#268- Synology – Seguridad en nuestro NAS

Agradecimiento a:
https://www.atareao.es/podcasts/
Enric y Joan por su persistencia y ganas de ayudar.


Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.

Gracias por adelantado

https://amzn.to/2l4uWDR


Synology y sus recomendaciones,
* Deshabilitar el admin por defecto y crear otro usuario en el grupo de administradores.
* Passwords Fuertes
* 2FA para todas las cuentas.
* Activar Firewall en el panel de control y sólo permitir los puertos de los servicios que realmente uses.
* Ejecutar el consejero de seguridad de vez en cuando para asegurar que todo está bien.
* Bloqueo por intentos de acceso según procedencia de ip.
* Panel d eControl > Seguridad > Cuenta Para bloquear intentOs de acceso erróneo x minutos.

  • Activar el Firewall :

Cortesía de Enric:

  • La primera regla es para que desde la red interna de casa se pueda acceder a todos los servicios del nas
  • La segunda regla solo permito unos puertos en concreto y como ip de origen España solo permito unos puertos en concreto.
  • Todo lo que no cumpla las tres reglas denegado
  • Puertos cambiados
  • Abrir los puertos estrictamente necesarios.
  • Utilizar certificados para conectar vía HTTPS y tener las comunicaciones encriptadas.
  • Instalar el paquete de Antivirus Essential y programar un escaneo según tus preferencias.
  • Usar Hyperbackup para realizar una copia de seguridad externa y encriptada fuera de casa.
  • No FTP !!! En cualquier caso SFTP
  • Preferible no dejar el puerto ssh abierto ni tener habilitado Telnet ni SSH por defecto, yo prefiero habilitarlo cada vez que lo necesito. (Esto se puede realizar desde Panel de control > Terminal y SNMP.
  • Administrador de Almacenamiento:
    • HDD/SSD > Programador de tareas
      • Auto SMART Test – Prueba rápida
      • Auto SMART Test – Prueba Extendida.
  • Activar la protección contra Ataques de Denegación de Servicio (DoS) en Panel de Control > Seguridad >Protección > LAN1, LAN2…
  • Panel de Control > Red > Configuración DSM -> Migrar tráfico HTTP a HTTPS.

Otras medidas de seguridad.

Si dispones de un FingBox puedes incluso hacer algo con IFTTT, de manera que :
* Que IFTTT te notifique si Internet cae
* Un email si detecta una disminución de la velocidad
* Un llamada de teléfono si se detecta un dispositIvo nuevo en la red.


*
https://www.howtogeek.com/435452/how-to-secure-your-synology-nas-from-ransomware/

  1. Cerrar todos los puertos y usar QuiclkConnect
  2. Usar VPN
  3. Securizar la máximo la utienticaciñon de usuarios y usando los bloqueos de acceso temporal en caso de x intentos.

Compartir archivos:

  • Tener en cuenta que siempre es mejor no dar nuestro quickconnect, de manera que tened en cuenta que el linlk de gofile cuando se resuelva mostrará o no el DDNS dependiendo de :

File sharing is a native DSM service that allows a file to be shared with a web address. A shared link takes the form of any of the following three:
http://gofile.me/2dRzN/lt1zrMTz
if the server has QuickConnect enabled
http://nnicole.synology.me:5000/fbsharing/ljjI5jbS if the server has DDNS enabled
http://192.168.17.99:5000/fbsharing/pDWQYwqJ
if the server has neither of the above, its file sharing link begins with the server’s IP address
When QuickConnect is enabled, a file sharing link always takes the form in the gofile.me domain. By way of the Connectivity Test, this link allows the connecting browser to take the best possible path to access the shared files. That is to say, the client browser will be redirected to the shared link’s LAN/WAN address if available, before attempting through the relay tunnel.

https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_security

QuickConnect White Paper
https://global.download.synology.com/download/Document/WhitePaper/Synology_QuickConnect_White_Paper.pdf

#267 – DNSCrypt (parte final)

15/10 Martes: DSManager Pro al 50 % !!

