NAS servery, aneb jak na bezpečný (domácí/firemní) cloudProfi

NAS servery, aneb jak na bezpečný (domácí/firemní) cloud

NAS servery: jak na bezbečný cloud

Člověk se stále častěji musí ptát sám sebe na několik nahodilých otázek: Jsou má data v bezpečí? Jsou mi vždy přístupná? Mohu k nim přistupovat vzdáleně? Pokud člověk v dnešní technologické době data ještě stále ukládá na optická či přenositelná média, pak bude odpověď na tyto otázky vždy znít: NE! V dnešní době nových technologií jsou domácí či firemní NAS servery opravdu lehce dostupnou možností, jak se o svá data zkrátka přestat bát.

 

Co že je to vlastně ten NAS?

NAS (Network Attached Storage) je vlastně malý počítač se sloty pro pevné disky. Obsahuje procesor, paměť RAM a jeho operační systém (na bázi Linuxu, ale to ani nepoznáte) je přístupný přes webové rozhraní. Proti běžnému serveru vyniká jednoduchostí a nízkou spotřebou, současně však nenabízí tolik možností. Je to zkrátka jednoúčelové zařízení.

 

image

 

A proč vlastně všechno toto?

Pokud budete mít svoje data na síťovém úložišti, budou neustále dostupná pro všechna vaše zařízení v celé síti a můžete k nim mít také nonstop vzdálený přístup z internetu (o tom příště). A to vše bez nutnosti mít zapnutý počítač. Stačí, když svému “minidatacentru” zajistíte stálé napájení, což lze buď připojením nepřerušitelného zdroje napájení UPS (alias “záložního zdroje”), nebo alespoň skrze nastavení automatického zapnutí NASu po obnovení dodávky proudu.

 

HD přehrávač, připojený k televizi, nemusí mít svůj vlastní jediný disk s omezenou kapacitou a nutností do něj filmy nejprve nahrát. Může být připojen přímo k NASu. Na síťovém úložišti můžete mít veškerá data, která doposud ležela na vašem datovém disku D:, přitom tam budou zabezpečena ještě lépe než jen prostým oddělením od systémového disku C:. (Teď mlčky doufám, že nikdo z vás už dávno nemá ještě všechno na Céčku.) Vše směřuje k tomu, mít ve svém „terminálu“ již jen systémový SSD disk.

 

Pokud nemusíte mít NAS neustále na očích, nemusíte se ani starat o jeho hlučnost, protože jej dáte třeba do garáže, sklepa, komory. Málokdo má ale tak velký byt, aby si mohl dovolit ignorovat hlučné ventilátory. Jakkoliv se o NASech občas říká, že mohou být hlučné a škaredé, protože je přece dáme do sklepa, není tomu úplně tak a kvílející ventilátor o kvalitách nevypovídá. Kromě krapet vyššího účtu za elektřinu a nutné počáteční investici má NAS téměř samá pozitiva a divím se lidem, kteří si i dnes raději koupí vypalovačku. Možná vás také napadá, zda si předem nenakoupit akcie ČEZu, když budete mít doma nonstop běžící a topící zařízení? Nemusíte, spotřeba malých NASů je totiž nízká a při nečinnosti lze mít nastaveno vypnutí disků.

 

Co vám může NAS nabídnout?

1. Správa uživatelů

NASy obsahují celou řadu funkcí, které byste od (v podstatě) externích disků neočekávali. Jsou to malé šikovné servery umožňující pokročilou administraci uživatelů. Můžete vytvářet nejen uživatele, ale také skupiny uživatelů a přidělovat jim práva ke čtení nebo zápisu do konkrétních síťových složek. Prostě klasická správa uživatelů jako na serveru. Na jednom (či více) diskových oddílech můžete vytvořit sdílené složky. Některé bývají napevno přednastavené. Každému uživateli lze udělit oprávnění pro čtení nebo zápis ke konkrétním datům.

 

2. Vzdálený přístup

V operačním systému Windows připojíte NAS přes domácí síť pomocí protokolu CIFS, známější pod jménem Samba. V Linuxu je to potom protokol NFS (Network File System), který je trochu rychlejší, a pro počítače Apple je zde protokol AFP (Apple Filling Protocol). Sambu podporují v podstatě všechny dnes nabízené NASy, zatímco u dalších dvou protokolů tomu tak vždy být nemusí. Příslušnost protokolů k operačním systémům neznamená, že byste třeba ve Windows nemohli použít NFS připojení, jen je to složitější. Vzdáleně se k NASu dostanete pomocí protokolu FTP nebo rovnou přes HTTP (tedy přes webový prohlížeč). V těchto případech je vhodnější mít vlastní veřejnou IP adresu, ale není to podmínkou.

