Tietosuojapäivä on juuri kulunut ja maailman Varmuuskopiointipäivän ollessa nurkan takana olemme laatineet 10 tietoturvavinkkiä, joiden avulla voit suojata Synologialaitteesi verkkouhkia vastaan.
viime vuosina kyberturvallisuusuhat ovat kasvaneet rajusti. The New York Timesin raportin mukaan vuonna 2019 yli 200 000 järjestöä joutui kiristyshaittaohjelmien kohteeksi, mikä on 41 prosenttia enemmän kuin vuotta aiemmin.
suojautuaksemme olemme koonneet listan tärkeistä tietoturva-asetuksista, jotka usein sivuutetaan. Lopussa olemme sisällyttäneet bonusvinkkejä, jotka voivat auttaa sinua varmistamaan tietojen eheyden – toinen tietosuojan pilari.
Huomautus: useimpiin alla lueteltuihin asetuksiin pääsee käsiksi ja niitä voi muokata vain käyttäjätilillä, jolla on hallinnolliset oikeudet.
- Vihje 1: Pysy ajan tasalla ja Ota ilmoitukset käyttöön
- Tip 2: Run Security Advisor
- Vihje 3: DSM: n perusturvaominaisuudet
- Vihje 4: HTTPS Osa 2 – salataan
- Vihje 5: Poista oletus järjestelmänvalvojan tili käytöstä
- vinkki 6: salasanan vahvuus
- vinkki 7: 2-step verification
- Tip 8: vaihda oletusportit
- vinkki 9: Poista SSH/telnet käytöstä, kun se ei ole käytössä
- Vihje 10: salaa jaetut kansiot
- Bonusvinkki: tietojen eheys
- tärkeämpi kuin koskaan
Vihje 1: Pysy ajan tasalla ja Ota ilmoitukset käyttöön
julkaisemme DSM-päivityksiä säännöllisesti, jotta voimme tarjota toiminnallisia ja suorituskykyparannuksia sekä ratkaista tuotteiden tietoturvahaavoittuvuuksia.
aina, kun tietoturvahaavoittuvuus ilmenee, meidän Product Security Incident Response Team (PSIRT) suorittaa arvioinnin ja tutkimuksen 8 tunnin kuluessa ja vapauttaa korjaustiedoston seuraavan 15 tunnin aikana estääkseen mahdolliset vahingot nollapäivähyökkäyksistä.
useimmille käyttäjille suosittelemme, että määrität automaattiset päivitykset, jotta uusimmat DSM-päivitykset asennetaan automaattisesti.*
Lue lisää
monissa Synologisissa laitteissa on mahdollisuus ajaa Virtual DSM Virtual Machine managerin sisällä, jolloin DSM-käyttöjärjestelmästä voidaan luoda virtualisoitu versio. Luo virtuaalisella DSM: llä lavastusympäristö, kopioi tai yritä toistaa tuotantoympäristösi sen sisällä. Suorita päivitystesti asentamalla uusin DSM-versio virtuaaliseen DSM: ään ja tarkista avaintoiminnot, joita nykyinen käyttöönotto vaatii, ennen kuin jatkat päivitystä pääympäristössäsi.
toinen tärkeä huomioon otettava asia on asioiden päällä pysyminen niiden tapahtuessa. Määritä ilmoitukset Synologiaasi NAS ja saat ilmoituksen sähköpostitse, tekstiviestillä, mobiililaitteellasi tai selaimesi kautta, kun tiettyjä tapahtumia tai virheitä ilmenee. Jos käytät Synologian DDNS-palvelua, voit valita, milloin ulkoinen verkkoyhteys katkeaa. Välittömästi toimivat ilmoitukset tallennusmääriä loppumassa tilaa, tai kun varmuuskopiointi ja palauttaminen tehtävä epäonnistuu on tärkeä osa varmistaa tietosi pitkän aikavälin turvallisuutta.
kannustamme sinua myös perustamaan Synology-tilisi vastaanottamaan NAS-ja security advisory-uutiskirjeemme, jotta pysyt ajan tasalla uusimmista tietoturva-ja ominaisuuspäivityksistä.
* Automaattinen päivitys tukee vain pieniä DSM-päivityksiä. Suuret päivitykset vaativat manuaalisen asennuksen.
Learn more
Tip 2: Run Security Advisor
Security Advisor on esiasennettu sovellus, joka voi skannata NAS-järjestelmäsi yleisiltä DSM-konfiguraatio-ongelmilta ja antaa sinulle ehdotuksia siitä, mitä sinun pitäisi tehdä seuraavaksi pitääksesi Synologiasi NAS: n turvassa. Esimerkiksi, se voi havaita yhteisiä asioita, kuten jättää SSH access auki, jos mitään epänormaalia kirjautuminen toimintaa esiintyy, ja jos DSM järjestelmätiedostot on muutettu.
