Son yıllarda, siber güvenlik tehditlerinde ciddi bir artış yaşandı. The New York Times’ta yayımlanan bir rapora göre, 2019 yılında 200.000’den fazla kurum fidye yazılımlarla saldırıya uğradı. Bu, bir önceki yıla göre %41 artış anlamına geliyor.
Kendinizi korumanıza yardımcı olmak adına, genellikle gözden kaçırılan önemli veri güvenliği ayarlarından oluşan bir liste derledik. Listenin sonuna ise veri korumanın bir başka unsuru olan veri bütünlüğünü korumanıza yardımcı olacak ipuçları ekledik.
Not: Aşağıda belirtilen ayarlardan birçoğuna erişip bunları değiştirebilmek için yönetici haklarına sahip bir kullanıcı hesabınızın olması gerekir.
Birinci İpucu: Varsayılan yönetici hesabını devre dışı bırakın
Yaygın görülen yönetici kullanıcı adları, Synology NAS’ınızı, yaygın kullanıcı adı ve parola kombinasyonlarını kullanarak deneme yanılma saldırıları düzenleyen kötü amaçlı taraflara karşı savunmasız hale getirebilir. NAS’ınızı yapılandırırken “admin”, “administrator” (yönetici), “root” (kök)* gibi kullanıcı adlarının kullanımından kaçının. Ayrıca, Synology NAS’ınızı yapılandırdıktan hemen sonra güçlü ve benzersiz bir parola belirlemenizi ve sistemin varsayılan yönetici hesabını silmenizi öneririz**.
Halihazırda “admin” (yönetici) kullanıcı hesabını kullanarak oturum açıyorsanız Control Panel > User (Denetim Masası > Kullanıcı) bölümüne giderek yeni bir yönetici hesabı oluşturun. Ardından, oluşturduğunuz bu yeni hesabı kullanarak oturum açın ve sistemin varsayılan “admin” (yönetici) hesabını devre dışı bırakın.
* Kullanıcı adı olarak “root” (kök) sözcüğünü kullanmanıza izin verilmez.
** “admin” (yönetici) haricinde bir kullanıcı adı kullanarak yapılandırma işlemi yapıyorsanız varsayılan hesap kendiliğinden devre dışı kalır.
İkinci İpucu: Parola Gücü
Güçlü bir parola, sisteminizi yetkisiz erişime karşı korur. Büyük-küçük harfler, rakamlar ve özel karakterler içeren ve yalnızca sizin hatırlayabileceğiniz karmaşık bir parola oluşturun.
Birden fazla hesap için aynı parolayı kullanmak da bilgisayar korsanlarına davetiye çıkarır. Bilgisayar korsanları, bir hesabınızın ele geçirilmesi halinde diğer hesaplarınızı da kolayca kontrol altına alabilir. Bu, web siteleri ve diğer hizmet sağlayıcılarda düzenli olarak yaşanmaktadır. Have I Been Pwned ve Firefox Monitor gibi herkese açık izleme hizmetlerine kaydolmanızı öneririz.
Farklı hesaplara ait karmaşık ve eşsiz parolaları hatırlamakta zorlanıyorsanız bir parola yöneticisi (örneğin 1Password, LastPass veya Bitwarden) kullanmak sizin için en iyi çözüm olabilir. Bu durumda tek bir parolayı, yani ana parolayı hatırlamanız yeterli olacaktır; parola yöneticisi, diğer tüm hesaplarınız için giriş bilgileri oluşturup bunlarla oturum açmanıza yardımcı olacaktır.
Kimlik doğrulama* kullanan bir Synology NAS’ının yöneticisiyseniz kullanıcı parolası politikasını özelleştirerek, tüm yeni kullanıcı hesaplarına yönelik parola güvenliği gerekliliklerini daha sıkı hale getirebilirsiniz. Control Panel > User > Advanced (Denetim Masası > Kullanıcı > Gelişmiş) bölümüne gidin ve Password Settings (Parola Ayarları) kısmındaki Apply password strength rules (Parola gücü kurallarını uygula) kutucuğunu işaretleyin. Bu politika, yeni bir hesap oluşturan tüm kullanıcılar için geçerli olacaktır.
* LDAP Sunucusu ve Dizin Sunucusu paketlerinde de benzer seçenekler mevcuttur.
Üçüncü İpucu: Güncel kalın ve bildirimleri etkinleştirin
Fonksiyon ve performans iyileştirmeleri sunmak ve üründeki güvenlik açıklarını gidermek adına düzenli olarak DSM güncellemeleri yayımlıyoruz.
Bir güvenlik açığı meydana geldiğinde, Ürün Güvenlik Olayı Müdahale Ekibimiz (PSIRT) 8 saat içinde değerlendirme ve araştırma yapar ve sonrasındaki 15 saat içinde bir yama yayımlayarak, sıfır gün saldırılarından doğabilecek potansiyel hasarları önlemiş olur.
