Archivo de la categoría: NAS

#268- Synology – Seguridad en nuestro NAS

Agradecimiento a:
https://www.atareao.es/podcasts/
Enric y Joan por su persistencia y ganas de ayudar.


Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.

Gracias por adelantado

https://amzn.to/2l4uWDR


Synology y sus recomendaciones,
* Deshabilitar el admin por defecto y crear otro usuario en el grupo de administradores.
* Passwords Fuertes
* 2FA para todas las cuentas.
* Activar Firewall en el panel de control y sólo permitir los puertos de los servicios que realmente uses.
* Ejecutar el consejero de seguridad de vez en cuando para asegurar que todo está bien.
* Bloqueo por intentos de acceso según procedencia de ip.
* Panel d eControl > Seguridad > Cuenta Para bloquear intentOs de acceso erróneo x minutos.

  • Activar el Firewall :

Cortesía de Enric:

  • La primera regla es para que desde la red interna de casa se pueda acceder a todos los servicios del nas
  • La segunda regla solo permito unos puertos en concreto y como ip de origen España solo permito unos puertos en concreto.
  • Todo lo que no cumpla las tres reglas denegado
  • Puertos cambiados
  • Abrir los puertos estrictamente necesarios.
  • Utilizar certificados para conectar vía HTTPS y tener las comunicaciones encriptadas.
  • Instalar el paquete de Antivirus Essential y programar un escaneo según tus preferencias.
  • Usar Hyperbackup para realizar una copia de seguridad externa y encriptada fuera de casa.
  • No FTP !!! En cualquier caso SFTP
  • Preferible no dejar el puerto ssh abierto ni tener habilitado Telnet ni SSH por defecto, yo prefiero habilitarlo cada vez que lo necesito. (Esto se puede realizar desde Panel de control > Terminal y SNMP.
  • Administrador de Almacenamiento:
    • HDD/SSD > Programador de tareas
      • Auto SMART Test – Prueba rápida
      • Auto SMART Test – Prueba Extendida.
  • Activar la protección contra Ataques de Denegación de Servicio (DoS) en Panel de Control > Seguridad >Protección > LAN1, LAN2…
  • Panel de Control > Red > Configuración DSM -> Migrar tráfico HTTP a HTTPS.

Otras medidas de seguridad.

Si dispones de un FingBox puedes incluso hacer algo con IFTTT, de manera que :
* Que IFTTT te notifique si Internet cae
* Un email si detecta una disminución de la velocidad
* Un llamada de teléfono si se detecta un dispositIvo nuevo en la red.


*
https://www.howtogeek.com/435452/how-to-secure-your-synology-nas-from-ransomware/

  1. Cerrar todos los puertos y usar QuiclkConnect
  2. Usar VPN
  3. Securizar la máximo la utienticaciñon de usuarios y usando los bloqueos de acceso temporal en caso de x intentos.

Compartir archivos:

  • Tener en cuenta que siempre es mejor no dar nuestro quickconnect, de manera que tened en cuenta que el linlk de gofile cuando se resuelva mostrará o no el DDNS dependiendo de :

File sharing is a native DSM service that allows a file to be shared with a web address. A shared link takes the form of any of the following three:
http://gofile.me/2dRzN/lt1zrMTz
if the server has QuickConnect enabled
http://nnicole.synology.me:5000/fbsharing/ljjI5jbS if the server has DDNS enabled
http://192.168.17.99:5000/fbsharing/pDWQYwqJ
if the server has neither of the above, its file sharing link begins with the server’s IP address
When QuickConnect is enabled, a file sharing link always takes the form in the gofile.me domain. By way of the Connectivity Test, this link allows the connecting browser to take the best possible path to access the shared files. That is to say, the client browser will be redirected to the shared link’s LAN/WAN address if available, before attempting through the relay tunnel.

https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_security

QuickConnect White Paper
https://global.download.synology.com/download/Document/WhitePaper/Synology_QuickConnect_White_Paper.pdf

#267 – DNSCrypt (parte final)

15/10 Martes: DSManager Pro al 50 % !!

El SAI que tengo

(Enlace Patrocinado)
https://amzn.to/2ICCGFM

(Enlace no patrocinado)
https://www.amazon.es/dp/B0101OPH84/ref=cm_sw_r_cp_api_i_hpHMDbE56SKXE

BlackList interesantes.