El SAI que tengo

(Enlace Patrocinado)
https://amzn.to/2ICCGFM

(Enlace no patrocinado)
https://www.amazon.es/dp/B0101OPH84/ref=cm_sw_r_cp_api_i_hpHMDbE56SKXE

BlackList interesantes.

  • Cortesía de Joan:
    Complemento al capítulo : 258
    https://www.reddit.com/r/pihole/comments/bppug1/introducing_the/

Y aprovecho para recomendar el podcast de @dekkar donde habla de esta lista :

IP Block List


(Enlace al episodio de Dekkar: https://www.ivoox.com/42909566)

DNS de Cloudfare – DoH, DNSCrypt – Warp+

- Poner DNS 1.1.1.1 -> Query NO encriptada, pero nos fiamos de Cloudfare indicando que cada 24h borra logs

- DoH
-  DNS Crypt -> Encripta las queries

- WARP -> Encripta las queries (fuera de tu red) (DNSCloak también)
y el tráfico no encriptado
- WARP+ -> Ídem que WARP pero usando una red e routers privada para mejor performance.

  • Cortesía de Enric :
    • Si probáis el test con la página de cloudfare aquí:
      https://www.cloudflare.com/ssl/encrypted-sni/
      Verás que te dirá que no pasas el test de Secure DNS, eso es porqué estás con Dns proxy. Pero en esta página nos dice como solucionarlo:

https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/
El resumen es:
Cambiar el server name:
server_names = ['dnscrypt.nl-ns0']

Por este:
server_names = ['cloudflare', 'cloudflare-ipv6']

Para hacerlo:

 cd /opt/dnscrypt-proxy/
sudo nano dnscrypt-proxy.toml


Realizar los cambios que he comentado más arriba del parámetro server_names
Ahora y asólo queda reinicar el servicio:

sudo ./dnscrypt-proxy -service stop

sudo ./dnscrypt-proxy -service start


Y si probáis el test de cloudfare: https://www.cloudflare.com/ssl/encrypted-sni/
Y el test será exitoso !!!

#266 – Bitwarden Again

Recordad: el próximo día 15/10 DS Manager Pro al 50% de descuento para todos !

DS Manager Pro – iOS app

‎DS Manager Pro on the App Store

  • Comand + Shift + L -> PAra rellenear la contraseña de forma automática
  • En opciones -> Autorellenar contraseña
  • Se pueden crear “ORganizaciones” -> Colecciones , e invitar a personas para compartir passwords.
  • Addons para todos los navegadores, aunque lamentablemente para Safari han decidido no seguir manteniendo el plugin.
  • 2FA, campos personalizados, autorellenado de passwords.
  • No permite etiquetas, si carpetas, pero la gestión de las entradas en cada una de ellas sería mejorable.
  • Docker oficial -> Importantr añadir una carpeta de Volumen para poder salvarla y tener vuestros passwords a recaudo.
  • Ajustes -> Opviones -> Activar auto relleno de contraseñas7
  • Vídeo donde puedes ver como funciona:
    Browser Extension Getting Started | Bitwarden

Empecemos:

* Descargar la imagen del Docker Oficial -> https://hub.docker.com/r/bitwardenrs/server/
* Iniciar el contenedor, teniendo en cuenta añadir en Volumen:
    * docker/bitwarden: /data
* En Puertos: No dejar en automñatico y escoger lospuertos libres que desees
        * puerto1:80
        * Puerto2: 3012
* Red: Bridge
* Si NO deseas tener abierta la web para nuevos registros, en ENVIORONTMENT (Medi ambiente)
        * `SIGNUPS_ALLOWED=false`: Si tienes Bitwareden expuesto a internet y no deseas que nadie pueda crear cuenta. (aarece la opción pero NO lo permite, pero si permite invitar personas a organizacioens/colecciones)


Finalizando

3 modos para tener la app en marcha:

A) Conectar por VPN y acceder con http://puertoNAS:Puerto1

B) CONFIGURAR PROXY INVERSO PARA NO TENER QUE ABRIR PUERTO.

