ochrana Osobních Údajů právě prošel a s World Backup Day za rohem, připravili jsme 10 údaje bezpečnostní tipy, které vám pomohou zabezpečit vaše zařízení Synology proti on-line hrozbám.
poslední roky zaznamenaly dramatickou eskalaci hrozeb v oblasti kybernetické bezpečnosti. Podle zprávy The New York Times, více než 200 000 organizací byl napaden ransomware v roce 2019, 41% nárůst od roku.
abychom vám pomohli se chránit, sestavili jsme seznam důležitých nastavení zabezpečení dat, která jsou často přehlížena. Na závěr jsme zahrnuli bonusové tipy, které vám mohou pomoci zajistit integritu dat-Další pilíř ochrany dat.
poznámka: k většině níže uvedených nastavení lze přistupovat a upravovat pouze uživatelský účet s právy správce.
- Tip 1: Zůstaňte v obraze a povolte oznámení
- Tip 2: Spusťte Security Advisor
- Tip 3: Základní DSM bezpečnostní funkce nastavení
- Tip 4: HTTPS Část 2 – Pojďme Šifrování
- Tip 5: Zakázat výchozí účet správce
- Tip 6: Síla hesla
- Tip 7: 2-step ověření
- Tip 8: Změnit výchozí porty
- Tip 9: Zakázat SSH / telnet, když se nepoužívá
- Tip 10: šifrování sdílených složek
- bonusový tip: integrita dat
- důležitější než kdy jindy
Tip 1: Zůstaňte v obraze a povolte oznámení
pravidelně vydáváme aktualizace DSM, abychom zajistili funkční a výkonnostní vylepšení a vyřešili chyby zabezpečení produktu.
vždy, když se chyba zabezpečení vzniká, náš Produkt Security Incident Response Team (PSIRT) bude provádět hodnocení a vyšetřování v 8 hodin a vydat patch v příštích 15 hodin, pomoci předcházet potenciální poškození od zero-day útoků.
pro většinu uživatelů důrazně doporučujeme nastavit automatické aktualizace tak, aby byly nejnovější aktualizace DSM nainstalovány automaticky.*
Dozvědět se více
Mnoho zařízení Synology mít možnost spustit Virtuální DSM uvnitř Virtual Machine Manager, vytvořit virtualizované verze operační systém DSM. Pomocí virtuálního DSM vytvořte pracovní prostředí, poté replikujte nebo se pokuste reprodukovat produkční prostředí v něm. Provést upgrade zkušební instalací nejnovější verze DSM na vašem Virtuálním DSM a ověřit klíčové funkce, které váš aktuální nasazení vyžaduje před provedením aktualizace v hlavním prostředí.
Další důležitou věcí, kterou je třeba zvážit, je zůstat na vrcholu věcí, jak k nim dochází. Nastavte oznámení na nas Synology a získejte upozornění e-mailem, SMS, na mobilním zařízení nebo prostřednictvím webového prohlížeče, pokud dojde k určitým událostem nebo chybám. Pokud používáte službu DDNS společnosti Synology, můžete se rozhodnout, že budete upozorněni, když dojde ke ztrátě připojení k externí síti. Okamžitě působí na oznámení pro úložná zařízení běží z vesmíru, nebo při zálohování a obnovení úkolu selže, je důležitou součástí zajištění vašich dat je dlouhodobou bezpečnost.
doporučujeme vám také nastavit si účet Synology, abyste dostávali naše informační bulletiny NAS a security advisory, abyste drželi krok s nejnovějšími aktualizacemi zabezpečení a funkcí.
* Automatická aktualizace podporuje pouze drobné aktualizace DSM. Hlavní aktualizace vyžadují ruční instalaci.
Další informace
Tip 2: Spusťte Security Advisor
Security Advisor je předinstalovaná aplikace, která dokáže skenovat NAS pro běžné problémy s konfigurací DSM a dává vám návrhy, co budete možná muset udělat, abyste udrželi Synology NAS v bezpečí. Například může detekovat běžné věci, jako je ponechání otevřeného přístupu SSH, pokud dochází k abnormálním aktivitám přihlášení a pokud byly změněny systémové soubory DSM.
