Erre figyeljen oda: kapcsolja ki a UPnP-t a routerén!


2022. április 20. 16:35

A QNAP arra figyelmezteti a hálózati adattároló (Network Attached Storage – NAS) termékeit használó ügyfeleit, hogy hálózatuk védelmében kapcsolják ki otthoni routerükön az Universal Plug and Play (UPnP) funkciót. A tanács helytálló, és akkor is érvényes, ha nincs NAS-unk.

Mi az az UPnP, és mi a gond vele?

Az UPnP egy olyan protokoll család, ami lehetővé teszi hálózati eszközök számára, hogy kölcsönösen azonosítsák egymást, megkönnyítve az eszközök csatlakozását. Az UPnP azonban lényeges biztonsági kockázatnak teszi ki eszközeinket, ugyanis publikusan elérhetővé teszi azokat az Internet irányából, általa a támadók feltérképezhetik a belső hálózatot, és hozzáférést szerezhetnek az eszközökhöz.

A NAS-ok gyakran válnak a kiberbűnözők célpontjává, ezért javasolt kiemelt figyelmet fordítani a biztonsági beállításokra!

A QNAP közeményében az alábbiakat javasolja:

  • A NAS-okat ne engedjük az internet irányából közvetlenül elérhetőnek (ne kapjon publikus IP címet), mindenképp álljon közte legalább a router tűzfala.
  • Tiltsuk az UPnP-t és minden port forwardolást!
  • Tiltsunk minden olyan szolgáltatást, amit nem használunk aktívan (Telnet, SSH, web server, SQL server, phpMyAdmin, PostgreSQL, stb.)!
  • QNAP NAS-ok hozzáféréséhez a gyártó a myQNAPcloud Link  szolgáltatás alkalmazását javasolja. Egy másik lehetőség a QNAP VPN szerver használata.

Amennyiben mindenképp szeretnénk a netről közvetlenül elérni az otthoni adatainkat:

  • Kizárólag azokon a hálózati portokon állítsunk be port forwardot manuálisan, amit a NAS a távoli kapcsolathoz igényel.
  • Telepítsük a QuFirewall-t a NAS-on, és korlátozzuk, hogy mely IP-ről lehet hozzáférni az eszközhöz!
  • Változtassuk meg az alapértelmezett portszámokat (21, 22, 80, 443, 8080, 8081 véletlenszerűen megadott értékekre)!
  • A hozzáférés során csak titkosított kapcsolatot használjunk (HTTPS, SSH, stb.)!
  • Készítsünk egy új admin fiókot az alapértelmezettet pedig tiltsuk le!
  • Használjunk egyedi, erős jelszót és kétfaktoros azonosítást!
  • Engedélyezzük az automatikus frissítést!
  • Engedélyezzük az IP-k blokkolását sikertelen bejelentkezési próbálkozások esetére!

(bleepingcomputer.com)