NAS

Seguridad en tu NAS Synology: el Firewall

El firewall de Synology. Cómo configurarlo

En algunas otras entradas he aconsejado sobre algunas medidas de seguridad recomendables, como la identificación en dos pasos o el uso de puertos distintos a los habituales.

En esta ocasión os hablaré del firewall de Synology, que viene desactivado por defecto. He de decir que la configuración del mismo es algo confusa y supongo que ese es el motivo por el que mucha gente nunca lo activa. En mi caso he decidido ponerme con ello tras recibir ataques semanales en unos de mis NAS. Simpáticos rusos se dedican a intentar entrar en ese NAS. Afortunadamente nunca lo han conseguido ya que tan solo con tener activada la opción de expulsión del NAS tras varios intentos fallidos de identificación, ha sido suficiente para evitarlo (esta opción también la comentaré en un momento). Pero fastidia que lleguen a las puertas de tu NAS e intenten entrar, así que con el firewall de Synology pretendo prohibir el paso a esos rusos y a algunos graciosos más. Vamos a ello.

Lo primero que hemos de hacer es abrir el Panel de control y acceder al apartado Seguridad:

 

Panel de control de Synology: Seguridad

Una vez dentro ya antes de entrar en la sección del firewall, vamos a revisar la configuración de bloqueo que comenté antes pulsando sobre la pestaña Cuenta:

 

Seguridad en Synology, protección de bloqueo

Ya no recuerdo si el bloqueo automático viene marcado por defecto, pero en cualquier caso os recomiendo que lo marquéis. Tal y como lo tengo yo puesto, se bloqueará cualquier IP que intente entrar en el NAS sin identificarse correctamente en 5 ocasiones y en un plazo de 5 minutos. Además esa IP quedará bloqueada indefinidamente. No creo que ninguno de los usuarios reales de mi NAS sea tan incompetente como para ser bloqueado por haber olvidado su contraseña, pero si así fuera bastaría con entrar en Lista de permiso/bloqueo para desbloquearlo (o no, dependiendo de su incompetencia).

Pasamos ahora el Firewall pulsando en la pestaña Cortafuegos:

 

Opciones del Firewall de Synology

Como es lógico hay que marcar la opción Activar cortafuegos, ese es el motivo de este tutorial. Hecho esto podremos elegir el perfil del cortafuegos que querremos usar. Podemos tener varios perfiles para usarlos en diferentes situaciones. Pinchando en la flecha de la derecha se nos abre la lista de perfiles donde podremos crear nuevos, renombrar los existentes o borrarlos. Pero hemos de seleccionar uno de ellos para dejarlo activo y poder editarlo (por defecto viene activo el perfil default y no es necesario que lo cambiéis). Ya podemos pulsar sobre el botón Editar regla:

 

Plantilla de reglas del corafuegos de Synology

La lista de reglas está vacía por el momento así que en realidad el firewall de Synology por el momento no hará absolutamente nada. La idea de un cortafuegos es que deje pasar las conexiones entrantes según los criterios que nosotros marquemos. Pero antes de comenzar con las propias reglas es necesario mirar el desplegable de la derecha. En él se pueden ver varias opciones en función de vuestra conexión. Puedes establecer reglas para cada tipo de conexión (en mi caso LAN para la red local, PPPoE para la red WAN (internet) y VPN). Las reglas que voy a establecer yo afectan a todas las conexiones así que me limitaré a seleccionar la primera opción (Todas las interfaces), pero ten en cuenta que también puedes jugar con cada una de las opciones particulares.

Creemos la primera regla pulsando sobre Crear:

 

Cómo crear una regla para el Firewall

Se nos abrirá una plantilla para elegir los criterios para nuestra regla:

La idea es que en función de las condiciones que hemos marcado en el apartado Puertos e IP de origen, el cortafuegos realizará una Acción: Permitir o Denegar la conexión.

La opción Puertos nos permite denegar o permitir el paso en función del puerto que se esté usando. Tu NAS usa varios puertos por defecto y es bastante probable que tú mismo hayas abierto alguno adicional para el uso de Download Station, WebDAV… Podremos actuar sobre todos los puertos en una regla, seleccionarlos manualmente (Personalizado) o elegirlos en función de la aplicación del NAS que los use (Seleccione de una lista de aplicaciones incorporadas).

La opción IP de origen nos permite elegir las IPs que va a poder o no conectarse a nuestro NAS. De nuevo podemos actuar sobre todas las IPs posibles, una IP específica (o rango de IPs) o seleccionar IPs en función de su ubicación.

Es más sencillo de entender con un ejemplo. Voy a crear una regla para que cualquier conexión que venga de Rusia sea rechazada por el NAS:

1- En el apartado Puertos selecciono Todo, ya que quiero rechazar cualquier conexión entrante, independientemente del puerto que use.

2- En el apartado IP de origen me voy a Ubicación para seleccionar Federación Rusa del listado de ubicaciones. Podría elegir un máximo de 15 países de la lista (en el ejemplo sólo necesito uno). Si necesitaras seleccionar más de 15 tendrías que añadirlos en una regla nueva.

3- En el apartado Acción selecciono Denegar.

