V posledních letech došlo k dramatickému nárůstu kybernetických bezpečnostních hrozeb. Podle zprávy deníku The New York Times bylo v roce 2019 napadeno ransomwarem více než 200 000 organizací, což je o 41 % více než v roce předchozím.
Abychom vám pomohli s ochranou, sestavili jsme seznam důležitých nastavení zabezpečení dat, která jsou často přehlížena. Na závěr jsme připojili bonusové tipy, které by vám mohly pomoci zajistit integritu dat – další pilíř ochrany dat.
Poznámka: K většině níže uvedených nastavení má přístup a může je upravovat pouze uživatelský účet s právy správce.
Tip 1: Zakázat výchozí účet správce
Běžná uživatelská jména správce mohou způsobit, že zařízení Synology NAS bude zranitelné vůči záškodníkům, kteří používají útoky hrubou silou využívající běžné kombinace uživatelského jména a hesla. Při nastavování zařízení NAS se vyhněte běžným jménům, jako jsou “admin”, “administrator”, “root “*. Doporučujeme také nastavit silné a jedinečné heslo hned po nastavení zařízení Synology NAS a zakázat výchozí systémový účet správce**.
Pokud se v současné době přihlašujete pomocí uživatelského účtu “admin”, přejděte na Ovládací panely > Uživatel a vytvořte nový účet správce. Poté se přihlaste pomocí nového účtu a zakažte výchozí systémový účet “admin”.
* “root” není jako uživatelské jméno povoleno.
** Pokud je nastaveno jiné uživatelské jméno než “admin”, výchozí účet již bude zakázán.
Tip 2: Síla hesla
Silné heslo chrání systém před neoprávněným přístupem. Vytvořte si složité heslo, které bude obsahovat smíšená písmena, číslice a speciální znaky tak, abyste si je zapamatovali pouze vy.
Používání společného hesla pro mnoho účtů je také pozvánkou pro hackery. Pokud dojde k prozrazení jednoho účtu, mohou hackeři snadno převzít kontrolu nad ostatními účty. To se pravidelně stává u webových stránek a dalších poskytovatelů služeb. Doporučujeme zaregistrovat se u veřejných monitorovacích služeb, jako je Have I Been Pwned nebo Firefox Monitor.
Pokud máte problémy se zapamatováním složitých a jedinečných hesel pro různé účty, může být nejlepším řešením správce hesel (např. náš nový C2 Password). Stačí si zapamatovat pouze jedno heslo – hlavní heslo – a správce hesel vám pomůže vytvořit a vyplnit přihlašovací údaje pro všechny ostatní účty.
Pokud spravujete zařízení Synology NAS, které se stará o ověřování*, můžete přizpůsobit zásady uživatelských hesel a zpřísnit požadavky na zabezpečení hesel pro všechny nové uživatelské účty. Přejděte na Ovládací panely > Uživatel > Upřesnit a zaškrtněte políčko Použít pravidla pro posílení hesla v části Nastavení hesla. Zásady budou použity pro každého uživatele, který vytvoří nový účet.
* Podobné možnosti jsou k dispozici také v rámci balíčků LDAP Server a Directory Server.
Tip 3: Zůstaňte v obraze a povolte upozornění
Pravidelně vydáváme aktualizace systému DSM, které poskytují vylepšení funkčnosti a výkonu a řeší bezpečnostní chyby produktu.
Kdykoli se objeví bezpečnostní zranitelnost, náš tým PSIRT (Product Security Incident Response Team) provede do 8 hodin posouzení a vyšetřování a do dalších 15 hodin vydá opravu, aby pomohl zabránit potenciálním škodám způsobeným útoky nultého dne.
Většině uživatelů důrazně doporučujeme nastavit automatické aktualizace, aby se nejnovější aktualizace systému DSM instalovaly automaticky*.
Další důležitou věcí, kterou je třeba vzít v úvahu, je zůstat na vrcholu, jakmile se něco objeví. Nastavte si na zařízení Synology NAS oznámení a nechte se upozornit e-mailem, SMS zprávou, na mobilním zařízení nebo prostřednictvím webového prohlížeče, když dojde k určitým událostem nebo chybám. Pokud používáte službu DDNS společnosti Synology, můžete si zvolit, zda chcete být upozorňováni na ztrátu připojení k vnější síti. Důležitou součástí zajištění dlouhodobé bezpečnosti vašich dat je okamžitá reakce na oznámení o tom, že na svazcích úložiště dochází místo, nebo když selže úloha zálohování a obnovy.
Doporučujeme vám také nastavit si účet Synology tak, abyste mohli dostávat naše informační bulletiny o NAS a bezpečnostních doporučeních a měli tak přehled o nejnovějších aktualizacích zabezpečení a funkcí.