Lue lisää
Vihje 3: DSM: n perusturvaominaisuudet
voit määrittää useita suojausasetuksia Ohjauspaneelista > suojausvälilehti käyttäjätilien turvaamiseksi.
IP-Automaattilohko
avaa Ohjauspaneeli ja siirry suojaukseen > Automaattilohko. Salli automaattinen block automaattisesti estää IP-osoitteet asiakkaille, jotka eivät kirjaudu tietyn määrän kertoja ja ajan. Ylläpitäjät voivat myös mustalle listalle tiettyjä IP-osoitteita estääkseen mahdolliset raa ’ at voimakeinot tai palvelunestohyökkäykset.
Määritä kokeilujen määrä käyttöympäristön ja niiden käyttäjien tyypin perusteella, joita laitteesi huoltaa säännöllisesti. Muista, että useimmissa kodeissa ja yrityksissä on vain yksi ulkoinen IP-osoite käyttäjilleen ja että IP-osoitteet ovat usein dynaamisia ja muuttuvat tietyn päivien tai viikkojen kuluttua.
Lue lisää
Tilisuojaus
vaikka automaattinen blokkaus mustalle listalle IP-osoitteita, jotka ovat epäonnistuneet yhden liian monta todennusyritystä, Tilisuojaus suojaa käyttäjätilejä estämällä epäluotettavien asiakkaiden pääsyn.
siirry Ohjauspaneeliin > turvallisuus > tilin suojaus. Voit ottaa Tilinsuojauksen käyttöön suojataksesi tilejä epäluotettavilta asiakkailta epäonnistuneiden allekirjoitusten määritetyn määrän jälkeen. Tämä parantaa DSM: n turvallisuutta ja vähentää riskiä, että tilit joutuvat hajautettujen hyökkäysten raa ’ an voiman uhreiksi.
lisätietoja
ota HTTPS
kun HTTPS on käytössä, voit salata ja suojata verkkoliikenteen Synologian NAS: n ja liitettyjen asiakkaiden välillä, mikä suojaa yleisiltä salakuuntelumuodoilta tai man-in-the-middle-hyökkäyksiltä.
siirry Ohjauspaneeliin > Verkko > DSM-Asetukset. Valitse valintaruutu, jos haluat ohjata HTTP-yhteydet automaattisesti HTTPS: ään. Muodostat nyt yhteyden DSM: ään HTTPS: n kautta. Osoiterivillä, huomaat, että laitteen URL alkaa ”https://”eikä”http://”. Huomaa, että https: n oletusportin Numero on 443, kun taas http käyttää oletuksena porttia 80. Jos sinulla oli aiemmin käytössä tietyt palomuuri-tai verkkoasetukset, saatat joutua päivittämään ne.
Lue lisää
Advanced: Mukauta palomuurisäännöt
palomuuri toimii virtuaalisena esteenä, joka suodattaa verkkoliikennettä ulkoisista lähteistä sääntöjoukon mukaisesti. Mene ohjauspaneeliin > Security > palomuuri ja määritä palomuurisäännöt luvattoman kirjautumisen ja palvelun käytön estämiseksi. Voit päättää, sallitaanko tai estetäänkö pääsy tiettyihin verkkoportteihin tiettyjen IP-osoitteiden perusteella, mikä on hyvä tapa esimerkiksi sallia etäkäyttö tietystä toimistosta tai sallia vain pääsy tiettyyn Palveluun tai protokollaan.
Lue lisää
Vihje 4: HTTPS Osa 2 – salataan
digitaaliset varmenteet ovat avainasemassa HTTPS: n käyttöönotossa, mutta ne ovat usein kalliita ja vaikeasti ylläpidettäviä erityisesti muille kuin yrityskäyttäjille. DSM: llä on sisäänrakennettu tuki Let ’ s Encrypt-järjestölle, joka on ilmainen ja automatisoitu varmenteita myöntävä organisaatio, jotta kuka tahansa voi helposti turvata yhteytensä.
Jos sinulla on jo rekisteröity verkkotunnus tai käytät DDNS: ää, siirry Ohjauspaneeliin > Security > varmenne. Valitse Lisää uusi varmenne > Hanki varmenne Let ’ s Encrypt-sivustolta, useimmille käyttäjille kannattaa tarkistaa ”Set as default certificate”*. Anna verkkotunnuksesi saadaksesi varmenteen.
kun olet saanut varmenteen, varmista, että kaikki liikenne kulkee HTTPS: n kautta (listattuna vinkissä #3).
