Guía de Seguridad del NAS de QNAP

Esta guía ofrece información detallada sobre la configuración de seguridad y los mecanismos de protección del NAS de QNAP, ayudándole a reforzar las defensas de la red y a proteger sus datos.

Descargar guía de seguridad

Configuración y arquitectura de red segura

1. Conectar el NAS correctamente

No se debe conectar nunca el puerto de red del NAS directamente a Internet. Asegúrese primero de que su NAS está conectado al router y luego conéctelo al módem suministrado por su Proveedor de servicios de Internet (ISP). Con la configuración correcta, el router puede bloquear el tráfico malicioso de Internet y reducir el riesgo de ciberataques.

Conexión correcta: conectar el NAS primero al router

Conexión incorrecta: conectar el NAS directamente al módem

2. Configurar el router correctamente

Inicie sesión en el router o pregunte a su ISP para que le ayude a comprobar y deshabilitar las siguientes opciones de configuración:

Deshabilitar UPnP
Deshabilitar DMZ

(Zona desmilitarizada)
Deshabilitar el reenvío de puertos

¿Cómo proteger el acceso remoto a su NAS con el Reenvío de puertos deshabilitado? QNAP ofrece QVPN y myQNAPcloud Link para permitir un acceso remoto seguro a su NAS.

Más información:
No conecte el NAS directamente a Internet sin ninguna protección >
¿Cómo configuro myQNAPcloud para acceder de forma remota a un NAS de QNAP? >
¿Cómo configuro un servidor VPN en un NAS de QNAP detrás del router? >

¿Cómo comprobar si está expuesto a Internet?
Recomendamos instalar y utilizar Security Center o herramientas de consulta de dirección IP para comprobar si sus dispositivos están expuestos a Internet.

4 métodos para proteger el acceso remoto al NAS

Método de conexión	Ventajas	Desventajas	Usuarios adecuados
Habilitar y configurar el DMZ/Reenvío de puertos de UPnP del router	Conexión más rápida	Vulnerable a ciberataques Sin defensa frente a ataques de vulnerabilidad de día cero	Conozca bien los riesgos asociados Familiarícese con la configuración de red Tenga creadas varias copias de seguridad de los datos importantes Tenga un plan de recuperación de desastres
Habilitar el servidor VPN en el router	Relativamente sencillo de configurar	Sin notificación de fallos de inicio de sesión, bloqueo automático y función de firewall Menos protocolos VPN compatibles Rendimiento limitado por el hardware del router	No familiarizado con la configuración de red Sin preocuparse por la velocidad de transmisión
Habilitar la función de servidor VPN en el NAS de QNAP	Admite múltiples protocolos VPN Compatible con el firewall del NAS (QuFirewall) Admite la notificación de fallos de inicio de sesión y el bloqueo automático	La configuración es ligeramente más complicada	Familiarizado con la configuración de red Necesidad de acceso frecuente a muchos archivos de Internet
Utilizar la conexión segura de myQNAPcloud Link	La más sencilla de configurar Admite el control de acceso El NAS no tiene que estar expuesto a Internet	Conexión más lenta	No familiarizado con la conexión de red Acceso poco frecuente al NAS desde Internet Entorno de red en el que no se puede obtener la dirección IP de WAN
Usar SD-WAN o productos VPN de sitio a sitio	Una vez completada la configuración, los usuarios de la intranet pueden usarla sin notar ninguna diferencia También admite la VPN de cliente a sitio	Se necesita equipamiento adicional	Requiere un acceso multipunto y copia de seguridad remota Necesita aplicaciones de valor añadido

3. Habilitar actualizaciones automáticas

QNAP lanza actualizaciones de seguridad frecuentes para el firmware y el software. Al habilitar las actualizaciones automáticas, se asegura de que tendrá las últimas funciones, correcciones de errores y vulnerabilidades.

De dentro afuera: seguridad multicapa

QNAP ofrece completos planes recuperación de desastres y protección de la conexión del NAS, en combinación con evaluaciones de la seguridad del sistema y análisis de amenazas de la red, para crear un sistema de administración de ciberseguridad por capas.

