Jak ochránit a zabezpečit zařízení Synology NAS před útoky

Nedávno došlo k celosvětovému útoku hrubou silou zaměřenému na zařízení Synology NAS. Naštěstí můžeme v několika málo krocích zaručit, že naše zařízení Synology NAS bude vždy v bezpečí, a to díky výkonné architektonické struktuře linuxového jádra, která zaručuje bezpečnost. Společnost Synology důrazně doporučuje všem uživatelům zkontrolovat, zda jsou zavedena níže uvedená opatření k zabezpečení jejich účtů.

Prosím, podpořte mou práci příspěvkem.

• • KROK 2 Vytvořte nový účet ve skupině správců a zakažte výchozí systémový účet „admin“.
  • KROK 3 Použijte složité a silné heslo a na všechny uživatele aplikujte pravidla síly hesla.
  • KROK 4 Povolte dvoufázové ověřování, které přidá vašemu účtu další úroveň zabezpečení.
  • KROK 5 Povolte automatické blokování v Ovládacích panelech a PŘIDAT SEZNAM IP BLOKŮ. Poté spusťte Security Advisor a Scan your NAS, abyste se ujistili, že v systému není žádné slabé heslo.
  • KROK 6 Povolte bránu firewall v Ovládacích panelech a povolte pouze veřejné porty pro služby, které jsou pro vás nezbytné.
  • KROK 7 Doporučuji také, abyste udržovali svůj DSM NAS v aktuálním stavu, stejně jako svou aplikaci.
  • KROK 8 Deaktivujte všechny služby, které nepoužíváte. Osobně nepoužívám službu SMB, službu AFP, FTP, SFTP, SSH.
  • KROK 9 Změňte výchozí porty http (5000) a https (5001) systému DSM.
  • KROK 10 Povolte ochranu Dos.
  • KROK 11 Vyberte tyto možnosti: Do not allow DSM to be embedded with iFrame, Improve protections against cross-site request forgery attacks, Improve security with HTTP Content Security Policy (CSP) header.
  • STEP 12 Spectre and Meltdown Protection.
  • KROK 13 Důvěřujte aktuálnímu klientovi.

  KROK 2 Vytvořte nový účet ve skupině správců a zakažte výchozí systémový účet „admin“.

(Zjistěte, jak zakázat účet správce na zařízení Synology NAS podle níže uvedeného snímku obrazovky)



• KROK 3 Použijte složité a silné heslo a na všechny uživatele aplikujte pravidla síly hesla.

Co je to složité heslo? Složité heslo používá různé typy znaků jedinečným způsobem, aby se zvýšilo zabezpečení. Hesla musí splňovat nebo překračovat tato kritéria:

1. Mění se alespoň každých 180 dní.
2. Dlouhá 8 až 128 znaků.
3. Používají alespoň 3 z následujících typů znaků: (a) velká písmena, (b) malá písmena, (c) číslice a/nebo (d) speciální znaky.
4. Heslo musí být jedinečné a nesmí být použito opakovaně.

• KROK 4 Povolte dvoufázové ověřování, které přidá vašemu účtu další úroveň zabezpečení.

• V nabídce Možnosti klikněte na možnost Osobní.
• Zaškrtnutím políčka Povolit dvoufázové ověření spustíte průvodce nastavením dvoufázového ověření. Klepněte na tlačítko Další.
• Zadejte e-mailovou adresu. Na tuto e-mailovou adresu mohou být zasílány nouzové ověřovací kódy pro případ ztráty mobilního zařízení. Klikněte na tlačítko Další.
• Na svém mobilním zařízení si stáhněte a nainstalujte aplikaci ověřovacího nástroje, například Google Authenticator (Android/iPhone/BlackBerry) nebo Authenticator (Windows Phone).
• Otevřete aplikaci ověřovacího nástroje a naskenujte QR kód.
• Případně můžete kliknout na odkaz a zadat tajný klíč ručně. Klepnutím na tlačítko OK zavřete okno.
• Poté vaše aplikace autentizátoru vygeneruje šestimístný ověřovací kód. Tento kód zadejte do textového pole průvodce, abyste potvrdili správnost konfigurace. Pokud dojde k chybě, zkontrolujte, zda je systémový čas vašeho mobilního zařízení synchronizován se systémovým časem DSM. Ověřovací kódy jsou také pravidelně aktualizovány, proto se ujistěte, že platnost zadaného kódu nevypršela. Klepněte na tlačítko Další.
• Klepnutím na tlačítko Zavřít dokončete nastavení.
• Po dokončení průvodce nastavením uložte nastavení klepnutím na tlačítko OK.