Birçok kullanıcı için son DSM güncellemelerinin otomatik olarak yüklenebilmesi için otomatik güncelleştirmelerin etkinleştirilmesini öneriyoruz.*
Bir diğer önemli husus da olaylar meydana gelirken güncel kalabilmektir. Synology NAS’ınızdaki bildirimleri yapılandırarak, belirli olaylar meydana geldiğinde veya hata oluştuğunda e-posta, SMS, mobil cihazınız veya web tarayıcınız yoluyla bildirim alın. Synology DDNS hizmetini kullanıyorsanız harici ağ bağlantısı kesildiğinde bildirim almayı seçebilirsiniz. Saklama alanının azaldığına ya da bir yedekleme ve kurtarma görevinin başarısız olduğuna dair bildirimler üzerine hemen aksiyon almak, verilerinizin uzun vadede güvende kalmasını sağlamak için çok önemlidir.
Ayrıca, en yeni güvenlik ve özellik güncellemelerinden haberdar olmak adına, Synology Hesabınızı, NAS ve güvenlik tavsiyesi bültenlerimizi alacak şekilde yapılandırmanızı öneririz.
* Otomatik güncelleme, yalnızca ufak DSM güncellemelerini destekler. Önemli güncellemeler için manuel yükleme gerekir.
Dördüncü İpucu: 2 adımlı doğrulama
Hesabınıza ekstra bir güvenlik katmanı eklemek istemeniz halinde, 2 adımlı doğrulamayı etkinleştirmenizi şiddetle öneririz. DSM hesabınızda ve Synology Hesabınızda 2 adımlı doğrulamayı etkinleştirebilmeniz için bir mobil cihaza ve Zamana Bağlı Tek Kullanımlık Parola (TOTP) protokolünü destekleyen bir doğrulama uygulamasına ihtiyacınız vardır. Yetkisiz erişimi önlemek adına, oturum açarken hem kullanıcı bilgilerinizi, hem de Microsoft Authenticator, Authy veya diğer doğrulama uygulamalarından alınan 6 haneli zaman sınırlamalı kodu girmeniz gerekecektir.
Synology Hesabınız söz konusu olduğunda, doğrulama uygulamasının* yüklü olduğu telefonunuzu kaybederseniz 2 adımlı doğrulama yapılandırması sırasında verilen yedek kodları kullanarak oturum açabilirsiniz. Bu kodları bilgisayarınızda bir konuma indirerek veya çıktılarını alarak güvende tutmak önemlidir. Bu kodların güvenli fakat erişilebilir bir şekilde saklanması gerektiğini unutmayın.
DSM söz konusu olduğunda, doğrulayıcının olduğu cihazı kaybederseniz son çare olarak 2 adımlı doğrulamayı sıfırlayabilirsiniz. Yönetici grubuna ait kullanıcılar yapılandırmayı sıfırlayabilir.
Artık hiçbir yönetici hesabına erişilemiyorsa oturum açma bilgilerini ve ağ ayarlarını cihazınız üzerinden sıfırlamanız gerekir. NAS’ınızda bulunan donanım RESET (sıfırlama) düğmesine yaklaşık 4 saniye basılı tutun (bir bip sesi duyacaksınız) ve artından Synology Assistant’ı başlatarak cihazınızı yeniden yapılandırın.**
* Bazı doğrulama uygulamaları, üçüncü taraf hesap tabanlı yedekleme ve kurtarma yöntemlerini destekler. Güvenlik gereksinimlerinizi, kolaylık ve olağanüstü durum kurtarma seçenekleriyle karşılaştırarak değerlendirin.
** SHA, VMM, şifreli ortak klasör otomatik bağlama, çoklu güvenlik ayarları, kullanıcı hesapları ve bağlantı noktası ayarları sıfırlanır. Sıfırlama işlemi hakkında daha fazla bilgi alın
Beşinci İpucu: Security Advisor’ı Çalıştırın
Security Advisor ön yüklü bir uygulama olup, NAS’ınızı tarayarak içerisinde yaygın görülen DSM yapılandırma sorunlarının olup olmadığına bakar ve Synology NAS’ınızı güvende tutmak için neler yapmanız gerekebileceğine dair tavsiyelerde bulunur. Örneğin, SSH erişiminin açık bırakılması, anormal günlük etkinliklerinin olması ve DSM dosyalarının değiştirilmiş olması gibi yaygın durumları tespit edebilir.
Altıncı İpucu: Yapılandırmanız gereken temel DSM güvenlik ayarları
Kullanıcı hesaplarınızı güvende tutmak için Control Panel > Security (Denetim Masası > Güvenlik) sekmesine giderek çeşitli güvenlik ayarlarını yapılandırabilirsiniz.
