Názory k článku
WD My Book NAS jsou vzdáleně mazány, aktualizováno

Jojo, mít zálohu přístupnou zvenku přes cloud se holt vyplatí.

Takový NAS odpojený od sítě, to je moc praktické zařízení... :-)

NDS…

No jasně, nový markeťácký tahák Westernu: Mějte svá data v bezpečí, pořiďte si náš nový NDS.

Spojení přes třetí stranu, cloud je vždy rizikové, ale pro hodně lidí pohodlné a snadné.
Raději OpenVPN a NAS postavený na Linuxu, ne tyto hotové krabice.

Mícháte dohromady různé věci.
Hotové krabice nejsou špatné (Synology třeba), ale ty dobré zase úplně levné taky nejsou.
Na VPN musíte mít veřejnou adresu, a to je problém: IPv4 vám leckde nedají, pak máte většinou IPv6, někdo vám nedá vůbec žádnou. No a IPv6 vám zase nedají mobilní operátoři, takže se ke svému NASu stejně nemáte šanci dostat jinak, než přes cloud výrobce.

Snad každý ISP u nás nabízí pevnou veřejnou IPv4 adresu, i když dnes většinou za příplatek. Pokud je potřeba využít cloud, tak má jen zprostředkovat navázání end-to-end šifrovaného spojení. Ale jestli měli uživatelé na NAS nastavená špatná hesla, tak je úplně jedno, jak se tam ten útočník připojil.

25. 6. 2021, 11:40 editováno autorem komentáře

V případě, že máte smůlu a máte zrovna toho jednoho ISP ze sta, který veřejnou IPv4 nenabízí, tak si můžete pronajmout nejlevnější VPS a použít to jako endpoint tunelu. Pro někoho, kdo si postavil vlastní NAS, by to neměl být vůbec problém. Jako bonus se tak dostanete k adrese mimo rezidentní bloky a budete si moct hostovat bez problémů i e-mail.

U českých hostingů jsou nejlevnější VPS s neomezenou konektivitou pod 100 Kč/měsíc, což je míň než poplatek za veřejnou IP u spousty ISP.

25. 6. 2021, 14:03 editováno autorem komentáře

No u jednoho německého poskytovatele je nejlevnější VPSka za 5 € a jsou to 4 jádra, 8 GB RAM, 200 GB SSD, konektivita 200 Mbps, na tom už se dá taky jet leccos i kromě třeba toho mailu... :-) Ale fakt taky je, že nakonfigurovat si dobře vlastní poštovní server také není úplně triviální...

V ČR většinou za stejné peníze (tzn. ta asi stovka měsíčně) ty parametry jsou o dost slabší..

U jednoho českého poskytovatele z Hluboké nad Vltavou je adekvátní VPS za 3.64 € a je to 1 vlákno (nevyhrazené), 5 GB SSN, konektivita taky 200 Mbps. Na skutečně banální proxy (VPN, mail, atd.) to stačí krásně.

Modry operator IPv6 na mobilnich datech ma.

Ale nemicha, DDNS je pouzitelne docela dobre.
OpenVPN nebo i jiny typ tunelu a opensource NAS je dobra cesta.

Jak řeší DDNS chybějící veřejnou adresu?

Mobilní síť O2 má IPv6 už přes rok

Jo, ale často když tohle člověk řekne, tak je div ne za paranoika :-).

Správný systémák chápe označení paranoik jako kompliment. :-)

Správný systémák ví, jakou úroveň rizik má připustit a hlídá, aby byla rizika vyvážená. Aby jedna část systému nebyla neúměrně přezabezpečená, a druhá naprosto otevřená. Umí se zeptat zadavatele na důležité otázky kolem hlavních rizik a neotravuje s podřadnými tématy, která umí ošetřit bez ptaní, nebo která jsou řádově méně významná. Paranoia paralyzuje.

Zadavatel mu neumí odpovědět a systemak nemá zdroje na implementaci. Tahle práce je o bilancování mezi vlastním zánikem a jednání s managementem.

Proč mi to nikdo neřekl dřív!!!

"Spojení přes třetí stranu, cloud je vždy rizikové, ale pro hodně lidí pohodlné a snadné."

Tak určitě. Ještě teď si chrochtám blahem, jak jsem asi před čtvrt rokem potřeboval nastavit switch od Netgearu jen tak na stole, než ho píchnu do sítě. Do toho krámu se nešlo dostat jinak, než ho zapojit do sítě s DHCP a internetem, zřídit si účet na webu Netgearu a tahle cloudová administrace mě po autentizaci teprve poslala zpět na switch. Od té doby je ta firma na mém pomyslném blacklistu a už od nich nic nekoupím.

