az Adatvédelmi nap most telt el, és a biztonsági mentés Világnapjával a sarkon 10 adatbiztonsági tippet készítettünk, amelyek segítenek megvédeni Synology eszközeit az online fenyegetésekkel szemben.
az elmúlt években drámai mértékben nőtt a kiberbiztonsági fenyegetések száma. A The New York Times jelentése szerint több mint 200 000 szervezetet támadtak meg ransomware-ekkel 2019-ben, ami 41% – os növekedést jelent az előző évhez képest.
annak érdekében, hogy megvédje magát, összeállítottunk egy listát a fontos adatbiztonsági beállításokról, amelyeket gyakran figyelmen kívül hagynak. A végén bónusz tippeket tartalmaztunk, amelyek segíthetnek az adatok integritásának biztosításában-ez az adatvédelem másik pillére.
Megjegyzés: Az alább felsorolt beállítások többségét csak rendszergazdai jogosultsággal rendelkező felhasználói fiók érheti el és módosíthatja.
- 1.tipp: Legyen naprakész és engedélyezze az értesítéseket
- 2.Tipp: futtassa a Security Advisor programot a
- 3.tipp: a DSM alapvető biztonsági funkciói a beállításhoz
- 4.tipp: HTTPS Part 2 – Let ‘ s Encrypt
- 5.tipp: Az alapértelmezett rendszergazdai fiók letiltása
- 6.tipp: jelszó erőssége
- Tipp 7: 2-step verification
- 8.tipp: az alapértelmezett portok módosítása
- 9. tipp: Tiltsa le az SSH / telnet szolgáltatást, ha nincs használatban
- 10.tipp: megosztott mappák titkosítása
- bónusz tipp: az adatok integritása
- fontosabb, mint valaha
1.tipp: Legyen naprakész és engedélyezze az értesítéseket
a DSM-frissítéseket rendszeresen kiadjuk a funkcionális és teljesítménybeli fejlesztések biztosítása, valamint a termék biztonsági réseinek megoldása érdekében.
amikor biztonsági rés merül fel, termékbiztonsági incidensre reagáló csapatunk (PSIRT) 8 órán belül értékelést és vizsgálatot végez, és a következő 15 órán belül kiadja a javítást, hogy segítsen megelőzni a nulladik napi támadások esetleges károsodását.
a legtöbb felhasználó számára javasoljuk, hogy állítsa be az automatikus frissítéseket, hogy a legújabb DSM-frissítések automatikusan települjenek.*
További információ
számos Synology eszköz rendelkezik a virtuális DSM futtatására a Virtual Machine Manager-en belül a DSM operációs rendszer virtualizált verziójának létrehozásához. A virtuális DSM használatával hozzon létre egy átmeneti környezetet, majd ismételje meg vagy próbálja meg reprodukálni a termelési környezetet. Végezzen el egy frissítési tesztet a legújabb DSM-verzió telepítésével a virtuális DSM-re, és ellenőrizze a jelenlegi telepítéshez szükséges kulcsfontosságú funkciókat, mielőtt folytatná a frissítést a fő környezetében.
egy másik fontos dolog, amelyet figyelembe kell venni, hogy a dolgok tetején maradjon, ahogy azok előfordulnak. Állítsa be az értesítéseket a Synology NAS-on, és értesítést kapjon e-mailben, SMS-ben, mobileszközén vagy a webböngészőn keresztül, ha konkrét események vagy hibák fordulnak elő. Ha a Synology DDNS szolgáltatását használja, dönthet úgy, hogy értesítést kap, ha a külső hálózati kapcsolat megszakad. Az adatok hosszú távú biztonságának biztosításában fontos szerepet játszik az, ha azonnal értesítéseket küldünk a tárterületekről, vagy ha egy biztonsági mentési és helyreállítási feladat sikertelen.
azt is javasoljuk, hogy állítsa be Synology-fiókját, hogy megkapja NAS-és biztonsági tanácsadó hírleveleinket, hogy lépést tudjon tartani a legújabb biztonsági és funkciófrissítésekkel.
* Az automatikus frissítés csak kisebb DSM frissítéseket támogat. A nagyobb frissítések kézi telepítést igényelnek.
További információ
2.Tipp: futtassa a Security Advisor programot a
Security Advisor egy előre telepített alkalmazás, amely képes átvizsgálni a NAS-t a gyakori DSM-konfigurációs problémák után, és javaslatokat ad arra vonatkozóan, hogy mit kell tennie a Synology NAS biztonságának megőrzése érdekében. Például észlelheti az olyan gyakori dolgokat, mint például az SSH hozzáférés nyitva hagyása, ha bármilyen rendellenes bejelentkezési tevékenység történik, vagy ha a DSM rendszerfájlok módosultak.