 

image

 

3. Stahování

„Když už ten disk pojede nonstop, tak ať taky dělá něco užitečného!“ Jelikož může NAS běžet nonstop, co kdyby přes noc stahoval data, která potřebujete? Stahujete přes torrenty? Není problém. Stahovat přes obyčejný HTTP protokol je pro NAS sice jednoduché, pro uživatele však celkem nevyužitelné. Tady záleží na propracovanosti softwaru pro stahování. Některé NASy nabízí i možnost využití placeného Rapidshare účtu, ale takový program nebude aktualizován často a je otázkou, nakolik budou jeho funkce omezené.

 

4. Zálohování

Ač je NAS zálohovacím místem sám o sobě, často na něm lze najít tlačítko Backup. To má nastavitelnou funkci „zkopíruj konkrétní adresáře z/na připojené USB zařízení“ a hodí se pro další zálohu důležitých, předem vybraných souborů na externí USB disk. Některé NASy umí také replikovat svůj obsah na jiný NAS, což je však pro domácího uživatele nejen nevyužitelné, ale také už hodně paranoidní. Ve firemním prostředí však může přijít vhod. Při mazání souborů z NASu potom pamatujte na to, že je mažete nadobro. Stejně jako u jiných síťových disků, ani zde nefunguje systémový koš, ani obnova souborů nějakým “Undelete” nástrojem.

 

5. Šifrování

Šifrování dat je druh kryptografie, který zabezpečuje elektronická data a tím umožňuje chránit soukromí vlastníka. Šifrování dat již není jen záležitostí velkých a středních firem nebo vládních institucí, ale začínají jej používat i menší firmy, a v čím dál tím větší míře i samostatné domácnosti. Zapnutí šifrování může být ranou rychlosti, takže je jen na vás, nakolik chcete chránit svá data. Pokud šifrování zapnete, rychlost může klesnout i u výkonného NASu až na třetinu. Vypnutí či zapnutí šifrování se navíc neobejde bez nového formátování svazku a tudíž ztráty dat. Je proto lepší si využití této funkce rozmyslet předem. Šifrovat také můžete jen část diskového prostoru s nejdůležitějšími daty.

 

6. Další funkce

NASy mohou mít třeba i vestavěný PHP a MySQL server, což můžete využít pro provoz vlastního webového serveru. Vestavěné iTunes a různé multimediální nadstavby jsou potom již jen příjemné zpestření. Komu by snad byly čistě softwarové funkce málo, může vyzkoušet připojit i nějaký ten hardware. USB porty si o to přímo říkají, a tak lze z běžné tiskárny udělat síťovou, připojit IP kameru nebo zvýšit kapacitu dalším diskem, dokonce i přes rozhraní eSATA.

 

Jak lze dát pevným diskům nový domov

Pevný disk není stavěn na to, aby se povaloval v krabici s ovocem, ale aby se mu hezky točily plotny. Častým důvodem pro zkrat disků bývá to, že se neustále vypínají a mají velmi často maximální zatížení. Na rozdíl od toho, nonstop provoz diskům nijak výrazně nevadí. Postavit si z disků takový domácí cloud, vlastní datové minicentrum s velkou kapacitou, to není žádná věda. Vlastně stačí připojit disk do domácí sítě, zajistit mu přístup z internetu, včetně patřičného zabezpečení a třeba zapojit více disků do pole RAID. Od toho jsou zařízení zvaná síťová úložiště, tedy NASy.

 

Plno disků v počítači? Na to zapomeňte!

image

 

V dnešních časech není počítač pomalinku ničím jiným, než pouhým „nástrojem“, jak se dostat k našim citlivým datům. Dříve bylo slovo „Cloud“ pouhým buzzwordem, nicméně nyní je potřeba se k němu stavět jako k budoucnosti. Zálohování na internet má své dvě podoby, jednu světlejší, jednu tmavší. Tou tmavší mohou být obavy o zneužití dat třetí osobou, což se ale ve většině případů nestává, naopak tou světlejší je to, že se nemusíte už nikdy více obávat selhání hardwaru. Data na internetu jsou tedy stejně tak dobře chráněna (prakticky i lépe), jak vaše stávající data na disku.

 

Čím více disků, tím více Adidas

Rozhodnutí „kolikadiskový“ NAS pořídit bude spíše záležet na tom, jaký typ diskového pole RAID budete chtít využít, než na nějaké cílové kapacitě. Disky za dva, tři roky stejně vyměníte za větší.

 

Jeden disk

Jednoduchý NAS s jedním diskem je vlastně jen takovým obyčejným externím diskem s přidanými síťovými funkcemi. Může však dobře posloužit v menší kanceláři pro sdílení pracovních dat. Výkonnější modely lze samozřejmě použít i pro náročnější úkoly, ale vzhledem k absenci RAIDu bych jim důležitá data k uchování nesvěřil. Jde o naprostý základ pro nenáročné uživatele.

 

Dva disky

Dvoudiskový NAS je díky poli RAID1 už slušně zabezpečené datové úložiště. Jeho spotřeba ani cena není proti NASu s jedním diskem o moc vyšší a hlavně data jsou zde v suchu a bezpečí zrcadleného pole – diskové pole RAID1 totiž používá druhý disk jako zrcadlovou zálohu disku prvního. Dojde-li tak k poruše jednoho z disků, kopie všech dat se stále nachází na disku druhém. Nevýhodou je nutnost pořídit dva stejně velké disky, z nichž využijete jen poloviční kapacitu.

