A közelmúltban egy globális Brute Force támadás érte a Synology NAS eszközöket. Szerencsére néhány lépéssel garantálhatjuk, hogy Synology NAS-unk mindig biztonságban van, köszönhetően a Linux Kernel erőteljes architektúrájának, amely garantálja a biztonságot. A Synology nyomatékosan ajánlja minden felhasználónak, hogy ellenőrizze, hogy az alábbi intézkedésekkel biztosítják-e fiókjaik biztonságát.
-
- 2. LÉPÉS Hozzon létre egy új fiókot a rendszergazdai csoportban, és tiltsa le a rendszer alapértelmezett “admin” fiókját.
- 3. LÉPÉS Használjon összetett és erős jelszót, és alkalmazzon jelszóerősségi szabályokat minden felhasználóra.
- STEP 4 Engedélyezze a kétlépcsős ellenőrzést, hogy további biztonsági szintet adjon a fiókjához.
- STEP 5 Az automatikus blokkolás engedélyezése a Vezérlőpultban és az IP-Blokkolási lista hozzáadása. Ezt követően futtassa a Security Advisor és a Scan your NAS-t, hogy megbizonyosodjon arról, hogy nincs gyenge jelszó a rendszerben.
- STEP 6 Engedélyezze a tűzfalat a Vezérlőpultban, és csak az Ön számára szükséges szolgáltatások nyilvános portjait engedélyezze.
- STEP 7 Azt is javaslom, hogy tartsa naprakészen a DSM NAS-t és az alkalmazást is.
- STEP 8 Deaktiválja az összes nem használt szolgáltatást. Én személy szerint nem használom az SMB szolgáltatást, AFP szolgáltatást, FTP-t, SFTP-t, SSH-t.
- STEP 9 A DSM alapértelmezett http (5000) és https (5001) portjának módosítása.
- STEP 10 Enable Dos Protection.
- STEP 11 Válassza ki ezeket a lehetőségeket: Ne engedélyezze a DSM beágyazását iFrame-be, A webhelyközi kérés meghamisítása elleni védelem javítása, A biztonság javítása a HTTP tartalombiztonsági házirend (CSP) fejléccel.
- STEP 12 Spectre és Meltdown védelem.
- STEP 13 Trust current client.
2. LÉPÉS Hozzon létre egy új fiókot a rendszergazdai csoportban, és tiltsa le a rendszer alapértelmezett “admin” fiókját.
-
3. LÉPÉS Használjon összetett és erős jelszót, és alkalmazzon jelszóerősségi szabályokat minden felhasználóra.
Kérem, támogassa munkámat adományozással.
(Az alábbi képernyőképet követve megtudhatja, hogyan lehet letiltani az admin fiókot a Synology NAS-on.)
Mi az összetett jelszó? Az összetett jelszó különböző típusú karaktereket használ egyedi módon a biztonság növelése érdekében. A jelszavaknak meg kell felelniük vagy meg kell haladniuk az alábbi kritériumokat:
- Minimum 180 naponta változik.
- 8 és 128 karakter közötti hosszúságú.
- A következő típusú karakterek közül legalább hármat használ: (a) nagybetűk, (b) kisbetűk, (c) számok és/vagy (d) speciális karakterek.
- A jelszónak egyedinek kell lennie, és nem használható fel újra.
-
STEP 4 Engedélyezze a kétlépcsős ellenőrzést, hogy további biztonsági szintet adjon a fiókjához.
- A Beállítások menüben kattintson a Személyes gombra.
- Pipálja be a 2-lépéses ellenőrzés engedélyezése négyzetet a 2-lépéses ellenőrzés beállítási varázslójának elindításához. Kattintson a Tovább gombra.
- Adjon meg egy e-mail címet. Erre az e-mail címre küldhetők a vészhelyzeti hitelesítési kódok arra az esetre, ha a mobilkészülék elveszne. Kattintson a Tovább gombra.
- A mobileszközén töltsön le és telepítsen egy hitelesítési alkalmazást, például a Google Authenticator (Android/iPhone/BlackBerry) vagy a Authenticator (Windows Phone) alkalmazást.
- Nyissa meg a hitelesítési alkalmazást, és olvassa be a QR-kódot.
- Egy másik lehetőség, hogy a titkos kulcs kézi megadásához kattintson a linkre. Kattintson az OK gombra az ablak bezárásához.
