Así funciona QNAP NDR ADRA, la seguridad de tu red es lo primero

Así funciona QNAP NDR ADRA, la seguridad de tu red es lo primero

Sergio De Luz

QNAP ha lanzado recientemente un sistema operativo para transformar los switches QNAP Guardian del fabricante en sistemas de ciberseguridad, con el objetivo de proporcionar la mejor seguridad a las redes profesionales. Esta innovadora solución permite integrar múltiples funciones de detección, análisis de tráfico y respuesta contra los principales ataques a las redes de datos, incluyendo amenazas como malware entre los que se incluye el ransomware. Hoy en RedesZone os vamos a explicar qué es NDR ADRA, cómo instalarlo en un QNAP QGD-1602P y también qué opciones de configuración tenemos disponibles.

¿Qué es NDR ADRA?

NDR ADRA es un software, o mejor dicho, un sistema operativo con una gran cantidad de software en su interior que está diseñado específicamente para la detección, análisis y bloqueo de las principales amenazas que podemos encontrarnos en una red local. Este software permite realizar una comprobación rápida de cualquier incidente de seguridad en la empresa, ayudándonos a bloquear todas las actividades sospechosas para ayudar a las empresas y negocios a evitar la fuga de datos delicados. Otras características muy importantes de este sistema operativo es que permite detectar de forma proactiva las amenazas, es decir, antes de que ocurran.

Uno de los principales riesgos de las redes actuales es la amenaza del ransomware, este sistema operativo es capaz de detectar el ransomware en tiempo real y bloquearlo a nivel de red para que no se propague a otros dispositivos que tengamos conectados a la misma red local. Esta solución de ciberseguridad es capaz de ofrecer una protección muy avanzada a todos los NAS, servidores, ordenadores de sobremesa y a cualquier dispositivo que esté en la red local profesional, no solamente a los productos de QNAP. Otras funciones muy importantes son que es capaz de detectar el movimiento lateral del ransomware, de esta forma, permite identificar actividades sospechosas y hostiles en una fase temprana, con el objetivo de bloquear y neutralizar la amenaza lo antes posible para que no se propague.

Actualmente el software NDR ADRA está disponible para los dos modelos de QNAP Guardian, tanto el QGD-1600P como también el nuevo QGD-1602P (disponible para las dos versiones de procesador principal). A la hora de instalar NDR ADRA, tendremos que elegir entre instalar el sistema operativo QTS con las funciones de NAS, virtualización y demás opciones habituales, o elegir el software NDR ADRA, ambos sistemas (QTS y QNE) no se puede hacer a la vez.

Montaje de las unidades SSD de WD

Para probar el nuevo sistema operativo NDR ADRA para dotar de ciberseguridad a la red local empresarial, hemos utilizado el QNAP QGD-1602P, un equipo del que ya tenéis un completo análisis en RedesZone, donde os hemos mostrado tanto el rendimiento real como servidor NAS, como también todas las opciones de cara a la parte de switch PoE que incorpora este modelo.

Para la realización de las pruebas, hemos usado dos unidades WD Red de 1TB cada uno, en estas unidades instalaremos el sistema operativo QNAP QNE directamente. De manera interna se encargará de configurar tanto el conjunto de almacenamiento como también los diferentes volúmenes.

Para la instalación de estas dos unidades SSD, tan solo tenemos que retirar la bandeja donde se instalan los discos de 2,5», ya sean discos duros o unidades SSD. Una vez que hayamos sacado esta bandeja de discos, tenemos que introducir las unidades y volverlo a colocar en el lugar correcto.

En la siguiente galería podéis ver cómo quedarían los SSD WD Red montados perfectamente en el QNAP QGD-1602P.

Ahora que ya tenemos el almacenamiento en este equipo, os vamos a enseñar en vídeo la instalación y puesta en marcha.

Instalación y puesta en marcha

La instalación del sistema operativo QNAP QNE con el NDR ADRA es realmente fácil, simplemente tenemos que conectar el switch PoE a la corriente eléctrica, conectar un cable de red desde nuestro router hasta uno de los puertos «host» del switch, y cuando obtenga dirección IP, podremos acceder a manera local al equipo para empezar con el asistente de instalación. Una vez que hayamos entrado, tendremos que seguir el asistente de instalación paso a paso que tenemos disponible, y elegir que queremos instalar QNAP QNE y no el popular QTS.

