data Privacy Day właśnie minął, a wraz z zbliżającym się Światowym Dniem Tworzenia Kopii Zapasowych przygotowaliśmy 10 wskazówek dotyczących bezpieczeństwa danych, które pomogą Ci zabezpieczyć urządzenia Synology przed zagrożeniami online.
w ostatnich latach odnotowano dramatyczną eskalację zagrożeń cyberbezpieczeństwa. Według raportu The New York Times w 2019 r.ponad 200 000 organizacji zostało zaatakowanych przez oprogramowanie ransomware, co oznacza wzrost o 41% w porównaniu z rokiem poprzednim.
aby pomóc ci się chronić, przygotowaliśmy listę ważnych ustawień bezpieczeństwa danych, które często są pomijane. Na koniec dodaliśmy dodatkowe wskazówki, które mogą pomóc w zapewnieniu integralności danych — kolejny filar ochrony danych.
Uwaga: większość ustawień wymienionych poniżej może być dostępna i modyfikowana tylko przez konto użytkownika z uprawnieniami administracyjnymi.
- Wskazówka 1: Bądź na bieżąco i włącz powiadomienia
- Wskazówka 2: Uruchom aplikację Security Advisor
- Wskazówka 3: podstawowe funkcje zabezpieczeń DSM do konfiguracji
- Wskazówka 4: HTTPS część 2 – Szyfrujmy
- Wskazówka 5: Wyłącz domyślne konto administratora
- Wskazówka 6: Siła hasła
- Wskazówka 7: Weryfikacja dwuetapowa
- Wskazówka 8: Zmień domyślne porty
- Wskazówka 9: Wyłącz SSH/telnet, gdy nie jest używany
- Wskazówka 10: szyfrowanie folderów udostępnionych
- Wskazówka bonusowa: integralność danych
- ważniejsze niż kiedykolwiek
Wskazówka 1: Bądź na bieżąco i włącz powiadomienia
regularnie wydajemy aktualizacje DSM, aby zapewnić ulepszenia funkcjonalności i wydajności oraz usunąć luki w zabezpieczeniach produktów.
za każdym razem, gdy pojawi się luka w zabezpieczeniach, nasz zespół reagowania na incydenty związane z bezpieczeństwem produktu (PSIRT) przeprowadzi ocenę i dochodzenie w ciągu 8 godzin, a w ciągu następnych 15 godzin wyda łatkę, aby zapobiec potencjalnym uszkodzeniom spowodowanym atakami typu zero-day.
dla większości użytkowników zdecydowanie zalecamy skonfigurowanie automatycznych aktualizacji, aby najnowsze aktualizacje DSM były automatycznie instalowane.*
Dowiedz się więcej
wiele urządzeń Synology ma możliwość uruchomienia Virtual DSM wewnątrz Virtual Machine Manager, aby utworzyć zwirtualizowaną wersję systemu operacyjnego DSM. Użyj Virtual DSM, aby utworzyć środowisko etapowe, a następnie Replikuj lub spróbuj odtworzyć środowisko produkcyjne w nim. Wykonaj test aktualizacji, instalując najnowszą wersję systemu DSM na wirtualnym systemie DSM i sprawdź kluczowe funkcje wymagane przez obecne wdrożenie przed przystąpieniem do aktualizacji w głównym środowisku.
kolejną ważną rzeczą do rozważenia jest bycie na bieżąco z wydarzeniami. Skonfiguruj powiadomienia na serwerze Synology NAS i otrzymuj powiadomienia e-mailem, SMS-em, na urządzeniu mobilnym lub za pośrednictwem przeglądarki internetowej, gdy wystąpią określone zdarzenia lub błędy. Jeśli korzystasz z usługi DDNS firmy Synology, możesz otrzymywać powiadomienia o utracie zewnętrznej łączności sieciowej. Natychmiastowe działanie w przypadku powiadomień o wyczerpaniu przestrzeni dyskowej lub niepowodzeniu zadania tworzenia kopii zapasowych i przywracania jest ważnym elementem zapewnienia długoterminowego bezpieczeństwa danych.
zachęcamy również do założenia konta Synology, aby otrzymywać nasz NAS i biuletyny informacyjne dotyczące bezpieczeństwa, aby być na bieżąco z najnowszymi aktualizacjami zabezpieczeń i funkcji.
* automatyczna aktualizacja obsługuje tylko drobne aktualizacje DSM. Główne aktualizacje wymagają ręcznej instalacji.