  1. Creamos un CNAME, por ejemplo:
    – bitwarden.midominio.com
    – Redirigimos este a xxx.synology.me

    1. Crear Certificado para https.
      1. Panel de control -> Seguridad -> Certificados
    2. Configurar el proxy Inverso

C) ABRIR PUERTO EN ROUTER (No lo recomiendo)

  1. Abrir puerto en router X y redirigir a IPlocal del NAS y el puerto del Docker

Nota Final (Importante) -> Sólo para el caso en que uses https.

Para utilizar la app desde el móbil, es necesario exportar los ficheros del certificado y abrirlos desde el iPhone, así instalamos el perfil.
Al iniciar la app te pedirá datos del servidor, dependiendo del método anterior:

A) http://puertoNAS:puerto1
B) https://midominio.com
C) http://puertoNAS:pueerto1. (Teniendo en cuenta que debes estar conectado por VPN !)
#podcast


Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.
Gracias por adelantado

https://amzn.to/2l4uWDR

#265 – DS Manager Pro

DS Manager Pro – iOS app
‎DS Manager Pro on the App Store

  • Supervisar y manejar tu Synology
  • Info del sistema: modelo, status, firmware, utilización de CPU y ram en tiempo real y demás cosas
  • Activar / desactivar paquetes de tu NAS
  • Ver usuarios actualmente conectados y gráficas de subida / descarga en tiempo real
  • Info sobre discos, volumen, temperatura de cada disco…
  • Ver los logs según prioridad (info, warning, error)
  • En tareas puedes consultarlas y activar/desactivar/ejecutar/borrar/parar
  • En Contenedores de Docker puedes parar/arrancar/forzar reinicio para cada contenedor
  • Más features coming soon…
  • El autor de la aplicación ha creado una cuenta en twitter (no tenía) para dar un poco más a conocer a la aplicación, os animo a que lo nombréis en vuestros tweets.

@DSManagerPro1


Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.
Gracias por adelantado

Batería2x100 https://amzn.to/2l4uWDR

#264 – PiHole y DNSCrypt

Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.
Gracias por adelantado

https://amzn.to/2l4uWDR

Instalar PiHole y DNSCrypt

  • Debian Buster
  • Raspberry pi

Instalación de PiHole

  1. sudo curl -sSL https://install.pi-hole.net | bash
  2. Nota: desde terminal, conectados a la raspberry, para cambiar el password de piHole
    sudo pihole -a -p

Instalación de DNSCRYPT

  1. cd /opt
  2. Descargar DNSCrypt

    sudo wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.0.19/dnscrypt-proxy-linux_arm-2.0.19.tar.gz
  3. Extraer:

    sudo tar -xf dnscrypt-proxy-linux_arm-2.0.19.tar.gz
  4. Renombrar la carpeta extraída

    sudo mv linux-arm dnscrypt-proxy
  5. cd dnscrypt-proxy
  6. Crear Fichero de config basado en el de ejemplo
    sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
  7. Editar el fichero (si no sabes como funciona nano, mírate primero algún tuto sencillo en Google)
    sudo nano dnscrypt-proxy.toml
    Ajustar los parámetros:

server_names = ['dnscrypt.nl-ns0']

require_dnssec = true
listen_addresses = ['127.0.0.1:54','[::1]:54']

  1. Instalar el servicio de dnscrypt-proxy
    sudo ./dnscrypt-proxy -service install
  2. Arrancar el servicio
    sudo ./dnscrypt-proxy -service start

Configurar PI-Hole

  1. En Upstream DNS servers: 127.0.0.1#54 (es decri, la propia rasp en el pueerto 54)
  2. Marcar “ Listen all devices
    Para comprobar que funciona (DnsCrypt):
    DNS leak test



App para IOS que encripta las peticiones DNS.

Dns Cloak -> Gracias a Raúl Piqueras (@raulpise)

Pi hole y DoH (en español)

https://geekland.eu/dns-over-https-doh-pi-hole/

Otras opciones para instalar DoH sobre PiHole: