Co roku obchodzimy, Światowy Dzień tworzenia kopii zapasowych, jednak nie każdy o nim pamięta. Przygotowaliśmy 10 wskazówek dotyczących bezpieczeństwa danych, które pomogą Ci zabezpieczyć urządzenia Synology przed zagrożeniami internetowymi.
W ostatnich latach nastąpiła dramatyczna eskalacja zagrożeń dla cyberbezpieczeństwa. Według raportu The New York Times w 2019 r. Zaatakowano ponad 200 000 organizacji przy użyciu oprogramowania ransomware, co stanowi wzrost o 41% w porównaniu z rokiem poprzednim
Aby pomóc Ci się chronić, przygotowaliśmy listę ważnych ustawień bezpieczeństwa danych, które są często pomijane. Na koniec zamieściliśmy dodatkowe wskazówki, które pomogą Ci zapewnić integralność danych – kolejny filar ochrony danych.
Uwaga: większość ustawień wymienionych poniżej jest dostępna i modyfikowana tylko przez konto użytkownika z uprawnieniami administratora.
Wskazówka 1: bądź na bieżąco i włącz powiadomienia
Regularnie publikujemy aktualizacje DSM, aby zapewnić ulepszenia funkcjonalne i wydajności oraz usunąć luki w zabezpieczeniach produktów.
Zawsze, gdy pojawi się luka w zabezpieczeniach, nasz zespół reagowania na incydenty związane z bezpieczeństwem produktów (PSIRT) przeprowadzi ocenę i dochodzenie w ciągu 8 godzin i wyda poprawkę w ciągu następnych 15 godzin, aby zapobiec potencjalnym szkodom spowodowanym atakami typu zero-day.
W przypadku większości użytkowników zdecydowanie zalecamy skonfigurowanie automatycznych aktualizacji, aby najnowsze aktualizacje DSM były instalowane automatycznie. *
Wiele urządzeń Synology ma opcję uruchomienia Virtual DSM w programie Virtual Machine Manager, aby utworzyć zwirtualizowaną wersję systemu operacyjnego DSM. Użyj Virtual DSM, aby utworzyć środowisko przejściowe, a następnie zreplikuj lub spróbuj odtworzyć w nim swoje środowisko produkcyjne. Wykonaj test aktualizacji, instalując najnowszą wersję DSM na swoim Virtual DSM i sprawdź kluczowe funkcje, których wymaga bieżące wdrożenie, przed przystąpieniem do aktualizacji w środowisku głównym.
Inną ważną rzeczą, którą należy wziąć pod uwagę, jest bycie na bieżąco z wydarzeniami. Skonfiguruj powiadomienia na serwerze Synology NAS i otrzymuj powiadomienia e-mailem, SMS-em, na urządzeniu mobilnym lub za pośrednictwem przeglądarki internetowej, gdy wystąpią określone zdarzenia lub błędy. Jeśli korzystasz z usługi DDNS firmy Synology, możesz otrzymywać powiadomienia o utracie połączenia z siecią zewnętrzną. Natychmiastowe działanie na powiadomienia o wyczerpaniu się woluminu pamięci masowej lub w przypadku niepowodzenia zadania tworzenia kopii zapasowych i przywracania jest ważnym elementem zapewniania długoterminowego bezpieczeństwa danych.
Zachęcamy również do założenia konta Synology, aby otrzymywać nasze biuletyny z poradami dotyczącymi NAS i bezpieczeństwa, aby być na bieżąco z najnowszymi aktualizacjami zabezpieczeń i funkcji.
* Automatyczna aktualizacja obsługuje tylko drobne aktualizacje DSM. Duże aktualizacje wymagają ręcznej instalacji.
Wskazówka 2: Uruchom Doradcę ds. Zabezpieczeń
Doradca ds. zabezpieczeń to wstępnie zainstalowana aplikacja, która może przeskanować serwer NAS pod kątem typowych problemów z konfiguracją DSM, podając sugestie dotyczące dalszych działań, które mogą być konieczne do zapewnienia bezpieczeństwa serwera Synology NAS. Na przykład może wykryć typowe rzeczy, takie jak pozostawienie otwartego dostępu SSH, czy występują jakieś nieprawidłowe działania związane z logowaniem i czy pliki systemowe DSM zostały zmodyfikowane.
Wskazówka 3: Podstawowe funkcje zabezpieczeń DSM do skonfigurowania
Możesz skonfigurować szereg ustawień zabezpieczeń w Panelu sterowania > zakładka Bezpieczeństwo, aby zabezpieczyć swoje konta użytkowników.