- A következő lépésben a hitelesítő alkalmazás egy 6 számjegyű ellenőrző kódot generál. Írja be ezt a kódot a varázsló szövegmezőjébe, hogy megerősítse a konfigurációk helyességét. Ha hiba lép fel, győződjön meg arról, hogy a mobileszköz rendszerideje szinkronizálva van a DSM rendszeridejével. Az ellenőrző kódok is rendszeresen frissülnek, ezért győződjön meg arról, hogy a beírt kód nem járt le. Kattintson a Tovább gombra.
- A beállítás befejezéséhez kattintson a Bezárás gombra.
- A beállítási varázsló befejezése után kattintson az OK gombra a beállítások mentéséhez.
-
STEP 5 Az automatikus blokkolás engedélyezése a Vezérlőpultban és az IP-Blokkolási lista hozzáadása. Ezt követően futtassa a Security Advisor és a Scan your NAS-t, hogy megbizonyosodjon arról, hogy nincs gyenge jelszó a rendszerben.
Hol találom a Security Advisor alkalmazást? Csak kövesse az alábbi képen látható utasításokat.
-
STEP 6 Engedélyezze a tűzfalat a Vezérlőpultban, és csak az Ön számára szükséges szolgáltatások nyilvános portjait engedélyezze.
Tudja meg, hogyan kell helyesen beállítani a Synology tűzfal GeoIP blokkolását és a megbízható ügyfeleket. Megtudhatja a legjobb Synology tűzfal beállításokat az otthoni felhasználók számára.
-
STEP 7 Azt is javaslom, hogy tartsa naprakészen a DSM NAS-t és az alkalmazást is.
Ne feledje, hogy mindig telepítse a csomagfrissítéseket, amelyeket néha a Csomagközponton keresztül adnak ki. Ne telepítsen kétes alkalmazásokat, és ne nyisson meg kétes e-maileket ugyancsak kétes címzettektől.
-
STEP 8 Deaktiválja az összes nem használt szolgáltatást. Én személy szerint nem használom az SMB szolgáltatást, AFP szolgáltatást, FTP-t, SFTP-t, SSH-t.
Kövesse az alábbi képen látható utasításokat néhány nem használt szolgáltatás deaktiválásához.
-
STEP 9 A DSM alapértelmezett http (5000) és https (5001) portjának módosítása.
A port számának 1024 és 65535 között kell lennie. Ne felejtse el az új port továbbítását az útválasztó beállításainál. Kövesse az alábbi képernyőképen látható utasításokat, és olvassa el a teljes lépésenkénti útmutatót az 5000-es és 5001-es portok módosításához. Nem igazán ajánlott.
-
STEP 10 Enable Dos Protection.
Kövesse az alábbi képen látható utasításokat. Olvassa el azt is, hogy hogyan engedélyezheti a DoS-védelmet a Synology NAS-on.
-
STEP 11 Válassza ki ezeket a lehetőségeket: Ne engedélyezze a DSM beágyazását iFrame-be, A webhelyközi kérés meghamisítása elleni védelem javítása, A biztonság javítása a HTTP tartalombiztonsági házirend (CSP) fejléccel.
-
STEP 12 Spectre és Meltdown védelem.
Enable Spectre and Meltdown protection to entigate the threat of speculative execution vulnerability. Synology Say: Ennek az opciónak az engedélyezése bizonyos mértékig befolyásolja a rendszer teljesítményét. Néhány teszt után azt mondhatom, hogy nem tapasztaltam teljesítményproblémákat az opció aktiválásával. A Synology NAS-om gyorsabban fut, mint mindig, és védettebb és biztonságosabb. Ennek az opciónak az aktiválása a DSM rendszer újraindítását igényli.
-
STEP 13 Trust current client.
Add hozzá a jelenlegi PC-t “Trust client”-ként. Kövesse az alábbi képeken látható utasításokat.
Tudnia kell, hogy még akkor is, ha követi a cikk összes biztonsági ajánlását, minden Synology szolgáltatás elérhető marad egy egyszerű webböngészőn keresztül. Ez azt jelenti, hogy ha valamelyik Synology alkalmazásnak vannak olyan hibái, amelyeket még nem fedeztek fel, ezek az interneten keresztül kihasználhatók.
Ezt a bejegyzést 2020. augusztus 24., hétfő / augusztus 24., 1:13-kor
frissítették.