IP Otomatik Engelleme
Denetim Masasını açın ve Security > Auto Block (Güvenlik > Otomatik Engelleme) seçeneğine gidin. Belirli bir sayıda ve belirli bir süre zarfında deneme yapıp oturum açamayan istemcilerin IP adreslerini otomatik olarak engellemek için otomatik engelleme özelliğini etkinleştirin. Ayrıca yöneticiler, potansiyel deneme yanılma veya hizmet reddi saldırılarını önlemek amacıyla belirli IP adreslerini kara listeye de alabilir.
Kullanım ortamına ve cihazınızın düzenli olarak hizmet vereceği kullanıcı türlerine göre deneme sayısını yapılandırın. Birçok evde ve işletmede kullanıcılara yönelik yalnızca bir adet harici IP adresi olduğunu, IP adreslerinin genelde dinamik olduğunu ve gün veya hafta bazında belirli bir süre geçtikten sonra değişeceğini unutmayın.
Hesap Koruma
Otomatik Engelleme özelliği, çok fazla doğrulama denemesi sonrasında başarısız olan IP adreslerini kara listeye alırken, Hesap Koruma özelliği, güvenilmez istemcilerin erişimini engelleyerek kullanıcı hesaplarını korur.
Control Panel > Security > Account Protection (Denetim Masası > Güvenlik > Hesap Koruma) seçeneğine gidin. Belirli bir sayıda başarısız oturum açma denemesinden sonra, hesapların güvenilmeyen istemcilere karşı korunması için Hesap Koruma işlevini etkinleştirebilirsiniz. Bu, DSM’nizin güvenliğini iyileştirir ve hesapların, dağıtık saldırılardan gelen deneme yanılma saldırılarına av olma riskini azaltır.
HTTPS’yi Etkinleştirin
HTTPS’yi etkinleştirdiğinizde, Synology NAS ile bağlı istemciler arasındaki ağ trafiğini şifreleyebilir ve güvende tutabilirsiniz. Bu, izinsiz dinleme ve izinsiz izleme saldırılarının yaygın görülen türlerine karşı koruma sağlar.
Control Panel > Network > DSM Settings (Denetim Masası > Ağ > DSM Ayarları) seçeneğine gidin. Automatically redirect HTTP connections to HTTPS (HTTP bağlantılarını otomatik olarak HTTPS’ye yönlendir) onay kutusunu işaretleyin. Artık, DSM’ye HTTPS üzerinden bağlanacaksınız. Adres çubuğunda cihazın URL’sinin “http://” değil, “https://” ile başladığını göreceksiniz. Önceden belirli bir güvenlik duvarınız veya ağ ayarlarınız varsa bunları güncellemeniz gerekebilir.
Gelişmiş: Güvenlik Duvarı kurallarını özelleştirin
Güvenlik duvarı, harici kaynaklardan gelen ağ trafiğini belirli kurallara göre filtreleyen sanal bir bariyer olarak görev yapar. Control Panel > Security > Firewall (Denetim Masası > Güvenlik > Güvenlik Duvarı) seçeneğine gidip güvenlik duvarı kurallarını yapılandırarak, yetkisiz oturum açma ve kontrol hizmeti erişimini engelleyin. Belirli IP adresleri tarafından belirli ağ bağlantı noktalarına erişime izin verebilir veya erişimi reddedebilirsiniz. Bu, örneğin belirli bir ofisten uzak erişime izin vermek ya da sadece belirli bir hizmet veya protokole erişime izin vermek için iyi bir yöntemdir.
Yedinci İpucu: HTTPS Bölüm 2 – Let’s Encrypt
Dijital sertifikalar, HTTPS’yi etkinleştirmede önemli bir rol oynasa da özellikle işletme dışı kullanıcılar için pahalı ve sürekliliği olmayan süreçlerdir. DSM’nin, ücretsiz ve otomatik bir sertifika verme kuruluşu olan Let’s Encrypt entegrasyonu, herkesin bağlantısını kolayca güvenli hale getirmesini sağlar.
Zaten kayıtlı bir etki alanınız varsa veya DDNS kullanıyorsanız Control Panel > Security > Certificate (Denetim Masası > Güvenlik > Sertifika) seçeneğine gidin. Add a new certificate > Get a certificate from Let’s Encrypt (Yeni sertifika ekle > Let’s Encrypt’ten sertifika al) seçeneğine tıklayın. Çoğu kullanıcının “Set as default certificate”* (Varsayılan sertifika olarak ayarla) seçeneğini işaretlemesi gerekir. Etki alanı adınızı girerek sertifika alın.
Sertifikanızı aldıktan sonra trafiğinizin tamamının HTTPS üzerinden aktığından emin olun (Üçüncü İpucunda belirtildiği gibi).