Lea el blog: Creación de un sistema de defensa de ciberseguridad multicapa para empresas

Reforzar la seguridad de la cuenta del sistema

1. Deshabilitar la cuenta de administrador predeterminada "admin"

Los hackers que utilizan el descifrado de contraseñas mediante fuerza bruta suelen dirigirse a la cuenta “admin” (la cuenta de administrador predeterminada). Se recomienda encarecidamente desactivar la cuenta “admin” y crear una nueva cuenta de administrador.

Más información: Cómo deshabilitar la cuenta de usuario admin:

En los modelos con QTS 5.0.1 / QuTS hero h5.0.1 (o una versión posterior) integrado, la cuenta "admin" está desactivada por defecto.

2. Habilitar la protección de acceso (IP / cuenta)

"La protección de acceso de IP" y la "Protección de acceso a cuenta" pueden ayudar a evitar el descifrado de contraseñas mediante fuerza bruta. Cuando una cuenta o una IP concreta intenta iniciar sesión de forma fallida demasiadas veces, se activará el bloqueo de IP o la desactivación de la cuenta, lo que evita que los atacantes puedan probar contraseñas repetidamente.

3. Habilitar la autenticación multifactor

Se recomienda encarecidamente habilitar métodos de inicio de sesión seguros, como el inicio de sesión sin contraseña y la verificación en dos pasos, para añadir una capa adicional de seguridad de los datos.

Más información: Inicio de sesión seguro y autenticación multifactor

4. Deshabilitar Telnet / SSH

Salvo que se estén utilizando, se recomienda encarecidamente deshabilitar las funciones Telnet y SSH. Estas dos funciones suelen ser utilizadas por el servicio de atención al cliente de QNAP o por personal de TI profesional para mantener el sistema. Los usuarios generales no deberían necesitarlas, por lo que se recomienda deshabilitarlas.

Habilitar las instantáneas programadas

Las instantáneas pueden proteger sus datos importantes creando puntos de restauración de múltiples versiones. En caso de que se produzca un ataque de ransomware, los datos se pueden recuperar a partir de una instantánea. Se recomienda encarecidamente habilitar las instantáneas programadas y establecer una política de borrado de instantáneas para garantizar que una seguridad de los datos y una utilización del almacenamiento adecuadas.

Más información: ¿Qué son las instantáneas?, Snapshot Replica: haga una copia de seguridad de sus instantáneas, SnapSync en tiempo real (*Solo disponible en QuTS hero)

Abra "Almacenamiento e instantáneas", haga clic en "Volumen" y abra "Administrador de instantáneas" en el menú.

Haga clic en "Programar instantánea". Recomendamos programar su instantánea "Diariamente" o "Semanalmente"..

Puede establecer una política de retención de instantáneas para limitar el número de instantáneas y evitar que estas ocupen demasiado espacio. Se recomienda configurar la "Creación de versiones inteligente".

Asegúrese de que el "Espacio de almacenamiento" sea una estructura de "Conjunto de almacenamiento" y que el "Conjunto de almacenamiento" tenga suficiente espacio libre para tomar instantáneas. QNAP recomienda a los usuarios activar la gestión inteligente del espacio para instantáneas y usar volúmenes Thin para instantáneas con el fin de garantizar que haya espacio suficiente para que el NAS funcione correctamente.

Security Center: su portal de seguridad para NAS de QNAP

Security Center analiza y monitoriza de forma proactiva el estado del NAS, cualquier actividad inusual en los archivos y posibles amenazas de seguridad, y ofrece medidas de protección al instante para proteger su sistema y sus datos. Además, integra software antivirus y antimalware para garantizar la total protección de su NAS QNAP.

Abra el “Security Center”, seleccione el nivel de política de seguridad que se ajuste a sus necesidades y haga clic en “Escanear ahora”.