További információ
3.tipp: a DSM alapvető biztonsági funkciói a beállításhoz
számos biztonsági beállítást konfigurálhat a Vezérlőpulton> Biztonság fülön a felhasználói fiókok védelméhez.
IP automatikus blokkolás
nyissa meg a Vezérlőpultot, és lépjen a biztonság> automatikus blokkolás menüpontra. Engedélyezze az automatikus blokkolást azon ügyfelek IP-címeinek automatikus blokkolásához, amelyek nem tudnak bejelentkezni egy meghatározott számú alkalommal és időszakon belül. A rendszergazdák bizonyos IP-címeket is feketelistára tehetnek, hogy megakadályozzák az esetleges brute-force vagy denial-of-service támadásokat.
konfigurálja a próbálkozások számát A használati környezet és a felhasználók típusa alapján, amelyeket az eszköz rendszeresen kiszolgál. Ne feledje, hogy a legtöbb otthon és vállalkozás csak egy külső IP-címmel rendelkezik a felhasználók számára, és az IP-címek gyakran dinamikusak, és bizonyos számú nap vagy hét után megváltoznak.
További információ
fiókvédelem
míg az automatikus blokkolás feketelistára IP-címeket, amelyek nem túl sok hitelesítési kísérlet, fiókvédelem védi felhasználói fiókok blokkolásával megbízhatatlan ügyfelek hozzáférését.
lépjen a Vezérlőpultra> biztonság> fiókvédelem. Engedélyezheti a Fiókvédelmet, hogy meghatározott számú sikertelen bejelentkezés után megvédje a fiókokat a nem megbízható ügyfelektől. Ez javítja a DSM biztonságát, és csökkenti annak kockázatát, hogy a fiókok az elosztott támadások brute force támadásainak áldozatává váljanak.
További információ
HTTPS engedélyezése
Ha a HTTPS engedélyezve van, titkosíthatja és biztonságossá teheti a Synology NAS és a csatlakoztatott ügyfelek közötti hálózati forgalmat, amely védelmet nyújt a lehallgatás vagy a köztes támadások gyakori formáival szemben.
lépjen a Vezérlőpultra> hálózat> DSM Beállítások. Jelölje be a HTTP-kapcsolatok HTTPS-re történő automatikus átirányítása jelölőnégyzetet. Most HTTPS-en keresztül csatlakozik a DSM-hez. A címsorban észreveszi, hogy az eszköz URL-je a “HTTP://” helyett “https://” – vel kezdődik. Vegye figyelembe, hogy a https alapértelmezett portszáma 443, míg a http alapértelmezés szerint a 80-as portot használja. Ha korábban már rendelkezett bizonyos tűzfal-vagy hálózati beállításokkal, előfordulhat, hogy frissítenie kell őket.
További információ
speciális: tűzfalszabályok testreszabása
a tűzfal virtuális akadályként szolgál, amely egy szabálykészlet szerint szűri a külső forrásokból származó hálózati forgalmat. Lépjen a Vezérlőpultra >Security > tűzfal a tűzfalszabályok beállításához a jogosulatlan bejelentkezés és a Szolgáltatáshoz való hozzáférés vezérlése érdekében. Eldöntheti, hogy engedélyezi-e vagy megtagadja-e bizonyos hálózati portokhoz való hozzáférést bizonyos IP-címek alapján, jó módszer például távoli hozzáférés engedélyezésére egy adott irodából, vagy csak egy adott Szolgáltatáshoz vagy protokollhoz való hozzáférés engedélyezésére.
További információ
4.tipp: HTTPS Part 2 – Let ‘ s Encrypt
a digitális tanúsítványok kulcsszerepet játszanak a HTTPS engedélyezésében, de gyakran drágák és nehezen karbantarthatók, különösen a nem üzleti felhasználók számára. A DSM beépített támogatást nyújt a Let ‘ s Encrypt-hez, egy ingyenes és automatizált tanúsítványkiadó szervezethez, amely lehetővé teszi bárki számára, hogy könnyen biztosítsa kapcsolatait.
Ha már regisztrált domainje van, vagy DDNS-t használ, lépjen a Vezérlőpultra >Security > tanúsítvány. Kattintson új tanúsítvány hozzáadása > kérjen tanúsítványt a Let ‘s Encrypt-től, a legtöbb felhasználó számára ellenőrizze a”Beállítás alapértelmezett tanúsítványként” *lehetőséget. Írja be domain nevét a tanúsítvány megszerzéséhez.
miután megkapta a tanúsítványt, győződjön meg arról, hogy az összes forgalom HTTPS-en megy keresztül (a 3.tippben felsoroltak szerint).