* Automatická aktualizace podporuje pouze menší aktualizace DSM. Větší aktualizace vyžadují ruční instalaci.
Tip 4: Dvoufázové ověření
Pokud chcete svůj účet ještě více zabezpečit, důrazně doporučujeme povolit dvoufázové ověření. K vynucení dvoufázového ověření na účtu DSM a účtu Synology budete potřebovat mobilní zařízení a ověřovací aplikaci, která podporuje protokol TOTP (Time-based One-Time Password). Při přihlašování budou vyžadovány jak vaše uživatelské údaje, tak časově omezený šestimístný kód získaný z aplikace Microsoft Authenticator, Authy nebo jiných ověřovacích aplikací, aby se zabránilo neoprávněnému přístupu.
Pokud jste v případě účtu Synology ztratili telefon s aplikací Authenticator*, můžete k přihlášení použít záložní kódy poskytnuté během nastavení dvoufázového ověřování. Je důležité tyto kódy uchovávat v bezpečí tím, že si je někam stáhnete nebo vytisknete. Nezapomeňte tyto kódy uchovávat v bezpečí, ale přístupné.
V systému DSM můžete v případě ztráty autentizátoru v krajním případě obnovit dvoufázové ověření. Uživatelé patřící do skupiny administrátorů mohou konfiguraci resetovat.
Pokud již nejsou všechny účty správce přístupné, je třeba resetovat pověření a síťová nastavení v zařízení. Podržte hardwarové tlačítko RESET na zařízení NAS po dobu přibližně 4 sekund (uslyšíte pípnutí) a poté spusťte aplikaci Synology Assistant, která provede rekonfiguraci zařízení**.
* Některé aplikace pro ověřování podporují metody zálohování a obnovy založené na účtech třetích stran. Zhodnoťte své požadavky na zabezpečení ve srovnání s pohodlím a možnostmi obnovy po havárii
** SHA, VMM, šifrované automatické připojení sdílených složek, vícenásobné nastavení zabezpečení, uživatelské účty a nastavení portů budou resetovány. Přečtěte si další informace o procesu obnovení.
Tip 5: Spuštění nástroje Security Advisor
Security Advisor je předinstalovaná aplikace, která dokáže prověřit váš NAS na běžné problémy s konfigurací DSM a poskytne vám návrhy, co by mohlo být potřeba udělat dále, aby byl váš Synology NAS bezpečný. Může například zjistit běžné věci, jako je ponechání otevřeného přístupu SSH, zda dochází k neobvyklým přihlašovacím aktivitám a zda byly změněny systémové soubory DSM.
Tip 6: Základní funkce zabezpečení DSM, které je třeba nastavit
Na kartě Ovládací panely > Zabezpečení můžete nakonfigurovat řadu nastavení zabezpečení, abyste zabezpečili své uživatelské účty.
Automatické blokování IP adres
Otevřete Ovládací panely a přejděte do části Zabezpečení > Automatické blokování. Povolením automatického blokování automaticky zablokujete IP adresy klientů, kteří se nepřihlásí během určitého počtu pokusů a období. Správci mohou také zařadit konkrétní IP adresy na černou listinu, aby zabránili potenciálním útokům typu brute-force nebo denial-of-service.
Počet pokusů nakonfigurujte podle prostředí použití a typu uživatelů, které bude zařízení pravidelně obsluhovat. Mějte na paměti, že většina domácností a firem bude mít pro své uživatele pouze jednu externí IP adresu a že IP adresy jsou často dynamické a po určitém počtu dní nebo týdnů se změní.
Ochrana účtu
Zatímco funkce Automatické blokování zařazuje na černou listinu IP adresy, které selhaly při jednom z příliš mnoha pokusů o ověření, funkce Ochrana účtů chrání uživatelské účty tím, že blokuje přístup nedůvěryhodných klientů.
Přejděte na Ovládací panely > Zabezpečení > Ochrana účtů. Můžete povolit funkci Ochrana účtů, která chrání účty před nedůvěryhodnými klienty po nastaveném počtu neúspěšných přihlášení. To zvyšuje zabezpečení systému DSM a snižuje riziko, že se účty stanou obětí útoků hrubou silou z distribuovaných útoků.
Povolení protokolu HTTPS
S povoleným protokolem HTTPS můžete šifrovat a zabezpečit síťový provoz mezi zařízením Synology NAS a připojenými klienty, což chrání před běžnými formami odposlechu nebo útoků typu man-in-the-middle.
Přejděte na Ovládací panely > Síť > Nastavení DSM. Zaškrtněte políčko Automaticky přesměrovat spojení HTTP na HTTPS. Nyní se budete k systému DSM připojovat prostřednictvím protokolu HTTPS. V adresním řádku si všimnete, že adresa URL vašeho zařízení začíná “https://” místo “http://”. Pokud jste předtím měli určitá nastavení brány firewall nebo sítě, bude možná nutné je aktualizovat.
