Buenas @SPagola ,
Todas las NAS tienen IPTables si te conectas por SSH a la NAS podras generar una regla de acceso a los puertos del SMB para solo permitir los accesos desde tus IP.
Si es una NAS Synology o QNAP esto se puede realizar desde el panel web.
El doble factor NO aplica a los protocolos, solamente a la GUI.
Un saludo,
Si he filtrado para que sólo admita mi IP como conexión y rechace las demás pero me da miedo que por fuerza fruta acaben entrando.. no se si poner alguna contramedida más.
Gracias
Hola,
El tema de exponer puertos / accesos SMB así, aunque tengas control de IPs y tal, no me gusta demasiado.
Tienes otras opciones de conectividad, si no dispones de Cortafuegos donde se encuentra el Synology, puedes habilitarle con VPN, o bien que él sea el server, o que se conecte al sitio central por VPN,
o mirar un servicio de VPN tipo TailScale.
Siempre es bueno tener una copia fuera de las instalaciones.
Por último, no se cuantos TBs de informacion estás guardando, ni retención, ni nada, pero sino un servicio de almacenamiento externo Cloud, o Veeam Cloud Connect, podría ser otra alternativa, eliminando el coste y la gestión del Synology, y el uso de esa segunda conexion a internet.
https://tailscale.com/kb/1131/synology/
https://www.synology.com/en-global/dsm/packages/Tailscale
saludos.
Si he filtrado para que sólo admita mi IP como conexión y rechace las demás pero me da miedo que por fuerza fruta acaben entrando.. no se si poner alguna contramedida más.
Gracias
La fuerza bruta dependerá de tu contraseña, del nivel de actualizaciones que tengas en tu NAS y si tienes activado el bloqueo tras varios intentos. Como dicen @HunterLAFR , puedes habilitarle la VPN pero creo que vas a tener bastantes limitaciones en cuanto al performance al enviar/recibir el trafico.
Pero si pongo una vpn la NAS, el pc-veam se podrá conectar sin más?¿ o tendré que dejar activa la vpn de el pc donde lanzo el veam?¿
gracias
En el caso de VPN desde tu red donde está el Servidor Veeam y el sitio donde está el Synology, puedes hacer que el propio Synology sea cliente de la VPN, por tanto, no es un Site to Site, sino un Cliente.
En el caso de Tailscale, tienes que instalar el agente en el servidor Veeam y el el NAS, y se crea una red virtual VPN entre ambos, permitiendo la comunicación entre el NAS y el Veeam Server.
Debes tener en cuenta, como bien dijo @edh que el rendimiento en cuanto a velocidad de transferencia bajará por ser VPN, y no conexion directa, pero estará algo más securizado.
te dejo un par de entradas donde hice unas pruebas con Tailscale para que eches un ojo
saludos
Genial.. muchas gracias por vuestra ayuda..