Una vez que lo hayamos decidido, se hará el cambio desde QTS hasta QNE, por lo que será necesario reiniciar el switch PoE para ello. Después tendremos que seguir paso a paso el asistente de configuración vía web, y una vez que hayamos terminado ya podremos acceder al firmware del equipo de forma sencilla. En el siguiente vídeo tienes todos los detalles del proceso de instalación:

Una vez que ya tenemos el nuevo sistema operativo instalado, vamos a ver todas las opciones de configuración disponibles.

Todas las opciones de configuración

La interfaz gráfica de usuario de este nuevo sistema operativo es muy similar al QTS y QuTS hero que todos conocemos, lo único que debemos tener en cuenta es que disponemos de una nueva aplicación ADRA NDR que es el corazón del sistema, desde donde podremos visualizar y gestionar todos los ataques de red que detecte el equipo, con el objetivo de permanecer seguros y evitar ataques.

A continuación, vais a poder ver todos y cada uno de los menús disponibles en este sistema operativo QNAP QNE, para que veáis en detalle todas las opciones que tenemos disponibles para adaptarse perfectamente a las diferentes arquitecturas de red de las empresas.

Panel de Control

En la sección de «Panel de control» podemos ver el modelo del equipo, la versión de firmware QNAP QNE ADRA que hemos instalado, así como el número de serie, procesador y también la memoria RAM disponible. Si lo comparamos con el panel de control de QTS o QuTS hero, vemos que se trata de una versión «recortada», ya que lógicamente no tiene todos los servicios para NAS, ya que no es su función tener todos ellos.

El panel de control está dividido en tres secciones diferentes, la de «Sistema», «Privilegio» y también la de «Servicios».

Sistema

En esta sección de «Sistema» es donde podemos acceder a los ajustes generales del sistema operativo, como la administración del sistema, hora, hora de verano, región, consola de gestión, configuración del hardware, energía, actualización del sistema operativo junto a todos los componentes, realizar copia de seguridad de la configuración aplicada, restaurar la copia de seguridad, configurar el UPS para evitar problemas si se va la luz y que se apague automáticamente, así como ver el estado general del sistema.

La gran mayoría de todos estos menús son comunes a QTS, por lo que te serán muy familiares.

Privilegio

En la sección de «Privilegio» es donde podemos ver el usuario administrador, y es que también tenemos la posibilidad de crear más usuarios administradores para que gestionen adecuadamente este sistema operativo QNAP QNE.

Algo que nos ha llamado la atención es que no podemos crear usuarios «normales», es decir, todos los usuarios son administradores y no hay posibilidad de gestionar permisos por usuario.

Servicios

En la sección de «Servicios» podemos acceder y configurar al servidor SSH que incorpora este equipo, también podemos acceder al servicio de SNMP así como detectar servicios vía UPnP y Bonjour para equipos de Apple.

Como habéis visto, todos los menús de este «Panel de control» son los que ya conocemos del sistema QTS, pero «recortados» ya que no tenemos las funciones de servidor NAS.

Network Manager

En la aplicación «Network Manager» es donde podemos gestionar todo a nivel de red con los diferentes puertos. Tenemos un total de cuatro puertos nativos desde donde podemos acceder al sistema operativo QNE, pero debemos recordar que también tenemos varios puertos para la parte de switch. Desde aquí es donde tenemos que configurar todo a nivel de red para que funcione adecuadamente. Vamos a poder configurar el direccionamiento IP de todos los puertos, la velocidad de sincronización así como los Jumbo Frames si fueran necesarios.

Otras opciones que tenemos disponibles en esta sección es la posibilidad de configurar VLANs, ideal por si tenemos diferentes subredes en la red profesional, porque será capaz de detectar todas ellas sin ningún problema.

