Безопасно витаем в облаках: как настроить защищенный удаленный доступ к сетевому накопителю QNAP

25.10.2011 | Версия для печати | Послать ссылку по почте | Комментарии | Добавить в

Современный сетевой накопитель призван помочь владельцу в решении самых разнообразных задач, при этом их большая часть может возникнуть только после приобретения такого устройства – с первоочередными вопросами тебе уже удалось разобраться, и тут же следом легко поддаешься соблазну использовать массу других возможностей, оставшихся без дела. И если для надежного хранения данных главным средством является создание отказоустойчивого массива RAID, то инструменты для безопасной работы с ними, особенно через Интернет, не столь очевидны для большинства пользователей. Раскроем тему на примере сетевого накопителя QNAP TS-412.

Область применения сетевого накопителя условно можно разделить на две части: 1) внутри локальной сети, развернутой дома или в офисе и 2) с использованием удаленного доступа через Интернет. Причем зачастую используются обе схемы, но в первом случае достаточно лишь разграничить права между членами семьи или сотрудниками, а при работе через всемирную паутину рекомендуется более тщательно позаботиться о безопасности доступа к тем сервисам, которые будут использоваться. Главным из таких сервисов является встроенный веб-интерфейс, позволяющий выполнить все основные операции с устройством. К примеру, он включает в себя файловый веб-менеджер, менеджер загрузок и станцию видеонаблюдения, а также управление дополнительными программными пакетами. Именно его мы будем использовать для конфигурации на QNAP TS-412 всех параметров и функций безопасности, которые будут рассмотрены в этой статье.

Правила внутренней безопасности

Один из самых важных моментов в управлении сетевым накопителем – настройка пользователей, даже когда он один – ты единственный администратор и посетитель хранилища. Если с NAS будут работать несколько человек, в том числе удаленно, то целесообразно создать для каждого из них отдельного пользователя, указав при этом имя и пароль, а также параметры участия в группах, права доступа к общим ресурсам и дисковую квоту. Все эти настройки можно выполнить в разделе веб-интерфейса "Права доступа":

Особое внимание следует уделить сложности пароля, поскольку он, вместе с именем пользователя, будет служить для авторизации как при локальном, так и удаленном подключении к сервисам. Для помощи в создании взломостойкого пароля разработчики QNAP сделали отдельное меню "Безопасный пароль", опции которого можно включить для автоматической поддержки указанных в них требований.

Такой пароль снизит риск его подбора и взлома, а значит и шанс того, что злоумышленник получит несанкционированный доступ к управлению устройством, который может иметь особенно неприятные последствия, если у соответствующего пользователя есть права на чтение, запись и удаление файлов. Причем таким злоумышленником может оказаться как домашний или офисный хулиган, так и "доброжелатель" из локальной сети твоего провайдера или Интернета. Поэтому также важно четко разграничить права на доступ к ресурсам и операциям с файлами – к примеру, это может предотвратить случайное удаление файлов из-за действий легального пользователя.

С учетом всего вышесказанного мы порекомендуем тебе еще одно средство, которое поможет защитить данные – резервное копирование/создание бэкапов, которое будет уместно использовать хотя бы только для самых важных файлов, например, семейных фотографий или деловых документов, т.е. любой информации, являющейся по-своему уникальной. Резервные копии файлов могут храниться либо на локальном диске, который можно подключить к сетевому накопителю по USB или eSATA, либо на внешнем устройстве – ftp-сервере на базе обычного компьютера или другом NAS, а также сервисе облачного хранения. Чем проще, тем надежнее – если у тебя есть подходящий по объему жесткий диск или USB-носитель, то используй его. Настройки предельно просты:

Кроме того, если ты будешь использовать USB-порт на передней панели сетевого накопителя, то копирование файлов на подключенный носитель можно осуществить одним лишь нажатием соседней кнопки, предварительно настроив для нее такую задачу.