Zajímavé, moje poslední setkání s Netgearem sice návodem směřovalo k témuž, ale byl to router a poskytoval DHCP, takže návod bylo možné ignorovat a nastavit ho přes lokální web té krabičky.

U mě jsou na stejném blacklistu všechny věci od UniFi. Jakmile je cloud vyžadován, mohou si to strčit... třeba do skladu.

Špatné je, že se tenhle cloudový mor "protože to zákazníci chtějí" (ještě jsem takového nepotkal) šíří čím dál víc.

Tak u toho switche to bohužel nešlo. Webserver v něm sice běží, ale nešlo udělat nic jiného, než kliknout na odkaz, který vedl na stránky NetGearu, kde jsem se musel zaregistrovat. Vygooglil jsem si i strukturu místní adresy, na kterou mě ten cloud měl zpátky přesměrovat, ale ta začala fungovat až po registraci.

Dík, že ses podělil o zkušenost. Přidávám si Netgear na blacklist s poznámkou "nedotýkat se ani dlouhým klackem".

A co takhle to zařízení reklamovat, protože v popisu nic takového nebylo...? Myslím, že to vytvoření účtu byla chyba. Určitě chtěli odsouhlasit nějaké podmínky užití - něco jako roztrhnutím obalu souhlasíte s licencním ujednáním uvnitř. Toto je jednoznačně krácení vlastnických práv.

Chápu ale, že toto je solidní past - přinesu si natěšeně domů novou věc, od používání mne dělí jen jeden krok...

A já třeba mám s netgearem docela dobré zkušenosti, a to včetně podpory; ale je pravda, že spíše se staršími a business (tedy dražšími) modely.

OpenWRT celkom dobre podporuje rozne Netgeary. Po takejto skusenosti by tam isiel OpenWRT v podstate okamzite.

On sice nepsal, o jaký typ šlo - ale říkal switch. Namátkou jsem to prošel a opravdu dost pochybuji, že by openWRT podporovalo switche. Všechno to jsou routery.

Netgear nebrat!!!

Ešte že mám Synology,... ako už tu bolo povedané, buď by si z vonka mal k NASu pristupovať cez VPN (ktorá môže byť na DDNS ak nemáte statickú IP) alebo ak cez cloud, tak cloud by malo mať za úlohu len premostiť !šifrované! prepojenie medzi zariadeniami.

Tak obnoví data ze zálohy a jedou dál, ne? Nebo co by dělali, kdyby jim to zařízení odešlo fyzicky?

Takhle jsou na tom vlastně ještě líp, protože lekci dostali, ale k tomu jim zůstává funkční zařízení.

To jsou, já už rok marně sháním krabici od WD Book Live, abych z disku vydoloval nějaké staré archivy fotek. Ten disk se napřímo číst nedaří. Takže já mám jen naději, oni mají aspoň železo.

To dělá WD i u hloupých USB disků, ty USB-SATA řadiče transparentně šifrují data na disku. Nevím ale, jestli všechny ty řadiče mají stejné heslo, nebo každý jiný. Mohl bych zkusit, mám jich víc. Ani nevím, proč to dělají.

Tak kupodivu WD Book Live není šifrovaný a mělo by to jít číst:

http://n-dimensional.de/blog/2012/05/01/wd-mybook-live-data-rescue/

Pro ty WD USB jsem taky něco našel:

https://community.wd.com/t/how-to-decrypt-a-wd-mybook-drive-after-its-removed-from-the-enclosure/146588/3

Hodně lidí má ten NAS právě jako místo, kam dělá zálohy. A co pak, zálohy záloh?

Tak pokud se NAS podělá, tak jim stále zbydou originální data, takže neobnoví data ze zálohy, ale naopak obnoví zálohu.

co kdyz ten svuj zalozni wd* zalohovali na dalsi tokovy wd*? :-)

Všechny vášně kolem těchto problémů jsou vždy ve skutečnosti jen o tom, že laikové neumí, a profesionálové neumí hodnotit rizika. Tedy, profesionálové je zhodnotit umí, ale cenovka a použitelnost bezpečných řešení je mimo hranice, které je zákazník ochotný platit.

Netýká se to jen NAS. Celkově zákazníci cloudu důvěřují a velmi často nechtějí slyšet o tom, že by se mělo řešit zálohování dat. Velmi často pak totiž docházejí k tomu, že přesun do cloudu nedává žádný smysl, kdyby si měl ještě řešit zálohování sám. Velmi rozšířená je i důvěra v to, že cloudové služby se o to starají.