Si los resultados de del escaneo revelan algún riesgo de seguridad, puede hacer clic en el "Asistente de configuración sugerida" para ayudarlo a ajustar la configuración.

Se recomienda configurar la "Programar escaneo" al menos una vez al mes, para que el sistema pueda comprobar regularmente la configuración y el estado del mismo. Si se detecta un riesgo y el Centro de notificaciones está configurado correctamente, recibirá una alerta para que pueda abordarlo lo antes posible.

La función de "Monitorización de actividad inusual en los archivos" le permite controlar fácilmente la cantidad media de archivos modificados o inusuales en el NAS durante un periodo concreto.

QuFirewall: Firewall integrado para dispositivos QNAP

Para evitar que su NAS sea atacado, QuFirewall bloquea aquellos paquetes que sospecha que han sido enviados mediante Tor (una conexión de comunicación anónima). También detecta supuestas técnicas de onion routing y bots maliciosos, y actualiza de forma dinámica la lista de bloqueos de paquetes maliciosos para garantizar la seguridad de sus dispositivos QNAP.

Si su red no tiene necesidades espaciales, se recomienda seleccionar "Protección básica" y luego hacer clic en "Siguiente" para continuar.

Ajuste una región en función de su ubicación. Puede añadir más regiones más adelante.

Vaya a la página Perfiles de QuFirewall y verá que está habilitada la "Protección básica". Haga clic en "Protección básica" para ampliar y ver las reglas de firewall correspondientes. Se verifica la información de los paquetes entrantes según las reglas y se les permite entrar o se bloquean conforme a las reglas del firewall.

Malware Remover

Malware Remover analiza regularmente su NAS utilizando las últimas definiciones de malware. Si se detectan archivos infectados, se eliminarán de forma inmediata para garantizar la seguridad de los datos del NAS. Se reciben actualizaciones regulares de las definiciones de malware basadas en la nube para reforzar la seguridad de sus datos.

Abra "Malware Remover". Se mostrará el estado del último análisis. Haga clic en “Configuración” en la parte izquierda.

Se recomienda configurar la "Programación de análisis" al menos una vez al día, de forma que "Malware Remover" pueda comprobar regularmente el estado del sistema. Asegúrese además de que la opción "Actualizar el Malware Remover automáticamente a la última versión" permanece activada.

Configurar las notificaciones de sistema

El Centro de notificaciones centraliza todas las notificaciones del sistema y puede enviar notificaciones a dispositivos en función de la configuración para mantenerle al día del estado de su NAS.

Abra el "Centro de notificaciones", haga clic en "Cuenta de servicio y sincronización de dispositivos" en el menú de la izquierda, seleccione "Correo electrónico" y luego haga clic en "Añadir servicio SMTP".

Seleccione una cuenta de correo electrónico, haga clic en "Añadir cuenta" y siga las instrucciones para completar el proceso de verificación.

En el menú de la izquierda del "Centro de notificaciones", haga clic en "Reglas de notificación del sistema", seleccione "Notificaciones de alertas" y haga clic en "Crear regla".

Modifique el "Nombre de la regla" según sus necesidades, compruebe los dos niveles de gravedad de "Advertencia" y "Error", y haga clic en "Siguiente" para finalizar.

Suscríbase a QNAP eNews para recibir las últimas noticias sobre seguridad del producto

Suscríbase ahora Un análisis en profundidad de los avisos de seguridad Programa de recompensas por seguridad

Preguntas frecuentes

¿Es más seguro desconectar el NAS de Internet?

No. La "desconexión" del NAS suele referirse a desconectar el NAS de la red para que no pueda iniciar conexiones con el mundo exterior. Aunque cierto malware requiere de una conexión externa para ejecutarse, sigue habiendo malware que puede ejecutar acciones maliciosas sin una conexión externa. Por tanto, no solo no conseguirá evitar que hackers realicen acciones ilegales, sino que también evitará que algunas funciones del sistema funcionen correctamente, como las notificaciones y las actualizaciones automáticas de software. El enfoque correcto consiste en limitar el tráfico del NAS (por ejemplo, evitando la exposición a Internet) para mejorar la seguridad.

