliore configurazione possibile in termini di sicurezza, a parità di altre condizioni è sempre preferibile avere il minor numero di porte aperte su WAN con servizi in ascolto.

Anche nel caso in cui tu non abbia necessità di raggiungere dall'esterno altri servizi tranne Samba, ritengo che sia a priori opportuno valutare l'uso di tunnel VPN o SSH: verso WAN apri comunque una unica porta - su cui per altro in caso di necessità puoi inoltrare senza ulteriori azioni anche altri servizi oltre Samba - e con l'utilizzo dei certificati abbassi i rischi di accesso fraudolento.

Detta impostazione non esclude poi l'opportunità di provvedere ad ulteriore messa in sicurezza tramite i già citati cambio porta (per quanto al giorno d'oggi la rapidità dei port scan pubblici sia imbarazzante) e failban oppure il da te ricordato port knocking od altro ancora

In ogni caso soltanto tu alla fine della fiera puo valutare se lo "sbattimento" richiesto per le dovute configurazioni aggiuntive lato server e lato client, valga la candela rispetto ai rischi potenziali in gioco.
Netiquette del Forum

Offline fabiobassa

  • Esperto
  • ****
  • 727
  • Sesso: Maschio
Re:NAS con samba raggiungibile da rete esterna
« Risposta #8 il: 08 Giugno 2020, 23:26 »
assolutamente si , il ddos puo' avvenire su qualunque porta e servizio in ascolto ma non a caso ho fatto l 'esempio del fail2ban che su accessi ssh funziona egregiamente.
personalmente invece non sono a conoscenz di fail2ban su protocollo samba, ma posso anche sbagliarmi
comunque l'accesso ai tuoi backup puo' essere uno solo degli effetti nefasti, un altro gravissimo è che la tua macchina diventi una net-bot e lo so perche tempo fa , quando non conoscevo a fondo le tecniche di difesa, mi hanno addirittura sfondato il protocollo ssh ( i cari, vecchi, insostituibili ip cinesi)
« Ultima modifica: 08 Giugno 2020, 23:27 da fabiobassa »