Dowiedz się więcej
Wskazówka 2: Uruchom aplikację Security Advisor
Security Advisor to wstępnie zainstalowana aplikacja, która może skanować serwer NAS w poszukiwaniu typowych problemów z konfiguracją systemu DSM. Na przykład może wykryć typowe rzeczy, takie jak pozostawienie otwartego dostępu przez SSH, czy występują nieprawidłowe działania logowania i czy pliki systemowe DSM zostały zmodyfikowane.
Dowiedz się więcej
Wskazówka 3: podstawowe funkcje zabezpieczeń DSM do konfiguracji
możesz skonfigurować kilka ustawień zabezpieczeń w Panelu sterowania> Karta zabezpieczenia, aby zabezpieczyć swoje konta użytkowników.
IP Auto Block
otwórz Panel sterowania i przejdź do zabezpieczenia > Auto Block. Włącz automatyczne blokowanie, aby automatycznie blokować adresy IP klientów, którzy nie logują się w określonym czasie i czasie. Administratorzy mogą również umieszczać określone adresy IP na czarnej liście, aby zapobiec potencjalnym atakom typu brute-force lub denial-of-service.
Skonfiguruj liczbę prób w oparciu o środowisko użytkowania i typ użytkowników, których urządzenie będzie regularnie obsługiwać. Należy pamiętać, że większość domów i firm będzie miała tylko jeden zewnętrzny adres IP dla swoich użytkowników, a adresy IP są często dynamiczne i zmieniają się po określonej liczbie dni lub tygodni.
Dowiedz się więcej
Ochrona konta
podczas gdy automatyczne blokowanie czarnych list adresów IP, które nie powiodły się o jedną zbyt wiele prób uwierzytelniania, Ochrona konta chroni konta użytkowników, blokując dostęp niezaufanych klientów.
przejdź do Panelu sterowania> bezpieczeństwo> Ochrona konta. Możesz włączyć ochronę konta, aby chronić konta przed niezaufanymi klientami po określonej liczbie nieudanych podpisów. Poprawia to bezpieczeństwo systemu DSM i zmniejsza ryzyko, że konta padną ofiarą ataków typu brute-force z ataków rozproszonych.
Dowiedz się więcej
Włącz HTTPS
Po włączeniu protokołu HTTPS można szyfrować i zabezpieczać ruch sieciowy między serwerem Synology NAS a połączonymi klientami, co chroni przed typowymi formami podsłuchiwania lub ataków typu man-in-the-middle.
przejdź do Panelu sterowania> sieć> Ustawienia DSM. Zaznacz pole wyboru, aby automatycznie przekierowywać połączenia HTTP do HTTPS. Teraz połączysz się z DSM przez HTTPS. Na pasku adresu zauważysz, że adres URL urządzenia zaczyna się od „https://” zamiast „http://”. Należy zauważyć, że domyślny numer portu dla https to 443, podczas gdy http domyślnie używa portu 80. Jeśli wcześniej zainstalowano pewne ustawienia zapory sieciowej lub sieciowej, może być konieczne ich zaktualizowanie.
Dowiedz się więcej
zaawansowane: Dostosuj reguły zapory
zapora służy jako wirtualna bariera, która filtruje ruch sieciowy ze źródeł zewnętrznych zgodnie z zestawem reguł. Przejdź do Panelu sterowania > bezpieczeństwo > zapora ogniowa, aby skonfigurować reguły zapory, aby zapobiec nieautoryzowanemu logowaniu i kontrolować dostęp do usług. Możesz zdecydować, czy zezwalać lub odmawiać dostępu do określonych portów sieciowych za pomocą określonych adresów IP, dobrym sposobem na przykład zezwalać na zdalny dostęp z określonego biura lub zezwalać tylko na dostęp do określonej usługi lub protokołu.
Dowiedz się więcej
Wskazówka 4: HTTPS część 2 – Szyfrujmy
certyfikaty cyfrowe odgrywają kluczową rolę w włączaniu protokołu HTTPS, ale często są drogie i trudne w utrzymaniu, szczególnie dla użytkowników spoza biznesu. DSM ma wbudowaną obsługę Let ’ s Encrypt, bezpłatnej i zautomatyzowanej organizacji wystawiającej certyfikaty, aby umożliwić każdemu łatwe zabezpieczenie połączeń.
Jeśli masz już zarejestrowaną domenę lub używasz DDNS, przejdź do Panelu sterowania> bezpieczeństwo> certyfikat. Kliknij Dodaj nowy certyfikat > Pobierz certyfikat z Let ’ s Encrypt, dla większości użytkowników powinieneś zaznaczyć „Ustaw jako domyślny certyfikat”*. Wprowadź nazwę domeny, aby uzyskać certyfikat.
Po uzyskaniu certyfikatu upewnij się, że cały ruch przechodzi przez HTTPS (zgodnie z listą w Tip #3).
