Atacurile cibernetice care utilizează e-mailuri de phishing, conturi de e-mail compromise sau ransomware au crescut dramatic în ultimii ani. Conform raportului privind situația criminalității cibernetice din 2021 dat publicității de Oficiul Federal de Poliție Criminală (BKA), numărul de atacuri înregistrate în 2021 a crescut cu 12% față de anul precedent. Importanța securității IT și a datelor este în continuă creștere. Acest articol oferă companiilor și utilizatorilor casnici 10 sfaturi despre modul în care își pot proteja eficient rețeaua și datele și despre cum utilizatorii Synology pot maximiza securitatea datelor cu NAS.
La sfârșitul articolului există o listă de măsuri de securitate disponibilă pentru a fi descărcată gratuit. Cu ajutorul acesteia, pot fi identificate rapid toate puncte slabe și poate fi mai bine evaluat nivelul de securitate IT.
O notă în deschidere: majoritatea setărilor enumerate mai jos pot fi accesate și modificate numai de un cont de utilizator cu drepturi de administrator.
Sfat 1: Atribuiți parole puternice
Un lucru este cert: o parolă bună protejează sistemele și datele de accesul neautorizat. Parolele bune sunt întotdeauna complexe, unice și conțin litere mari și mici, cifre și caractere speciale. Fiecare cont ar trebui să aibă, de asemenea, propria sa parolă unică, deoarece partajarea unei parole comune în mai multe conturi este o invitație pentru hackeri. În cazul în care un cont este compromis, hackerii pot prelua cu ușurință controlul asupra tuturor celorlalte conturi ale unui utilizator. Conturile de pe site-uri web și alți furnizori de servicii sunt compromise în mod regulat, așa că este o idee bună să le urmăriți și să vă înscrieți la servicii publice de monitorizare precum Have I Been Pwned sau Firefox Monitor.
Pe măsură ce numărul de conturi cu parole complexe este astăzi din ce în ce mai mare, este practic imposibil să ni le amintim pe toate. Prin urmare, utilizarea unui manager de parole (cum ar fi C2 Password) ar trebui să fie o necesitate pentru toți cei care sunt preocupați de securitatea datelor.
Când un Synology NAS acționează ca un server AD sau LDAP, utilizatorii pot personaliza politica privind parola utilizatorului pentru a crește cerințele de securitate pentru parole pentru toate conturile de utilizator noi. În Control Panel > Users > Advanced > Password Settings, utilizatorii trebuie să bifeze caseta „Apply password strength rules”. Politica se aplică fiecărui utilizator care creează un cont nou. Mai multe informații despre setarea parolei
* Opțiuni similare sunt disponibile și în pachetele LDAP Server și Directory Server.
Sfat 2: Activați notificările și instalați întotdeauna actualizările de produs
Majoritatea producătorilor lansează în mod regulat actualizări pentru a oferi îmbunătățiri ale caracteristicilor și performanței și pentru a remedia vulnerabilitățile de securitate ale produselor lor. Producătorii oferă adesea servicii de notificare pentru a informa direct utilizatorii când sunt disponibile noi actualizări. Utilizatorii pot fi anunțați prin e-mail, SMS, notificare push pe smartphone-ul lor sau prin intermediul browserului web atunci când apar anumite evenimente sau erori. Este o idee bună să le folosiți pentru a actualiza și a securiza sistemele cât mai repede posibil.
Echipa de răspuns la incidente de securitate ale produselor
La Synology, odată ce apare o vulnerabilitate de securitate, echipa de răspuns la incidenţele de securitate ale produselor (Product Security Incident Response Team – PSIRT) efectuează o evaluare și o investigație în decurs de 8 ore. Un patch, adică o actualizare de software, va fi apoi lansat în următoarele 15 ore pentru a preveni posibilele daune cauzate de atacurile hackerilor care exploatează vulnerabilitatea, așa-numitele atacuri zero-day.
Pentru majoritatea utilizatorilor, și în special pentru utilizatorii casnici, este o idee bună să seteze actualizări automate, astfel încât cele mai recente actualizări de software să nu necesite intervenție manuală, ceea ce duce adesea doar la întârzieri. Mai multe informații despre actualizarea DSM. Cu toate acestea, actualizarea automată acceptă doar actualizări minore într-o versiune DSM. Actualizări majore, cum ar fi de exemplu actualizarea de la DSM 6 la noul DSM 7, necesită instalare manuală.