  • Cortesía de Joan:
    Complemento al capítulo : 258
    https://www.reddit.com/r/pihole/comments/bppug1/introducing_the/

Y aprovecho para recomendar el podcast de @dekkar donde habla de esta lista :

IP Block List


(Enlace al episodio de Dekkar: https://www.ivoox.com/42909566)

DNS de Cloudfare – DoH, DNSCrypt – Warp+

- Poner DNS 1.1.1.1 -> Query NO encriptada, pero nos fiamos de Cloudfare indicando que cada 24h borra logs

- DoH
-  DNS Crypt -> Encripta las queries

- WARP -> Encripta las queries (fuera de tu red) (DNSCloak también)
y el tráfico no encriptado
- WARP+ -> Ídem que WARP pero usando una red e routers privada para mejor performance.

  • Cortesía de Enric :
    • Si probáis el test con la página de cloudfare aquí:
      https://www.cloudflare.com/ssl/encrypted-sni/
      Verás que te dirá que no pasas el test de Secure DNS, eso es porqué estás con Dns proxy. Pero en esta página nos dice como solucionarlo:

https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/
El resumen es:
Cambiar el server name:
server_names = ['dnscrypt.nl-ns0']

Por este:
server_names = ['cloudflare', 'cloudflare-ipv6']

Para hacerlo:

 cd /opt/dnscrypt-proxy/
sudo nano dnscrypt-proxy.toml


Realizar los cambios que he comentado más arriba del parámetro server_names
Ahora y asólo queda reinicar el servicio:

sudo ./dnscrypt-proxy -service stop

sudo ./dnscrypt-proxy -service start


Y si probáis el test de cloudfare: https://www.cloudflare.com/ssl/encrypted-sni/
Y el test será exitoso !!!

#266 – Bitwarden Again

Recordad: el próximo día 15/10 DS Manager Pro al 50% de descuento para todos !

DS Manager Pro – iOS app

‎DS Manager Pro on the App Store

  • Comand + Shift + L -> PAra rellenear la contraseña de forma automática
  • En opciones -> Autorellenar contraseña
  • Se pueden crear “ORganizaciones” -> Colecciones , e invitar a personas para compartir passwords.
  • Addons para todos los navegadores, aunque lamentablemente para Safari han decidido no seguir manteniendo el plugin.
  • 2FA, campos personalizados, autorellenado de passwords.
  • No permite etiquetas, si carpetas, pero la gestión de las entradas en cada una de ellas sería mejorable.
  • Docker oficial -> Importantr añadir una carpeta de Volumen para poder salvarla y tener vuestros passwords a recaudo.
  • Ajustes -> Opviones -> Activar auto relleno de contraseñas7
  • Vídeo donde puedes ver como funciona:
    Browser Extension Getting Started | Bitwarden

Empecemos:

* Descargar la imagen del Docker Oficial -> https://hub.docker.com/r/bitwardenrs/server/
* Iniciar el contenedor, teniendo en cuenta añadir en Volumen:
    * docker/bitwarden: /data
* En Puertos: No dejar en automñatico y escoger lospuertos libres que desees
        * puerto1:80
        * Puerto2: 3012
* Red: Bridge
* Si NO deseas tener abierta la web para nuevos registros, en ENVIORONTMENT (Medi ambiente)
        * `SIGNUPS_ALLOWED=false`: Si tienes Bitwareden expuesto a internet y no deseas que nadie pueda crear cuenta. (aarece la opción pero NO lo permite, pero si permite invitar personas a organizacioens/colecciones)


Finalizando

3 modos para tener la app en marcha:

A) Conectar por VPN y acceder con http://puertoNAS:Puerto1

B) CONFIGURAR PROXY INVERSO PARA NO TENER QUE ABRIR PUERTO.

  1. Creamos un CNAME, por ejemplo:
    – bitwarden.midominio.com
    – Redirigimos este a xxx.synology.me

    1. Crear Certificado para https.
      1. Panel de control -> Seguridad -> Certificados
    2. Configurar el proxy Inverso

C) ABRIR PUERTO EN ROUTER (No lo recomiendo)

  1. Abrir puerto en router X y redirigir a IPlocal del NAS y el puerto del Docker

Nota Final (Importante) -> Sólo para el caso en que uses https.