Con esta regla ya estaría evitando que las conexiones rusas pudieran entrar en mi NAS. Pero ya que estamos, lo mejor es ampliar el uso del cortafuegos añadiendo nuevas reglas para hacerlo más completo.

Es muy importante saber cómo lee Synology cada una de las reglas que estableces en el cortafuegos. El NAS empieza analizando la primera regla (la situada más arriba en la lista de reglas), si se cumple lo establecido en ella, realiza la acción correspondiente (permitir o denegar la conexión) y DEJA DE LEER EL RESTO DE REGLAS.

Sólo en el caso de que las condiciones de una regla no se cumplan, pasa a leer la siguiente regla de la lista. Así sucesivamente hasta que alguna condición se cumpla o se termine la lista de reglas.

Por ello el orden de colocación de las reglas es fundamental para el buen funcionamiento del firewall. Las reglas se pueden ordenar manteniendo pulsado el ratón sobre las tres líneas paralelas a la izquierda de cada regla.

Os mostraré mi lista de reglas real por si os sirve de ayuda:

 

Lista de reglas del cortafuegos de Synology

1ª regla: PERMITIR cualquier conexión que venga de mi red local, independientemente del puerto usado (en la captura aparecen borradas las IPs de mi red local). Me evito que el firewall me dé problemas cuando estoy en mi casa, ya que al cumplirse la primera regla deja de leer las siguientes. Para crearla hay que seleccionar IP específica en la sección IP de origen:

 

Creando una regla firewall según la IP de origen

Si vuestra red local trabaja en el rango 192.168.1.x, podéis marcar Subred y establecer los siguientes datos:

  • Dirección IP: 192.168.1.0
  • Máscara de subred: 255.255.255.0

De esta forma permitiréis la entrada a todas las IPs de vuestra LAN. Podéis acotar un poco más se seleccionáis un rango de IP específico en lugar de poner toda la subred.

2ª regla: PERMITIR la conexión siempre que venga de España y a través de los puertos que le he especificado (los necesarios para el DSM, WebDAV, Download Station…). Con esta regla me aseguro que yo mismo podré entrar al NAS siempre que quiera, aunque no esté en mi casa. Si alguien estando en España, intenta entrar usando un puerto distinto a los establecidos por mí, no cumplirá la regla y provocará que el firewall pase a la siguiente.

3ª regla: es similar a la anterior pero la he puesto para poder seguir usando Quickconnect. Ahora en un momento os explico la razón.

4ª regla: DENEGAR la entrada al NAS a cualquier conexión, independientemente del puerto o la IP usada. Por tanto es una regla que siempre se cumple y por eso es IMPRESCINDIBLE que esté en último lugar. ¡Si la colocaseis en primer lugar no podrías entrar nunca a vuestro propio NAS!

Pongamos por ejemplo que alguien de Estados Unidos pretende entrar en mi NAS usando uno de los puertos abiertos. No cumpliría la primera regla (no está dentro de mi LAN) así que pasaría a la segunda, que tampoco cumpliría (aunque sí usa un puerto permitido, no lo hace desde España). La tercera tampoco la cumple (al no estar en Francia) por lo que pasa a la 4ª que lo expulsa inmediatamente. Esta última regla la cumple cualquier conexión que haya llegado hasta allí.

Nota sobre Quickconnect:

Cuando usáis este servicio, en realidad os estaréis conectando a un servidor de Synology y éste a su vez se conectará a vuestro NAS. El servidor de Synology hará de puente. Y esto es importante porque al ser él quien se conecta al NAS, es su IP la que tiene que estar permitida en el firewall. En mi segunda regla yo he permitido el acceso desde España a través de algunos puertos (entre los que pueden estar los que necesita Quickconnect) pero resulta que los servidores de Synology no están en nuestro país, así que la conexión se rechazaría.

Supongo que os habéis fijado que tras la conexión con Quickconnect, algunas veces os sale en la barra de direcciones del navegador una url del tipo fr1.quickconnect.to. Ese dominio está asociado a la IP de los servidores de Synology, que están situados en Francia (en el caso de los usuarios españoles). Hay que otorgar permiso a esos servidores para acceder a nuestro NAS usando los puertos de Quickconnect. Y eso es lo que hace mi tercera regla. Para saber los puertos que necesita Quickconnect, una vez creadas el resto de reglas y habilitado el firewall, lo mejor es acceder a su pestaña correspondiente dentro del Panel de control:

 

Quickconnect y Firewall de Synology

El NAS no avisará de que el firewall está bloqueando las conexiones que necesita Quickconnect y os pedirá permiso para crear una regla que permita su paso. Si le damos a OK, se creará una nueva regla que se colocará en primer lugar de nuestra lista. Por defecto esa regla permitirá el paso a cualquier IP independientemente de su origen pero puedes editarla para que sólo permita el paso a las conexiones provenientes de Francia. Por supuesto también puedes cambiar su posición en la lista y ponerla en tercer lugar.

Hecho esto, siempre que vuelvas a entrar en la pestaña de Quickconnect del Panel de control, te saltará la misma notificación, pero puedes ignorarla porque el servicio funcionará perfectamente (siempre que los servidores de Synology no cambien de país, claro).

3 comentarios en “Seguridad en tu NAS Synology: el Firewall

Deja un comentario