Data Privacy Day è appena passato e con la Giornata mondiale del backup dietro l’angolo, abbiamo preparato 10 consigli sulla sicurezza dei dati per aiutarti a proteggere i tuoi dispositivi Synology dalle minacce online.
Gli ultimi anni hanno visto una drammatica escalation delle minacce alla sicurezza informatica. Secondo un rapporto del New York Times, più di 200.000 organizzazioni sono state attaccate con ransomware nel 2019, un aumento del 41% rispetto all’anno precedente.
Per aiutarti a proteggerti, abbiamo compilato un elenco di importanti impostazioni di sicurezza dei dati che vengono spesso trascurate. Alla fine abbiamo incluso suggerimenti bonus che potrebbero aiutarti a garantire l’integrità dei dati, un altro pilastro della protezione dei dati.
Nota: la maggior parte delle impostazioni elencate di seguito è accessibile e modificata solo da un account utente con diritti amministrativi.
- Suggerimento 1: Rimani aggiornato e attiva le notifiche
- Suggerimento 2: Esegui Security Advisor
- Suggerimento 3: Funzioni di sicurezza DSM di base per configurare
- Suggerimento 4: HTTPS Parte 2 – Let’s Encrypt
- Suggerimento 5: Disattivare l’account amministratore predefinito
- Suggerimento 6: Forza della password
- Suggerimento 7: verifica in 2 passaggi
- Suggerimento 8: Modifica delle porte predefinite
- Suggerimento 9: Disabilitare SSH / telnet quando non in uso
- Suggerimento 10: Crittografa le cartelle condivise
- Suggerimento bonus: Integrità dei dati
- Più importante che mai
Suggerimento 1: Rimani aggiornato e attiva le notifiche
Rilasciamo aggiornamenti DSM regolarmente per fornire miglioramenti funzionali e prestazionali e per risolvere le vulnerabilità di sicurezza del prodotto.
Ogni volta che si verifica una vulnerabilità di sicurezza, il nostro Product Security Incident Response Team (PSIRT) condurrà una valutazione e un’indagine entro 8 ore e rilascerà una patch entro le prossime 15 ore per aiutare a prevenire potenziali danni da attacchi zero-day.
Per la maggior parte degli utenti, si consiglia vivamente di impostare gli aggiornamenti automatici per avere gli ultimi aggiornamenti DSM installati automaticamente.*
Per saperne di più
Molti dispositivi Synology hanno la possibilità di eseguire Virtual DSM all’interno di Virtual Machine Manager, per creare una versione virtualizzata del sistema operativo DSM. Utilizzare Virtual DSM per creare un ambiente di staging, quindi replicare o provare a riprodurre l’ambiente di produzione al suo interno. Eseguire un test di aggiornamento installando l’ultima versione di DSM sul DSM virtuale e verificare la funzionalità chiave richiesta dalla distribuzione corrente prima di procedere con l’aggiornamento nell’ambiente principale.
Un’altra cosa importante da considerare è rimanere in cima alle cose mentre si verificano. Imposta le notifiche sul Synology NAS e ricevi notifiche via e-mail, SMS, sul dispositivo mobile o tramite il browser Web quando si verificano eventi o errori specifici. Se si utilizza il servizio DDNS di Synology, è possibile scegliere di ricevere una notifica quando la connettività di rete esterna viene persa. Agire immediatamente sulle notifiche per i volumi di archiviazione che esauriscono lo spazio o quando un’attività di backup e ripristino fallisce è una parte importante per garantire la sicurezza a lungo termine dei dati.
Ti invitiamo inoltre a configurare il tuo account Synology per ricevere le nostre newsletter NAS e security advisory per rimanere al passo con gli ultimi aggiornamenti di sicurezza e funzionalità.
* L’aggiornamento automatico supporta solo aggiornamenti DSM minori. I principali aggiornamenti richiedono l’installazione manuale.
Per saperne di più
Suggerimento 2: Esegui Security Advisor
Security Advisor è un’applicazione preinstallata in grado di eseguire la scansione del NAS per problemi di configurazione DSM comuni, fornendo suggerimenti su ciò che potrebbe essere necessario fare in seguito per proteggere Synology NAS. Ad esempio, può rilevare cose comuni come lasciare aperto l’accesso SSH, se si verificano attività di accesso anomale e se i file di sistema DSM sono stati modificati.
Per saperne di più
Suggerimento 3: Funzioni di sicurezza DSM di base per configurare
È possibile configurare una serie di impostazioni di sicurezza nel Pannello di controllo> Scheda Sicurezza per proteggere gli account utente.
IP Auto Block
Aprire il pannello di controllo e andare alla sicurezza > Blocco automatico. Abilita blocco automatico per bloccare automaticamente gli indirizzi IP dei client che non riescono ad accedere entro un determinato numero di volte e periodo. Gli amministratori possono anche inserire nella blacklist indirizzi IP specifici per prevenire potenziali attacchi di forza bruta o denial-of-service.
Configura la quantità di tentativi in base all’ambiente di utilizzo e al tipo di utenti che il tuo dispositivo effettuerà regolarmente. Tieni presente che la maggior parte delle case e delle aziende avrà un solo indirizzo IP esterno per i propri utenti e che gli indirizzi IP sono spesso dinamici e cambieranno dopo un certo numero di giorni o settimane.
Per saperne di più
Protezione account
Mentre il blocco automatico blacklist gli indirizzi IP che hanno fallito un tentativo di autenticazione di troppo, Protezione account protegge gli account utente bloccando l’accesso dei client non attendibili.
Vai al Pannello di controllo > Sicurezza > Protezione account. È possibile abilitare la protezione dell’account per proteggere gli account da client non attendibili dopo un determinato numero di accessi non riusciti. Ciò migliora la sicurezza del DSM e riduce il rischio che gli account cadano preda di attacchi a forza bruta da attacchi distribuiti.
Per saperne di più
Abilita HTTPS
Con HTTPS abilitato, è possibile crittografare e proteggere il traffico di rete tra Synology NAS e i client connessi, proteggendo da forme comuni di intercettazione o attacchi man-in-the-middle.
Vai al Pannello di controllo > Rete > Impostazioni DSM. Selezionare la casella di controllo per reindirizzare automaticamente le connessioni HTTP a HTTPS. Sarà ora connettersi a DSM tramite HTTPS. Nella barra degli indirizzi, noterai che l’URL del tuo dispositivo inizia con ” https://” invece di “http://”. Si noti che il numero di porta predefinito per https è 443, mentre http per impostazione predefinita utilizza la porta 80. Se si dispone di alcune impostazioni del firewall o di rete in atto prima, potrebbe essere necessario aggiornarli.
Per saperne di più
Avanzate: Personalizzare le regole del firewall
Un firewall funge da barriera virtuale che filtra il traffico di rete da fonti esterne in base a un set di regole. Vai al Pannello di controllo >Sicurezza> Firewall per impostare le regole del firewall per impedire l’accesso non autorizzato e controllare l’accesso al servizio. È possibile decidere se consentire o negare l’accesso a determinate porte di rete da indirizzi IP specifici, un buon modo per esempio, consentire l’accesso remoto da un ufficio specifico o per consentire solo l’accesso a un servizio o protocollo specifico.
Per saperne di più
Suggerimento 4: HTTPS Parte 2 – Let’s Encrypt
I certificati digitali svolgono un ruolo chiave nell’abilitazione di HTTPS, ma sono spesso costosi e difficili da mantenere, specialmente per gli utenti non aziendali. DSM ha il supporto integrato per Let’s Encrypt, un’organizzazione di rilascio di certificati gratuita e automatizzata, per consentire a chiunque di proteggere facilmente le proprie connessioni.
Se hai già un dominio registrato o stai usando DDNS, vai al Pannello di controllo >Sicurezza > Certificato. Fai clic su Aggiungi un nuovo certificato > Ottieni un certificato da Let’s Encrypt, per la maggior parte degli utenti, dovresti selezionare “Imposta come certificato predefinito”*. Inserisci il tuo nome di dominio per ottenere un certificato.