Para utilizar la app desde el móbil, es necesario exportar los ficheros del certificado y abrirlos desde el iPhone, así instalamos el perfil.
Al iniciar la app te pedirá datos del servidor, dependiendo del método anterior:

A) http://puertoNAS:puerto1
B) https://midominio.com
C) http://puertoNAS:pueerto1. (Teniendo en cuenta que debes estar conectado por VPN !)
#podcast


Te dejo mi enlace de afiliado por si haces una compra en Amazon y quieres ayudarme a financiar este podcast.
Gracias por adelantado

https://amzn.to/2l4uWDR

#259 – Hablemos de Contraseñas, “and more, much more”

  • Reservando Ips con macaddress -> útil para algunos gadgets de IoT.
  • Usar los sensores de ventana para.notificarnos cuando nos vamos de casa unos días.
  • HUE labs -> simulación de presencia
  • Bear ya permite abrir varios documentos a la vez en IOS, y la edición de fotos/PDF
  • Home+4: Gran update
  • Plex actualiza su PLEX server para dar compatibilidad a las gráficas de NVidia Linux.
  • Tweets/ redes sociales: Cuidado con faltar/insultar ya no solo a personas sino a empresas. Ej. Despido de un usuario que había faltado al honor a su emopresa. Esta lo denunció y ha sido despedido de forma procedente, ya que según el juez perjudicaba a la comnpañía.
    Link

Bitwarden

Bitwarden.

Empecemos:

 

* Descargar la imagen del Docker Oficial -> https://hub.docker.com/r/bitwardenrs/server/


* Iniciar el contenedor, teniendo en cuenta añadir en Volumen:
 * docker/bitwarden: /data


* En Puertos: No dejar en automático y escoger los puertos libres que desees


* puerto1:80


* Puerto2: 3012


* Red: Bridge


* Si NO deseas tener abierta la web para nuevos registros, en ENVIORONTMENT 


-  `SIGNUPS_ALLOWED=false`: Si tienes Bitwareden expuesto a internet y no deseas que nadie pueda crear cuenta.


Finalizando

3 modos para tener la app en marcha:

A) Conectar por VPN y acceder con http://puertoNAS:Puerto1

B) CONFIGURAR PROXY INVERSO PARA NO TENER QUE ABRIR PUERTO.
1. Creamos un CNAME, por ejemplo:
– bitwarden.midominio.com
– Redirigimos este a xxx.synology.me
2. Crear Certificado para https.
1. Panel de control -> Seguridad -> Certificados
3. Configurar el proxy Inverso

C) ABRIR PUERTO EN ROUTER (No lo recomiendo)
1. Abrir puerto en router X y redirigir a IPlocal del NAS y el puerto del Docker

Nota Final (Importante)

Para utilizar la app desde el móbil, es necesario exportar los ficheros del certificado y abrirlos desde el iPhone, así instalamos el perfil.
Al iniciar la app te pedirá datos del servidor, dependiendo del método anterior:

A) http://puertoNAS:puerto1
B) https://midominio.com
C) http://puertoNAS:pueerto1. (Teniendo en cuenta que debes estar conectado por VPN !)

Mi enlace de Amazon Afiliados. Si vas a comprar algo y quieres ayudar a este podcast, ya losa sabes.

Amazon.es

#245 – Sólo para los más valientes…

Actualización HUE App

  • HUE: escenas, ahora al crear una nueva escena ya tienes disponibles las zonas.

    Shortcuts IOS 13

  • Conversational Siri : Permitirá no solo lanzar un shortcut como hasta ahora con una frase, sino poder pasar parámetros.

  • Triggers: Lanzar shortcuts de forma autónoma al salir de un lugar, al abrir una app, a una hora determianda…etc…

  • Alexa anillo de color amarillo – Indica notificación pendiente – En mi caso, pedido pendiente de raprto para hoy.

    Google Drive Ilimitado

Las cuentas de Google ilimitadas es algo que por algunos canales de Telegram corre desde hace tiempo.
Este tipo de cuentas "moralmente reprobables" las he podido probar desde 2017.
Ya en junio de 2018 en el podcast 197 se dejaba entrever que existían este tipo de cuentas y cómo montar tu servidor de Plex apuntando a estas nubes. Os recomiendo ese podcast, Alberto lo explicó muy muy bien.

Otra aplicación de estas cuentas es la siguiente: si tienes 2 o más cuentas en las nubes, o simplemente has contratado una y quieres volcar esos datos (que aconsejo tener encriptados ya sea usando cloudmounter/hyperbackup o cualquier otra app) te puede ser interesante lo siguiente:

Rclone y las máquinas virtuales de Google a tu servicio para :

* Migrar información sin usar tu CPU ni ancho de banda
* Conseguir velocidades de copia de 70-100 MB/s, si, has leído bien MegaBytes.