Automatyczne blokowanie adresów IP
Otwórz Panel sterowania i przejdź do Bezpieczeństwo > Konto > Automatyczne blokowanie . Włącz automatyczne blokowanie, aby automatycznie blokować adresy IP klientów, którzy nie logują się w określonej liczbie razy i w określonym okresie. Administratorzy mogą również umieszczać na czarnej liście określone adresy IP, aby zapobiec potencjalnym atakom typu brute force lub denial-of-service.
Skonfiguruj liczbę prób w oparciu o środowisko użytkowania i typ użytkowników, których urządzenie będzie regularnie obsługiwać. Należy pamiętać, że większość domów i firm ma tylko jeden zewnętrzny adres IP dla swoich użytkowników, a adresy IP są często dynamiczne i zmieniają się po określonej liczbie dni lub tygodni.
Ochrona konta
Podczas gdy funkcja Automatyczne blokowanie umieszcza na czarnej liście adresy IP, które nie powiodły się o jedną zbyt wiele prób uwierzytelnienia, Ochrona konta chroni konta użytkowników, blokując dostęp niezaufanych klientów.
Wybierz Panel sterowania > Bezpieczeństwo > Konto > Ochrona konta . Możesz włączyć ochronę konta, aby chronić konta przed niezaufanymi klientami po określonej liczbie nieudanych logowania. Zwiększa to bezpieczeństwo Twojego DSM i zmniejsza ryzyko, że konta padną ofiarą ataków siłowych ze strony ataków rozproszonych.
Włącz HTTPS
Dzięki włączonemu protokołowi HTTPS możesz szyfrować i zabezpieczać ruch sieciowy między serwerem Synology NAS a podłączonymi klientami, co chroni przed typowymi formami podsłuchiwania lub atakami typu man-in-the-middle.
Wybierz Panel sterowania > Sieć > Ustawienia DSM . Zaznacz pole wyboru Automatycznie przekierowuj połączenia HTTP na HTTPS. Teraz połączysz się z DSM przez HTTPS. Na pasku adresu zauważysz, że adres URL Twojego urządzenia zaczyna się od „https: //” zamiast „http: //”. Zauważ, że domyślny numer portu dla https to 443, podczas gdy http domyślnie używa portu 80. Jeśli wcześniej stosowałeś pewne ustawienia zapory lub sieci, może być konieczne ich zaktualizowanie.
Zaawansowane: dostosuj reguły zapory
Zapora służy jako wirtualna bariera, która filtruje ruch sieciowy ze źródeł zewnętrznych zgodnie z zestawem reguł. Wybierz Panel sterowania > Bezpieczeństwo > Zapora sieciowa, aby skonfigurować reguły zapory, aby zapobiec nieautoryzowanemu logowaniu i kontrolować dostęp do usług. Możesz zdecydować czy zezwolić lub odmówić dostępu do określonych portów sieciowych za pomocą określonych adresów IP, co jest dobrym sposobem, na przykład, aby zezwolić na zdalny dostęp z określonego biura lub zezwolić na dostęp tylko do określonej usługi lub protokołu.
Wskazówka 4: HTTPS, część 2 – Let’s Encrypt
Certyfikaty cyfrowe odgrywają kluczową rolę we włączaniu protokołu HTTPS, ale często są drogie i trudne w utrzymaniu, zwłaszcza dla użytkowników niebędących firmami. DSM ma wbudowaną obsługę Let’s Encrypt, bezpłatnej i zautomatyzowanej organizacji wystawiającej certyfikaty, aby umożliwić każdemu łatwe zabezpieczenie połączeń.
Jeśli masz już zarejestrowaną domenę lub korzystasz z DDNS, przejdź do Panel sterowania > Bezpieczeństwo > Certyfikat . Kliknij Dodaj nowy certyfikat > Uzyskaj certyfikat od Let’s Encrypt. W przypadku większości użytkowników należy zaznaczyć opcję „Ustaw jako certyfikat domyślny” *. Wpisz nazwę domeny, aby otrzymać certyfikat.
Po uzyskaniu certyfikatu upewnij się, że cały ruch przechodzi przez HTTPS (zgodnie z wskazówką nr 3).