* Jos olet määrittänyt laitteesi tarjoamaan palveluita useiden verkkotunnusten tai alialueiden kautta, Sinun on määritettävä, mitä varmennetta kukin palvelu käyttää Ohjauspaneelissa > Security > varmenne > Configure
Youtube tutorial video
Vihje 5: Poista oletus järjestelmänvalvojan tili käytöstä
yhteiset järjestelmänvalvojan käyttäjätunnukset voivat tehdä synologiasi nas alttiiksi haitallisille tahoille, jotka käyttävät brute-force-hyökkäyksiä, jotka käyttävät yhteisiä käyttäjätunnus-ja salasanayhdistelmiä. Vältä yleisiä nimiä, kuten” admin”,” administrator”,” root”*, kun perustat NAS. Suosittelemme, että asetat myös vahvan ja ainutlaatuisen salasanan heti Synologian NAS-järjestelmän perustamisen jälkeen ja poistat järjestelmän oletustilin**käytöstä.
Jos kirjaudut sisään ”admin” – käyttäjätilillä, siirry Ohjauspaneeliin > käyttäjä ja luo uusi hallintatili. Kirjaudu sisään käyttämällä uutta tiliä ja poista järjestelmän oletusarvo ”admin”.
* ”root” ei ole sallittu käyttäjätunnuksena.
** Jos määritetty käyttämällä muuta käyttäjätunnusta kuin” admin”, oletustili on jo poistettu käytöstä.
Lue lisää
vinkki 6: salasanan vahvuus
vahva salasana suojaa järjestelmääsi luvattomalta käytöltä. Luo monimutkainen salasana, joka sisältää sekamerkkejä, numeroita ja erikoismerkkejä tavalla, jonka vain sinä muistat.
yhteisen salasanan käyttäminen monille tileille on myös kutsu hakkereille. Jos tili vaarantuu, hakkerit voivat helposti ottaa haltuunsa muita tilejä. Tämä tapahtuu säännöllisesti verkkosivustoille ja muille palveluntarjoajille. Suosittelemme rekisteröitymistä julkisiin seurantapalveluihin, kuten Have I Been Pwned tai Firefox Monitor.
Jos sinulla on vaikeuksia muistaa monimutkaisia ja ainutlaatuisia salasanoja eri tileille, salasanojen hallinta (kuten 1Password, LastPass tai Bitwarden) voi olla paras ratkaisu. Sinun tarvitsee vain muistaa yksi salasana-pääsalasana-ja salasanojen hallinta auttaa sinua luomaan ja täyttämään kirjautumistiedot kaikille muille tileillesi.
jos hallinnoit tunnistautumista* käsittelevää nas-Synologiaa, voit muokata käyttäjän salasanakäytäntöä kiristämään salasanojen suojausvaatimuksia kaikille uusille käyttäjätileille. Siirry Ohjauspaneeliin > User > Advanced ja rasti Käytä salasanan vahvuussääntöjä-valintaruutuun salasanan Asetukset-osiossa. Käytäntöä sovelletaan kaikkiin käyttäjiin, jotka luovat uuden tilin.
* samanlaisia vaihtoehtoja on myös LDAP-palvelin-ja Hakemistopalvelinpaketeissa.
Lue lisää
vinkki 7: 2-step verification
Jos haluat lisätä ylimääräisen suojakerroksen tilillesi, suosittelemme, että otat käyttöön 2-step verification. DSM-tilin ja Synologia-tilin 2-vaiheisen vahvistuksen täytäntöönpanemiseksi tarvitset mobiililaitteen ja todennussovelluksen, joka tukee aikapohjaista kertaluonteista salasanaa (TOTP). Sisäänkirjautuminen vaatii sekä käyttäjätunnuksesi että ajallisesti rajoitetun 6-numeroisen koodin, joka on haettu Microsoft Authenticator -, Authenticator-tai muista authenticator-sovelluksista luvattoman käytön estämiseksi.
Synologiatilille, jos hukkasit puhelimesi authenticator-sovelluksella*, voit kirjautua sisään 2-portaisen authentication setup-järjestelmän aikana annettujen varmuuskopiokoodien avulla. On tärkeää pitää nämä koodit turvassa lataamalla se jonnekin tai tulostamalla ne. Muista pitää nämä koodit turvassa, mutta saatavilla.
DSM: ssä, jos kadotat authenticator-tunnistimen, voit nollata 2-vaiheisen vahvistuksen viimeisenä keinona. Järjestelmänvalvojat-ryhmään kuuluvat käyttäjät voivat nollata asetukset.