Pokročilé: Přizpůsobení pravidel brány firewall
Brána firewall slouží jako virtuální bariéra, která filtruje síťový provoz z vnějších zdrojů podle sady pravidel. V nabídce Ovládací panely > Zabezpečení > Brána firewall můžete nastavit pravidla brány firewall, abyste zabránili neoprávněnému přihlášení a řídili přístup ke službám. Můžete rozhodnout, zda povolit nebo zakázat přístup k určitým síťovým portům podle konkrétních IP adres, což je dobrý způsob, jak například povolit vzdálený přístup z určité kanceláře nebo povolit přístup pouze k určité službě nebo protokolu.
Tip 7: HTTPS část 2 – Let’s Encrypt
Digitální certifikáty hrají klíčovou roli v umožnění HTTPS, ale jsou často drahé a náročné na údržbu, zejména pro nepodnikatelské uživatele. Systém DSM má vestavěnou podporu pro Let’s Encrypt, bezplatnou a automatizovanou organizaci vydávající certifikáty, která umožňuje každému snadno zabezpečit svá připojení.
Pokud již máte zaregistrovanou doménu nebo používáte DDNS, přejděte do Ovládacích panelů > Zabezpečení > Certifikát. Klepněte na možnost Přidat nový certifikát > Získat certifikát od Let’s Encrypt, u většiny uživatelů byste měli zaškrtnout políčko “Nastavit jako výchozí certifikát “*. Zadejte název své domény a získejte certifikát.
Po získání certifikátu se ujistěte, že veškerý provoz probíhá přes protokol HTTPS (jak je uvedeno v tipu č. 3).
* Pokud jste zařízení nastavili tak, aby poskytovalo služby prostřednictvím více domén nebo subdomén, budete muset v Ovládacích panelech > Zabezpečení > Certifikát > Konfigurace nakonfigurovat, který certifikát se pro jednotlivé služby použije.
Tip 8: Změna výchozích portů
Ačkoli změna výchozích portů HTTP (5000) a HTTPS (5001) systému DSM na vlastní porty nemůže zabránit cíleným útokům, může zabránit běžným hrozbám, které napadají pouze předem definované služby. Chcete-li změnit výchozí porty, přejděte do nabídky Ovládací panely > Síť > Nastavení DSM a upravte čísla portů. Pokud pravidelně používáte přístup přes shell, je vhodné změnit také výchozí port SSH (22).
Pro zvýšení bezpečnosti můžete také nasadit reverzní proxy server a omezit tak potenciální vektory útoku pouze na konkrétní webové služby. Reverzní proxy server funguje jako prostředník pro komunikaci mezi (obvykle) interním serverem a vzdálenými klienty a skrývá určité informace o serveru, například jeho skutečnou IP adresu.
Tip 9: Vypněte SSH/telnet, když se nepoužívá
Pokud patříte k náročným uživatelům, kteří často vyžadují přístup k shellu, nezapomeňte vypnout SSH/telnet, pokud jej nepoužíváte. Vzhledem k tomu, že přístup roota je ve výchozím nastavení povolen a SSH/telnet podporuje pouze přihlašování z účtů správce, mohou hackeři vynutit vaše heslo a získat neoprávněný přístup do systému. Pokud potřebujete mít terminálovou službu neustále k dispozici, doporučujeme nastavit silné heslo a pro zvýšení bezpečnosti změnit výchozí číslo portu SSH (22). Můžete také zvážit využití sítě VPN a omezení přístupu SSH pouze na místní nebo důvěryhodné IP adresy.
Tip 10: Šifrování sdílených složek
DSM podporuje šifrování sdílených složek pomocí AES-256, aby se zabránilo extrakci dat před fyzickými hrozbami. Správci mohou šifrovat nově vytvořené i stávající sdílené složky.
Chcete-li zašifrovat existující sdílené složky, přejděte na Ovládací panely > Sdílená složka a upravte složku. Na kartě Šifrování nastavte šifrovací klíč a systém DSM začne složku šifrovat. Důrazně doporučujeme uložit vygenerovaný soubor s klíčem na bezpečné místo, protože bez použité přístupové fráze nebo souboru s klíčem nelze zašifrovaná data obnovit.
Důležitější než kdy jindy
Online hrozby se neustále vyvíjejí a zabezpečení dat musí být stejně mnohostranné. S přibývajícím počtem připojených zařízení doma i v práci je pro kyberzločince snazší využít bezpečnostní díry a získat přístup do vaší sítě. Zajištění bezpečnosti není něco, co uděláte jednou a pak na to zapomenete, je to trvalý proces.
zkokuka