* Jeśli skonfigurowałeś urządzenie do świadczenia usług za pośrednictwem wielu domen lub subdomen, musisz skonfigurować certyfikat używany przez każdą usługę w Panelu sterowania > bezpieczeństwo > certyfikat > Konfiguracja
YouTube tutorial video
Wskazówka 5: Wyłącz domyślne konto administratora
popularne nazwy użytkowników administratora mogą sprawić, że serwer Synology NAS będzie podatny na ataki typu brute-force, które używają wspólnych kombinacji nazwy użytkownika i hasła. Podczas konfigurowania serwera NAS należy unikać popularnych nazw, takich jak „admin”, „administrator”, „root”*. Zalecamy również ustawienie silnego i unikalnego hasła zaraz po skonfigurowaniu serwera Synology NAS i wyłączenie domyślnego konta administratora systemu**.
Jeśli obecnie logujesz się za pomocą konta użytkownika „admin”, przejdź do Panelu sterowania> użytkownik i utwórz nowe konto administracyjne. Następnie zaloguj się przy użyciu nowego konta i wyłącz systemowo domyślny „admin”.
* „root” nie jest dozwolony jako nazwa użytkownika.
* * jeśli zostanie skonfigurowany przy użyciu nazwy użytkownika innej niż „admin”, domyślne konto będzie już wyłączone.
Dowiedz się więcej
Wskazówka 6: Siła hasła
silne hasło chroni system przed nieautoryzowanym dostępem. Utwórz złożone hasło zawierające litery, cyfry i znaki specjalne w sposób, który tylko Ty możesz zapamiętać.
używanie wspólnego hasła dla wielu kont jest również zaproszeniem dla hakerów. Jeśli konto zostanie naruszone, hakerzy mogą łatwo przejąć kontrolę nad innymi kontami. Dzieje się to regularnie w przypadku stron internetowych i innych dostawców usług. Zalecamy zarejestrowanie się w publicznych usługach monitorowania, takich jak Have I Been Pwned lub Firefox Monitor.
Jeśli masz problemy z zapamiętywaniem złożonych i unikalnych haseł dla różnych kont, menedżer haseł (taki jak 1Password, LastPass lub Bitwarden) może być najlepszym rozwiązaniem. Wystarczy zapamiętać tylko jedno hasło – hasło główne – a menedżer haseł pomoże Ci utworzyć i wypełnić poświadczenia logowania dla wszystkich innych kont.
Jeśli administrujesz serwerem Synology NAS obsługującym uwierzytelnianie*, możesz dostosować zasady haseł użytkowników, aby zaostrzyć wymagania dotyczące bezpieczeństwa haseł dla wszystkich nowych kont użytkowników. Przejdź do Panelu sterowania > użytkownik > zaawansowane i zaznacz pole wyboru Zastosuj reguły siły hasła w sekcji Ustawienia hasła. Zasady będą stosowane do każdego użytkownika, który utworzy nowe konto.
* podobne opcje są również dostępne w pakietach serwera LDAP i serwera katalogowego.
Dowiedz się więcej
Wskazówka 7: Weryfikacja dwuetapowa
Jeśli chcesz dodać dodatkową warstwę zabezpieczeń do swojego konta, zdecydowanie zalecamy włączenie weryfikacji dwuetapowej. Aby wymusić weryfikację dwuetapową na koncie DSM i koncie Synology, potrzebujesz urządzenia mobilnego i aplikacji uwierzytelniającej, która obsługuje protokół jednorazowego hasła (TOTP) opartego na czasie. Aby zapobiec nieautoryzowanemu dostępowi, logowanie wymaga zarówno poświadczeń użytkownika, jak i 6-cyfrowego kodu pobranego z aplikacji Microsoft Authenticator, Authy lub innych aplikacji authenticator.
W przypadku konta Synology, jeśli zgubiłeś telefon z aplikacją authenticator*, możesz użyć kodów zapasowych dostarczonych podczas konfiguracji uwierzytelniania dwuetapowego, aby się zalogować. Ważne jest, aby te kody były bezpieczne, pobierając je gdzieś lub drukując. Pamiętaj, aby te kody były bezpieczne, ale dostępne.
w DSM, jeśli zgubisz swój authenticator, możesz zresetować weryfikację dwuetapową w ostateczności. Użytkownicy należący do grupy Administratorzy mogą zresetować konfigurację.
