Az elmúlt évek során drámai módon megnövekedtek a kiberbiztonsági fenyegetések. A New York Times jelentése alapján 2019-ben több mint 200 000 szervezetet támadtak meg zsarolóvírussal, ami 41%-os növekedést jelent az előző évhez képest.
Annak érdekében, hogy hatékonyan megvédhesd magad, összeállítottunk egy listát azokról a fontos adatbiztonsági beállításokról, melyeket a felhasználók gyakran figyelmen kívül hagynak. A cikk végén olyan bónusztippeket is megosztunk, amik segíthetnek biztosítani az adatok integritását – az adatvédelem másik fontos pillérét.
Megjegyzés: Az alább felsorolt beállítások többsége csak rendszergazdai jogokkal rendelkező felhasználói fiókkal érhető el és módosítható.
1. tipp: Az alapértelmezett rendszergazdai fiók letiltása
A gyakori rendszergazdai felhasználónevek sebezhetővé tehetik Synology NAS-rendszered az olyan rosszindulatú behatolókkal szemben, amelyek brute-force támadásokat alkalmaznak, és általános felhasználónév-, valamint jelszókombinációkat használnak. A NAS beállításakor kerüld az olyan általános fiókneveket, mint az „admin”, „administrator” vagy „root”1! Azt is javasoljuk, hogy a Synology NAS beállítását követően közvetlenül állíts be egy erős és egyedi jelszót, továbbá tiltsd le a rendszer alapértelmezett adminisztrátori fiókját2.
Ha jelenleg az „admin” felhasználói fiókot használod, kérjük, lépj be a Vezérlőpult > Felhasználó felületre és hozz létre egy új rendszergazdai fiókot! Ezután jelentkezz be az új fiókkal és tiltsd le a rendszer alapértelmezett „admin” fiókját!
1 A „root” használata nem engedélyezett felhasználónévként.
2 Ha a NAS-rendszert nem „admin” felhasználónévvel állítod be, az alapértelmezett fiók már le lesz tiltva.
2. tipp: Jelszó erőssége
Egy erős jelszó hatékonyan megvédi a rendszert az illetéktelen hozzáféréstől. Hozz létre egy összetett jelszót, amely vegyesen tartalmaz kis- és nagybetűket, számjegyeket és speciális karaktereket úgy, hogy azt csak egyedül Te tudd megjegyezni!
A különböző fiókokhoz történő azonos jelszó használata szintén ingyen belépő a hackereknek. Ha egy fiókot feltörnek, a hackerek könnyen átvehetik az irányítást a többi aktív fiók felett. Ez rendszeresen megtörténik a különböző webhelyek és más szolgáltatók esetén is. Javasoljuk, hogy regisztrálj az olyan nyilvánosan elérhető felügyeleti szolgáltatásokra, mint például a Have I Been Pwned vagy a Firefox monitor.
Ha problémát jelent a különböző fiókokhoz tartozó összetett és egyedi jelszavak megjegyzése, akkor javasoljuk egy jelszókezelő (például 1Password, LastPass vagy Bitwarden) használatát. Csak egyetlen egy jelszót kell megjegyezned – a mesterjelszót –, a jelszókezelő pedig segít az összes többi fiók bejelentkezési adatainak létrehozásában és kitöltésében.
Ha a hitelesítést3 kezelő Synology NAS-on rendelkezel rendszergazdai fiókkal, akkor testre szabhatod a felhasználói jelszavak házirendjét, amellyel egyszerűen szigoríthatod a jelszóbiztonsági követelményeket minden új felhasználói fiókra vonatkozóan. Menj a Vezérlőpult > Felhasználó > Speciális beállításokra és jelöld be a Jelszóerősségi szabályok alkalmazása jelölőnégyzetet a Jelszóbeállítások részben! A házirend minden felhasználóra vonatkozik, aki új fiókot hoz létre.
3 Hasonló lehetőségek egyaránt elérhetők az LDAP Server és Directory Server csomagokban is.
3. tipp: Tartsd naprakészen a rendszert és engedélyezd az értesítéseket
A funkcionalitás és a teljesítmény javítása, valamint a termékbiztonsági sebezhetőségek megoldása érdekében rendszeresen adunk ki DSM-frissítéseket.
Ha biztonsági rés keletkezik, termékbiztonsági esetekre reagáló csapatunk (PSIRT) 8 órán belül értékelést és vizsgálatot végez, újabb 15 órán belül pedig kiad egy javítást, hogy megelőzze a nulladik napos támadásokból adódó esetleges károkat.
