Jump to content


Network Attached Storage - da li koristite, itd?


Ljuba

Recommended Posts

Mislim da je ovo relevantno za one koji koriste serverske servise i one koji su otvoreni prema internetu. Nisam se sretao sa ozbiljnijim QNAP spravama i ne znam kakav operativni sistem imaju, ali mi njihovi SOHO uređaji baš ne ulivaju poverenje za te namene iako ih imaju ugrađene.

Kućni QNAP, a verujem da to važi i za Synology, za skladištenje i pozivanje multimedije treba svesti na ono što mu samo ime kaže, a to je mrežni disk i to u lokalnoj mreži. Od funkcija treba dozvoliti share mount foldera sa isključivo read only privilegijama, DLNA povezivanje s uređajima, automatski bekap i po želji programirano paljenje i gašenje. Sa druge strane, treba potpuno isključiti sve cloud i serverske aplikacije, uPnP (on je posebno rizičan), FTP, Telnet/SSH pristup i ograničiti opseg IP adresa koje pristupaju NAS-u i kojim servisima (service binding). To može zahtevati malo posla oko dodele IP adrese svakom uređaju po MAC adresi na ruteru. Na ovako podešenom QNAP-u nisam imao nijedan pokušaj upada spolja, što se vidi po logovima.

EDIT: moguće je čak potpuno blokirati izlaz NAS-a na internet ali se on u tom slučaju dosta buni jer ne može da ažurira tačno vreme (mada to može da usklađuje i sa kompjuertom preko koga mu se pristupa) i ne vidi nova ažuriranja. Što se samih ažuriranja tiče, ona bar u slučaju QNAP-a imaju tendenciju da sve više dave hardverske resurse, ne dodajući nikakve nove NAS funkcije. Verovatno tu ima i zakrpa u OS-u ali mislim da za izolovani NAS nisu kritične. Lično koristim stabilnu verziju QTS od pre godinu i po dana, s time što redovno ažuriram jedino DLNA i Malware scanner.

Link to comment
Share on other sites

  • 6 months later...
  • Replies 214
  • Created
  • Last Reply

Top Posters In This Topic

Koji model? Najvažnije pravilo kod korišćenja QNAP-a je da se OS ne ažurira nego da se ostavi na što nižoj stabilnoj verziji (kod mene 4.3.6). ne znam kako misliš da konfigurišeš diskove ali ako nemaš redundantnost van servera, onda je najpouzdanije da od dva diska jedan bude storidž i sistemski a drugi bekap storidža (ne mirror). Ako ne, onda thick volume RAID, 64K per inode formatiranje daje najveći korisni kapacitet diska.

Glavne preporuke imaš u mom postu iznad. Ne preporučujem da NAS nešto "radi", na primer da skida torente i sl. Najbolje je koristiti ga upravo kao storidž, dakle slagati u njega pripremljene fajlove, i šerovanje preko share mounta i striming preko ugrađenog DLNA. Nikako uPnP. Pitaj ako zapneš negde.

 

Link to comment
Share on other sites

45 minuta ranije, Green said:

Može li neko malo opširnije objašnjenje oko ove preporuke?Hvala unapred.

uPnP je rizičan zato što otvara uređaj za hakovanje i malware. DLNA je tu mnogo sigurniji i najgore što može da se dogodi jeste da neautorizovani uređaji povlače striming sa servera. Za većinu mrežnih plejera i televizora dovoljni su share mount (mrežni disk) i DLNA.

Link to comment
Share on other sites

  • 1 year later...

Jel neko poredio zvuk Innuos / Melco / Aurender / Lumin i slicnih sprava sa internim storage-om malo vise klase sa "klasicnim" racunarom ili pristojnim opet klasicnim NAS-om (QNAP, Synology...) u rezimu kada rade iskljucivo kao UPnP server-i?

Kao streamer-e sam ih i sam slusao, ali to je neka sasvim druga prica.

Link to comment
Share on other sites

  • 4 weeks later...

Da se uključim u temu, iako je stara, uvek je interesantna. NAS kao neko manje storage rešenje je skroz ok, podržavam jer ima sve u jednom malom kućištu, monitoring i storage kroz mrežu. Iskreno, nisam ga nikad imao, ali koristio sam na poslu i trenutno koristim svakodnevno za podatke itd.

