Os voy a explicar cómo reduje el número de ataques directos a mi Synology NAS configurando correctamente el cortafuegos GeoIP en el potente sistema operativo DSM 7. Bloqueé todas las regiones geográficas, excepto la mía, la IP estática de mi proveedor de internet y mi máscara de subred. La mayoría de los intentos de fuerza bruta provenían de fuera de mi país, España. Con esta configuración detallada, no solo reducirás el número de notificaciones recibidas por ataques al puerto 22, y los intentos de inicio de sesión SSH, sino que también las reducirás a casi cero. Os enseño cómo configurar correctamente el cortafuegos en DSM 7 de vuestro NAS Synology.
Debes seguir el siguiente esquema exactamente como está: permitir, permitir, permitir, denegar. ¡Y debes respetar el orden de inserción! Te muestro cómo configurar el cortafuegos en tu Synology NAS con reglas de denegación GeoIP, ya que en mi caso no he tenido intentos de inicio de sesión no autorizados en mi Centro de Registros desde ninguno de los países que he denegado.
Activar el cortafuegos.
El primer paso es activar el cortafuegos de nuestro Synology NAS, que por defecto viene desactivado. Para ello ves al panel de Control, apartado Seguridad, y en la pestaña Cortafuegos, activa la casilla Activar Cortafuegos y habilitar las notificaciones, para que te lleguen avisos por email.
Ahora pulsa el botón Editar regla. Sigue los pasos que te detallo para configurar el Cortafuegos.
Configurar el Firewall.
- Asigna un nombre al cortafuegos. Por defecto, el le asigna default, pero es mejor asignarle un nombre.
Regla 1 (obligatoria).
La primera regla tiene que ver con el permiso hacia la red interna de nuestro hogar.
- Pulsa el botón Crear.
- En la ventana que se abre selecciona:
- Todo, en el apartado Puertos
- Una IP específica en el apartado IP origen. Haz clic en Seleccionar. Se abre otra ventana. Marca la opción Subred y escribe la IP de tu puerta de enlace. Como muestro en la imagen.
- Por último, selecciona Permitir en el apartado Acción
Configurando esta regla permitimos el tráfico interno en nuestra red local.
Regla 2 (opcional).
Ahora vamos a crear la segunda regla, que tiene que ver con nuestro proveedor de servicios de Internet. Digo que es opcional porque tiene que ver con que tengas una IP estática en tu hogar, cosa que la mayoría de hogares no tienen. Esto, por lo tanto, estará altamente recomendado para pequeñas empresas que tengan este servicio contratado.
- Pulsa el botón Crear regla.
- En el apartado puertos, selecciona Todo.
- En el apartado IP de origen, selecciona IP específica y pulsa Seleccionar.
- Marca la casilla Un solo host
- Añade tu IP estática y pulsa OK.
- En el apartado Acción selecciona Permitir
- Y activa la regla
Regla 3 (obligatoria).
Esta regla es la que tiene que ver con permitir el tráfico sólo desde tu país. En mi caso España.
- Pulsa el botón Crear regla.
- En el apartado puertos, selecciona Todo.
- En el apartado IP de origen, selecciona Ubicación y pulsa Seleccionar.
- En el campo búsqueda escribe tu país, selecciónalo y
- Pulsa Ok.
Regla 4 (obligatoria).
Esta regla servirá para denegar el acceso a todos los demás países.
- Pulsa el botón Crear regla.
- En el apartado puertos, selecciona Todo.
- En el apartado IP de origen, selecciona Todo.
- En el apartado Acción selecciona Denegar, y marca Habilitado.
Regla 5 (obligatoria si usas Docker).
- Pulsa el botón Crear regla.
- En el apartado puertos, selecciona Todo.
- En el apartado IP de origen, selecciona una IP específica. Pulsa Seleccionar.
- En la nueva ventana que se abre marca Subred.
- En la sección dirección IP añade: 172.16.0.0
- En la máscara de subred añade: 255.240.0.0
- Clic en Ok.
- En el apartado Acción, selecciona Permitir.
Probar el cortafuegos.
Prueba el acceso a tu Synology NAS desde tu red interna y desde redes externas a tu país, como tu oficina, escuela o una zona Wi-Fi gratuita. También puedes comprobar (validar) si el cortafuegos funciona correctamente y bloquea los países o ubicaciones denegados mediante un navegador Tor o un servicio VPN para enviar tráfico desde otro país. También puedes contactar con un amigo de otra parte del mundo proporcionándole la dirección DDNS de Synology . Si no puede conectarse, significa que el cortafuegos funciona perfectamente.
Estas pruebas te ayudarán a comprobar si las reglas de tu cortafuegos funcionan correctamente. La configuración del cortafuegos no funcionará con QuickConnect porque se omitirá . Siempre debes usar DDNS y no QuickConnect . Recuerda desactivar QuickConnect una vez configurado el DDNS en tu Synology NAS.
Consideraciones finales.
- Las reglas del cortafuegos se ejecutan de arriba a abajo. Esto significa que todas las reglas de » Permitir » deben estar en la parte superior de la lista, con una regla de » Denegar » en la parte inferior. Cuando el tráfico entra al NAS, pasará por la lista y, si no está permitido explícitamente, la regla de » Denegar » bloqueará el tráfico.
- Si no permites tu propio país en la REGLA 3, recibirás este mensaje: Su computadora ha sido bloqueada por la nueva configuración del firewall. La configuración del cortafuegos se ha restablecido al estado anterior. Asegúrese de que ninguna regla esté bloqueando su ordenador e inténtelo de nuevo.
- A medida que agregues nuevos paquetes a su NAS, deberás crear nuevas reglas de » Permitir «. Tu NAS generalmente te informará que necesitas crear una nueva regla al terminar de instalar o configurar un nuevo paquete.