También tenemos la parte de «QuNetSwitch» que nos llevará directamente hasta la aplicación de la parte de switching, en este caso, debemos tener en cuenta que es exactamente la misma de siempre, vamos a poder acceder a toda la parte de VLANs, gestión de puertos, agregación de enlaces y un largo etcétera de características propias de un switch L2 gestionable. Esta sección es una de las más importantes para poder integrar adecuadamente el QGD-1602P a nuestra actual red local profesional.

myQNAPcloud

En la aplicación de myQNAPcloud podemos configurar un QNAP ID y también usar AMIZ Cloud para configurar tanto un modo stand-alone de este equipo, como un modo de gestión a través de la nube. Lo más normal es que en una pequeña y mediana empresa lo configuremos en modo stand-alone, y creemos una red de gestión para el dispositivo. No obstante, en empresas más grandes podrías configurar el modo de gestión en el Cloud para acceder a los dispositivos de forma remota. En este último caso, nos facilitará enormemente la gestión de los dispositivos.

En nuestro caso, hemos configurado el QGD-1602P en modo stand-alone, ya que solamente tenemos un dispositivo.

SecurityCenter

En la aplicación de «Security Center» o «Centro de seguridad » es donde podemos configurar una revisión de la seguridad del propio dispositivo, para conocer si a nivel de configuración está todo correcto o es mejorable. Podemos elegir entre una política de seguridad básica, intermedia o avanzada. Cuanta mayor seguridad, más puntos negativos tendremos y nos avisará sobre ellos.

También tenemos un sistema de anti-manipulaciones, con el objetivo de detectar y registrar automáticamente los cambios no autorizados realizados en las aplicaciones de la lista protegida, como las aplicaciones propias de QNE. Esta función nos permite restaurar los archivos a su estado original, y tiene como objetivo mitigar un posible ataque de ransomware o de un ciberdelincuente que quiera modificar los archivos internos del sistema operativo.

Otras opciones que tenemos disponibles en esta sección, es la posibilidad de configurar un certificado y clave privada para realizar las conexiones SSL y proteger las conexiones punto a punto. En este menú también tenemos una sección específica de política de contraseñas, donde podemos hacer que todos los usuarios administradores del sistema cumplan estas políticas de seguridad. Por último, podemos realizar una configuración avanzada de todas las notificaciones que nosotros queramos, podemos crear reglas de notificación de eventos de aplicaciones, sistema etc, como suele ser habitual en QTS.

QuLog Center

En la aplicación de «QuLog Center» es donde podemos ver todos los registros del sistema operativo, es el núcleo central del sistema donde ver todos los logs muy bien organizados y categorizados, de esta forma, podemos ver los registros de eventos, accesos, los usuarios que están conectados en línea e incluso configurar el registro en detalle. También podríamos enviar estos registros a un servidor syslog remoto sin ningún problema, para centralizar todo el contenido de los logs.

Este menú es muy similar al de QTS, con las mismas opciones para la visualización de los logs.

Soporte Técnico

En la aplicación de «Soporte técnico» es donde tenemos la posibilidad de solicitar ayuda técnica de QNAP, tanto por algún bug o fallo que detectemos como también alguna duda respecto a la funcionalidad del sistema.

Esta misma aplicación la tenemos disponible en QTS y es exactamente la misma de siempre, nada ha cambiado en este aspecto.

Monitor de Recursos

En el monitor de recursos vamos a poder ver la información general del equipo, tanto del uso de CPU, RAM, uso de la red de datos con los diferentes puertos Ethernet, los procesos del sistema operativo que se están ejecutando actualmente, los recursos de almacenamiento etc. Si queremos saber el estado general del sistema en tiempo real, este es el menú que debes visitar.

Teniendo en cuenta que las funciones de NDR pueden consumir bastante potencia de procesamiento, sería interesante vigilar la carga de CPU para dimensionar la red adecuadamente.

License Center

NDR ADRA es un software de pago bajo suscripción, cuando compramos el equipo disponemos de una suscripción trial de un mes, con el objetivo de probar todas las funciones disponibles y ver en los registros qué tipo de ataques ha detectado, pero posteriormente debemos comprar la suscripción premium para que el equipo sea capaz de bloquear todos los ataques a nivel de red que encuentre.

La licencia la podemos comprar directamente desde este centro de licencias, actualmente los precios son:

  • Licencia de 1 año por 399 dólares.
  • Licencia de 3 años por 1.099 dólares.