Dozvědět se více
Tip 3: Základní DSM bezpečnostní funkce nastavení
můžete konfigurovat řadu nastavení zabezpečení v Ovládacích Panelech > karta Zabezpečení k zajištění své uživatelské účty.
IP Auto Block
otevřete Ovládací panely a přejděte na Security > Auto Block. Povolením automatického blokování automaticky zablokujete IP adresy klientů, kteří se nepřihlásí v určeném počtu a období. Administrátoři mohou také zakázat konkrétní IP adresy, aby se zabránilo možným útokům hrubou silou nebo odmítnutím služby.
nakonfigurujte počet pokusů na základě prostředí použití a typu uživatelů, které bude vaše zařízení pravidelně obsluhovat. Mějte na paměti, že většina domácností a podniků bude mít pro své uživatele pouze jednu externí IP adresu a že IP adresy jsou často dynamické a po určitém počtu dnů nebo týdnů se změní.
Další informace
ochrana účtu
zatímco automatické blokování blacklistů IP adres, které selhaly příliš mnoho pokusů o ověření, ochrana účtu chrání uživatelské účty blokováním přístupu nedůvěryhodných klientů.
přejděte na Ovládací panely > zabezpečení > ochrana účtu. Můžete povolit ochranu účtu k ochraně účtů před nedůvěryhodnými klienty po nastaveném počtu neúspěšných přihlášení. To zvyšuje bezpečnost vašeho DSM a snižuje riziko, že se účty stanou kořistí útoků hrubou silou z distribuovaných útoků.
Dozvědět se více
Povolit HTTPS
S HTTPS je povoleno, můžete šifrování a zabezpečení síťového provozu mezi zařízení Synology NAS a připojených klientů, které chrání proti běžné formy odposlechu nebo man-in-the-middle útoky.
přejděte na Ovládací panely > síť > nastavení DSM. Zaškrtněte políčko pro automatické přesměrování HTTP připojení na HTTPS. Nyní se připojíte k DSM přes HTTPS. V adresním řádku si všimnete, že adresa URL vašeho zařízení začíná „https: / / „místo“ http://“. Všimněte si, že výchozí číslo portu pro https je 443, zatímco http ve výchozím nastavení používá port 80. Pokud jste dříve měli určitá nastavení brány firewall nebo sítě, možná je budete muset aktualizovat.
Další informace
upřesnit: přizpůsobit pravidla brány Firewall
firewall slouží jako virtuální bariéra, která filtruje síťový provoz z externích zdrojů podle sady pravidel. Přejděte na Ovládací Panel > Zabezpečení > Firewall nastavení pravidel brány firewall, aby se zabránilo neoprávněnému přihlásit a služba řízení přístupu. Můžete se rozhodnout, zda chcete povolit nebo odepřít přístup k určité síťové porty podle konkrétní IP adresy, dobrý způsob, jak například povolit vzdálený přístup z konkrétní kanceláře nebo pouze povolit přístup na konkrétní službu nebo protokol.
Dozvědět se více
Tip 4: HTTPS Část 2 – Pojďme Šifrování
Digitální certifikáty hrát klíčovou roli v umožnění HTTPS, ale jsou často drahé a obtížné udržet, a to zejména pro non-firemní uživatele. DSM má vestavěnou podporu pro Let ‚ s Encrypt, bezplatnou a automatizovanou organizaci vydávající certifikáty, která umožňuje komukoli snadno zabezpečit jejich připojení.
Pokud již máte registrovanou doménu, nebo jsou pomocí DDNS, přejděte na Ovládací Panel > Zabezpečení > Osvědčení. Klikněte na Přidat nový certifikát > získejte certifikát od Let ‚ s Encrypt, pro většinu uživatelů byste měli zkontrolovat „Nastavit jako výchozí certifikát“*. Chcete-li získat certifikát, zadejte název domény.
jakmile získáte certifikát, ujistěte se, že veškerý provoz prochází protokolem HTTPS (jak je uvedeno v tipu #3).