A legtöbb felhasználó számára erősen javasoljuk az automatikus frissítések engedélyezését, hogy a legújabb DSM-frissítések automatikusan telepítésre kerüljenek.4
Egy másik fontos dolog, hogy ha bármilyen esemény történik, a lehető leggyorsabban reagálni kell. Állítsd be az értesítéseket Synology NAS-készülékeden, hogy értesítéséket kapj e-mailben, SMS-ben, mobileszközödön vagy a webböngésződön keresztül, ha valamilyen esemény vagy hiba fordulna elő! Ha a Synology DDNS-szolgáltatást is használod, kiválaszthatod, hogy értesítést kapj, ha a külső hálózati kapcsolat megszakad. Az adatok hosszú távú biztonságának fontos részét képezi az azonnali cselekvés, ha a tárhely betelne, vagy egy biztonsági mentési és visszaállítási feladat meghiúsulna.
Javasoljuk továbbá, hogy engedélyezd Synology-fiókodban a NAS-sal és biztonsági tájékoztatásokkal kapcsolatos hírleveleinket, hogy lépést tarthass a legújabb biztonsági- és funkciófrissítésekkel.
4 Az automatikus frissítés csak a kisebb DSM-frissítéseket támogatja. A fontosabb frissítések kézi telepítést igényelnek.
4. tipp: Kétlépcsős azonosítás
Ha további biztonsági réteget szeretnél hozzáadni a fiókodhoz, erősen javasoljuk, hogy engedélyezd a kétlépcsős azonosítást. A kétlépcsős azonosítás DSM- és Synology-fiókodban történő engedélyezéshez szükséged lesz egy mobileszközre és egy olyan hitelesítő alkalmazásra, amely támogatja az időalapú egyszeri jelszó (TOTP) protokollt. A bejelentkezéshez mind a felhasználói hitelesítési adataidra, mind pedig a Microsoft Authenticatorból, Authy-ból vagy más hitelesítő alkalmazásból lekérhető, időkorlátos hatjegyű kódra is szükséged lesz, hogy ezzel is megakadályozd az illetéktelen hozzáférést.
A Synology-fiók esetén, ha elveszítetted a telefont, amely a hitelesítő alkalmazást kezeli5, a kétlépcsős hitelesítés beállítása során megadott biztonsági kódok használatával továbbra is bejelentkezhetsz. Fontos, hogy ezeket a kódokat biztonságban kell tartanod, akár letölthető formában vagy kinyomtatva. Ne felejtsd el ezeket a kódokat biztonságosan, de hozzáférhető helyen tartani!
A DSM esetében, ha elveszíted a hitelesítőt, végső megoldásként visszaállíthatod a kétlépcsős azonosítást gyári állapotba. A rendszergazdák emellett akár az egyes konfigurációkat is visszaállíthatják alapértelmezett állapotba.
Ha már nem egyik rendszergazdai fiók sem elérhető, akkor vissza kell állítani a hitelesítő adatokat és a hálózati beállításokat a NAS-készüléken. Ehhez tartsd lenyomva a hardveres RESET gombot a NAS-on körülbelül 4 másodpercig (csippanást fogsz hallani), majd indítsd el a Synology Assistant alkalmazást a készülék újrakonfigurálásához!6
5 Egyes hitelesítési alkalmazások támogatják a harmadik féltől származó, fiókalapú biztonsági mentési- és visszaállítási módszereket. Kérjük, mérlegeld biztonsági követelményeidet a kényelemi és a katasztrófa utáni helyreállítási szempontból is.
6 Az SHA, a VMM, a titkosított megosztott mappák automatikus csatlakoztatása, az egyéb biztonsági beállítások, a felhasználói fiókok és a portbeállítások is visszaállításra kerülnek. További információ a visszaállítási folyamatról
5. tipp: Futtasd a Biztonsági tanácsadót
A Biztonsági tanácsadó egy előtelepített alkalmazás, amely átvizsgálja a NAS-t gyakori DSM-konfigurációs problémák után kutatva, és javaslatokat ad arra vonatkozóan, hogy mit kellene tenned a Synology NAS biztonságának megőrzése érdekében. Például képes észlelni olyan általános dolgokat, mint az SSH-hozzáférés nyitva hagyása, a rendellenes bejelentkezési tevékenység, valamint a DSM-rendszerfájlok módosulása is.
6. tipp: Alapvető DSM biztonsági funkciók beállítása
Számos biztonsági beállítást konfigurálhatsz a Vezérlőpult > Biztonság fülön a felhasználói fiókok védelmének érdekében.
