Synology NAS:n suojaaminen ja suojaaminen hyökkäyksiltä

Nyt on tapahtunut maailmanlaajuinen Brute Force -hyökkäys, jonka kohteena ovat Synology NAS-laitteet. Onneksi voimme muutamalla toimenpiteellä taata, että Synology NAS -laitteemme on aina turvassa, kiitos Linux Kernelin tehokkaan arkkitehtuurirakenteen, joka takaa turvallisuuden. Synology suosittelee kaikille käyttäjille, että he tarkistavat, ovatko alla olevat toimenpiteet käytössä tiliensä suojaamiseksi.

Tukekaa työtäni tekemällä lahjoitus.

• • VAIHE 2 Luo uusi tili järjestelmänvalvojaryhmään ja poista järjestelmän oletusarvoinen ”admin”-tili käytöstä.
  • VAIHE 3 Käytä monimutkaista ja vahvaa salasanaa ja sovella salasanojen vahvuussääntöjä kaikkiin käyttäjiin.”
  • Vaihe 4 Ota käyttöön kaksivaiheinen vahvistus, jotta tilillesi voidaan lisätä ylimääräinen turvakerros.
  • VAIHE 5 Ota automaattinen esto käyttöön Ohjauspaneelissa ja LISÄÄ IP:n estoluettelo. Käynnistä sen jälkeen Security Advisor ja Scan NAS varmistaaksesi, ettei järjestelmässä ole heikkoa salasanaa.
  • VAIHE 6 Ota palomuuri käyttöön ohjauspaneelissa ja salli vain sinulle välttämättömien palveluiden julkiset portit.
  • STEP 7 Suosittelen myös pitämään DSM NAS:n sekä sovelluksesi ajan tasalla.
  • VAIHE 8 Deaktivoi kaikki palvelut, joita et käytä. Itse en käytä SMB-palvelua, AFP-palvelua, FTP:tä, SFTP:tä, SSH:ta.
  • VAIHE 9 Muuta DSM:n oletusarvoiset http- (5000) ja https- (5001) portit.
  • VAIHE 10 Ota Dos-suojaus käyttöön.
  • STEP 11 Valitse nämä vaihtoehdot: Älä salli DSM:n upottamista iFrameen, Paranna suojausta cross-site request forgery -hyökkäyksiä vastaan, Paranna suojausta HTTP Content Security Policy (CSP) -otsakkeella.
  • STEP 12 Spectre- ja Meltdown-suojaus.
  • VAIHE 13 Luota nykyiseen asiakkaaseen.

  VAIHE 2 Luo uusi tili järjestelmänvalvojaryhmään ja poista järjestelmän oletusarvoinen ”admin”-tili käytöstä.

(Lue, miten admin-tili poistetaan käytöstä Synology NAS:ssa alla olevan kuvakaappauksen avulla.)



• VAIHE 3 Käytä monimutkaista ja vahvaa salasanaa ja sovella salasanojen vahvuussääntöjä kaikkiin käyttäjiin.”

Mikä on monimutkainen salasana? Monimutkaisessa salasanassa käytetään erityyppisiä merkkejä ainutlaatuisilla tavoilla turvallisuuden lisäämiseksi. Salasanojen on täytettävä nämä kriteerit tai ylitettävä ne:

1. Muutetaan vähintään 180 päivän välein.
2. Pituus 8-128 merkkiä.
3. Käyttää vähintään kolmea seuraavista merkkityypeistä: (a) isoja kirjaimia, (b) pieniä kirjaimia, (c) numeroita ja/tai (d) erikoismerkkejä.
4. Salasanan on oltava yksilöllinen eikä sitä saa käyttää uudelleen.

• Vaihe 4 Ota käyttöön kaksivaiheinen vahvistus, jotta tilillesi voidaan lisätä ylimääräinen turvakerros.