* Pokud jste v nastavení zařízení k poskytování služeb prostřednictvím více domén nebo subdomén, budete muset nakonfigurovat který certifikát se používá jednotlivé služby v Ovládacích Panelech > Zabezpečení > Certifikát > Configure
tutorial Youtube videa
Tip 5: Zakázat výchozí účet správce
Společné správce uživatelských jmen může vaše zařízení Synology NAS zranitelné vůči škodlivým stran, které zaměstnávají brute-force útoky, které používají společné uživatelské jméno a heslo kombinace. Při nastavování NAS se vyhněte běžným jménům jako „admin“, „administrator“, „root“*. Doporučujeme také nastavit silné a jedinečné heslo hned po nastavení nas Synology a deaktivovat výchozí účet správce systému**.
Pokud se právě přihlašujete pomocí uživatelského účtu „admin“, přejděte na Ovládací panely > uživatel a vytvořte nový účet pro správu. Poté se přihlaste pomocí nového účtu a deaktivujte výchozí systém „admin“.
* „root“ není povoleno jako uživatelské jméno.
* * pokud je nastaven pomocí jiného uživatelského jména než „admin“, výchozí účet bude již deaktivován.
Další informace
Tip 6: Síla hesla
silné heslo chrání váš systém před neoprávněným přístupem. Vytvořte složité heslo, které obsahuje písmena, číslice a speciální znaky se smíšenými písmeny způsobem, který si pamatujete pouze vy.
použití společného hesla pro mnoho účtů je také pozvánkou pro hackery. Pokud je účet ohrožen, hackeři mohou snadno převzít kontrolu nad ostatními účty. K tomu dochází pravidelně u webových stránek a dalších poskytovatelů služeb. Doporučujeme se zaregistrovat pomocí veřejných monitorovacích služeb, jako je Have I Been Pwned nebo Firefox Monitor.
Pokud máte potíže zapamatovat si složitá a jedinečná hesla pro různé účty, správce hesel (jako 1Password, LastPass, nebo Bitwarden) by mohla být vaše nejlepší řešení. Musíte si zapamatovat pouze jedno heslo-hlavní heslo – a správce hesel vám pomůže vytvořit a vyplnit přihlašovací údaje pro všechny ostatní účty.
Pokud jste správu zařízení Synology NAS, který zpracovává ověřování*, můžete přizpůsobit uživatelské heslo politiku zpřísnit heslo bezpečnostní požadavky pro všechny nové uživatelské účty. Přejděte na Ovládací panely > uživatel > Upřesnit a zaškrtněte políčko Použít pravidla síly hesla v části Nastavení hesla. Zásady budou použity pro každého uživatele, který vytvoří nový účet.
* podobné možnosti jsou k dispozici také v balíčcích LDAP Server a Directory Server.
Další informace
Tip 7: 2-step ověření
Pokud chcete do svého účtu přidat další vrstvu zabezpečení, důrazně doporučujeme povolit 2-step ověření. Chcete-li vynutit dvoufázové ověření na vašem účtu DSM a účtu Synology, budete potřebovat mobilní zařízení a aplikaci authenticator, která podporuje protokol TOTP (time-based One-Time Password). Přihlášení bude vyžadovat pověření uživatele a čase-omezené 6-místný kód načíst z Microsoft Authenticator, Authy nebo jiné authenticator aplikace, aby se zabránilo neoprávněnému přístupu.
Pro účet Synology, pokud jste ztratili telefon s aplikací authenticator*, můžete se přihlásit pomocí záložních kódů poskytnutých během 2krokového nastavení ověřování. Je důležité udržovat tyto kódy v bezpečí tím, že je někde stáhnete nebo vytisknete. Nezapomeňte tyto kódy uchovávat v bezpečí, ale přístupné.
na DSM, pokud ztratíte autentizátor, můžete resetovat 2-krokové ověření jako poslední možnost. Uživatelé patřící do skupiny Administrátoři mohou konfiguraci resetovat.
