viernes, 9 de mayo de 2014

Geo-IP Bloking con un NAS Synology

Una de las nuevas características incluidas en la última actualización del firmware de Synology, DSM 5.0-4882, es la posibilidad de crear reglas de filtrado/bloqueo por la procedencia geográfica de cualquier IP que intente acceder a nuestro NAS.

Este sistema de filtrado nos lo podemos encontrar por ejemplo en servicios de hospedaje de vídeo como YouTube, donde hay vídeos que fuera del país donde se han publicado no deja acceder a su visionado, por supuesto no es infalible puesto que a través de la navegación de proxies podemos ocultar nuestra IP real y engañar al sistema, pero pensemos en una seguridad o reglas "por defecto", luego podríamos añadir reglas o medidas complementarias.


El filtrado de IP es clasificado según el país al que pertenezca el rango de la ip a contrastar, y es obtenido gracias a las listas de Maxmind, proveedor de servicios de este tipo.

Quizás a primer pensamiento no veamos un uso real a este sistema de filtrado, pero lo cierto es que en la gran mayoría de situaciones si accedemos remotamente a nuestro NAS lo haremos dentro de nuestro país, además si eres seguidor de temas de NASes podrás encontrarte casos en los que IP's de origen desconocido intentan acceder al NAS, muchas veces el origen de estas IP's viene de países asíaticos como China o Estados Unidos, ya he recibido más de un correo donde me planteáis este caso y para mí es sumamente delicado dependiendo lo que tengamos en nuestro NAS y más después de las últimas vulnerabilidades detectadas en sistemas Linux y concretamente Synology, así que vamos a ver de forma rápida como crear una regla en nuestro Firewall de Synology para darle una vuelta más al tema seguridad.

Primero accedemos al propio Firewall desde el Panel de Control / Seguridad.


En la pestaña Cortafuegos nos encontramos con las diferentes reglas ya creadas si es que teníamos alguna.


Creamos una nueva regla donde especificados IP Origen como Region.


Elegimos en el listado el país o países que queremos añadir a la regla que vamos a crear, en este caso elegimos China.


Especificamos la acción de la regla si Denegar o Permitir según queramos y aplicamos, a continuación nos aparecerá en el listado con las reglas anteriores.


A partir de este momento ya no podrá ninguna IP identificada con origen de China intentar acceder a nuestro NAS, podríamos crear una Regla para que solo Spain tuviese el tipo de acceso como Permitido para que solo las IP's nacionales pudiesen conectarse de forma segura, y recordemos que siempre quedará el proceso de seguridad convencional (verificación de credenciales por ejemplo) para que se puedan conectar a nuestro NAS Synology.

Como veis una sencilla manera de mejorar la seguridad del NAS.

11 comentarios:

Para un NAS de uso personal, yo limitaría el acceso a todos los países excepto el mío.

Por cierto, hay que seleccionar uno o varios y países, y la opción "Acción: Denegar".

ni me había enterado de esto y es supersimple de activar! son fiables los rangos de ips que ofrece esto?

Hola, yo acabo de añadir a mi lista de puertos abiertos el requisito de aceptar solo conexiones de España. A ver si de esta manera dejo de recibir ataques desde China, Taiwan, etc...

Buenos dias,

como aporte a mi comentario último de ayer, decir que si se programa que solo se acepten conexiones de España entonces se bloquea todo acceso al NAS desde la red local. Debe ser porque interpreta las IPs de la red local como de fuera de España.

Lo he solucionado poniendo una segunda regla en la que se permiten acceso a través de los puertos adecuados para el rango de IPs de la red local.

Buena apreciación, en mi caso me funcionaba directamente porque tenía ya reglas de confianza, gracias por el apunte ;)

Buenos días,
se me acaba de plantear la duda de si el bloqueo de todos los países excepto el tuyo podría afectar de alguna manera a la descarga mediante download station

A tener en cuenta que el máximo de regiones por regla en bloqueo/permiso es de 15 me parece...

A pesar de que el aviso es de maximo 50, solo deja seleccionar 15 si.

Primero: Seleccionas la ip (o el rango) de tu ordenador con la cual configuras y toqueteas el DS y le das permiso a todo (o a lo que quieras.. eso si, tienes que habilitar el puerto 5000 o 5001 (o si lo has cambiado, el que tengas por defecto..) ya que si no no te dejará guardar el tercer paso.)

Segundo: Creas una nueva regla para el país o países que quieres que no estén bloqueados (o que estén abiertos ciertos puertos/aplicaciones (Primera opción, segundo punto.))

Tercero: Creas una tercera en el que bloqueas todo de todos los países y listo todos los menos el tuyo bloqueados.
(OJO!!!!!! es importante que la tercera se cree la última, ya que resulta que las reglas tienen jerarquía.. es decir. si se crea esta primero y luego la del país, la última se la pasará por el forro.. al tener bloqueadas todas las ips..)

También recordar de marcar la casilla de abajo del todo. (Si no satisface ninguna regla .... Denegar acceso.)
Saludos.

Llevo toda la tarde peleándome con el firewall para prohibir toda conexión desde fuera de españa, y al aplicar las reglas me echaba.

OJO!! resulta que algunos ISPs como en mi caso orange, usa unas IPs que antiguamente eran de Francia, y la BD de Synology no esta actualizada, así que he tenido que abrir para españa y francia.
Espero os ayude

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More