Data Privacy Day precis passerat och med World Backup Day runt hörnet har vi förberett 10 datasäkerhetstips som hjälper dig att säkra dina Synology-enheter mot hot på nätet.
de senaste åren har sett en dramatisk eskalering av cybersäkerhetshot. Enligt en rapport från New York Times attackerades mer än 200 000 organisationer med ransomware 2019, en ökning med 41% Från året innan.
för att skydda dig har vi sammanställt en lista över viktiga datasäkerhetsinställningar som ofta förbises. I slutet har vi inkluderat bonustips som kan hjälpa dig att säkerställa dataintegritet — en annan pelare för dataskydd.
Obs: de flesta av inställningarna nedan kan endast nås och ändras av ett användarkonto med administrativa rättigheter.
- Tips 1: Håll dig uppdaterad och aktivera aviseringar
- Tips 2: Kör säkerhetsrådgivare
- Tips 3: grundläggande DSM-säkerhetsfunktioner för att konfigurera
- Tips 4: HTTPS del 2 – Låt oss kryptera
- Tips 5: Inaktivera standardadministratörskontot
- Tips 6: lösenordsstyrka
- Tips 7: 2-stegsverifiering
- Tips 8: Ändra standardportar
- Tips 9: Inaktivera SSH / telnet när den inte används
- Tips 10: kryptera delade mappar
- bonus tips: dataintegritet
- viktigare än någonsin
Tips 1: Håll dig uppdaterad och aktivera aviseringar
Vi släpper DSM-uppdateringar regelbundet för att tillhandahålla funktions-och prestandaförbättringar och för att lösa produktsäkerhetsproblem.
När ett säkerhetsproblem uppstår kommer vårt Produktsäkerhetsincident Response Team (Psirt) att göra en bedömning och utredning inom 8 timmar och släppa en patch inom de närmaste 15 timmarna för att förhindra potentiell skada från nolldagsattacker.
För de flesta användare rekommenderar vi starkt att du ställer in automatiska uppdateringar så att de senaste DSM-uppdateringarna installeras automatiskt.*
Läs mer
många Synology-enheter har möjlighet att köra Virtual DSM inuti Virtual Machine Manager, för att skapa en virtualiserad version av DSM-operativsystemet. Använd virtuell DSM för att skapa en staging-miljö, replikera eller försök att reproducera din produktionsmiljö inom den. Utför ett uppgraderingstest genom att installera den senaste DSM-versionen på din virtuella DSM och verifiera nyckelfunktioner som din nuvarande distribution kräver innan du fortsätter med uppdateringen i din huvudmiljö.
en annan viktig sak att tänka på är att hålla sig på toppen av saker som de uppstår. Ställ in aviseringar på din Synology NAS och få aviseringar via e-post, SMS, på din mobila enhet eller via din webbläsare när specifika händelser eller fel inträffar. Om du använder Synologys DDNS-tjänst kan du välja att bli meddelad när extern nätverksanslutning går förlorad. Att omedelbart agera efter meddelanden om lagringsvolymer som tar slut på utrymme eller när en säkerhetskopierings-och återställningsuppgift misslyckas är en viktig del för att säkerställa din datas långsiktiga säkerhet.
Vi uppmuntrar dig också att ställa in ditt Synology-konto för att få våra nas-och säkerhetsrådgivande nyhetsbrev för att hålla jämna steg med de senaste säkerhets-och funktionsuppdateringarna.
* automatisk uppdatering stöder endast mindre DSM-uppdateringar. Större uppdateringar kräver manuell installation.
Läs mer
Tips 2: Kör säkerhetsrådgivare
säkerhetsrådgivare är ett förinstallerat program som kan skanna din NAS för vanliga DSM-konfigurationsproblem, vilket ger dig förslag på vad du kan behöva göra bredvid för att hålla din Synology NAS säker. Det kan till exempel upptäcka vanliga saker som att lämna SSH-åtkomst öppen, om några onormala inloggningsaktiviteter inträffar och om DSM-systemfiler har ändrats.
Läs mer
Tips 3: grundläggande DSM-säkerhetsfunktioner för att konfigurera
Du kan konfigurera ett antal säkerhetsinställningar på Kontrollpanelen> fliken Säkerhet för att säkra dina användarkonton.
IP Auto Block
Öppna Kontrollpanelen och gå till säkerhet > Auto Block. Aktivera automatisk blockering för att automatiskt blockera IP-adresser för klienter som inte loggar in inom ett visst antal gånger och period. Administratörer kan också svartlista specifika IP-adresser för att förhindra potentiella brute-force-eller denial-of-service-attacker.
konfigurera mängden försök baserat på användningsmiljön och typen av användare som enheten regelbundet kommer att betjäna. Tänk på att de flesta hem och företag bara har en extern IP-adress för sina användare och att IP-adresser ofta är dynamiska och kommer att ändras efter ett visst antal dagar eller veckor.