 

Dvoudiskový NAS je ideální do domácnosti pro zkušenější uživatele, kteří si svých dat váží a stačí jim současná nejvyšší kapacita 3 TB. U pole RAID1 se může stát, že pokud se "pokazí" data (tedy nikoliv disk) na jednom disku, tyto chyby se v dobré víře překopírují i na zrcadlený disk. U pole RAID5 by tento problém nastat neměl.

 
Čtyři disky

Čtyřdiskové NASy jsou pro fajnšmekry. Spotřeba vícediskových řešení je již samozřejmě vyšší a také cena lepších modelů začíná kolem 12 000 Kč. Navíc koupí čtyř 3TB pevných disků se cena ještě téměř zdvojnásobí. Čtyř- a vícediskové NASy jsou primárně určené do firem, ale v jejich pořízení nic nebrání ani obyčejným uživatelům. Tyto NASy bývají osazeny výkonným procesorem a užijete si luxusu v podobě ještě bezpečnějšího pole RAID5. Nebo také nemusíte hned osadit všechny čtyři pozice a mít jen dva disky v RAID1 s možností budoucího rozšíření.

 

clip_image002[5]

 

TO JE PRO TUTO CHVÍLI ÚPLNĚ VŠE, V DALŠÍM DÍLU SERIÁLU SE PODÍVÁME PODROBNĚ NA TECHNOLOGII CLOUDU A JAK S NAŠIMI NASY SOUVISÍ!

  • Bouda05

    Jsou známy nějaké statistiky bezpečnosti NAS serverů, pokud bych si je vystavil v pevnou IP do internetu? Jasně, beží to na Linuxu, tak zabezpečení určitě není špatné, ale linux je modifikovaný výrobcem NASu a to obvykle bývá největší zdoj bezpečnostních mezer. Jinak jsou podle mě NASy velice dobré zařízení pro domácí použití, ale vystavení všech svých dat do internetu bych se trochu bál :-)

    • Python.P

      Tak záleží jak moc si zkušený uživatel, bohužel to nejde jednoduše říct. Ten kdo má rád bezpečnost stejně data šifruje ;)

    • Adam Ležák

      Jde hlavne o to, co do Internetu vystavite. Pokud otevrete porty pro FTP a sambu a nechate tam jednoduche heslo a nenastavie omezeni pripojeni jen pro urcite IP adresy, pak cekejte problem, protoze bude nasledovat bruteforce utok. Pokud to udelate sofistikovaneji, tak nastavite blokovani IP adres utocnika po treba trech neuspenych pokusech. Uplne nejlepsi je samozrejme VPN. Jenze takoveto veci nikdy domaci uzivatel delat nebude, takze bych osobne domacim uzivatelum ani nedoporucil vystavovat zarizeni verejne do Internetu.

      • Bouda05

        Já teď osobně mám zprovozněný akorát http a ftp server ze staršího notebooku na pevnou IP adresu. Byl jsem celkem překvapený, že cca po měsíci provozu se mi do serveru snažilo dobývat přes FTP celkem dost lidí. Mám tam samozřejmě nastavované bany na IP adresy, ale jen za pár dní tam byly desítky záznamů. Nevím, jak se dostala moje IP adresa někam ven, když ji používám jen já k účelům rychlého přístupu dat a osobním stránkám pro své projekty a nikam ji nesdílím. Nicméně mě to nutí k větším mylšenkám o zabezpečení serveru, i když nejde o žádná kritická data, jejichž ztrátou bych nějak významně tratil.

        • Adam Ležák

          Internet skenuji servery k tomu urcene – skenuji otevrene porty (pokud trochu ovladate linux, zkuste se podivat po nastroji nmap). Pokud najdou otevreny port (25, 110, 143, 465, 995, 1723, 21, 22, a dalsi bezne pouzivane), tak se proste vychozim protokolem snazi ziskat pristup pouzivanim nejbeznejsich credentials, jak treba „admin“; „admin“ a podobne. Z toho plyne, ze aniz by jste se nejak pricinil, tato situace nastane a nejzasadnejsim krokem je nedefaultni a silne heslo a idealne nedafaultni uzivatelske jmeno. Osobne bych doporucil, pokud neni nutne tyto sluzby vystavit do Internetu pro kazdeho, pouzivat VPN. Pokud porty potrebujete mit verejne a je to mozne, tak aplikujte povolene rozsahy IP adres.

          btw – na serveru, ktery je na verejne IP adrese v datacentru, mam denne stovky pokusu o pristup do ruznych sluzeb (hlavne email a ssh). To same doma na routeru s verejnou IP, tam je to pro zmenu na ftp a VPN. Typicky jsou utocici IP adresy z Asie, nebo Ruska. Toto je proste typicka problematika, ktera se domacich uzivatelu naprosto netyka, protoze je pred timto chrani router s NATem.