La nube privada cada vez está tomando más relevancia en el ámbito doméstico, y es que la nube pública ocasiona muchos costes mensuales para poder realizar nuestras copias de seguridad. Este tipo de nube se caracteriza por almacenar todos los datos localmente en nuestro hogar, principalmente en un servidor NAS con un software en concreto para el acceso a todos los archivos y carpetas, sincronización de los datos entre diferentes PC y la posibilidad de acceso local y remoto a través de Internet. Sin embargo, confiar en este tipo de nubes conllevan diferentes riesgos que debes tener en cuenta.
Los usuarios se han dado cuenta que recurrir a la nube pública, hace que tengamos un desembolso de dinero mensualmente o anualmente bastante importante, y es que, a largo plazo merece más la pena comprarse un NAS y discos duros para almacenar todo el contenido. Además, podemos usar este equipo para muchos otros usos que no son nube privada, como virtualización de sistemas operativos o convertirse en un servidor multimedia con Plex Media Server o Jellyfin, para poder hacer streaming a todas las TV de casa o fuera de ella.
Riesgos que existen al usar tu propia nube
Montar una nube privada en nuestro hogar no está exento de riesgos, sobre todo si no sabes muy bien cómo configurar el servidor y las políticas de seguridad relacionadas. Principalmente existen tres riesgos críticos a los que debes hacer frente, ya que, aunque se pueden dar estos problemas, se pueden minimizar para que no nos afecte en absoluto.
Acceso desde el exterior de forma insegura
Para que una nube privada sea útil, se debe poder acceder a ella a través de Internet, ya que en cualquier momento podemos querer tener acceso a las carpetas y archivos contenidos en ella, o directamente a nuestro servidor multimedia para reproducir contenido multimedia. Una acción que debes evitar totalmente es abrir el puerto de administración del NAS en tu router, para que se pueda acceder desde el exterior. De cara a la seguridad, hacer esto va a exponer la interfaz gráfica de usuario de tu servidor, pudiendo ser susceptible a ataques y explotación de vulnerabilidades que se encuentren, por lo que no es nada seguro ni recomendable hacer esto. Si quieres acceder remotamente a través de Internet, tienes cuatro métodos principales que sí son seguros:
- Montar un servidor VPN en el router o NAS: hoy en día la mayoría de routers WiFi domésticos y NAS soportan la posibilidad de configurar un servidor VPN, ya sea con OpenVPN o WireGuard. De esta forma, para poder conectarnos al servidor NAS, tendremos que conectarnos previamente al servidor VPN y tunelizar todo el tráfico. Esta es la forma más segura de conectarnos, ya que la autenticación frente al servidor VPN es muy robusta, usando para ello certificados digitales o bien una pareja de claves público-privada. Para poder conectarnos, tendrás que abrir un puerto hacia el servidor VPN.
- Usar una VPN SDN como ZeroTier, TailScale o similar. Este tipo de VPN nos permiten crear una red SDN cifrada, de tal forma que nosotros nos conectaremos a la red de ZeroTier, TailScale o cualquier otro proveedor similar, y podremos comunicarnos con el NAS como si estuviéramos en la red local. Para poner en marcha este sistema no es necesario abrir ningún puerto en el router.
- Montar un servidor proxy inverso: softwares como Traefik o Nginx Proxy Manager nos permiten montar un proxy inverso, esto significa que podremos acceder al servidor NAS poniendo un dominio en concreto. Estos softwares nos permiten limitar el acceso por país, que solamente ciertos cifrados estén permitidos e incluso podemos añadir una autenticación robusta adicional basada en OAuth2 para reforzar aún más dicha autenticación, y posteriormente acceder a la administración del NAS. En este caso es necesario abrir un puerto 443 para la conexión HTTPS. Para poder poner en marcha esto, necesitaremos un host de DNS dinámico, o bien un dominio propio.