* Ha úgy állította be készülékét, hogy több domainen vagy aldomainen keresztül nyújtson szolgáltatásokat, akkor a Vezérlőpulton be kell állítania, hogy az egyes szolgáltatások melyik tanúsítványt használják > biztonság > tanúsítvány > Konfigurálás
Youtube bemutató videó
5.tipp: Az alapértelmezett rendszergazdai fiók letiltása
a gyakori rendszergazdai felhasználónevek sebezhetővé tehetik a Synology NAS-t olyan rosszindulatú felekkel szemben, amelyek brute-force támadásokat alkalmaznak, amelyek közös felhasználónév és jelszó kombinációt használnak. Kerülje az olyan általános neveket, mint az” admin”,” administrator”,” root ” * a NAS beállításakor. Javasoljuk, hogy a Synology NAS beállítása után azonnal állítson be egy erős és egyedi jelszót, és tiltsa le a rendszer alapértelmezett rendszergazdai fiókját**.
Ha jelenleg az “admin” felhasználói fiókkal jelentkezik be, lépjen a Vezérlőpult > felhasználó elemre, és hozzon létre egy új felügyeleti fiókot. Ezután jelentkezzen be az új fiókkal, és tiltsa le a rendszer alapértelmezett “admin”.
* a “root” nem engedélyezett felhasználónévként.
* * Ha az “admin” – tól eltérő felhasználónévvel van beállítva, az Alapértelmezett fiók már le lesz tiltva.
További információ
6.tipp: jelszó erőssége
egy erős jelszó védi a rendszert a jogosulatlan hozzáféréstől. Hozzon létre egy összetett jelszót, amely vegyes betűket, számjegyeket és speciális karaktereket tartalmaz oly módon, hogy csak Ön emlékezzen rá.
sok fiók közös jelszavának használata szintén meghívás a hackerek számára. Ha egy fiók veszélybe kerül, a hackerek könnyen átvehetik az irányítást a többi fiók felett. Ez rendszeresen megtörténik a weboldalak és más szolgáltatók esetében. Javasoljuk, hogy regisztráljon olyan nyilvános megfigyelő szolgáltatásokkal, mint például a Have I Been Pwned vagy a Firefox Monitor.
Ha nehézségekbe ütközik a különböző fiókok összetett és egyedi jelszavainak memorizálása, egy jelszókezelő (például 1Password, LastPass vagy Bitwarden) lehet a legjobb megoldás. Csak egy jelszót kell megjegyeznie – egy fő jelszót -, és a jelszókezelő segít létrehozni és kitölteni az összes többi fiók bejelentkezési adatait.
ha hitelesítést* kezelő Synology NAS-t adminisztrál, testreszabhatja a felhasználói jelszó házirendjét, hogy szigorítsa az összes új felhasználói fiók jelszavas biztonsági követelményeit. Lépjen a Vezérlőpult > User > Advanced menüpontra, és jelölje be a jelszó erősségi szabályok alkalmazása jelölőnégyzetet a jelszóbeállítások részben. A házirend minden olyan felhasználóra vonatkozik, aki új fiókot hoz létre.
* hasonló beállítások érhetők el az LDAP szerver és a Directory Server csomagokban is.
További információ
Tipp 7: 2-step verification
Ha további biztonsági réteget szeretne hozzáadni a fiókjához, javasoljuk, hogy engedélyezze a 2-step verification funkciót. A DSM-fiók és a Synology-fiók 2 lépéses ellenőrzésének érvényesítéséhez mobileszközre és hitelesítő alkalmazásra van szüksége, amely támogatja az időalapú egyszeri jelszó (TOTP) protokollt. A bejelentkezéshez mind a felhasználói hitelesítő adatokra, mind a Microsoft Authenticator, Authy vagy más authenticator alkalmazásokból lekért 6 jegyű kódra van szükség az illetéktelen hozzáférés megakadályozása érdekében.
Synology-fiók esetén, ha elvesztette telefonját az authenticator alkalmazással*, a 2 lépéses hitelesítési beállítás során megadott biztonsági kódokat használhatja a bejelentkezéshez. Fontos, hogy ezeket a kódokat biztonságban tartsuk, ha valahol letöltjük vagy kinyomtatjuk őket. Ne felejtse el ezeket a kódokat biztonságban, de hozzáférhetővé tenni.
a DSM-en, ha elveszíti a hitelesítőt, végső megoldásként visszaállíthatja a 2 lépéses ellenőrzést. A Rendszergazdák csoporthoz tartozó felhasználók visszaállíthatják a konfigurációt.
ha az összes rendszergazdai fiók már nem érhető el, akkor vissza kell állítania a hitelesítő adatokat és a hálózati beállításokat a készüléken. Tartsa lenyomva a hardveres Visszaállítás gombot a NAS-on körülbelül 4 másodpercig (sípolást fog hallani), majd indítsa el a Synology Assistant alkalmazást a készülék újrakonfigurálásához.**
* egyes hitelesítési alkalmazások támogatják a 3rd party-alapú biztonsági mentési és helyreállítási módszereket. Értékelje a biztonsági követelményeket a kényelmi és katasztrófa utáni helyreállítási lehetőségekkel szemben.