Jeśli wszystkie konta administratora nie są już dostępne, konieczne będzie zresetowanie poświadczeń i ustawień sieciowych na urządzeniu. Przytrzymaj przycisk resetowania sprzętu na serwerze NAS przez około 4 sekundy (usłyszysz sygnał dźwiękowy), a następnie uruchom program Synology Assistant, aby ponownie skonfigurować urządzenie.**
* niektóre aplikacje do uwierzytelniania obsługują metody tworzenia kopii zapasowych i przywracania oparte na kontach innych firm. Oceń swoje wymagania dotyczące bezpieczeństwa w porównaniu z wygodą i opcjami odzyskiwania po awarii.
** SHA, VMM, szyfrowane automatyczne montowanie folderu udostępnionego, wiele ustawień zabezpieczeń, konta użytkowników i ustawienia portów zostaną zresetowane. Przeczytaj więcej o procesie resetowania
Dowiedz się więcej
Wskazówka 8: Zmień domyślne porty
chociaż zmiana domyślnych portów HTTP (5000) i HTTPS (5001) DSM na porty niestandardowe nie może zapobiec atakom ukierunkowanym, może odstraszyć typowe zagrożenia, które atakują tylko predefiniowane usługi. Aby zmienić domyślne porty, przejdź do Panelu sterowania > sieć > Ustawienia DSM i dostosuj numery portów. Dobrym pomysłem jest również zmiana domyślnego portu SSH (22), jeśli regularnie korzystasz z dostępu do powłoki.
Możesz również wdrożyć odwrotne proxy, aby zmniejszyć potencjalne wektory ataków tylko do określonych usług internetowych w celu zwiększenia bezpieczeństwa. Reverse proxy działa jako pośrednik komunikacji między (Zwykle) wewnętrznym serwerem a zdalnymi klientami, ukrywając pewne informacje o serwerze, takie jak jego rzeczywisty adres IP.
Dowiedz się więcej
Wskazówka 9: Wyłącz SSH/telnet, gdy nie jest używany
Jeśli jesteś zaawansowanym użytkownikiem, który często wymaga dostępu do powłoki, pamiętaj, aby wyłączyć SSH/telnet, gdy nie jest używany. Ponieważ dostęp root jest domyślnie włączony, a SSH / telnet obsługuje tylko logowanie z kont administratora, hakerzy mogą brutalnie wymusić Twoje hasło, aby uzyskać nieautoryzowany dostęp do systemu. Jeśli chcesz, aby usługa terminala była dostępna przez cały czas, zalecamy ustawienie silnego hasła i zmianę domyślnego numeru portu SSH (22), aby zwiększyć bezpieczeństwo. Możesz również rozważyć wykorzystanie sieci VPN i ograniczenie dostępu SSH tylko do lokalnych lub zaufanych adresów IP.
Dowiedz się więcej
Wskazówka 10: szyfrowanie folderów udostępnionych
DSM obsługuje szyfrowanie AES-256 folderów udostępnionych, aby zapobiec wyodrębnianiu danych z fizycznych zagrożeń. Administratorzy mogą szyfrować nowo utworzone i istniejące foldery udostępnione.
aby zaszyfrować istniejące foldery udostępnione, przejdź do Panelu sterowania> folder udostępniony i edytuj folder. Skonfiguruj klucz szyfrowania na karcie Szyfrowanie, a DSM rozpocznie szyfrowanie folderu. Zdecydowanie zalecamy zapisanie pliku klucza wygenerowanego w bezpiecznej lokalizacji, ponieważ zaszyfrowane dane nie mogą zostać odzyskane bez używanego hasła lub pliku klucza.
Dowiedz się więcej
Wskazówka bonusowa: integralność danych
bezpieczeństwo danych jest nierozerwalnie związane ze spójnością i dokładnością danych — integralność danych. Bezpieczeństwo danych jest warunkiem integralności danych, ponieważ nieautoryzowany dostęp może prowadzić do manipulacji lub utraty danych, czyniąc krytyczne dane bezużytecznymi.
istnieją dwa środki, które możesz podjąć, aby zapewnić dokładność i spójność danych: włączenie sumy kontrolnej danych i regularne przeprowadzanie testów S. M. A. R. T. Pisaliśmy o tych dwóch metodach bezpieczeństwa w naszych poprzednich postach na blogu-sprawdź je, aby uzyskać więcej informacji.
ważniejsze niż kiedykolwiek
zagrożenia Online zawsze ewoluują, a bezpieczeństwo danych musi być równie wielowymiarowe. W miarę wprowadzania większej liczby podłączonych urządzeń w domu i w pracy, cyberprzestępcom łatwiej jest wykorzystać luki w zabezpieczeniach i uzyskać dostęp do sieci. Bezpieczeństwo nie jest czymś, co robisz raz, a następnie zapominasz o tym, jest to ciągły proces.