Verificación en dos pasos en el NAS

Verificación en dos pasos. Authy

Teniendo en cuenta que al NAS es un dispositivo que se encuentra permanentemente conectado con el exterior, que nos conectamos a él frecuentemente desde diferentes aparatos y usando todo tipo de redes, no está de más tomar algunas precauciones de seguridad.

Puede que no uses el NAS más que para guardar archivos multimedia sin mucha importancia, pero quizá también tengas tu colección de fotos y/o archivos privados que no quieres que caigan en manos ajenas.

Una de las primeras medidas de seguridad podría ser la del uso de puertos alternativos de los que vienen por defecto en nuestro NAS. Por ejemplo, que el acceso al DSM se haga desde el puerto X (el que tú elijas) en lugar de usar el 5000 que usan todos los NAS Synology.

Y algo que parece lógico pero que no todo el mundo hace es usar una cuenta de usuario en tus conexiones habituales al NAS y no la de administrador. La gente se crea una cuenta de administrador cuando instala el NAS por primera vez y no se preocupa más usándola como única cuenta. Parece lógico pensar que si vas a usar tu NAS constantemente y fuera de tu casa, mejor acceder con una cuenta con permisos restringidos para que, en caso de ser interceptada, no se pueda usar para nada importante.

Yo particularmente dispongo de dos cuentas: la de usuario y la de administrador. Esta segunda la utilizo sólo cuando tengo que modificar algo en la configuración del NAS. En todos los demás casos uso mi cuenta del grupo de usuarios. El resto de cuentas de mi NAS (para familiares y amigos) pertenecen al grupo de usuarios.

Si quieres añadir un extra de seguridad a tu cuenta de administrador, es recomendable también activar la verificación en dos pasos que incluye el sistema operativo de Synology.

La verificación consiste en lo siguiente: además del usuario y contraseña que siempre nos pide el NAS para poder entrar, nos solicitará que introduzcamos un código numérico de 6 dígitos (token) que nos facilita una aplicación instalada en nuestro móvil y que cambia cada 30 segundos. Sería como una contraseña adicional de un único uso y con una vida muy corta (30 segundos).

Así pues, si alguien supiese la dirección de nuestro NAS (quickconnect o DDNS), tuviese nuestro nombre de usuario y nuestra contraseña, necesitaría además nuestro móvil (y nuestro pin, huella dactilar o incluso nuestra cabeza) para poder acceder a él.

Para introducir ese nuevo token que se nos solicita, necesitaremos una aplicación en nuestro móvil (o tablet) que se encargue de generarlo. Hay varias apps tanto para iOS como para Android pero yo sólo os puedo recomendar Authy porque es la que utilizo. Veamos como configurarlo todo:

Activar verificación en dos pasos en Synology

Por el lado del NAS tendrás que entrar en el Panel de control y acceder al apartado Usuarios. Allí hay dos pestañas (Usuario y Avanzado). Entrando el la segunda (Avanzado), podemos ver un poco más abajo la opción para activar la verificación en dos pasos. Además podremos elegir si queremos aplicarla para todos los usuarios o sólo para el grupo de administradores.

Código QR a escanear por Authy

En cuanto activemos la verificación en dos pasos, se abrirá una nueva ventana con un asistente que nos lleva a un código QR. Ese código lo tendremos que escanear con nuestra aplicación Authy (o la que hayas decidido usar). Así que en este punto, tendrás que haber instalado la aplicación en tu teléfono. Si por algún motivo no quieres que Authy no use tu cámara, podrás meter una clave secreta de forma manual pinchando el enlace que te ofrece Synology.

 

Antes de continuar, veamos como configurar Authy desde cero:

Paso 2 del registro en la app Authy

Cuando abrimos Authy por primera vez (en este caso es en un iPhone) se nos pide que metamos nuestro número de teléfono precedido por el prefijo del país (pinchando en ese campo se abre un desplegable con una lista de todos los países). Hecho esto, aparece un nuevo campo en el que introducir también nuestra cuenta de correo electrónico.

Verificación de la cuenta en la app Authy

Ahora tendremos que verificar nuestra cuenta y para ello nos da dos opciones: a través de una llamada telefónico o enviándonos un SMS.

Yo elegí el SMS y de inmediato recibí el código de verificación solicitado.

Añadiendo una cuenta en la app Authy

Verificada nuestra cuenta, lo siguiente que Authy nos dice es que añadamos nuestra primera cuenta en Authy. Ten en cuenta que Authy no sólo te valdrá para la verificación en dos pasos en tu NAS, también la podrás utilizar en otros servicios que tengan esta opción, como Dropbox, Google…

Copia de respaldo en la app Authy

Al añadir la primera cuenta Authy te pedirá que introduzcas una contraseña de respaldo para que en caso de necesidad (pérdida de teléfono, etc.) puedas recuperar tus cuentas fácilmente.

Escaneo de QR en la app Authy

Y ahora sí que podremos escanear el QR que nos ofrecía la pantalla del DSM de Synology en nuestro NAS.

Antes de continuar con el NAS, ten en cuenta que tras escanear el código, Authy te pedirá que le des un nombre a esa cuenta nueva y añadas un icono entre lo que te ofrece. Como no hay uno específico para el NAS (sí lo hay por ejemplo para una cuenta de Google), puedes poner uno de los genéricos.

 

Solicitud de código en la verificación de dos pasos de Sunology

De nuevo en nuestro NAS y con el QR ya escaneado por Authy, Synology nos pedirá por primera vez el código de verificación de 6 dígitos (token) que de ahora en adelante tendremos que introducir cada vez que queramos entrar en el NAS.

Token ofrecido por Authy en la verificación

Abriendo la aplicación Authy y seleccionando la cuenta del NAS que hemos creado anteriormente de entre las que nos aparecen en la parte inferior, nos aparece nuestro token y el tiempo que le queda de vida. Si vemos que no es suficiente para que nos de tiempo a meterlo en el NAS, esperamos un poco a que expire y nos aparezca uno nuevo.

Si estamos usando el mismo dispositivo para acceder al NAS y para la aplicación Authy (el móvil por ejemplo), podemos pulsar sobre el icono de la parte inferior derecha y así copiar el token y pegarlo después sin necesidad de teclearlo.

Código de emergencia, verificación en dos pasos.

Introducido el token, en la siguiente pantalla Synology nos pide que le demos una dirección de correo electrónico para mandarnos un código de emergencia en caso de que perdamos el móvil.

Ya lo tienes todo configurado. A partir de ahora, cada vez que quieras entrar en el NAS con tu cuenta de administrador, tendrás que introducir tu usuario y tu contraseña como siempre, pero después te pedirá un token que tendrás que mirar en un aplicación Authy.

Si usas habitualmente tu ordenador para acceder al NAS y no quieres tener que mirar Authy cada vez que intentas entrar (porque esté en tu red local, por ejemplo), puedes añadir una excepción de seguridad para que Synology no te pida el token. Tendrás que marcar una casilla que verás al introducir el código de verificación.

Deja un comentario