** Sha, VMM, titkosított megosztott mappa automount, több biztonsági beállítások, felhasználói fiókok, port beállítások visszaáll. További információ a visszaállítási folyamatról
További információ
8.tipp: az alapértelmezett portok módosítása
bár a DSM alapértelmezett HTTP (5000) és HTTPS (5001) portjainak megváltoztatása egyéni portokra nem tudja megakadályozni a célzott támadásokat, megakadályozhatja azokat a gyakori fenyegetéseket, amelyek csak az előre meghatározott szolgáltatásokat támadják meg. Az alapértelmezett portok módosításához lépjen a Vezérlőpult > Network > DSM Beállítások menüpontra, és szabja testre a portszámokat. Érdemes megváltoztatni az alapértelmezett SSH (22) portot is, ha rendszeresen használjuk a shell hozzáférést.
fordított proxyt is telepíthet, hogy a potenciális támadási vektorokat csak bizonyos webszolgáltatásokra csökkentse a nagyobb biztonság érdekében. A fordított proxy közvetítőként működik a (általában) belső szerver és a távoli kliensek közötti kommunikációban, elrejtve bizonyos információkat a szerverről, például a tényleges IP-címét.
További információ
9. tipp: Tiltsa le az SSH / telnet szolgáltatást, ha nincs használatban
Ha Ön nagy teljesítményű felhasználó, amely gyakran shell hozzáférést igényel, ne felejtse el kikapcsolni az SSH/telnet szolgáltatást, ha nincs használatban. Mivel a root hozzáférés alapértelmezés szerint engedélyezve van, és az SSH / telnet csak az adminisztrátori fiókokból történő bejelentkezéseket támogatja, a hackerek durván kényszeríthetik a jelszavát, hogy jogosulatlan hozzáférést szerezzenek a rendszeréhez. Ha a terminálszolgáltatásnak mindig rendelkezésre kell állnia, javasoljuk, hogy állítson be egy erős jelszót, és módosítsa az alapértelmezett SSH portszámot (22) a biztonság növelése érdekében. Megfontolhatja a VPN-ek kihasználását és az SSH-hozzáférés korlátozását csak helyi vagy megbízható IP-kre.
További információ
10.tipp: megosztott mappák titkosítása
a DSM támogatja a megosztott mappák AES-256 titkosítását, hogy megakadályozza az adatok kinyerését fizikai fenyegetésekből. A rendszergazdák titkosíthatják az újonnan létrehozott és a meglévő megosztott mappákat.
meglévő megosztott mappák titkosításához lépjen a Vezérlőpult> megosztott mappa elemre, és szerkessze a mappát. Állítson be egy titkosítási kulcsot a Titkosítás fül alatt, és a DSM elkezdi titkosítani a mappát. Javasoljuk, hogy a létrehozott kulcsfájlt biztonságos helyre mentse, mivel a titkosított adatokat nem lehet helyreállítani a használt jelszó vagy a kulcsfájl nélkül.
További információ
bónusz tipp: az adatok integritása
Az adatbiztonság elválaszthatatlanul kapcsolódik az adatok következetességéhez és pontosságához — az adatok integritásához. Az adatbiztonság az adatok integritásának előfeltétele, mivel az illetéktelen hozzáférés az adatok manipulálásához vagy adatvesztéshez vezethet, ami a kritikus adatokat használhatatlanná teszi.
két intézkedést tehet az adatok pontosságának és következetességének biztosítása érdekében: az adatok ellenőrzésének engedélyezése és az S. M. A. R. T. tesztek rendszeres futtatása. Erről a két biztonsági módszerről korábbi blogbejegyzéseinkben írtunk — további információkért ellenőrizze őket.
fontosabb, mint valaha
az Online fenyegetések folyamatosan fejlődnek, és az adatbiztonságnak egyformán sokrétűnek kell lennie. Ahogy egyre több csatlakoztatott eszközt vezetnek be otthon és a munkahelyen, a kiberbűnözők könnyebben kihasználhatják a biztonsági réseket és bejuthatnak a hálózatba. A biztonság megőrzése nem olyasmi, amit egyszer megtesz, majd elfelejt, ez egy folyamatos folyamat.