Automata IP-blokkolás
Nyisd meg a Vezérlőpultot és lépj a Biztonság > Automata blokkolás menüpontra! Engedélyezd az automata blokkolást, amely automatikusan letiltja azokat a kliens IP-címeket, amelyekről túl sokszor próbáltak meg sikertelenül bejelentkezni meghatározott számú alkalommal, adott időszakon belül! Az adminisztrátorok bizonyos IP-címeket feketelistára helyezhetnek, hogy megakadályozzák az esetleges brute-force vagy DoS-támadásokat.
Egyaránt beállíthatod a megengedett próbálkozások számát a használati környezet és az eszköz által rendszeresen kiszolgált felhasználók típusa alapján. Ne feledd, hogy a legtöbb háztartás és vállalkozás csak egyetlen külső IP-címmel rendelkezik a felhasználók számára, valamint azt se, hogy az IP-címek gyakran dinamikusak, amelyek bizonyos számú nap vagy hét után megváltoznak.
Fiókvédelem
Míg az Automata blokkolás feketelistára helyezi azokat az IP-címeket, amelyekről túl sok sikertelen hitelesítési kísérlet érkezett, a fiókvédelem a nem megbízható klienshozzáférések blokkolásával védi meg a felhasználói fiókokat.
Ez a Vezérlőpult > Biztonság > Fiókvédelem felületen érhető el. Itt engedélyezheted a fiókvédelmet, hogy bizonyos számú sikertelen bejelentkezési kísérlet után a rendszer letiltsa a nem megbízható klienseket. Ez javítja a DSM biztonságát, és csökkenti annak kockázatát, hogy a fiókok az kiterjesztett brute-force támadások áldozatává váljanak.
HTTPS engedélyezése
Ha a HTTPS engedélyezve van, egyszerűen titkosíthatod és biztonságossá teheted a Synology NAS és a csatlakoztatott kliensek közötti hálózati forgalmat, ami védelmet nyújt a lekövetések vagy a köztes támadások gyakori formái ellen.
Nyisd meg a Vezérlőpult > Hálózat > DSM-beállítások menüpontot! Jelöld be a HTTP-kapcsolatok automatikus átirányítása HTTPS-re jelölőnégyzetet! Ezt követően HTTPS-kapcsolaton keresztül csatlakozhatsz a DSM-hez. A címsorban úgy veheted észre, hogy a készüléked URL-je „https://” előtaggal kezdődik „http://” helyett. Bizonyos tűzfal- vagy hálózati beállításokat frissíteni kell a beállítást követően.
Haladó: Tűzfalprofil testreszabása
A tűzfal egyfajta virtuális akadályként szolgál, amely egy szabálykészlet szerint szűri a külső forrásokból érkező hálózati forgalmat. Nyisd meg a Vezérlőpult > Biztonság > Tűzfal felületet a tűzfalprofilok beállításához a jogosulatlan bejelentkezés megakadályozásának és a szolgáltatáshoz való hozzáférés szabályozásának beállításához! Eldöntheted, hogy engedélyezed vagy megtagadod a hozzáférést bizonyos hálózati portokhoz meghatározott IP-címek alapján. Ez kiváló módot kínál arra, hogy a távoli hozzáférést engedélyezd egy adott irodából, vagy csak egy adott szolgáltatáshoz, protokollhoz engedélyezd a hozzáférést.
7. tipp: HTTPS 2. rész – Let’s Encrypt – Titkosításra fel!
A digitális tanúsítványok kulcsszerepet játszanak a HTTPS engedélyezésében, de gyakran drágák és nehezen karbantarthatók, különösen a nem üzleti hátterű felhasználók számára. A DSM támogatja a Let’s Encrypt szolgáltatást – egy ingyenesen elérhető és automatizált tanúsítványkibocsátó szervezet – amely bárki számára lehetővé teszi a kapcsolatok biztonságossá tételét.
Ha már rendelkezel regisztrált domain címmel vagy DDNS-sel, akkor nyisd meg a Vezérlőpult > Biztonság > Tanúsítvány felületet! Kattints a Hozzáadás > Új tanúsítvány hozzáadása > Tanúsítvány kérése a Let’s Encrypt szolgáltatótól lehetőségre! A legtöbb felhasználó esetén be kell jelölni a „Beállítás alapértelmezett tanúsítványként”7 lehetőséget is. Írd be a domain nevét a tanúsítvány megszerzéséhez!
Miután megkaptad a tanúsítványt, győződj meg arról, hogy az összes forgalom HTTPS-en keresztül halad (a 3. tippben leírtak szerint)!