Objetivo:

* Migrar información entre cuentas en la nube (o no)
* Si la migración/sincronización es entre nubes -> Velocidades de transmisión muy altas.

En la parte inferior puedes ver capturas de la diferencia de velocidades entre hacerlo desde mi mac, o hacerlo entre nubes usando la VM.

Cosas a tener en cuenta:

  1. Las VM tienen un coste, que depende de la CPU y la RAM que configures(a mejor equipo, más caro el tiempo de CPU)
  2. Google te regala 300$ en cada cuenta de Gmail para disfrutar de esto, cantidad de sobras para que puedas mover toda esa información sin poner un sólo céntimo.
  3. Para poder disfrutar de esto debes introducir datos bancarios. Personalmente no me han contado nunca un €.

Posibles aplicaciones para usar esta configuración:

  1. Migrar datos entre nubes (Amazon, Google Drive, box,…)
  2. Sincronizar nubes(tener dos cuentas y mantenerlas sincronizadas)

Cómo se hace

Voy a explicar paso a paso cómo configurar todo esto :

  1. Cuenta de Gmail (se supone que ya está creada)
  2. Ir a https://console.cloud.google.com/?pli=1
  3. Cosas que deberás hacer:

    • Aceptar las condiciones

    • Activar los 300 USD

    • Introducir datos de facturación

    • Crear un nuevo proyecto

    • Habilitar la API Computer Engine para ese proyecto

    • Crear una VM

    • Escoger CPU,RAM, etc..

    • Arrancar la VM

    • Instalar Rclone
      (ver más abajo cómo hacerlo: apéndice 1)

    • Configurar Rclone

      • . cd rclone
      • Añadir las nubes que desees (ejemplo Gdrive)
      • Nubes soportadas :
        1. Amazon Drive
        2. Amazon S3
        3. Backblaze
        4. Box
        5. Dropbox
        6. FTP
        7. Google cloud Storage
        8. Google Drive
        9. Hubic
        10. Jotta cloud
        11. Koofr
        12. LocalDisk
        13. Mega
        14. Microsoft Azure Blob Storage
        15. One Drive
        16. OpenDrive
        17. Openstack Swift
        18. pccloud
        19. QingClou Object Storage
        20. SHORTCUT/SFTP connection
        21. Webdav
        22. Yandex
        23. http connection
      1. ./rclone config
      2. Introducir un Nombre
      3. Tipo de nube (12 Google Drive)
      4. Client_id (Enblanco)
      5. Client_Secret: En blanco
      6. scope: 1
      7. root_folder_id En blanco
      8. service_account_file: en blanco
      9. Edit Advanced Config: n
      10. use auto config: n
      11. Copiar la URL y abrirla en un navegdaor, logarse y copiar el token
      12. Pegarlo en la temrinal, y ya está.
    • Ejecutar la línea de comandos deseada y esperar….

En el ejemplo, se copia omitiendo los qye ya existen de una nube a otra, máximo 8 transferencias a la vez, con estadísticas cada 60segundos y limitando la transferencia a 700G

./rclone copy nueb1:/path/ nube2:path2 --ignore-existing --disable copy --transfers=8 --stats 60s -v --max-transfer 700G

Otras opciones: sync. mount…
https://rclone.org/commands/rclone_sync/

En las máquinas de Linux, recuerda que para ejecutar un fichero debes poner “/.” delante, que indica que el fichero a ejecutar está en el directorio actual.


Apéndice

Instalar rclone en la VM:

-actualizar el sistema:

      sudo apt-get update
      sudo apt-get upgrade

sudo dpkg-reconfigure tzdata (Europe, Madrid)

sudo apt-get install unzip

  • Ahora descargar rclone y descomprimir:
    Para conocer la URL, lo más fácil es ir:

Descargar y descomprimir Rclone:

wget https://downloads.rclone.org/v1.47.0/rclone-v1.47.0-linux-amd64.zip
unzip rclone-v1.47.0-linux-amd64.zip

  • Configurar Rclone

mv rclone-v1.36-linux-amd64/ rclone/ (moverlo a una carpeta más fácil de recordar)
cd rclone
./rclone config

Hasta aquí este tutorial basado en un PDF que alguien realizó algún día.


@bateria2x100
https://www.bateria2x100.com
bateria2x100@gmail.com