Защищаем доступ из интернета

Помимо веб-интерфейса удаленный доступ может потребоваться к следующим сервисам сетевого накопителя QNAP TS-412:

• FTP-сервер;
• командная строка;
• медиасервер – отдельная веб-страничка, предназначенная для удобного просмотра в браузере хранящихся фотографий, аудио- и видеозаписей;
• цели iSCSI (iSCSI targets) и логические устройства (LUN) – две составляющие, которые определяют объемы выделенных частей дискового пространства на сетевом накопителе и параметры доступа к ним по протоколу iSCSI;
• медиатека для мобильных устройств – альтернативная версия медиасервера, доступ к которой можно получить при помощи бесплатного приложения QMobile, предназначенного для установки на гаджеты под управлением операционных систем Google Android и Apple iOS.

Когда ты определишься с тем, какие же из них должны быть доступны, их надо опубликовать вместе с самим NAS в сети Интернет, но перед этим как раз и надо подумать о безопасности – ее можно обеспечить использованием защищенных модификаций сервисов и функций ограничения доступа. Защищенные версии исключат вероятность перехвата логина/пароля и другой информации в явном виде, когда ты обращаешься к сетевому накопителю из небезопасной сети: с работы или компьютера друзей, из гостиницы или интернет-кафе. А специальные функции помогут запретить или, наоборот, разрешить доступ из тех мест и тем сетевым адресам, которые ты укажешь. Рассмотрим по порядку наиболее важные из таких инструментов:

1. Протокол SSL – обеспечит аутентификацию вместе с проверкой целостности и шифрованием данных при обращении к веб-интерфейсу устройства. Работа с сертификатом безопасности осуществляется в соответствующем меню:

Использование SSL, в том числе принудительного подключения, когда доступ к веб-интерфейсу будет возможен только по протоколу HTTPS, настраивается в другом меню:

Здесь также можно задать номер порта – вместо стандартного 443 использовать произвольный.

2. SSL/TLS – эти криптографические протоколы защитят доступ к FTP-серверу, все настройки которого показаны ниже:

Как видишь, для этого сервиса тоже можно сменить стандартный номер порта, а еще сделать такие разнообразные настройки, как запрет анонимных подключений, ограничение количества одновременных подключений для всех пользователей или только для одного, скоростей отдачи и приема, а также диапазона пассивных портов.

3. SSH – с помощью этого протокола можно осуществить более безопасный вариант подключения к командной строке по сравнению с telnet, так как весь обмен данными, как и в случае SSL, происходит в зашифрованном виде. На этот раз параметров совсем немного:

Ты снова можешь задать произвольный номер порта, а при планировании работы с командной строкой держи в голове следующую особенность – удаленный вход доступен только для учетной записи администратора.

4. Создание списков доступа – это разрешит или запретит доступ на основе заданного списка подсетей и IP-адресов.

5. Защита сетевого доступа – этот функционал позволит на определенное время блокировать те IP-адреса, со стороны которых будет превышено указанное тобой число неудачных попыток подключения к сервисам. Здесь все просто:

6. Привязка служб – с помощью этой функции, появившейся в версии 3.5 микропрограммного обеспечения QNAP, можно определить, с каких Ethernet-портов и интерфейсов Wi-Fi, а значит через какие внешние и локальные подсети можно получить доступ к тем или иным сервисам, а с каких нельзя. Включаем функцию и выбираем нужную конфигурацию:

7. Маскирование LUN – это средство предназначено для определения прав iSCSI-инициаторов, когда они подключены к целям iSCSI, заданным на сетевом накопителе, и обращаются к соответствующим логическим устройствам. Для каждого из подключенных инициаторов можно настроить следующие права доступа: "Только для чтения", "Чтение/Запись" и "Запрет доступа". Если же инициатор не принадлежит ни к одной из политик маскирования LUN, то будет применена политика по умолчанию. Интерфейс этих настроек выглядит так:

Добавляем облако в глобальную сеть

Для публикации NAS и удаленной работы с сервисами обязательно нужен "белый" IP-адрес – он может быть постоянным или динамическим, назначенным вручную или по DHCP, принадлежать самому сетевому накопителю или роутеру. Обычно провайдеры выдают своим клиентам "белые" IP-адреса, меняющиеся при каждом подключении, так что если ты находишься удаленно от твоего NAS или роутера, то для работы с хранилищем тебе потребуется как-то узнать действующий адрес. Эту порой затруднительную процедуру можно исключить, если доплатить за постоянный адрес или использовать динамические имена (DNS). Если же ты подключил NAS через роутер, то сначала надо пробросить порты к нужным сервисам на нем, а только затем уже можно ими пользоваться. Такие способы не очень удобны для неподготовленного пользователя, но владельцы сетевых накопителей QNAP могут порадоваться, ведь у них в помощниках есть служба MyCloudNAS, предназначенная для удобной публикации сервисов хранилища и настройки доступа к ним из всемирной паутины, в том числе с возможностью бесплатного присвоения им доменных имен третьего уровня. Кроме того, есть служба автоматической настройки роутера – если он поддерживает UPnP, то потребуется лишь нескольких кликов мышкой:

Если же он не имеет поддержки UPnP или у тебя нет желания использовать этот протокол, то потребуется знать порты сервисов и вручную прописать их в настройках роутера.

Наконец, если роутер не используется или он уже настроен, то с помощью MyCloudNAS остается сделать совсем немного – для удобства выбираем режим быстрой настройки:

Далее нам предлагается задать имя (не забудь проверить, свободно ли оно), которое вместе с выбранным из выпадающего списка доменом будет составлять адрес персонального облака:

Последний и самый ответственный момент – выбираем нужные сервисы и отключаем ненужные.

Готово!

Теперь обращаемся к нужному сервису напрямую или отправляемся на сайт www.mycloudnas.com, где вводим заданное имя и выбираем используемый домен. В каждом случае остается успешно авторизоваться по логину и паролю, а затем порадоваться правильной настройке и начать работу. В нашем случае облако на сайте выглядит так:

А если ты владелец смартфона на базе Android или такого гаджета от Apple, как iPad, iPhone и iPod Touch, то установи на них QMobile и подключись к Интернету по Wi-Fi или 3G/4G: зная адрес облака вместе с именем пользователя и паролем, эти устройства можно связать с сетевым накопителем. В результате чего между ними станет возможным обмен фотографиями, музыкой и видеороликами – например, можно сбрасывать на накопитель сделанные фотографии, а с него слушать музыку, благодаря чему место в памяти мобильного устройства будет использоваться экономно.

Для обеспечения дополнительной безопасности при работе с опубликованными сервисами разработчики QNAP предусмотрели специальный код QCloud, который можно задать в меню "MyCloudNAS >> Публикация сервисов". Если зашедший на облако пользователь введет этот код, то ему станут видны сервисы, скрытые от остальных – таким образом, получается система двойной аутентификации. У нас получилось:

Итоги

Итак, мы рассмотрели наиболее популярные сервисы удаленного доступа и способы их защиты, но не стоит забывать, что некоторые из них уникальны – пользоваться ими можно только на сетевых накопителях QNAP. И здесь особенно важно, что все устройства линейки Turbo NAS, даже скромные модели для домашнего использования, вооружены по полной программе – обладают большим арсеналом средств безопасности и могут применяться для широкого круга задач.

В частности, QNAP TS-412 можно использовать как хранилище самых разнообразных данных, предусматривающее множество вариантов безопасного удаленного доступа к ним из всемирной паутины. К примеру, архив медиаконтента (фотографий, музыки и видео) можно сделать доступным извне для тебя, твоих друзей и знакомых, в том числе с мобильных устройств, а отдельные части дискового пространства распределить под облачное хранение. Кроме того, из любой точки мира, где есть Интернет, ты можешь безопасно работать с интерфейсами управления и средствами мониторинга хранилища, а также с такими сервисами, как менеджер загрузки, FTP-сервер, система видеонаблюдения, панель администрирования размещенного веб-сайта или блога – вся жизнь сетевого накопителя QNAP будет идти под твоим надежным контролем.

Теги: NAS, QNAP, настройка

КОММЕНТАРИИ:

Keywords: zPOSTz zARTICLEz, zOUR_ARTz, zDRIVEz z21576z
Для Авторов: edit delete