Una volta ottenuto un certificato, assicurati che tutto il tuo traffico passi attraverso HTTPS (come elencato in Tip #3).
* Se si dispone di impostare il dispositivo per l’erogazione di servizi tramite più domini o sottodomini, è necessario configurare il certificato è utilizzato da ogni servizio in Pannello di Controllo > Sicurezza > Certificato > Configurare
Youtube video tutorial
Suggerimento 5: Disattivare l’account amministratore predefinito
Comune di amministratore nomi utente possono rendere il vostro NAS Synology vulnerabili ai malintenzionati che utilizzano la forza bruta attacchi che usare il buon nome utente e la password di combinazioni. Evitare nomi comuni come” admin”,” administrator”,” root ” * durante la configurazione del NAS. Si consiglia di impostare anche una password forte e univoca subito dopo aver configurato Synology NAS e di disabilitare l’account amministratore predefinito di sistema**.
Se stai effettuando l’accesso utilizzando l’account utente “admin”, vai al Pannello di controllo> Utente e crea un nuovo account amministrativo. Quindi accedere utilizzando il nuovo account e disabilitare il sistema predefinito “admin”.
* “root” non è consentito come nome utente.
* * Se impostato utilizzando un nome utente diverso da “admin”, l’account predefinito sarà già disabilitato.
Per saperne di più
Suggerimento 6: Forza della password
Una password complessa protegge il sistema da accessi non autorizzati. Crea una password complessa che incorpora lettere maiuscole, cifre e caratteri speciali in un modo che solo tu puoi ricordare.
L’utilizzo di una password comune per molti account è anche un invito agli hacker. Se un account è compromesso, gli hacker possono facilmente prendere il controllo degli altri account. Questo accade su base regolare per i siti Web e altri fornitori di servizi. Ti consigliamo di iscriverti a servizi di monitoraggio pubblici come Have I Been Pwned o Firefox Monitor.
Se hai problemi a memorizzare password complesse e univoche per account diversi, un gestore di password (come 1Password, LastPass o Bitwarden) potrebbe essere la soluzione migliore. Devi solo memorizzare una password-una password principale-e il gestore di password ti aiuterà a creare e compilare le credenziali di accesso per tutti gli altri account.
Se si amministra un Synology NAS che gestisce l’autenticazione*, è possibile personalizzare i criteri della password utente per stringere i requisiti di sicurezza della password per tutti i nuovi account utente. Vai al Pannello di controllo> Utente> Avanzate e seleziona la casella di controllo Applica regole di forza password nella sezione Impostazioni password. La politica verrà applicata a qualsiasi utente che crea un nuovo account.
* Opzioni simili sono disponibili anche all’interno dei pacchetti LDAP Server e Directory Server.
Per saperne di più
Suggerimento 7: verifica in 2 passaggi
Se desideri aggiungere un ulteriore livello di sicurezza al tuo account, ti consigliamo vivamente di abilitare la verifica in 2 passaggi. Per applicare la verifica in 2 passaggi sul tuo account DSM e sull’account Synology, avrai bisogno di un dispositivo mobile e di un’app di autenticazione che supporti il protocollo TOTP (One-Time Password) basato sul tempo. L’accesso richiederà sia le credenziali utente che un codice a 6 cifre limitato nel tempo recuperato da Microsoft Authenticator, Authy o altre app di autenticazione per impedire l’accesso non autorizzato.
Per l’account Synology, se hai perso il telefono con l’app authenticator*, puoi utilizzare i codici di backup forniti durante la configurazione di autenticazione in 2 passaggi per accedere. È importante mantenere questi codici al sicuro scaricandolo da qualche parte o stampandoli. Ricordarsi di mantenere questi codici sicuro ma accessibile.
Su DSM, se si perde l’autenticatore, è possibile ripristinare la verifica in 2 passaggi come ultima risorsa. Gli utenti appartenenti al gruppo administrators possono reimpostare la configurazione.
