Recentemente publicamos um artigo sobre como proteger e blindar o N-able RMM. Portanto, resolvemos publicar um seguindo essa mesma linha de pensamento para o N-able N-central.
Muito desse conteúdo é de conhecimento comum, montamos uma lista de verificação para que você possa revisar a segurança de sua plataforma N-central e garantir que está atendendo a algumas dessas práticas recomendadas. Confira!
A segurança nem sempre é conveniente, exige algum trabalho e às vezes pode realmente nos atrasar. Especialmente, quando temos que autenticar e restabelecer conexões para continuar o que estamos trabalhando. Mas a realidade é que o cenário de ameaças é real tanto para o MSP, quanto para seus clientes. Por isso, você precisa mitigar os riscos envolvidos.
Configurações que se aplicam apenas a servidores locais
- Restrições de porta: Em seu firewall, bloqueie a porta 10000 (porta do Central Admin Console) na WAN e acessível apenas para a LAN. Opcionalmente, bloqueie a porta 22 para acesso SSH na WAN e acesse apenas a LAN. Como alternativa, você pode bloquear muitas outras portas, mas certifique-se de consultar o whitepaper de segurança N-central aqui . Observe que as portas 443 e 5280 devem ser deixadas abertas para comunicação do agente e controle remoto.
- Em Sistema> Administração> Usuários, confirme se a conta de suporte N-able está desabilitada. Ative o acesso a esta conta apenas quando orientado por um agente de suporte e certifique-se de que esta conta de suporte seja desativada quando a solução de problemas for concluída.
- Revise as regras de complexidade de senha padrão no N-central para garantir que correspondam ao padrão que você aplica. Jason Murphy, N-central Automation Nerd da N-able, em um artigo disse que geralmente vê que essa configuração é alterada para senhas que nunca expiram ou para a menor complexidade possível. Portanto, você pode definir isso ao efetuar login no console de administração do N-able com a conta “productadmin”.
- Firewall de aplicativo da Web: embora esta não seja uma configuração compatível atualmente, temos parceiros que usam WAF e estão fazendo isso com sucesso. Um parceiro N-able postou sobre isso no Reddit com as instruções, confira.
Configurações que se aplicam a parceiros hospedados e locais
- Revise as contas de usuários/funcionários trimestralmente e desative as contas como parte do processo de desligamento de funcionários. Seus clientes esperam que você faça isso por eles, você também deve fazer isso por sua empresa.
- Cada conta de usuário deve ter 2FA habilitado . Isso pode parecer um inconveniente para os funcionários, mas eles também devem estar acostumados com outros sistemas, como Microsoft 365 e Azure.
- Observe suas permissões baseadas em funções em Administração> Grupo de acesso e funções e defina novas permissões que sigam o princípio do menor privilégio. Confirme se eles correspondem ao acesso a seus clientes e às áreas do N-central de que seus funcionários precisam.
- Aplique os tempos limite de sessão do navegador em cada conta de administrador no N-central. Em: Nível de sistema e nível de organização de serviço> Administração> Usuários> clique em cada Login e em Detalhes do usuário> Informações do usuário e certifique-se de que esteja definido para não mais do que 20 a 120 minutos. Revise isso trimestralmente, pois o usuário pode modificar esta configuração.
Dicas adicionais para servidores locais
Existem alguns outros itens importantes que devemos destacar apesar de não se qualificarem como proteção em si, mas se aplicam a servidores locais do N-central.
Certifique-se de que o N-central e seu negócio MSP não tenham uma VPN site-to-site para nenhum de seus clientes por qualquer motivo. A maioria dos MSPs não faz isso, mas alguns ainda fazem isso. Recomendamos revogar essa prática.
Se você executar o N-central virtualizado em HyperV, considere configurar redundância/failover para alta disponibilidade.
Certifique-se de ter backups de FTP usando a funcionalidade de backup nativa no N-central em Sistema> Administração> Backup e restauração do sistema> Configurar backup. Certifique-se de que essas configurações estejam concluídas e que os backups tenham êxito. Além disso, teste suas restaurações.