- Usar Cloudflare Tunnel: el gigante Cloudflare nos permite configurar un proxy inverso en su infraestructura, en este caso no tendremos que abrir ningún puerto para poder acceder vía web al servidor NAS, y el propio servicio nos permitirá limitar las peticiones por países y añadir una autenticación robusta adicional, como autenticar por correo electrónico y muchas otras formas.
Con estas cuatro opciones, tendrás garantías de que el acceso remoto estará protegido, así que debes tenerlo muy en cuenta.
Pérdida de datos por problema de hardware
Cuando tenemos un servidor NAS con varios discos duros o SSD, en cualquier momento se puede romper uno de ellos y perder la información contenida en ese disco. Lo más normal es que cualquier servidor tenga configurado diferentes tipos de RAID, para protegernos precisamente de este problema. Si montas un RAID 5 y se rompe un disco, no pasa nada porque si lo sustituimos podremos regenerar la información en base a la información distribuida en el resto de discos. Sin embargo, si has montado un RAID 5 y se rompe un segundo disco, perderás absolutamente todos los datos contenidos, ya que la regeneración no es posible al no tener doble paridad.
Es muy importante elegir bien el tipo de RAID para que la rotura de uno, dos o más discos no nos afecte. Además, también os hacemos algunas recomendaciones adicionales para minimizarlo:
- Aunque los discos en un RAID deben tener el mismo tamaño, mezcla discos duros de diferentes fabricantes y diferente fecha de fabricación, para minimizar un fallo de diseño de los discos.
- Al cabo de unos 3 o 4 años, cambia uno o varios discos del RAID para minimizar el hecho de que puedan fallar varios discos mientras se recompone el RAID.
- Configura uno o varios discos como Hot-spare, es decir, que formen parte del RAID para que, en caso de rotura de uno de ellos, automáticamente empiece la replicación en el disco que está «en espera», para minimizar el tiempo de regeneración.
Como podéis ver, es crítico protegernos frente a un problema de hardware, sobre todo en los discos. Pero también hay que tener en cuenta la posibilidad de una subida de tensión e incluso un corte de electricidad, esto se soluciona instalando un SAI junto a nuestro NAS, para protegerlo de esto, y hacer que el NAS se apague con seguridad en caso de corte en el suministro eléctrico.
Infección por ransomware
El ransomware es uno de los principales peligros de la nube privada, ya sea provocado por uno de los ordenadores con los que podemos acceder a toda la información del NAS, como también la propia infección del NAS si lo dejamos expuesto a Internet, algo que no es nada recomendable por cuestiones de seguridad, como hemos mencionado anteriormente.
Para evitar cualquier tipo de problema de pérdida de datos por ransomware (siempre que no hayan hackeado el NAS con permisos de administrador), las recomendaciones son las siguientes:
- Limitar el acceso de los diferentes usuarios al NAS, no siempre tienen que tener permisos de administrador.
- Configurar instantáneas o snapshots, para poder hacer una «foto» diaria de todos los datos, y poder volver hacia atrás siempre que queramos.
- Configura volúmenes de tipo WORM (Write Only Read Many), un volumen especial que solamente permite escribir y modificar los datos durante un cierto periodo de tiempo, y posteriormente solo podemos leer los datos, pero no editarlos. Este tipo de volúmenes son muy importantes para no sobrescribir la información.
- Copias de seguridad programadas y que sean externas al NAS, ya sea en otro servidor o la nube.
Como podéis ver, hay diferentes técnicas para proteger un servidor de un ransomware, aunque el peligro siempre estará presente.
Una de las principales recomendaciones que os podemos dar si tienes una nube privada, es que hagas copias de seguridad en la nube pública semanalmente, para mantener todos los archivos bajo una protección adicional, también podrías hacer una copia de seguridad a otro NAS externo, una copia de seguridad inversa e incluso hacer un backup en un disco duro externo a modo de copia fuera de línea.
El artículo ¿Existen riesgos al usar una nube privada Sí, estos son los peores se publicó en RedesZone.