Se tutti gli account amministratore non sono più accessibili, è necessario ripristinare le credenziali e le impostazioni di rete sul dispositivo. Tenere premuto il pulsante di reset hardware sul NAS per circa 4 secondi (verrà emesso un segnale acustico) e quindi avviare Synology Assistant per riconfigurare il dispositivo.**
* Alcune app di autenticazione supportano metodi di backup e ripristino basati su account di terze parti. Valuta i tuoi requisiti di sicurezza rispetto alle opzioni di convenienza e disaster recovery.
** SHA, VMM, encrypted shared folder automount, multiple security settings, user accounts, and port settings will be reset. Per saperne di più sul processo di ripristino
Per saperne di più
Suggerimento 8: Modifica delle porte predefinite
Sebbene la modifica delle porte HTTP (5000) e HTTPS (5001) predefinite di DSM alle porte personalizzate non possa impedire attacchi mirati, può scoraggiare le minacce comuni che attaccano solo servizi predefiniti. Per modificare le porte predefinite, andare su Pannello di controllo >Rete> Impostazioni DSM e personalizzare i numeri di porta. È anche una buona idea cambiare la porta SSH (22) predefinita se si utilizza regolarmente l’accesso alla shell.
È inoltre possibile distribuire un proxy inverso per ridurre i potenziali vettori di attacco solo a specifici servizi Web per una maggiore sicurezza. Un proxy inverso funge da intermediario per le comunicazioni tra un server interno (di solito) e client remoti, nascondendo alcune informazioni sul server, come il suo indirizzo IP effettivo.
Per saperne di più
Suggerimento 9: Disabilitare SSH / telnet quando non in uso
Se sei un utente esperto che spesso richiede l’accesso alla shell, ricorda di disattivare SSH/telnet quando non in uso. Poiché l’accesso root è abilitato per impostazione predefinita e SSH / telnet supporta solo gli accessi dagli account di amministrazione, gli hacker possono forzare la password per ottenere l’accesso non autorizzato al sistema. Se è necessario che il servizio terminal sia sempre disponibile, si consiglia di impostare una password complessa e modificare il numero di porta SSH predefinito (22) per aumentare la sicurezza. Puoi anche considerare di sfruttare le VPN e limitare l’accesso SSH solo agli IP locali o attendibili.
Per saperne di più
Suggerimento 10: Crittografa le cartelle condivise
DSM supporta la crittografia AES-256 delle cartelle condivise per impedire l’estrazione dei dati da minacce fisiche. Gli amministratori possono crittografare le cartelle condivise appena create ed esistenti.
Per crittografare le cartelle condivise esistenti, vai al Pannello di controllo > Cartella condivisa e Modifica la cartella. Impostare una chiave di crittografia nella scheda Crittografia e DSM inizierà la crittografia della cartella. Consigliamo vivamente di salvare il file della chiave generato in un luogo sicuro, poiché i dati crittografati non possono essere recuperati senza la passphrase utilizzata o il file della chiave.
Per saperne di più
Suggerimento bonus: Integrità dei dati
La sicurezza dei dati è indissolubilmente legata alla coerenza e all’accuratezza dei dati: l’integrità dei dati. La sicurezza dei dati è un prerequisito per l’integrità dei dati, poiché l’accesso non autorizzato potrebbe portare a manomissioni o perdite di dati, rendendo inutili i dati critici.
Ci sono due misure che puoi adottare per garantire l’accuratezza e la coerenza dei tuoi dati: abilitazione del checksum dei dati ed esecuzione regolare dei test S. M. A. R. T. Abbiamo scritto su questi due metodi di sicurezza nei nostri precedenti post del blog: vai a controllarli per ulteriori informazioni.
Più importante che mai
Le minacce online sono in continua evoluzione e la sicurezza dei dati deve essere ugualmente multiforme. Man mano che vengono introdotti più dispositivi connessi a casa e al lavoro, diventa più facile per i criminali informatici sfruttare i buchi di sicurezza e ottenere l’ingresso nella rete. Rimanere sicuro non è qualcosa che fai una volta e poi dimenticare, è un processo in corso.