Es posible que, por la compra de un QGD-1600P o QGD-1602P el fabricante ponga en promoción la licencia de 1 año y la incluya con la compra del hardware del equipo.

Espacio de Almacenamiento

Respecto al espacio de almacenamiento, cuando instalamos NDR ADRA la configuración del conjunto de almacenamiento y también de los volúmenes se hace de forma completamente automática, no tenemos que hacer ninguna acción adicional, por lo que es totalmente transparente de cara al administrador.

Como podéis ver, el propio sistema operativo se encarga de crear diferentes volúmenes de datos para almacenar diferente información, y todo ello sin que nos haya preguntado absolutamente nada a la hora de instalarlo.

ADRA NDR

ADRA NDR es el corazón de este sistema operativo, esta aplicación es el software principal del sistema QNE del que hemos hablado. Con esta aplicación podremos monitorizar, gestionar y administrar todas las alertas y problemas de seguridad que se encuentren en base a unas reglas.

Lo primero que vemos al abrir el ADRA NDR es que el dispositivo está usando una versión trial, por lo que si queremos usar todas las funciones debemos comprar la licencia de pago, de lo contrario, toda la información será limitada y no podrá bloquear ningún tipo de ataque.

En el menú principal podremos ver todos los puertos físicos del switch, si están en funcionamiento o no. También tenemos los diferentes ataques en riesgo alto, medio y bajo, dependiendo del nivel de gravedad que tengan. Por supuesto, podremos verlo todo en tiempo real, y también podremos ver las direcciones IP de origen que más alertas de seguridad están experimentando, con el objetivo de tener controladas esas direcciones IP.

En los diferentes menús de ADRA NDR podemos ver la actividad sospechosa, el análisis de riesgos, y también podemos configurar diferentes reglas para añadir o quitar la política de privacidad en concreto, también tenemos la posibilidad de dar de alta diferentes traps en diferentes instancias de la red, con el objetivo de proteger diferentes redes de forma simultánea. Por supuesto, en el menú de «Advanced» podemos añadir diferentes exclusiones, así como configurar el Port Mirroring del equipo.

Otras opciones de configuración disponibles en este menú, es la posibilidad de configurar notificaciones basadas en reglas, si pinchamos aquí nos llevará directamente al centro de notificaciones para configurar correctamente los eventos que nosotros queramos. Finalmente, en la sección de «System» podremos acceder a las actualizaciones de los componentes y reglas internas de detección, también podemos ver todos los logs o registros, enviar estos logs a un servidor syslog remoto, ver si todas las aplicaciones instaladas internas son originales o han sido modificadas, así como si queremos enviar analíticas de uso a QNAP para mejorar el producto, y finalmente veremos la licencia que tenemos activada.

Simulación de ataques de red

Para probar la versión trial de ADRA NDR, hemos conectado varios equipos vía cable de red a la parte de switch, y con un único ordenador hemos lanzado diferentes tipos de ataques al resto de ordenadores, como ataques contra el servidor SSH, ataques de escaneo de puertos etc. En el menú de gestión de riesgos nos aparecerá que la dirección IP de origen y la MAC en cuestión están realizando un ataque a otros equipos, nos saldrá la fecha y hora del suceso.

En el menú de «análisis de la amenaza» podremos ver más en detalle qué ha detectado el sistema operativo, debemos recordar que sin licencia no es capaz de parar ningún tipo de ataque, pero sí detectarlo correctamente y clasificarlo.

Como podéis ver, gracias a ADRA NDR vamos a poder proteger los equipos de la red local profesional, es una capa más de seguridad muy importante que deberíamos implementar. Gracias a los diferentes puertos Ethernet que tenemos disponibles en este equipo, el QGD-1602P será capaz de capturar y escanear todo el tráfico de red para bloquear cualquier posible amenaza. Si un ordenador se ve infectado por un ransomware y lo conecta a la red, automáticamente el sistema bloqueará toda comunicación y nos alertará de que se ha detectado una amenaza de peligrosidad alta, y así con cientos de amenazas que nos podemos encontrar a nivel de red.

¡Sé el primero en comentar!