Utilizatorii Synology pot, de asemenea, să configureze notificări pe NAS-ul lor și să fie informați prin e-mail, SMS, notificare push pe smartphone sau prin intermediul browserului web. Când folosesc serviciul DDNS al Synology, utilizatorii pot alege dacă să fie notificați atunci când conexiunea la rețeaua externă este pierdută. Pentru a asigura securitatea datelor pe termen lung, este important să răspundeți imediat la notificări atunci când volumele de stocare rămân fără spațiu sau când o sarcină de backup și restaurare eșuează.
De asemenea, se recomandă utilizatorilor Synology să-și configureze contul Synology (Synology Account) pentru a primi Synology NAS & Security Bulletin pentru a fi la curent cu cele mai recente actualizări de securitate și ale caracteristicilor produselor. Mai multe informații despre opțiunile avansate de notificare
Sfat 3: Activați verificarea în doi pași
Multe companii oferă acum verificare în 2 pași (sau autentificare în doi factori – two-factor authentication sau 2FA). Acest lucru permite utilizatorilor să adauge un nivel suplimentar de securitate la autentificarea contului lor. Dacă doriți să vă conectați la contul dvs., veți primi și un cod de securitate prin SMS sau o aplicație de autentificare. O autentificare este atunci posibilă numai cu parola și acest cod unic de securitate. Acest lucru previne accesul neautorizat. Multe servicii online și în special online banking nu mai sunt posibile fără această verificare în doi pași. Synology oferă utilizatorilor săi și acest al doilea nivel de securitate.
Activați autentificarea în doi pași pentru contul DSM și Synology
Pentru a activa verificarea în doi pași pentru DSM și Synology Account, utilizatorii au nevoie de un dispozitiv mobil și de o aplicație de autentificare care acceptă protocolul TOTP (Time-based One-Time Password – parolă unică bazată pe timp), cum ar fi de exemplu Microsoft Authenticator sau Authy. Atât datele de conectare ale utilizatorului, cât și un cod de 6 cifre cu valabilitate limitată în timp sunt apoi necesare pentru a vă conecta.
Pentru Synology Account, utilizatorilor le va fi furnizat un cod de rezervă atunci când configurează autentificarea în doi pași. Dacă își pierd vreodată smartphone-ul cu aplicația de autentificare Synology Account, acest cod este necesar pentru a redobândi accesul la cont. Prin urmare, codul trebuie păstrat foarte sigur, de exemplu prin descărcarea sau printarea acestuia. De asemenea, ar trebui să fie păstrat la îndemână pentru situații de urgență.
Ca ultimă soluție, dacă utilizatorii pierd autentificatorul pentru contul lor DSM, utilizatorii cu drepturi de administrator pot reseta autentificarea în doi pași. Dacă toate conturile de administrator devin inaccesibile, credențialele și setările de rețea de pe NAS trebuie resetate. Pentru a face acest lucru, utilizatorii trebuie să țină apăsat butonul hardware RESET de pe NAS timp de aproximativ patru secunde până când aud un bip. După aceea, pot lansa Synology Assistant pentru a reconfigura dispozitivul.**
* Unele aplicații de autentificare acceptă metode de backup și restaurare bazate pe cont dezvoltate de terți. Utilizatorii ar trebui să își evalueze cu atenție necesitățile de securitate în raport cu opțiunile de comoditate și de recuperare a datelor în caz de dezastru.
** SHA, VMM, partajarea automată a folder-elor criptate, setările multiple de securitate, conturile de utilizator și setările portului vor fi resetate. Citiți mai multe despre procesul de resetare.
Sfat 4: Dezactivați contul de administrator implicit
Utilizarea numelor de utilizator comune ale administratorului face dispozitivele mai vulnerabile la atacuri rău intenționate, cum ar fi atacurile cu forță brută (brute force), atacuri care utilizează instrumente pentru a verifica combinațiile comune de nume de utilizator și parole. Prin urmare, utilizatorii ar trebui să evite numele comune precum „admin”, „administrator” și „root”* atunci când își configurează dispozitivele și Synology NAS. Este o idee bună să dezactivați contul de administrator implicit al sistemului** și să setați o parolă puternică și unică imediat după configurare.
Un nou cont de administrator poate fi creat în DSM sub Control Panel > Users. După aceea, este posibil să vă conectați la noul cont și să dezactivați contul implicit „admin” al sistemului. Mai multe informații despre conturile de utilizator
* „root” nu este permis ca nume de utilizator.