* Jeśli skonfigurowałeś swoje urządzenie do świadczenia usług za pośrednictwem wielu domen lub subdomen, musisz skonfigurować, który certyfikat jest używany przez każdą usługę w Panelu sterowania > Bezpieczeństwo > Certyfikat > Konfiguruj
Wskazówka 5: Wyłącz domyślne konto administratora
Popularne nazwy użytkowników administratora mogą narazić serwer Synology NAS na ataki złośliwych stron, które stosują ataki typu „brute-force, które wykorzystują typowe kombinacje nazwy użytkownika i hasła. Podczas konfigurowania NAS unikaj popularnych nazw, takich jak „admin”, „administrator”, „root” *. Zalecamy również ustawienie silnego i unikalnego hasła zaraz po skonfigurowaniu serwera Synology NAS i wyłączenie domyślnego konta administratora systemu **.
Jeśli aktualnie logujesz się przy użyciu konta użytkownika „admin”, przejdź do Panel sterowania > Użytkownik i utwórz nowe konto administracyjne. Następnie zaloguj się przy użyciu nowego konta i wyłącz konto domyślnego użytkownika z uprawnieniami administratora „admin”.
* „Root” nie jest dozwoloną nazwą użytkownika.
** W przypadku skonfigurowania przy użyciu nazwy użytkownika innej niż „admin” konto domyślne będzie już wyłączone.
Wskazówka 6: Siła hasła
Silne hasło chroni system przed nieautoryzowanym dostępem. Utwórz złożone hasło, które zawiera litery, cyfry i znaki specjalne o różnej wielkości w sposób, który tylko Ty możesz zapamiętać.
Używanie wspólnego hasła do wielu kont jest również zaproszeniem dla hakerów. Jeśli konto zostanie przejęte, hakerzy mogą łatwo przejąć kontrolę nad Twoimi innymi kontami. Dzieje się to regularnie w przypadku witryn internetowych i innych usługodawców. Zalecamy zarejestrowanie się w publicznych usługach monitorujących, takich jak Have I Been Pwned lub Firefox Monitor .
Jeśli masz problemy z zapamiętaniem złożonych i unikalnych haseł do różnych kont, najlepszym rozwiązaniem może być menedżer haseł (taki jak 1Password, LastPass lub Bitwarden). Musisz tylko zapamiętać jedno hasło – hasło główne – a menedżer haseł pomoże Ci utworzyć i wypełnić dane logowania do wszystkich pozostałych kont.
Jeśli administrujesz serwerem Synology NAS, który obsługuje uwierzytelnianie *, możesz dostosować zasady dotyczące haseł użytkowników, aby zaostrzyć wymagania dotyczące bezpieczeństwa haseł dla wszystkich nowych kont użytkowników. Wybierz Panel sterowania > Użytkownik > Zaawansowane i zaznacz pole wyboru Zastosuj reguły siły hasła w sekcji Ustawienia haseł. Zasady zostaną zastosowane do każdego użytkownika, który utworzy nowe konto.
* Podobne opcje są również dostępne w pakietach LDAP Server i Directory Server.
Wskazówka 7: weryfikacja dwuetapowa
Jeśli chcesz dodać dodatkową warstwę zabezpieczeń do swojego konta, zdecydowanie zalecamy włączenie weryfikacji dwuetapowej. Aby wymusić dwuetapową weryfikację na koncie DSM i koncie Synology, potrzebujesz urządzenia mobilnego i aplikacji uwierzytelniającej obsługującej protokół Time-based One-Time Password (TOTP). Logowanie będzie wymagało zarówno poświadczeń użytkownika, jak i ograniczonego czasowo 6-cyfrowego kodu pobranego z aplikacji Microsoft Authenticator, Authy lub innych aplikacji uwierzytelniających, aby zapobiec nieautoryzowanemu dostępowi.
W przypadku konta Synology, jeśli zgubiłeś telefon z aplikacją uwierzytelniającą *, możesz użyć kodów zapasowych dostarczonych podczas konfiguracji uwierzytelniania dwuetapowego, aby się zalogować. Ważne jest, aby zabezpieczyć te kody, pobierając je gdzieś lub drukując. Pamiętaj, aby te kody były bezpieczne, ale dostępne.
W przypadku utraty wartości uwierzytelniającej w systemie DSM w ostateczności można zresetować weryfikację dwuetapową. Użytkownicy należący do grupy administrators mogą zresetować konfigurację.
Jeśli wszystkie konta administratora nie są już dostępne, konieczne będzie zresetowanie poświadczeń i ustawień sieciowych na urządzeniu. Przytrzymaj przycisk sprzętowy RESET na serwerze NAS przez około 4 sekundy (usłyszysz sygnał dźwiękowy), a następnie uruchom program Synology Assistant, aby ponownie skonfigurować urządzenie. **
* Niektóre aplikacje uwierzytelniające obsługują metody tworzenia kopii zapasowych i przywracania oparte na kontach innych firm. Oceń swoje wymagania dotyczące bezpieczeństwa w porównaniu z wygodą i opcjami odzyskiwania po awarii.