• KROK 5 Povolte automatické blokování v Ovládacích panelech a PŘIDAT SEZNAM IP BLOKŮ. Poté spusťte Security Advisor a Scan your NAS, abyste se ujistili, že v systému není žádné slabé heslo.

Kde najdu aplikaci Security Advisor? Stačí postupovat podle pokynů na obrázku níže.

• KROK 6 Povolte bránu firewall v Ovládacích panelech a povolte pouze veřejné porty pro služby, které jsou pro vás nezbytné.

Naučte se, jak správně nastavit blokování geoIP brány Synology Firewall a důvěryhodné klienty. Dozvíte se, jak nejlépe nastavit bránu Synology firewall pro domácí uživatele.

• KROK 7 Doporučuji také, abyste udržovali svůj DSM NAS v aktuálním stavu, stejně jako svou aplikaci.

Nezapomeňte vždy instalovat aktualizace balíčků, které jsou někdy vydávány prostřednictvím Centra balíčků. Neinstalujte pochybné aplikace a neotvírejte pochybné e-maily od stejně pochybných příjemců.

• KROK 8 Deaktivujte všechny služby, které nepoužíváte. Osobně nepoužívám službu SMB, službu AFP, FTP, SFTP, SSH.

Podle pokynů na obrázku níže deaktivujte některé nepoužívané služby.

• KROK 9 Změňte výchozí porty http (5000) a https (5001) systému DSM.

Číslo portu musí být mezi 1024 a 65535. Nezapomeňte na přesměrování nového portu v nastavení směrovače. Postupujte podle pokynů na snímku obrazovky níže a přečtěte si celý návod krok za krokem pro změnu portů 5000 a 5001. Opravdu nedoporučuji.

• KROK 10 Povolte ochranu Dos.

Postupujte podle pokynů na obrázku níže. Přečtěte si také článek Jak povolit ochranu DoS na zařízení Synology NAS.

• KROK 11 Vyberte tyto možnosti: Do not allow DSM to be embedded with iFrame, Improve protections against cross-site request forgery attacks, Improve security with HTTP Content Security Policy (CSP) header.

• STEP 12 Spectre and Meltdown Protection.

Zapněte ochranu Spectre a Meltdown pro zmírnění hrozby zranitelnosti spekulativního spouštění. Synology říká: Povolení této možnosti do určité míry ovlivní výkon systému. Po několika testech mohu říci, že jsem aktivací této možnosti nezaznamenal žádné problémy s výkonem. Můj Synology NAS běží jako vždy rychle a je lépe chráněn a zabezpečen. Aktivace této možnosti bude vyžadovat restart systému DSM.

• KROK 13 Důvěřujte aktuálnímu klientovi.

Přidejte svůj aktuální počítač jako „důvěryhodného klienta“. Postupujte podle pokynů na obrázcích níže.

Musíte si uvědomit, že i při dodržení všech bezpečnostních doporučení v tomto článku zůstávají všechny služby Synology přístupné prostřednictvím jednoduchého webového prohlížeče. To znamená, že pokud má některá aplikace Synology nějaké dosud neobjevené chyby, lze je zneužít prostřednictvím internetu.

Tento příspěvek byl aktualizován v pondělí / 24. srpna 2020 v 1:13 hodin

.