** Dacă utilizați un alt nume de utilizator decât admin, contul implicit este deja dezactivat.
Sfat 5: Rulați Security Advisor
Security Advisor este o aplicație preinstalată care verifică Synology NAS pentru oportunități comune de optimizare a DSM și oferă utilizatorilor recomandări pentru a asigura securitatea NAS-ului lor. Consilierul de securitate Security Advisor poate identifica riscurile și vulnerabilitățile comune, cum ar fi, de exemplu, dacă:
- accesul SSH este lăsat deschis,
- apare activitate anormală de conectare sau
- fișierele de sistem DSM sunt modificate.
Mai multe informații despre Security Advisor
Sfat 6: Configurați funcțiile de securitate de bază ale DSM
În Control Panel > Security, utilizatorii pot configura o serie de setări de securitate, cum ar fi blocarea automată a adreselor IP și a clienților suspecți, activând HTTPS și ajustând regulile firewall-ului pentru a maximiza securitatea datelor.
6.1 Blocați automat adresele IP
În Control Panel > Security > Auto Block, utilizatorii pot activa blocarea automată a adreselor IP pentru a bloca clienții care au încercat fără succes să se autentifice de un anumit număr de ori și într-o anumită perioadă de timp. Administratorii pot, de asemenea, să pună pe lista neagră anumite adrese IP pentru a preveni potențialele atacuri de forță brută sau de blocare a serviciului DDOS (doborând sistemul făcând prea multe solicitări).
Utilizatorii ar trebui să configureze numărul de încercări în funcție de mediul de utilizare și de tipul de utilizatori care utilizează în mod regulat dispozitivul. Atunci când fac acest lucru, ar trebui să țină cont de faptul că majoritatea caselor și companiilor au o singură adresă IP externă pentru utilizatorii lor și că adresele IP sunt adesea dinamice, schimbându-se după un anumit număr de zile sau săptămâni. Aflați mai multe despre blocarea automată a adresei IP (Automatic IP Address Blocking)
6.2 Blocați automat clienții suspecți
În timp ce Auto Block pune pe lista neagră adresele IP care au eșuat încercările de autentificare de prea multe ori, Account Protection protejează conturile de utilizatori blocând accesul clienților ce nu prezintă încredere.
În Control Panel > Security > Account Protection, utilizatorii pot activa protecția contului pentru a proteja conturile de clienții ce nu prezintă încredere după un anumit număr de conectări eșuate. Acest lucru crește securitatea DSM și reduce riscul ca toate conturile să fie supuse atacurilor de forță brută prin atacuri distribuite. Mai multe informații despre protecția contului
6.3 Activați HTTPS
Cu HTTPS activat, utilizatorii pot cripta traficul de rețea între Synology NAS și clienții conectați. Acest lucru îi protejează de formele obișnuite de interceptare, cum ar fi atacurile de tip man-in-the-middle.
La Control Panel > Login Portal > DSM Settings, utilizatorii pot bifa caseta pentru a redirecționa automat conexiunile HTTP către HTTPS. Acum veți fi conectat la DSM prin HTTPS. În bara de adrese, adresa URL a dispozitivului va începe acum cu „https://” în loc de „http://”. Este posibil ca setările de firewall sau de rețea să fie în acest moment actualizate. Aflați mai multe despre Let’s Encrypt pentru Synologiy NAS
6.4 Personalizați regulile firewall-ului (pentru utilizatori avansați)
Un firewall acționează ca o barieră virtuală care filtrează traficul de rețea din surse externe în conformitate cu un set de reguli. În Control Panel > Security > Firewall, utilizatorii pot configura regulile firewall-ului pentru a preveni conectările neautorizate și pentru a controla accesul la servicii. Aceștia pot decide dacă să permită sau să refuze accesul la anumite porturi de rețea prin anumite adrese IP. Aceasta este o modalitate bună de a permite, de exemplu, accesul de la distanță de la un anumit birou sau de a permite accesul numai la un anumit serviciu sau protocol. Mai multe informații despre firewall-uri
Sfat 7: Utilizați certificate de încredere (HTTPS partea 2)
Certificatele digitale joacă un rol cheie în activarea HTTPS. Cu toate acestea, acestea sunt adesea scumpe și greu de întreținut, în special de către utilizatorii casnici. DSM oferă suport încorporat pentru Let’s Encrypt, o autoritate de certificare gratuită și automată pentru emiterea de certificate de încredere, permițând oricui să-și securizeze cu ușurință conexiunile.