NAS se správou v cloudu je forma hybridního řešení. Kombinace výhod a nevýhod.

Toto vypadá na nějakou slabinu v cloudové správě, jindy slyšíme o ztracených datech kvůli slabině v místních řešeních. Ta rizika jsou ale poměrně vyrovnaná. Cloud budí emoce, protože průšvih způsobí problém rychle u velkého počtu zákazníků. Ale taky je rychle a ústředně opraven. U slabin místního charakteru často není tak rychlý nástup, ale taky daleko déle hrozba žije.

Rozumný přístup je, a to nejen v cloudu, ale i při vlastním řešení, mít data zálohovaná a zálohy off-line. To se neliší. Hardware taky může znáhla umřít - stačí proražený zdroj, nebo blesk.

Lidé si neradi připouštějí rizika. Proto dokola slyšíme dotazy o tom, jak na routeru udělat firewall, zároveň NAS, zároveň VPN koncentrátor a kdovíco ještě. V principu to jde, ale se rozebere, jak by měla vypadat bezpečnostní opatření (už jen to zálohování), přichází hluchota, slepota, výsměch. A nakonec drahá návštěva u firem na obnovu dat, když hrozí rozvod pro ztrátu dvacetiletého fotoarchivu rodiny.

Skutečná bezpečnost nejde budovat levně. Buďto si uživatel musí hlídat (nebo platit někoho, kdo to dělá), aby měl vše bezpečné i dnes (tři roky jsou pro zařízení už EOL), nebo si vše dělat ručně (pak to stojí drahocenný čas), nebo platit kombinaci plně cloudových služeb (nikoliv hybridní sestavu), která se postará o bezpečnost. Vždy z toho vyjdou náklady, které se nepotkávají s představou zákazníka, který chce (nebo pro finanční situaci opravdu potřebuje) provozovat pěti- a víceleté, dávno nepodporované zařízení.

Můžeme filozofovat nad tím, jestli má být tříleté zařízení na odpis. Na konci stejně skončíme u toho, že můžeme mít myšlenky ledasjaké, ale pokud to nikdo na trhu nenabízí, zůstane jen u zbožného přání.

25. 6. 2021, 13:08 editováno autorem komentáře

Ne nadarmo se říká: Jaký admin, taková záloha.

Takže ak mám dáta na 4 miestach, tak som dobrý admin? Mám je v PC, v NASu, v Google Cloudu (Disk) a ešte podľa typu dát na rôznych iných miestach.

Vypadá to, že by měla stačit znalost IP.

https://nvd.nist.gov/vuln/detail/CVE-2018-18472

A teď si představte, že k internetu a do nějakého cloudu je dnes připojeno skoro vše - vypínače, žárovky, televize, lednice, pračky … dokonce i zabezpečovací systémy.

Bezpečnostní aktualizace to většinou nedostává, nebo jen po velmi krátkou dobu … zvlášť ta malá iot zařízení.

Tohle bude jednou hooodně velkej průšvih.

25. 6. 2021, 20:39 editováno autorem komentáře

Tak uz tu byly pripady kdy se lidi nemohli dostat domu kvuli 'chytremu' zamku. Nebo ten pripad kdy hackli auto za jizdy (chrysler tusim). Tyhle prusvihy uz tu byly, ale trend je porad stejny, pripojovat toho cim dal vic. Asi tech prusvihu bylo malo.

tak pri aute moze trosku rozhodovat aj cena

Kolik % zamestnancu Ferrari ma ferrari na dojizdeni do prace ? :)

Trochu tomu nerozumim. Zarizeni nema otevrene porty do internetu, ale presto lze u nej zavolat API request, pokud clovek zna/trefi IP?

Zreba zakerny js v prohlizeci stroje ve stejne siti ?

Ono cloud má pro výrobce jednu velkou výhodu: za pár let oznámí (pokud dřív nezkrachuje), že přestává cloud pro starší zařízení podporovat a nabídne vám nějakou kosmetickou slevu na nové. A to se vyplatí!

No vida, tak problém nakonec s cloudem vůbec nesouvisí. A sebereflexe "chytráků" co tu křičeli "No vidíte, my to říkáme pořád, že cloud je nanic!"? Nula.

Jakto, že nesouvisí? Můj ne-cloudový NAS žádné děravé REST API metody nemá (ani neděravé), na co by mu byly??

Můj NAS nemá ani disky (leží někde na regálu). Ten nemůže přijít o data vůbec!

Korelace není kauzalita. To REST API nějak souvisí s cloudem?