• Klikkaa Asetukset-valikossa Henkilökohtaiset.
• Rastita Ota 2-vaiheinen vahvistus käyttöön -ruutu käynnistääksesi ohjatun 2-vaiheisen vahvistuksen asennusohjelman. Napsauta Seuraava.
• Syötä sähköpostiosoite. Tähän sähköpostiosoitteeseen voidaan lähettää hätävarmennuskoodit, jos mobiililaitteesi katoaa. Napsauta Seuraava.
• Lataa ja asenna mobiililaitteellesi todentajasovellus, kuten Google Authenticator (Android/iPhone/BlackBerry) tai Authenticator (Windows Phone).
• Avaa todentajasovellus ja skannaa QR-koodi.
• Vaihtoehtoisesti voit napsauttaa linkkiä syöttääksesi salaisen avaimen manuaalisesti. Sulje ikkuna napsauttamalla OK.
• Seuraavaksi autentikointisovelluksesi luo 6-numeroisen vahvistuskoodin. Kirjoita tämä koodi ohjattuun tekstikenttään vahvistaaksesi määritysten oikeellisuuden. Jos virhe ilmenee, varmista, että mobiililaitteesi järjestelmäaika on synkronoitu DSM:n järjestelmäajan kanssa. Lisäksi tarkistuskoodit päivitetään säännöllisesti, joten varmista, että syöttämäsi koodi ei ole vanhentunut. Napsauta Next (Seuraava).
• Klikkaa Close (Sulje) viimeistelläksesi asetukset.
• Kun ohjattu asennus on valmis, tallenna asetukset napsauttamalla OK.

• VAIHE 5 Ota automaattinen esto käyttöön Ohjauspaneelissa ja LISÄÄ IP:n estoluettelo. Käynnistä sen jälkeen Security Advisor ja Scan NAS varmistaaksesi, ettei järjestelmässä ole heikkoa salasanaa.

Mistä löydän Security Advisor -sovelluksen? Seuraa vain alla olevan kuvan ohjeita.

• VAIHE 6 Ota palomuuri käyttöön ohjauspaneelissa ja salli vain sinulle välttämättömien palveluiden julkiset portit.

Ota, miten Synologyn palomuurin GeoIP-esto ja luotetut asiakkaat asetetaan oikein. Saat selville parhaat Synologyn palomuuriasetukset kotikäyttäjille.

• STEP 7 Suosittelen myös pitämään DSM NAS:n sekä sovelluksesi ajan tasalla.

Muista aina asentaa pakettipäivitykset, joita joskus julkaistaan pakettikeskuksen kautta. Älä asenna epäilyttäviä sovelluksia äläkä avaa epäilyttäviä sähköpostiviestejä yhtä epäilyttäviltä vastaanottajilta.

• VAIHE 8 Deaktivoi kaikki palvelut, joita et käytä. Itse en käytä SMB-palvelua, AFP-palvelua, FTP:tä, SFTP:tä, SSH:ta.

Seuraa alla olevan kuvan ohjeita deaktivoidaksesi joitain palveluita, joita et käytä.

• VAIHE 9 Muuta DSM:n oletusarvoiset http- (5000) ja https- (5001) portit.

Portin numeron on oltava välillä 1024-65535. Muista ohjata uusi portti eteenpäin reitittimen asetuksissa. Seuraa alla olevan kuvakaappauksen ohjeita ja lue koko vaiheittainen ohje porttien 5000 ja 5001 muuttamiseksi. Ei todellakaan suosittele.

• VAIHE 10 Ota Dos-suojaus käyttöön.

Seuraa alla olevan kuvan ohjeita. Lue myös How to Enable DoS Protection on Synology NAS.

• STEP 11 Valitse nämä vaihtoehdot: Älä salli DSM:n upottamista iFrameen, Paranna suojausta cross-site request forgery -hyökkäyksiä vastaan, Paranna suojausta HTTP Content Security Policy (CSP) -otsakkeella.

• STEP 12 Spectre- ja Meltdown-suojaus.

Ota Spectre- ja Meltdown-suojaus käyttöön, jotta voit vähentää spekulatiivisen suorituksen haavoittuvuuden uhkaa. Synologyn huomautus: Tämän vaihtoehdon ottaminen käyttöön vaikuttaa jonkin verran järjestelmän suorituskykyyn. Joidenkin testien jälkeen voin sanoa, etten ole havainnut suorituskykyongelmia aktivoimalla tämän vaihtoehdon. Synology NAS toimii nopeammin kuin aina ja on paremmin suojattu ja suojattu. Tämän vaihtoehdon aktivointi edellyttää DSM-järjestelmän uudelleenkäynnistystä.

• VAIHE 13 Luota nykyiseen asiakkaaseen.

Lisää nykyinen tietokone ”Luota asiakkaaseen”. Seuraa alla olevien kuvien ohjeita.

Ole tietoinen siitä, että vaikka noudattaisit kaikkia tämän artikkelin suojaussuosituksia, kaikkiin Synologyn palveluihin pääsee edelleen käsiksi yksinkertaisen verkkoselaimen kautta. Tämä tarkoittaa sitä, että jos jossakin Synology-sovelluksessa on joitain virheitä, joita ei ole vielä löydetty, niitä voidaan käyttää hyväksi Internetin kautta.

Tämä viesti päivitettiin maanantaina / 24. elokuuta 2020 klo 1:13

.