Si mi disco duro está configurado con RAID, ¿significa que no necesito copia de seguridad?

No. El RAID no es un método de copia de seguridad. Los niveles de RAID superiores a 0 no están dirigidos a ofrecer redundancia frente al fallo de un disco. El RAID no ofrece protección frente al cifrado o al borrado de datos. Por tanto, se recomienda hacer copia de seguridad de los datos según el principio de copia de seguridad 3-2-1.

Si ya he configurado "instantáneas", ¿significa que no necesito copia de seguridad?

No, porque las "instantáneas" se almacenan en el mismo conjunto de discos duros que sus datos y los datos se perderán si se produce un fallo de RAID. Además, si los hackers obtienen los privilegios suficientes (como descifrar correctamente la cuenta de administrador), también pueden borrar la "instantánea". Por tanto, se recomienda hacer copia de seguridad de los archivos de instantánea según el principio de copia de seguridad 3-2-1.

Si mi NAS no está expuesto a Internet, ¿significa que no puede ser atacado?

No. Aunque la mayoría de ciberataques proceden de Internet, el NAS también corre riesgo de ser atacado en la intranet. Por ejemplo, si otro ordenador o dispositivo de la intranet es hackeado o infectado por malware, se puede utilizar para atacar y extenderse a otros dispositivos de la intranet. Para hacer frente a las amenazas relacionadas, se puede instalar un software antivirus e implementar productos de seguridad de la red en el ordenador. Por ejemplo, el NDR ADRA de QNAP puede detectar actividades sospechosas en la intranet y aislarlas automáticamente. Al mismo tiempo, se recomienda también hacer copia de seguridad de los datos según el principio de copia de seguridad 3-2-1.

Llevo mucho tiempo utilizando mi NAS. ¿Cómo puedo comprobar si hay malware instalado?

Si detecta que la carga del procesador es anormalmente alta, experimenta fallos en la actualización del software o hay aplicaciones desconocidas en el App Center, es posible que se haya instalado un programa malicioso. Se recomienda instalar y usar la última versión del Malware Remover. Si sigue sin poder resolver el problema, póngase en contacto con el equipo de asistencia técnica de QNAP para obtener ayuda.

Si necesito abrir algunos servicios a Internet, ¿qué debería hacer para garantizar la seguridad?

Asegúrese de que el NAS instalado tiene la última versión del firmware y de las aplicaciones. Puede habilitar QuFirewall para ofrecer una protección de firewall básica y las reglas "PSIRT" y "TOR" pueden ayudarle a bloquear las conexiones de algunos hackers. Si es usuario profesional o empresarial, le recomendamos usar una solución de firewall de nivel superior. Además, si el espacio del conjunto de almacenamiento lo permite, puede crear "instantáneas" para la protección básica de los datos. También se recomienda hacer una copia de seguridad adecuada de los datos según el principio de copia de seguridad 3-2-1 para prepararse para el peor escenario y evitar una posible pérdida de datos.

Mi NAS es antiguo y no admite la última versión de QTS. ¿Puedo seguir usándolo de forma segura?

Los modelos heredados y con fin de ciclo de vida (EOL) tienen una compatibilidad limitada y solo deberían utilizarse para la copia de seguridad sin conexión/intranet.

¿Por qué sigo recibiendo una advertencia de fallo de inicio de sesión en el NAS?

Si la dirección IP del inicio de sesión fallido procede de Internet, significa que su NAS está siendo objeto de un ataque de descifrado de contraseña mediante fuerza bruta. Debería evitar exponer el NAS a Internet y seguir este tutorial para reforzar la seguridad de su NAS. Si la dirección IP del inicio de sesión fallido procede de la intranet, compruebe si el dispositivo con la dirección IP tiene malware instalado.

¿Por qué todos mis archivos tienen nombres de archivo extraños?