Läs mer
kontoskydd
Även om automatisk blockering svartlistar IP-adresser som har misslyckats ett för många autentiseringsförsök, skyddar Kontoskyddet användarkonton genom att blockera otillförlitliga kunders åtkomst.
gå till Kontrollpanelen > säkerhet > kontoskydd. Du kan aktivera kontoskydd för att skydda konton från otillförlitliga klienter efter ett visst antal misslyckade inloggningar. Detta förbättrar säkerheten för din DSM och minskar risken för konton faller offer för brute-force attacker från distribuerade attacker.
Läs mer
aktivera HTTPS
med HTTPS aktiverat kan du kryptera och säkra nätverkstrafiken mellan din Synology NAS och anslutna klienter, vilket skyddar mot vanliga former av avlyssning eller man-in-the-middle-attacker.
gå till Kontrollpanelen > nätverk > DSM-Inställningar. Markera kryssrutan för att automatiskt omdirigera HTTP-anslutningar till HTTPS. Du kommer nu att ansluta till DSM via HTTPS. I adressfältet märker du att enhetens URL börjar med ”https://” istället för ”http://”. Observera att standardportnumret för https är 443, medan http som standard använder port 80. Om du hade vissa brandväggar eller nätverksinställningar på plats tidigare kan du behöva uppdatera dem.
Läs mer
Avancerat: anpassa brandväggsregler
en brandvägg fungerar som en virtuell barriär som filtrerar nätverkstrafik från externa källor enligt en regeluppsättning. Gå till Kontrollpanelen> säkerhet> brandvägg för att ställa in brandväggsregler för att förhindra obehörig inloggning och åtkomst till tjänsten. Du kan bestämma om du vill tillåta eller neka åtkomst till vissa nätverksportar med specifika IP-adresser, ett bra sätt att till exempel tillåta fjärråtkomst från ett visst kontor eller att bara tillåta åtkomst till en viss tjänst eller ett specifikt protokoll.
Läs mer
Tips 4: HTTPS del 2 – Låt oss kryptera
digitala certifikat spelar en nyckelroll för att aktivera HTTPS, men är ofta dyra och svåra att underhålla, särskilt för icke-företagsanvändare. DSM har inbyggt stöd för Let ’ s Encrypt, en gratis och automatiserad certifikatutfärdande organisation, så att vem som helst enkelt kan säkra sina anslutningar.
Om du redan har en registrerad domän eller använder DDNS, gå till Kontrollpanelen > säkerhet > certifikat. Klicka på Lägg till ett nytt certifikat > hämta ett certifikat från Let ’s Encrypt, för de flesta användare bör du kolla”Ange som standardcertifikat”*. Ange ditt domännamn för att få ett certifikat.
När du har fått ett certifikat, se till att all din trafik går igenom HTTPS (som anges i Tips #3).
* Om du har konfigurerat din enhet för att tillhandahålla tjänster via flera domäner eller underdomäner måste du konfigurera vilket certifikat som används av varje tjänst i Kontrollpanelen > säkerhet > certifikat > konfigurera
YouTube tutorial video
Tips 5: Inaktivera standardadministratörskontot
vanliga administratörsanvändarnamn kan göra din Synology NAS sårbar för skadliga parter som använder brute-force-attacker som använder vanliga användarnamn och lösenordskombinationer. Undvik vanliga namn som” admin”,” administrator”,” root ” * när du ställer in din NAS. Vi rekommenderar att du också ställer in ett starkt och unikt lösenord direkt efter att du har konfigurerat din Synology NAS och för att inaktivera systemets standardadministratörskonto**.
Om du för närvarande loggar in med användarkontot ”admin”, gå till Kontrollpanelen > användare och skapa ett nytt administrativt konto. Logga sedan in med det nya kontot och inaktivera systemets standard ”admin”.
* ”root” är inte tillåtet som användarnamn.
* * om det ställs in med ett annat användarnamn än” admin”, kommer standardkontot redan att inaktiveras.
Läs mer
Tips 6: lösenordsstyrka
ett starkt lösenord skyddar ditt system från obehörig åtkomst. Skapa ett komplext lösenord som innehåller blandade bokstäver, siffror och specialtecken på ett sätt som bara du kan komma ihåg.
att använda ett vanligt lösenord för många konton är också en inbjudan till hackare. Om ett konto äventyras kan hackare enkelt ta kontroll över dina andra konton. Detta händer regelbundet för webbplatser och andra tjänsteleverantörer. Vi rekommenderar att du registrerar dig med offentliga övervakningstjänster som har jag blivit Pwned eller Firefox Monitor.
om du har problem med att memorera komplexa och unika lösenord för olika konton kan en lösenordshanterare (som 1Password, LastPass eller Bitwarden) vara din bästa lösning. Du behöver bara memorera ett lösenord – ett huvudlösenord-och lösenordshanteraren hjälper dig att skapa och fylla i inloggningsuppgifter för alla dina andra konton.
om du administrerar en Synology NAS som hanterar autentisering* kan du anpassa användarlösenordspolicyn för att skärpa lösenordssäkerhetskraven för alla nya användarkonton. Gå till Kontrollpanelen > användare > Avancerat och kryssa i kryssrutan Använd lösenordsstyrkor under avsnittet lösenordsinställningar. Policyn kommer att tillämpas på alla användare som skapar ett nytt konto.