* Cihazınızı, birden fazla etki alanı veya alt etki alanı üzerinden hizmet sağlayacak şekilde yapılandırdıysanız Control Panel > Security > Certificate > Configure (Denetim Masası > Güvenlik > Sertifika > Yapılandır) seçeneğine giderek her bir hizmetin hangi sertifikayı kullanacağını yapılandırmanız gerekir
Sekizinci İpucu: Varsayılan bağlantı noktalarını değiştirin
DSM’nin varsayılan HTTP (5000) ve HTTPS (5001) bağlantı noktalarını özel bağlantı noktalarına çevirmek, hedeflenen saldırıları önleyemese de yalnızca ön tanımlı hizmetlere saldıran yaygın tehditleri engelleyebilir. Varsayılan bağlantı noktalarını değiştirmek için Control Panel > Network > DSM Settings (Denetim Masası > Ağ > DSM Ayarları) seçeneğine gidin ve bağlantı noktası numaralarını özelleştirin. Ayrıca, kabuk erişimini düzenli olarak kullanıyorsanız varsayılan SSH (22) bağlantı noktasını değiştirmek de iyi bir fikirdir.
Dahası, güvenliği artırmak adına ters ara sunucu kullanarak olası saldırı vektörlerini yalnızca belirli web servislerle kısıtlayabilirsiniz. Ters ara sunucu, (genellikle) dahili sunucu ile uzak istemciler arasındaki iletişimler için aracı görevi yaparak, sunucuyla ilgili belirli bilgileri, örneğin sunucunun gerçek IP adresini gizler.
Dokuzuncu İpucu: Kullanmadığınızda SSH’yi/telneti devre dışı bırakın
Kabuk erişimine sıklıkla ihtiyaç duyan yetkili bir kullanıcıysanız SSH’yi/telneti kullanmadığınız zamanlarda devre dışı bırakmayı unutmayın. Kök erişimi varsayılan olarak etkin olduğu ve SSH/telnet yalnızca yönetici hesapların oturum açmasını desteklediği için bilgisayar korsanları, parolanıza deneme yanılma saldırıları uygulayarak sisteminize yetkisiz şekilde erişebilir. Terminal hizmetinin sürekli olarak erişilebilir olmasını istiyorsanız güvenliği artırmak adına güçlü bir parola belirlemenizi ve varsayılan SSH bağlantı noktası numarasını (22) değiştirmenizi öneririz. Ayrıca, VPN kullanmayı ve SSH erişimini yalnızca yerel veya güvenilir IP’lerle sınırlandırmayı da düşünebilirsiniz.
Onuncu İpucu: Ortak dosyaları şifreleyin
DSM, fiziksel tehditler yoluyla veri ayıklama yapılmasını önlemek için ortak klasörlerinizde AES-256 şifrelemeyi destekler. Yöneticiler, yeni oluşturulmuş ve mevcut ortak dosyaları şifreleyebilir.
Mevcut ortak dosyaları şifrelemek için Control Panel > Shared Folder (Denetim Masası > Ortak Klasör) sekmesine gidin ve Edit (Düzenle) seçeneğiyle klasörü düzenleyin. Encryption (Şifreleme) sekmesi altından bir şifreleme anahtarı belirleyin. DSM, klasörü şifrelemeye başlayacaktır. Şifrelenmiş veriler, kullanılan parola veya anahtar dosyası olmadan kurtarılamayacağı için oluşturduğunuz anahtar dosyasını güvenli bir yerde saklamanızı şiddetle öneririz.
Ek ipucu: Veri Bütünlüğü
Veri güvenliği, verilerinizin tutarlılığı ve doğruluğuyla ayrılamaz bir bağlantıya sahiptir, bu da veri bütünlüğü anlamına gelir. Veri güvenliği, veri bütünlüğünün ön şartıdır zira yetkisiz erişim, verilerle oynanmasına veya veri kaybına yol açarak kritik verilerinizin kullanılamaz hale gelmesine neden olabilir.
Verilerinizin doğruluğunu ve tutarlılığını sağlamak için alabileceğiniz iki önlem vardır: veri sağlama toplamı işlevini etkinleştirmek ve düzenli olarak S.M.A.R.T. testleri yapmak. Önceki blog yazılarımızda bu iki güvenli yönteminden bahsetmiştik; daha fazla bilgi almak için önceki yazılarımıza göz atabilirsiniz.
Her zamankinden daha önemli
Online tehditler sürekli olarak değişiyor, veri güvenliğinin de buna paralel olarak çok yönlü olması gerekiyor. Evlerde ve iş yerlerinde bağlı cihazların sayısı arttıkça siber suçluların güvenlik açıklarından faydalanarak ağınıza girmesi de kolaylaşıyor. Güvende kalmak tek seferlik bir işlem değildir; hiç bitmeyen bir süreçtir.