Dacă utilizatorii au deja un domeniu înregistrat sau folosesc DDNS, pot merge la Control Panel > Security > Certificate și pot face clic pe Add New Certificate, astfel putând obține un certificat de la Let’s Encrypt și activa setarea Set as default certificate *. Numele de domeniu al utilizatorului trebuie introdus acolo pentru a primi un certificat. Odată ce un certificat este în vigoare, trebuie să se asigure că tot traficul este gestionat prin HTTPS.
* Dacă utilizatorii și-au configurat dispozitivul pentru a furniza servicii pe mai multe domenii sau subdomenii, aceștia trebuie să stabilească ce certificat este utilizat de fiecare serviciu în parte în Control Panel > Security > Certificate > Configure.
Sfat 8: Schimbați porturile implicite
Schimbarea porturilor HTTP (5000) și HTTPS (5001) implicite ale DSM în porturi personalizate nu previne atacurile țintite, dar poate atenua amenințările generice care vizează doar servicii predefinite. Utilizatorii pot ajusta numerele de porturi din Control Panel > Network > DSM Settings. De asemenea, este o idee bună să schimbați portul implicit SSH (22) dacă accesul shell este utilizat în mod regulat.
Un proxy invers (reverse proxy) poate fi, de asemenea, implementat pentru a limita potențialii vectori de atac la anumite servicii web pentru o securitate sporită. Un proxy invers acționează ca un intermediar pentru comunicarea între un server (de obicei) intern și clienții aflați la distanță și ascunde anumite informații despre server, de exemplu adresa IP reală.
Sfat 9: Dezactivați SSH/telnet atunci când nu este utilizat
Utilizatorii intensivi care au nevoie frecvent de acces shell ar trebui să dezactiveze SSH/telnet atunci când nu îl folosesc. Deoarece accesul root este activat în mod implicit și SSH/telnet acceptă doar autentificarea pentru conturile de administrator, hackerii l-ar putea folosi pentru a forța parolele utilizatorilor și pentru a obține acces neautorizat la sistemele lor. Cu toate acestea, dacă utilizatorii trebuie să păstreze Terminal Services activate în orice moment, este recomandat să setați o parolă puternică și să schimbați numărul implicit al portului SSH (22) pentru a crește securitatea. Utilizarea VPN poate fi, de asemenea, luată în considerare, iar accesul SSH poate fi restricționat la IP-uri locale sau de încredere.
Sfat 10: Criptați folderele partajate
DSM acceptă criptarea AES-256 a folderelor partajate pentru a preveni extragerea datelor prin amenințări fizice. Administratorii pot cripta atât folderele partajate nou create, cât și pe cele existente.
Folderele partajate existente pot fi criptate în Control Panel > Shared Folder. După ce utilizatorii setează o cheie de criptare în tab-ul Encryption, DSM va începe să cripteze folderul. Este foarte recomandat să stocați într-un loc sigur fișierul cheie generat, deoarece datele criptate nu pot fi recuperate fără fraza de acces sau fișierul cheie utilizat. Mai multe informații despre criptarea folderelor partajate
Sfat bonus: Integritatea datelor de datorează securității datelor
Securitatea datelor este indisolubil legată de consistența și acuratețea datelor. Este o cerință pentru integritatea datelor, deoarece accesul neautorizat poate duce la falsificarea sau pierderea datelor, făcând datele inutilizabile.
Există două acțiuni pe care utilizatorii le pot întreprinde pentru a asigura acuratețea și consistența datelor lor:
Asigurați securitatea datelor cu o listă de verificare a măsurilor de securitate
Amenințările online evoluează constant. Cu cât acestea sunt mai sofisticate, cu atât securitatea datelor trebuie să fie mai complexă. Cu cât sunt folosite mai multe dispozitive conectate acasă și la locul de muncă, cu atât este mai ușor pentru infractorii cibernetici să exploateze breșele de securitate și să obțină acces la rețele. Prin urmare, securitatea datelor nu este un subiect de care trebuie să te ocupi o singură dată, ci un proces de învățare continuă. Următoarea listă de verificare ajută utilizatorii să obțină o imagine de ansamblu inițială a securității dispozitivelor și a rețelei lor, astfel încât vulnerabilitățile să poată fi identificate și eliminate mai ușor.
Descărcați ACUM LISTA DE VERIFICARE A MĂSURILOR DE SECURITATE