Jos kaikki järjestelmänvalvojan tilit eivät ole enää käytettävissä, sinun on palautettava laitteen valtakirjat ja verkkoasetukset. Pidä laitteiston RESET-painiketta NAS noin 4 sekuntia (kuulet äänimerkin) ja käynnistä sitten Synology Assistant uudelleen laitteen.**
* jotkut todennussovellukset tukevat kolmannen osapuolen tiliin perustuvia varmuuskopiointi-ja palautusmenetelmiä. Arvioi turvallisuusvaatimukset vs. mukavuus ja katastrofien palautusvaihtoehdot.
** Sha, VMM, salattu jaettujen kansioiden automount, useat suojausasetukset, Käyttäjätilit ja portin asetukset nollataan. Lue lisää nollausprosessista
Lue lisää
Tip 8: vaihda oletusportit
vaikka DSM: n HTTP (5000) – ja HTTPS (5001) – oletusporttien muuttaminen mukautetuiksi porteiksi ei voi estää kohdennettuja hyökkäyksiä, se voi estää yhteisiä uhkia, jotka hyökkäävät vain ennalta määriteltyihin palveluihin. Voit muuttaa oletusportteja valitsemalla Ohjauspaneelin > Verkko > DSM-Asetukset ja muokkaamalla porttinumeroita. On myös hyvä idea muuttaa oletuksena SSH (22) portti, jos käytät säännöllisesti shell access.
voit myös ottaa käyttöön käänteisen välityspalvelimen, joka vähentää mahdolliset hyökkäysvektorit vain tiettyihin verkkopalveluihin turvallisuuden lisäämiseksi. Käänteinen välityspalvelin toimii välittäjänä (yleensä) sisäisen palvelimen ja etäasiakkaiden välisessä viestinnässä piilottaen tiettyjä tietoja palvelimesta, kuten sen todellisen IP-osoitteen.
Lue lisää
vinkki 9: Poista SSH/telnet käytöstä, kun se ei ole käytössä
Jos olet tehokäyttäjä, joka vaatii usein komentotulkin käyttöä, muista sammuttaa SSH / telnet, kun se ei ole käytössä. Koska pääkäyttäjän käyttö on oletusarvoisesti käytössä ja SSH/telnet tukee vain admin-tilien kirjautumisia, hakkerit voivat raa ’ asti pakottaa salasanasi saamaan luvattoman pääsyn järjestelmääsi. Jos sinulla on oltava terminal service olla käytettävissä koko ajan, suosittelemme, että asetat vahva salasana ja muuttaa oletuksena SSH portin numero (22) lisätä turvallisuutta. Voit myös harkita VPN: ien hyödyntämistä ja SSH: n käytön rajoittamista vain paikallisiin tai luotettuihin IP-osoitteisiin.
Lue lisää
Vihje 10: salaa jaetut kansiot
DSM tukee jaettujen kansioiden AES-256-salausta estääkseen tietojen louhinnan fyysisistä uhkista. Järjestelmänvalvojat voivat salata uudet ja olemassa olevat jaetut kansiot.
olemassa olevien jaettujen kansioiden salaamiseksi siirry Ohjauspaneeliin > Jaettu kansio ja muokkaa kansiota. Aseta salausavain salaus-välilehden alle ja DSM alkaa salata kansiota. Suosittelemme, että tallennat suojattuun paikkaan luodun avaintiedoston, koska salattuja tietoja ei voida palauttaa ilman salauslausetta tai avaintiedostoa.
Lue lisää
Bonusvinkki: tietojen eheys
tietoturva liittyy erottamattomasti tietojesi johdonmukaisuuteen ja tarkkuuteen — tietojen eheys. Tietoturva on edellytys tietojen eheyden, koska luvaton pääsy voi johtaa tietojen peukalointi tai tietojen menetys, jolloin kriittiset tiedot hyödytön.
on kaksi toimenpidettä, joilla voit varmistaa tietojesi tarkkuuden ja johdonmukaisuuden: tietojen tarkistussumman ottaminen käyttöön ja S. M. A. R. T.-testien suorittaminen säännöllisesti. Olemme kirjoittaneet näistä kahdesta tietoturvamenetelmästä aiemmissa blogikirjoituksissamme – tarkista niistä lisätietoja.
tärkeämpi kuin koskaan
verkkouhat kehittyvät koko ajan ja tietoturvan on oltava yhtä monipuolista. Kun kotona ja työpaikalla otetaan käyttöön enemmän kytkettyjä laitteita, kyberrikollisten on helpompi hyödyntää tietoturva-aukkoja ja päästä verkkoon. Pysyä turvassa ei ole jotain teet kerran ja sitten unohtaa, se on jatkuva prosessi.