Kod kuće sam nešto drugo uradio jer sam iskoristio ono što imam bez želje da kupujem NAS i odabrane diskove, odnosno to je sada server sa instaliranim Linux-om bez GUI-a. Poenta i prednost toga je sigurnost podataka (jer nemam samo muziku), brzina je 1Gbps i servis za share je Samba server. Pristup je dozvoljen svim uređajima isključivo iz moje mreže (rešeno preko firewall-a). Qnap takođe ima sličnu stvar, radi mu samba servis, ima firewall, antivirus i platforma je neki Ubuntu, daleko je jednostavnije i elegatnije rešenje i takođe za one koji nemaju gde da drže server i razvlače kablove itd. U mom slučaju je prednost to što sam instalirao sistem koji želim, nema bespotrebnih aplikacija i okruženja koji će opterećivati resurse. Ne koristim streaming.

Za puštanje muzike koristim dedicated PC koji je zakačen na mrežu, ima Windows (ali može i Linux), to može da bude i Raspberry Pi. Po meni je bolje rešenje reprodukcija muzike ili preko mreže ili direktno sa diska, u odnosu na USB, iako nisam imao nikakvih problema ni preko USB 2.0. 

WiFi ne bih preporučio, jer to znači sporija nestabilna nepouzdana konekcija gde mogu da se dese i povremeni prekidi.

Link to comment
Share on other sites

 Firewall je ovde beskoristan, nece sigurno niko doci sa interneta kroz ruter - nema kako. Ono sto bi ja razmislio je :

  • Da samba share bude read-only
  • Eventualno, ako file system podrzava - snapshots, plus redovan backup.

 Scenario koji treba "pobediti" nije "neko sa interneta pristupa sevreru", to je bespredmetno. Scenario koji treba pobediti je: "Neko je nakacen na taj windows, kroz mimikatz - kako da ne osteti server" - ili ga makar usporiti.

Link to comment
Share on other sites

Naveo sam samo primer onoga šta ja imam kod sebe.

Firewall je poželjan ako ti je mašina na internetu, u slučaju da neko koristi neku aplikaciju, nešto, pa mu treba net. Ako je samo u lokalnoj mreži, onda logično, naravno - ne.

Samba share apsolutno može da bude read-only, kao i permisije. Ali nekad je to smaranje iz više razloga.

Ne znam na kakvu vrstu snapshot-a misliš, celog sistema? Po meni nema potrebe, dovoljan je redovan backup i "sync". Eventualno automatski povremeni nedeljni, ili mesečni, ili tromesečni backup konfiguracije iz /root-a.

 

Link to comment
Share on other sites

Razumem, ali možda je malo previše...? 

Ne znam da li se razumemo, ali ajde odgovoriću, i izvinjavam se ako možda malo ide u "off", jer ovo ima više veze sa Linux-om nego sa NAS-om (mada i NAS ima Linux i Samba servis, kao i firewall) ali možda nekom bude od koristi. 

Ako imaš ono gore što sam naveo, haker treba ovo sve da prođe da bi ti uništio podatke (plus mora da koristi randsomware alat za Linux):

- Pristup tvojoj javnoj adresi (ok, to može da pročita jer je javna, ali takođe je dinamička, tj. menja se, a može da bude i lažna)

- Prolaz kroz tvoj firewall na ruteru koji je po default-u aktivan 

- Pristup tvom lokalnom opsegu koji jedino Samba dozvoljava, ostali su "deny" (automatski odbija njegovu adresu), takođe je zatvoren ranjivi SMB1 protokol

- Tvoj username & password koji koristiš za pristup share-u (barem bi trebalo, jer je onda otvoren javno)

- Pristup preko SSH (koji si limitirao samo ključem, koji automatski odbija konekciju ako je neuspešna posle 5x i stavlja u ban)

- Pre svega ovog imaš firewall koji si ograničio samo na svoje adrese (ili lokalni opseg)

- Sve ovo može i da pada u vodu jer ti taj server nisi ni otvorio, tj. pristup njemu, samo mu je aktivan SSH koji ne prihvata ništa sem ključa koji samo ti imaš.

Da sam još uvek skeptičan, opet ne bih koristio FS snapshot, jer nije za tu svrhu, nego bih recimo kompresovao podatke i stavio password. To može da obriše samo ako ima "root" privilegije, što je gotovo nemoguće da dobije na taj način pristupa na ovako konfigurisanom sistemu. 

 

Kad bolje razmislim, sve ovo je možda komplikovano, tako da je uvek skroz ok da uzmeš neki veliki eksterni disk, prekopiraš podatke i isključiš ga i odvojiš sa strane ;)

Link to comment
Share on other sites

19 minuta ranije, imarkovic said:

Kad bolje razmislim, sve ovo je možda komplikovano, tako da je uvek skroz ok da uzmeš neki veliki eksterni disk, prekopiraš podatke i isključiš ga i odvojiš sa strane ;)

Ovo je jedino skroz pouzdano, dogod se backup radi sistematski na određen period, koji ne sme da bude preterano dug, a sa diskom se manipuliše na adekvatan način.

