Se avete un NAS Synology ecco come gestire le password in sicurezza con Bitwarden

I NAS Synology utilizzano il sistema operativo DSM (DiskStation Manager) che offre la possibilità, grazie al gestore pacchetti integrato, di installare un ampio ventaglio di applicazioni. In questo modo il NAS non è più un semplice dispositivo per lo storage dei dati ma uno strumento che permette di attivare funzionalità server di ogni genere per recuperare file da remoto, per condividere album fotografici, risorse multimediali, allestire sistemi per la videosorveglianza, collaborare alla stesura di documenti e molto altro ancora.

Bitwarden è un apprezzato password manager opensource che può essere utilizzato “in-cloud” a titolo gratuito oppure attivando uno dei piani a pagamento oggi disponibili.
Come abbiamo visto nell’articolo Bitwarden, come installare il password manager su server, tuttavia, è possibile installare il software su un proprio server in modo da non trasferire alcun dato su macchine remote gestite da soggetti terzi.

Come installare Bitwarden su un NAS Synology

I possessori dei NAS Synology che supportano l’installazione di Docker (vedere questa pagina) possono installare Bitwarden e gestire gli archivi delle proprie credenziali in maniera sicura approfittando anche delle funzionalità di backup in tempo reale del dispositivo (configurazioni RAID).

Portandosi nel pannello di amministrazione del NAS Synology quindi cliccando su Centro pacchetti, si dovrà digitare docker nella casella di ricerca e cliccare su Installa.

Una volta installato il software di containerizzazione Docker bisognerà fare clic sul pulsante Apri quindi su Registro per cercare poi bitwarden. Cliccando due volte su bitwardenrs/server si dovrà confermare latest come scelta.

Dopo aver premuto su Selezionare, Docker avvierà il download del container Bitwarden: cliccando su Immagine nella colonna di sinistra è possibile verificare lo stato di avanzamento della procedura (vengono scaricati circa 185 MB).

Cliccando su Avvia in alto si dovrà spuntare la casella Eseguire il contenitore usando privilegi elevati quindi fare clic su Impostazioni avanzate.

Nella prima scheda Impostazioni avanzate è opportuno attivare la casella Abilita riavvio automatico. In questo modo, nel caso in cui il container di Bitwarden dovesse arrestarsi in modo anomalo, Docker proverà a riavviarlo automaticamente.

Senza chiudere la finestra per la configurazione del container Docker è possibile fare clic sull’icona File Station posta sul desktop di DSM.
Qui si dovrà selezionare la cartella denominata docker, fare clic su Crea, Crea cartella e assegnarle il nome bitwarden.

A questo punto si dovrà fare clic sulla scheda Volume nelle impostazioni avanzate del container Docker, fare clic su Aggiungi cartella, selezionare la cartella docker creata poco fa quindi digitare /data in corrispondenza del campo Monta percorso.

Nella scheda Impostazioni porta, in corrispondenza della porta 80 (Porta contenitore), si potrà indicare 8080 all’interno del campo Porta locale (al posto di Automatico).
Si tratta della porta di comunicazione sulla quale viene posto in ascolto il server web di Bitwarden. Dal momento che sull’indirizzo IP del NAS Synology sulla porta 80 risponde già il pannello di amministrazione di DSM è ovviamente necessario selezionare un’altra porta.

Da ultimo si dovrà fare clic su Applica quindi su Avanti nella finestra delle impostazioni avanzate e ancora su Applica lasciando spuntata la casella Eseguire il contenitore al termine della procedura guidata.

Cliccando su Contenitore si può verificare come il container di Bitwarden sia correttamente caricato e in esecuzione.

Passando su un qualunque dispositivo collegato in rete locale e digitando l’indirizzo IP privato del NAS Synology seguito da :8080 nella barra degli indirizzi del browser comparirà il pannello di login di Bitwarden.

Nella barra degli indirizzi del browser appare Non sicuro perché si sta usando una connessione non crittografata (HTTP): i dati viaggiano “in chiaro”.
Dal momento che con Bitwarden si scambiano nomi utente e password è importante attivare HTTPS.

Per procedere in tal senso si può cliccare su Pannello di controllo quindi su Portale applicazione nella colonna di sinistra.
Cliccando su Proxy inverso quindi su Crea si potrà impostare la schermata così come in figura:

Indicando https://INDIRIZZO_IP_NAS:444 si otterrà un messaggio d’errore che informa come il certificato digitale non è corretto. Nonostante l’errore si può proseguire e scambiare i dati utilizzando HTTPS.

Se si possedesse un dominio di terzo livello (va bene anche l’indirizzo mnemonico fornito dal servizio Synology) basterà effettuare le stesse modifiche indicate nella figura precedente avendo cura di specificare il nome a dominio nel campo Nome host.

Accedendo al pannello di configurazione del router si dovranno inoltrare le richieste in arrivo sulla porta TCP 444 verso l’analoga porta sull’IP privato del NAS Synology.
È inoltre fondamentale attivare sul router l’inoltro del traffico in arrivo sulla porta 80 lato IP pubblico verso la porta 8080 in ascolto sull’IP privato del NAS.
Dimenticandosi inoltrare la porta 80 sull’IP pubblico verso la 8080 dell’IP del NAS Synology non sarà possibile generare un certificato digitale Let’s Encrypt e si otterrà un messaggio d’errore.
Dopo aver ottenuto il certificato Let’s Encrypt la regola di inoltro sulle porte 80-8080 potrà essere rimossa.

Tornando sul pannello di configurazione del NAS Synology e cliccando sull’icona Sicurezza nel Pannello di controllo quindi sulla scheda Certificato e infine su Aggiungi si potrà generare un nuovo certificato digitale gratuito con Let’s Encrypt (Aggiungi nuovo certificato, Ottieni certificato da Let’s Encrypt).

In corrispondenza di Nome del dominio si deve specificare il nome a dominio. Appena sotto indicare il proprio indirizzo email.
Come ultimo passo il certificato digitale Let’s Encrypt dovrà essere associato al servizio in ascolto sulla porta 444 (impostato in precedenza nella sezione Proxy inverso).

Il consiglio è però quello di bloccare successivamente l’accesso senza restrizioni sulla porta 444 limitandolo solo a specifici gruppi di IP pubblici o utilizzando una VPN.

Per rafforzare ulteriormente la sicurezza, una volta creati gli account utente desiderati all’interno di Bitwarden, si può accedere alla configurazione del container Docker, cliccare sulla scheda Ambiente quindi aggiungere la nuova variabile SIGNUPS_ALLOWED impostandola a false.
In questo modo non sarà più permessa la creazione di nuovi account Bitwarden.