* liknande alternativ finns också i LDAP-servern och Katalogserverpaketen.
Läs mer
Tips 7: 2-stegsverifiering
Om du vill lägga till ett extra säkerhetslager i ditt konto rekommenderar vi starkt att du aktiverar 2-stegsverifiering. För att genomföra 2-stegsverifiering på ditt DSM-konto och Synology-konto behöver du en mobil enhet och en authenticator-app som stöder TOTP-protokollet (Time-based One-Time Password). Inloggning kräver både dina användaruppgifter och en tidsbegränsad 6-siffrig kod som hämtas från Microsoft Authenticator, Authy eller andra authenticator-appar för att förhindra obehörig åtkomst.
för Synology-konto, om du tappade telefonen med authenticator-appen*, kan du använda säkerhetskopieringskoderna som tillhandahålls under 2-stegs autentiseringsinställningen för att logga in. Det är viktigt att hålla dessa koder säkra genom att ladda ner den någonstans eller skriva ut dem. Kom ihåg att hålla dessa koder säkra men tillgängliga.
på DSM, om du förlorar din authenticator, kan du återställa 2-stegsverifiering som en sista utväg. Användare som tillhör gruppen Administratörer kan återställa konfigurationen.
om alla administratörskonton inte längre är tillgängliga måste du återställa autentiseringsuppgifter och nätverksinställningar på enheten. Håll ned knappen för återställning av maskinvara på din NAS i cirka 4 sekunder (du hör ett pip) och starta sedan Synology Assistant för att konfigurera om enheten.**
* vissa autentiseringsappar stöder 3: e parts kontobaserade säkerhetskopierings-och restaureringsmetoder. Utvärdera dina säkerhetskrav kontra bekvämlighet och alternativ för katastrofåterställning.
** SHA, VMM, krypterad delad mapp automount, flera säkerhetsinställningar, användarkonton och portinställningar återställs. Läs mer om återställningsprocessen
Läs mer
Tips 8: Ändra standardportar
även om du ändrar DSM: s standardportar HTTP (5000) och HTTPS (5001) till anpassade portar kan det inte förhindra riktade attacker, det kan avskräcka vanliga hot som bara attackerar fördefinierade tjänster. För att ändra standardportarna, gå till Kontrollpanelen > nätverk > DSM-Inställningar och anpassa portnumren. Det är också bra att ändra standardporten SSH (22) Om du regelbundet använder shell access.
Du kan också distribuera en omvänd proxy för att minska potentiella attackvektorer till endast specifika webbtjänster för ökad säkerhet. En omvänd proxy fungerar som mellanhand för kommunikation mellan en (vanligtvis) intern server och fjärrklienter och döljer viss information om servern, till exempel dess faktiska IP-adress.
Läs mer
Tips 9: Inaktivera SSH / telnet när den inte används
om du är en strömanvändare som ofta kräver skalåtkomst, kom ihåg att stänga av SSH/telnet när den inte används. Eftersom root-åtkomst är aktiverad som standard och SSH/telnet endast stöder inloggningar från administratörskonton, kan hackare brute-force ditt lösenord för att få obehörig åtkomst till ditt system. Om du behöver ha terminal service för att vara tillgänglig hela tiden rekommenderar vi att du anger ett starkt lösenord och ändrar standard ssh-portnummer (22) för att öka säkerheten. Du kan också överväga att utnyttja VPN och begränsa SSH-åtkomst till endast lokala eller betrodda IP-adresser.
Läs mer
Tips 10: kryptera delade mappar
DSM stöder AES-256-kryptering av dina delade mappar för att förhindra datautvinning från fysiska hot. Administratörer kan kryptera nyskapade och befintliga delade mappar.
för att kryptera befintliga delade mappar, gå till Kontrollpanelen > delad mapp och redigera mappen. Ställ in en krypteringsnyckel under fliken kryptering och DSM börjar kryptera mappen. Vi rekommenderar starkt att du sparar nyckelfilen som genereras på en säker plats, eftersom krypterad data inte kan återställas utan den använda lösenfrasen eller nyckelfilen.
Läs mer
bonus tips: dataintegritet
datasäkerhet är oupplösligt kopplad till konsistensen och noggrannheten i din data — dataintegritet. Datasäkerhet är en förutsättning för dataintegritet, eftersom obehörig åtkomst kan leda till data manipulering eller dataförlust, vilket gör dina kritiska data värdelösa.
det finns två åtgärder du kan vidta för att säkerställa att dina data är korrekta och konsekventa: aktivera data kontrollsumma och kör S. M. A. R. T. tester regelbundet. Vi har skrivit om dessa två säkerhetsmetoder i våra tidigare blogginlägg – gå och kolla dem för mer information.
viktigare än någonsin
onlinehot utvecklas alltid och datasäkerheten måste vara lika mångfacetterad. När fler anslutna enheter introduceras hemma och på jobbet blir det lättare för cyberbrottslingar att utnyttja säkerhetshål och få tillträde till ditt nätverk. Att vara säker är inte något du gör en gång och sedan glömmer bort, det är en pågående process.