** SHA, VMM, automatyczne montowanie zaszyfrowanego folderu współdzielonego, wiele ustawień zabezpieczeń, konta użytkowników i ustawienia portów zostaną zresetowane. Przeczytaj więcej o procesie resetowania
Porada 8: Zmień domyślne porty
Chociaż zmiana domyślnych portów HTTP (5000) i HTTPS (5001) DSM na porty niestandardowe nie może zapobiec ukierunkowanym atakom, może powstrzymać typowe zagrożenia, które atakują tylko wstępnie zdefiniowane usługi. Aby zmienić domyślne porty, przejdź do Panel sterowania > Sieć > Ustawienia DSM i dostosuj numery portów. Dobrym pomysłem jest również zmiana domyślnego portu SSH (22), jeśli regularnie korzystasz z dostępu do powłoki.
Można również wdrożyć odwrotne proxy, aby ograniczyć potencjalne kierunki ataków tylko do określonych usług internetowych w celu zwiększenia bezpieczeństwa. Zwrotne proxy działa jako pośrednik w komunikacji między (zwykle) serwerem wewnętrznym a klientami zdalnymi, ukrywając pewne informacje o serwerze, takie jak jego rzeczywisty adres IP.
Wskazówka 9: Wyłącz protokół SSH / telnet, gdy nie jest używany
Jeśli jesteś zaawansowanym użytkownikiem, który często wymaga dostępu do powłoki, pamiętaj, aby wyłączyć SSH / telnet, gdy nie jest używany. Ponieważ dostęp roota jest domyślnie włączony, a SSH / telnet obsługuje tylko logowanie z kont administratora, hakerzy mogą siłą wymusić twoje hasło, aby uzyskać nieautoryzowany dostęp do twojego systemu. Jeśli chcesz, aby usługa terminalowa była dostępna przez cały czas, zalecamy ustawienie silnego hasła i zmianę domyślnego numeru portu SSH (22) w celu zwiększenia bezpieczeństwa. Możesz również rozważyć wykorzystanie VPN i ograniczenie dostępu SSH tylko do lokalnych lub zaufanych adresów IP.
Wskazówka 10: Zaszyfruj foldery współdzielone
DSM obsługuje szyfrowanie AES-256 folderów współdzielonych, aby zapobiec wyodrębnianiu danych z zagrożeń fizycznych. Administratorzy mogą szyfrować nowo utworzone i istniejące foldery współdzielone.
Aby zaszyfrować istniejące foldery współdzielone, przejdź do Panel sterowania > Folder współdzielony następnie Edytuj. Skonfiguruj klucz szyfrowania na karcie Szyfrowanie, a DSM rozpocznie szyfrowanie folderu. Zdecydowanie zalecamy zapisanie wygenerowanego pliku klucza w bezpiecznej lokalizacji, ponieważ zaszyfrowanych danych nie można odzyskać bez użycia hasła lub pliku klucza.
Dodatkowa wskazówka: integralność danych
Bezpieczeństwo danych jest nierozerwalnie związane ze spójnością i dokładnością Twoich danych – integralnością danych. Bezpieczeństwo danych jest warunkiem wstępnym dla integralności danych, ponieważ nieautoryzowany dostęp może prowadzić do ich naruszenia lub utraty, sprawiając, że krytyczne dane staną się bezużyteczne.
Istnieją dwa środki które można podjąć, aby zapewnić dokładność i spójność danych: włączenie mechanizmu „czyszczenia danych / data scrubbing” i kontrolę systemem testów SMART regularnie. O tych dwóch metodach bezpieczeństwa pisaliśmy w naszych poprzednich postach na blogu – sprawdź je, aby uzyskać więcej informacji.
Ważniejsze niż kiedykolwiek
Zagrożenia internetowe stale ewoluują, a bezpieczeństwo danych musi być równie wielopłaszczyznowe. Wraz z wprowadzaniem większej liczby połączonych urządzeń w domu i pracy, cyberprzestępcom łatwiej jest wykorzystywać luki w zabezpieczeniach i uzyskać dostęp do Twojej sieci. Dbanie o zabezpieczenia nie jest czymś, co robi się raz, a potem zapomina, to ciągły proces.