Pokud již nejsou všechny účty správce přístupné, budete muset resetovat pověření a nastavení sítě v zařízení. Podržte tlačítko Reset hardwaru na NAS po dobu přibližně 4 sekund (uslyšíte pípnutí) a poté spusťte Synology Assistant, abyste zařízení překonfigurovali.**
* některé ověřovací aplikace podporují metody zálohování a obnovy založené na účtu 3rd. Vyhodnoťte své bezpečnostní požadavky versus možnosti pohodlí a obnovy po havárii.
* * SHA, VMM, šifrovaná sdílená složka automount, více nastavení zabezpečení, uživatelské účty a nastavení portu budou resetovány. Přečtěte si více o procesu resetování
Dozvědět se více
Tip 8: Změnit výchozí porty
i Když změna DSM výchozí HTTP (5000) a HTTPS (5001) porty vlastní porty nelze zabránit cílené útoky, to může odradit společné hrozby, že zaútočí jen předdefinované služby. Chcete-li změnit výchozí porty, Ovládací Panel > Síť > Nastavení DSM a přizpůsobit čísla portů. Je také dobré změnit výchozí port SSH (22), pokud pravidelně používáte přístup do prostředí shell.
můžete také nasadit reverzní proxy pro snížení možných vektorů útoku pouze na konkrétní webové služby pro zvýšení bezpečnosti. Reverzní proxy server funguje jako prostředník pro komunikaci mezi (obvykle) interní server a vzdálené klienty, skrývá určité informace o serveru, jako je jeho aktuální IP adresu.
Další informace
Tip 9: Zakázat SSH / telnet, když se nepoužívá
Pokud jste mocným uživatelem, který často vyžaduje přístup do shellu, nezapomeňte vypnout SSH/telnet, když se nepoužívá. Jako root přístup je ve výchozím nastavení povolena a SSH/telnet podporuje pouze podepsat-in od admin účty, hackeři mohou brute-force hesla získat neoprávněný přístup k vašemu systému. Pokud potřebujete mít terminálové služby být k dispozici na všechny časy, doporučujeme nastavit silné heslo a změnit výchozí SSH port (22) pro zvýšení bezpečnosti. Můžete také zvážit využití VPN a omezení přístupu SSH pouze k místním nebo důvěryhodným IP adresám.
Další informace
Tip 10: šifrování sdílených složek
DSM podporuje šifrování AES-256 vašich sdílených složek, aby se zabránilo extrakci dat z fyzických hrozeb. Administrátoři mohou šifrovat nově vytvořené a existující sdílené složky.
Chcete-li zašifrovat existující sdílené složky, přejděte na Ovládací panely > Sdílená složka a upravte složku. Nastavte šifrovací klíč na kartě šifrování a DSM začne šifrovat složku. Důrazně doporučujeme uložit soubor klíče vygenerovaný na bezpečném místě, protože šifrovaná data nelze obnovit bez použitého přístupového hesla nebo souboru klíče.
Další informace
bonusový tip: integrita dat
bezpečnost dat je neoddělitelně spojena s konzistencí a přesností vašich dat-integrita dat. Zabezpečení dat je předpokladem integrity dat, protože neoprávněný přístup by mohl vést k manipulaci s daty nebo ke ztrátě dat, čímž by vaše kritická data byla zbytečná.
existují dvě opatření, která můžete přijmout k zajištění přesnosti a konzistence vašich dat: povolení kontrolního součtu dat a pravidelné spouštění testů S.M. A. R. T. O těchto dvou bezpečnostních metodách jsme psali v našich předchozích příspěvcích na blogu-podívejte se na ně pro více informací.
důležitější než kdy jindy
online hrozby se neustále vyvíjejí a bezpečnost dat musí být stejně mnohostranná. Jak více připojených zařízení se představil doma a v práci, to se stává jednodušší pro kyber-zločinců zneužít bezpečnostní díry a získat přístup do vaší sítě. Zůstat v bezpečí není něco, co uděláte jednou a pak na to zapomenete, je to pokračující proces.