Как забытый NAS оказался доступен из интернета

от

У старых систем есть мимикрия: вроде лежат без движения, но они уже не полностью ваши. Проще всего не заметить того, что давно забыто. А кто‑то помнит.

Как закрытая система внезапно становится публичной

Вы храните где‑то в сети старый NAS, который давно не обновляли и не проверяли. Кажется, он отключен. Но в его конфигурации мог остаться проброс портов на маршрутизаторе, автозапуск служб при старте, а самое главное — статичный IP-адрес или DDNS-запись, привязанная к вашему внешнему интерфейсу. Пока вы не меняли провайдера и оборудование, эта запись жива. Даже если сам NAS физически выключен, его сетевой «след» в виде правил фаервола или проброшенных портов продолжает существовать. И когда вы случайно или для временных нужд включаете устройство, оно мгновенно получает доступ в интернет по старому, давно забытому маршруту.

Это не гипотетическая ситуация. Многие администраторы, обновляя инфраструктуру, просто отключают старые серверы от сети, но не стирают конфигурацию маршрутизаторов и не отзывают DNS-
записи. Старые правила NAT живут годами. А если устройство использовало динамический DNS, например, через встроенную службу производителя, то его доменное имя могло остаться в публичных базах.

Почему это обнаруживает не ваш отдел, а третья сторона

Внутренний мониторинг часто настроен на актуальные активные системы. Старые, выведенные из эксплуатации хосты выпадают из списков сканирования, их не проверяют системы управления уязвимостями. Вы не ищете то, что считаете несуществующим.

С другой стороны, существует непрерывный фоновый шум интернета — автоматическое сканирование всего адресного пространства на предмет открытых портов и известных сервисов. Этим занимаются как исследователи безопасности, так и злоумышленники. Они не знают, что ваш NAS «старый и неиспользуемый». Для сканера он просто хост с открытым портом 5000 (webThis interface of Synology) или 22 (SSH). Эти данные попадают в базы, которые могут быть частично открыты или продаваться на специализированных ресурсах.

Ваш конкурент, проводя собственный анализ внешней атаковой поверхности, мог использовать именно такие базы или публичные инструменты поиска. Он искал всё, что связано с доменами и IP.
вашей организации. И среди свежих записей обнаружил старый, но живой NAS с данными. Так он узнал о его существовании раньше вас.

Какие именно данные могут привлечь внимание

На заброшенном NAS редко лежит что‑то совершенно пустое. Чаще всего это:

  • Архивные бэкапы баз данных (иногда без шифрования).
  • Дампы конфигураций сетевого оборудования.
  • Старые папки обмена файлами с внутренними документами.
  • Резервные копии почтовых ящиков или систем учёта.
  • Логи работы приложений, которые могут содержать технические детали инфраструктуры.

Даже если прямых секретов там нет, совокупность этих данных позволяет восстановить картину внутренней сети, используемого ПО, имён учётных записей. Для конкурента или злоумышленника это — готовый набор для дальнейшей разведки.

Что делать, если вы обнаружили подобную ситуацию

Первое действие — немедленно отключить устройство от сети физически или через административный интерфейс маршрутизатора. Не просто выключить его, а удалить правило проброса портов (NAT) и, если возможно, заблокировать его MAC-адрес на коммутаторе.

Затем требуется аудит:

  1. Проверить все правила перенаправления портов (Port Forwarding) на основном шлюзе и на всех промежуточных фаерволах. Удалить те, что не имеют явной актуальной привязки к службе.
  2. Проверить динамические DNS-записи, привязанные к вашему внешнему IP. Многие устройства создавали их автоматически через сервисы типа no-ip, dyndns. Эти записи нужно отозвать или удалить.
  3. Исследовать сам NAS: какие службы на нём были включены, под какими учётными записями, не осталось ли на нём актуальных паролей, которые используются в других системах.

После этого стоит рассмотреть вопрос об изоляции всей исторической инфраструктуры. Если старые устройства должны храниться для архивных целей, их следует помещать в отдельный VLAN без выхода в интернет, с строгим контролем доступа.

Как не допустить повторения

Основная проблема — отсутствие формального процесса вывода систем из эксплуатации. Он должен включать не только отключение питания, но и:

ЭтапДействия
1. ИнвентаризацияФиксация всех сетевых параметров устройства (IP, MAC, DNS-имя, правила NAT).
2. Сетевой демонтажУдаление правил фаервола и проброса портов, очистка DHCP-, DNS-

записей.

3. Изоляция данныхШифрование или перенос содержимого в контролируемое хранилище, затем полная затирка дисков.
4. Физическое отключениеИзвлечение из стойки/полки, но с меткой о причине и дате вывода.
5. ВерификацияЧерез 2–4 недели проверить сетевое сканирование извне на предмет оставшихся следов устройства.

Также стоит внедрить регулярный (например, ежеквартальный) аудит внешней атаковой поверхности. Используйте автоматические сканеры, которые будут проверять все ваши публичные IP-адреса и домены на предмет неожиданно открытых портов и сервисов. Это поможет находить не только забытые NAS, но и ошибочно сконфигурированные новые системы.

Юридический и репутационный аспект

Обнаружение факта утечки данных, пусть и через забытое устройство, может иметь последствия в рамках 152. Об обработке персональных данных, если среди архивов находилась такая информация. Даже если данных не было, сам факт доступности извне может трактоваться как недостаточность мер защиты информации.

Если о ситуации узнал конкурент, это создаёт репутационные риски. Лучшая стратегия — проактивное внутреннее расследование и исправление, без публичного афиширования, но с готовностью предоставить отчёт регулятору в случае запроса. Документируйте все этапы обнаружения и ликвидации инцидента.

Главный вывод: в современной инфраструктуре нет «просто выключенных» систем. Есть системы, которыми вы управляете, и системы, которыми вы не управляете, но они всё ещё часть вашего сетевого периметра. Вторые опаснее первых, потому что вы о них не помните.

Оставьте комментарий