Este es un síntoma de una infección de ransomware. Compruebe los registros de acceso al NAS para determinar si la acción de cifrado procede de otro ordenador o del propio NAS. Si su NAS se ha visto afectado por ransomware, debería tomar las medidas adecuadas para detener la expansión de la infección. Si es necesario, póngase en contacto con el equipo de asistencia técnica de QNAP para obtener ayuda.

¿Qué debería hacer si mi NAS está infectado con ransomware?

La mayoría del ransomware utiliza unos métodos de cifrado inquebrantables. Si no hay una clave correcta, los archivos no se pueden desbloquear, por lo que los archivos solo se pueden restaurar mediante una copia de seguridad o instantánea.
Modifique inmediatamente la configuración del router de la forma indicada en este tutorial para no exponer el NAS a Internet y evitar ataques secundarios. En segundo lugar, debería suspender de forma inmediata todas las tareas de sincronización y establecer que las instantáneas se conserven de forma permanente para evitar perder archivos de copia de seguridad. Si sus datos tienen copias de seguridad o instantáneas que puede restaurar, puede restaurar los archivos tras actualizar el firmware del NAS y las aplicaciones y tras completar el análisis del Malware Remover. Si no se ha hecho copia de seguridad de los datos, haga copia de seguridad de la nota de rescate que ha dejado el ransomware y el método de pago del rescate, y luego intente usar métodos como la recuperación de datos para recuperar ciertos datos. Si es necesario, póngase en contacto con el equipo de asistencia técnica de QNAP para obtener ayuda.

No dejo de leer noticias que afirman que QNAP está corrigiendo vulnerabilidades de sus productos. ¿Significa esto que los productos de QNAP no son seguros?

No existe ningún software ni ningún hardware perfecto en el mundo. Independientemente de si se trata de software propio desarrollado por varios fabricantes como si se trata de software de código abierto, o incluso hardware, siempre se detectan vulnerabilidades que luego son corregidas por los fabricantes. Al igual que otras importantes empresas tecnológicas, QNAP sigue corrigiendo las vulnerabilidades conocidas y luego lanza archivos de actualización para que los usuarios actualicen lo antes posible sus productos con el fin de garantizar la seguridad de sus datos y sus dispositivos. El QNAP PSIRT también emite notificaciones sobre ciberseguridad para su publicación externa, de forma que los usuarios puedan solucionar los problemas que surjan.
QNAP cree que la gestión de las vulnerabilidades de manera abierta y transparente protege el derecho a saber de los usuarios y les ayuda a proteger la seguridad de sus productos. También se invita a los usuarios a suscribirse a los Avisos de seguridad de QNAP para obtener información relevante, precisa y completa antes de ver las noticias.

¿Qué es el principio de copia de seguridad 3-2-1?

El principio de copia de seguridad 3-2-1 es un principio de copia de seguridad muy conocido en la industria informática. Permite prepararse para el peor escenario. Garantiza que, en caso de desastre, existen archivos de copia de seguridad para restaurar los datos, evitar pérdidas y garantizar la seguridad.
El número "3" de la expresión "Copia de seguridad 3-2-1" significa que debe haber al menos tres copias de seguridad; el número "2" indica que debe haber al menos dos soportes de almacenamiento; y el número "1" indica que debe haber al menos una copia fuera de las instalaciones. Según el principio de copia de seguridad 3-2-1, habrá archivos de copia de seguridad que se puedan restaurar independientemente de cualquier modificación accidental, borrado, daño de hardware, infección de virus y desastres como incendios e inundaciones.
Para cumplir este principio, el NAS de QNAP incluye Hybrid Backup Sync 3 (HBS3), Snapshot Replica y SnapSync (compatibles solo con QuTS hero) para hacer copia de seguridad de los datos del NAS en un NAS fuera de las instalaciones, en una nube pública, en un almacenamiento externo, en otros servidores de archivos y/o en otros dispositivos con el fin de garantizar que no se pierda nada.

Almacenamiento

Redes

Accesorios de expansión

Videovigilancia

NAS