Koristim NAS, ali za kritične podatke i muziku (nešto manje od 2TB) koristim dropbox za backup + fizički nezavistan disk koji kačim 1x mesečno da sve sinhronizujem i onda ide u fioku.

Link to comment
Share on other sites

1 sat ranije, imarkovic said:

 Pristup tvojoj javnoj adresi (ok, to može da pročita jer je javna, ali takođe je dinamička, tj. menja se, a može da bude i lažna)

- Prolaz kroz tvoj firewall na ruteru koji je po default-u aktivan

 Ma jok. :) To niko ne radi, to je brdo posla.

 Sve sto mu treba je da ti pokrenes nesto sto ce da uradi "call home" i otvori reverzni tunel. ;) Onda je na tvom racunaru i ima tvoje kredencijale. ;)

 I pre nego sto kazes "ja sam pametan", razmisli samo malo da ima mnogo njih kojima se to desilo, a nisu uopste glupi.

Link to comment
Share on other sites

Da, i meni se upravo desilo to na Windows-u 7 pored poslednje azurirane verzije ESET smart security, što me je i motivisalo da postavim odvojeni backup server sa ovim specifičnim sistemom. :)

Doduše, okidač nije bio takav, već mojom kriticom sam privukao pola interneta time što sam eksperimentom od par sati otvorio port na ruteru.

Link to comment
Share on other sites

 Ovo sam cuo previse puta kao kombinaciju : Windows 7, koji vise nema update-e, plus neki "klasican" antivirus, signature based - i to najcesce Eset "jer je brz". Kapiram da je navika, ali to je bukvalno otvoren sistem: jedna losa web strana i mozes da fasujes neki RAT - i da ne znas sta te snaslo.

 Sve sto ces videti, osim ako nemas stvarno dobru zastitu na nivou mreze, je otvoren https tunel (a ti ne znas je'l tunel ili samo sajt ili bilo koja druga konekcija - socket je socket) ka nekom sajtu. Kroz to, lepo se "javi kuci", otvori reverse shell, stavi mimikatz - i uzivancija. Bolje nego da sedi za racunarom. :D

Link to comment
Share on other sites

Pa...Ne baš. Evo primera iz bivše firme, gde je poprilično bila zaštićena mreža, iza koje je Cisco firewall, ali džaba to kada moraš da dozvoliš port. Sistem je bio Windows server 2019 tek instaliran za koji su zahtevali otvoren RDP, što smo i uradili. Nakon samo par dana server je bio neupotrebljiv, pretpostavljaš šta se zbilo :). Od tada isključivo VPN i nema problema.

 

Link to comment
Share on other sites

 Nisam shvatio sta je ne bas... ? Ne bas da, ako sednes za Windows 7 koji ima samo tradicionaln antivirus imas sanse da fasujes neki remote access trojan su.... Mislis da nisu? :D

 Ili ne bas da firewall necemu sluzi? Mislim, ne sluzi tome - ne mozes firewall-om da resis konekcije otvorene iznutra, to i jeste sustina price.

 To za otvoren RDP ne vidim da ima da se komentarise - offtopic je ovde, plus je glupo kao koncept. Shodan te nadje za dva dana....

 Uglavnom, apropo forumasa i NAS-ova: Sve sto ja zelim reci je :

  • Backup sluzi da se sistem zastiti od nekoga ko sedi za vasim racunarom. To je sustina i o tome treba misliti kad ga pravis. Danasnji mallware, u sustini, stavlja "bad actors" u tu poziciju.
  • Zastareli sistemi su u sustini otvorena pozivnica za "lose momke", ako samo koristite internet na njima mozete da fasujete mallware koji ce im omoguciti pristup celoj vasoj mrezi.

 Ovo drugo je veliki problem koji vecina ignorise - zato ja uporno pisem o tome.

Link to comment
Share on other sites

Treba mi preporuka za jedan od ova dva QNAP TR002 ili QNAP TR004, ne bih koristio kao NAS već kao DAS, da zakačim za komp usb C kablom, dosadilo mi je više da svaki čas kačim eksterne kad mi nešto treba. Da li uzeti 2 hdd od 4tb za 002 ili 4 od 2tb za 004, ne treba mi mnogo prostora, napravio bih mirror raid za svaki slučaj ili nešto drugo, uglavom bitinija mi je sigurnost podataka nego brzina i veličina prostora. Kabl iz QNAP-a ide usb C na usb A, pretpostavljam da može obostrani usb C jer mi matična podržava usb C.

Hvala unapred 👍

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...