7 Ha úgy állítottad be készülékedet, hogy több tartományon vagy aldomainen keresztül nyújtson szolgáltatásokat, akkor be kell állítanod, hogy melyik tanúsítványt használják az egyes szolgáltatások a Vezérlőpult > Biztonság > Tanúsítvány > Beállítás felületen.
8. tipp: Az alapértelmezett portok módosítása
Bár a DSM alapértelmezett HTTP (5000) és HTTPS (5001) portjainak egyéni portra történő megváltoztatása nem akadályozza meg a célzott támadásokat, elhárítja azokat a gyakori fenyegetéseket, amelyek csak előre meghatározott szolgáltatásokat támadnak meg. Az alapértelmezett portok módosításához lépj a Vezérlőpult > Hálózat > DSM-beállítások felületre! Ha rendszeresen használsz shell hozzáférést, érdemes megváltoztatni az alapértelmezett SSH (22) portot is.
Fordított proxy-t is telepíthetsz, hogy a potenciális támadási vektorokat csak bizonyos webszolgáltatásokra szorítsd vissza a fokozott biztonság érdekében. A fordított proxy közvetítőként működik a belső szerver (általában) és a távoli kliensek közötti kommunikációban, miközben bizonyos információkat elrejt a szerverről, például a tényleges IP-címet.
9. tipp: Tiltsd le az SSH/telnet szolgáltatásokat, ha azok nincsenek használatban!
Ha hozzáértő felhasználó vagy, aki gyakran használja a shell hozzáférést, ne feledkezz meg az SSH/telnet szolgáltatást kikapcsolásáról, ha nem használod azokat. Mivel a root hozzáférés alapértelmezés szerint engedélyezve van, valamint az SSH/telnet csak a rendszergazdai fiókokból történő bejelentkezést támogatja, a hackerek brute-force támadással ellophatják a jelszavadat, hogy illetéktelenül hozzáférhessenek a rendszeren tárolt fájlokhoz. Ha szükséges, hogy a terminálszolgáltatás mindig elérhető legyen, javasoljuk, hogy a biztonság növelése érdekében állíts be egy erős jelszót és módosítsd az alapértelmezett SSH-portot (22). Ezenkívül fontolóra veheted a VPN-ek használatát is, az SSH-hozzáférést pedig akár kizárólag a helyi vagy megbízható IP-címekre is korlátozhatod.
10. tipp: Megosztott mappák titkosítása
A DSM támogatja a megosztott mappák AES-256 titkosítását, hogy megakadályozza az adatok fizikai úton történő eltulajdonítását. A rendszergazdák egyszerűen titkosíthatják az újonnan létrehozott és a meglévő megosztott mappáikat is.
A már meglévő megosztott mappák titkosításához csak nyisd meg a Vezérlőpult > Megosztott mappa felületet és kattints a szerkesztésre! Válassz ki egy titkosítási kulcsot a Titkosítás lapon, ezt követően pedig a DSM megkezdi a mappa titkosítását! Javasoljuk, hogy a létrehozott kulcsfájlt biztonságos helyre mentsd, ugyanis a titkosított adatok nem állíthatók vissza a beállított jelszó-kifejezés vagy a kulcsfájl megléte nélkül.
Bónusz tipp: Adatintegritás
Az adatbiztonság elválaszthatatlanul összefügg az adatok konzisztenciájával és pontosságával, vagyis az adatok integritásával. Az adatok biztonsága a megfelelő adatintegritás előfeltétele, mivel az illetéktelen hozzáférés az adatok manipulálásához vagy adatvesztéshez vezethet, ami egyúttal használhatatlanná is teheti az érzékeny adatokat.
Két dolgot tehetsz az adatok pontosságának és következetességének biztosítása érdekében: az adatok ellenőrző összegének engedélyezése, valamint a SMART tesztek rendszeres futtatása. Korábbi blogbejegyzéseinkben mindezekről többet is megtudhatsz.
Fontosabb, mint valaha
Az online fenyegetések folyamatosan fejlődnek, ebből adódóan az adatbiztonságnak is ugyanolyan sokrétűnek kell lennie. Ahogy egyre több csatlakoztatott eszközt használsz otthonodban és a munkahelyeden, a kiberbűnözők számára is egyszerűbb lesz kihasználni a biztonsági réseket, hogy hozzáférhessenek a hálózathoz. A biztonság megőrzése nem egy olyan dolog, amit csak egyszer kell beállítanod, majd elfelejtheted. A megfelelő biztonságot folyamatosan felügyelned kell.