Come proteggere e rendere sicuro il tuo Synology NAS dagli attacchi

Di recente c’è stato un attacco Brute Force globale che ha colpito i dispositivi Synology NAS. Fortunatamente, in pochi passi possiamo garantire che il nostro NAS Synology sia sempre al sicuro, grazie alla potente struttura architettonica del Kernel Linux che garantisce la sicurezza. Synology raccomanda vivamente a tutti gli utenti di controllare se le misure seguenti sono in atto per proteggere i loro account.

Supporta il mio lavoro facendo una donazione.

• • STEP 2 Creare un nuovo account nel gruppo degli amministratori e disabilitare l’account “admin” predefinito del sistema.
  • STEP 3 Utilizzare una password complessa e forte e applicare le regole di forza della password a tutti gli utenti.
  • STEP 4 Abilita la verifica in 2 passaggi per aggiungere un ulteriore livello di sicurezza al tuo account.
  • STEP 5 Abilita Auto Block in Control Panel e ADD IP BLOCK LIST. Dopo di che, eseguire Security Advisor e scansionare il NAS per assicurarsi che non ci sia una password debole nel sistema.
  • Punto 6 Abilitare il Firewall nel Pannello di controllo, e permettere solo le porte pubbliche per i servizi che sono necessari per voi.
  • Passo 7 Ti raccomando anche di tenere aggiornato il tuo NAS DSM e la tua applicazione.
  • Punto 8 Disattiva tutti i servizi che non usi. Personalmente non uso il servizio SMB, il servizio AFP, FTP, SFTP, SSH.
  • Passo 9 Cambia le porte http (5000) e https (5001) di default del DSM.
  • STEP 10 Abilitare la protezione Dos.
  • STEP 11 Selezionare queste opzioni: Non permettere che DSM sia incorporato con iFrame, Migliorare le protezioni contro gli attacchi cross-site request forgery, Migliorare la sicurezza con l’intestazione HTTP Content Security Policy (CSP).
  • STEP 12 Protezione Spectre e Meltdown.
  • Punto 13 Fidati del client attuale.

  STEP 2 Creare un nuovo account nel gruppo degli amministratori e disabilitare l’account “admin” predefinito del sistema.

(Impara come disabilitare l’amministratore sul NAS Synology seguendo la schermata qui sotto.)



• STEP 3 Utilizzare una password complessa e forte e applicare le regole di forza della password a tutti gli utenti.

Cos’è una password complessa? Una password complessa usa diversi tipi di caratteri in modi unici per aumentare la sicurezza. Le password devono soddisfare o superare questi criteri:

1. Cambiate almeno ogni 180 giorni.
2. Lunghe tra 8 e 128 caratteri.
3. Utilizzano almeno 3 dei seguenti tipi di caratteri: (a) lettere maiuscole, (b) lettere minuscole, (c) numeri, e/o (d) caratteri speciali.
4. La password deve essere unica e non deve essere riutilizzata.

• STEP 4 Abilita la verifica in 2 passaggi per aggiungere un ulteriore livello di sicurezza al tuo account.

• Nel menu Opzioni, clicca su Personale.
• Seleziona la casella Abilita verifica in 2 passaggi per avviare la procedura guidata di configurazione della verifica in 2 passaggi. Clicca su Next.
• Inserisci un indirizzo e-mail. I codici di verifica di emergenza possono essere inviati a questo indirizzo e-mail in caso di smarrimento del tuo dispositivo mobile. Clicca su Next.
• Sul tuo dispositivo mobile, scarica e installa un’app di autenticazione, come Google Authenticator (Android/iPhone/BlackBerry) o Authenticator (Windows Phone).
• Apri la tua app di autenticazione e scansiona il codice QR.
• In alternativa, puoi cliccare sul link per inserire manualmente una chiave segreta. Clicca su OK per chiudere la finestra.
• Poi, la tua app authenticator genera un codice di verifica a 6 cifre. Inserisci questo codice nel campo di testo della procedura guidata per confermare che le configurazioni sono corrette. Se si verifica un errore, assicurati che l’ora del tuo dispositivo mobile sia sincronizzata con l’ora del sistema DSM. Inoltre, i codici di verifica vengono aggiornati periodicamente, quindi assicurati che il codice inserito non sia scaduto. Fai clic su Next.
• Fai clic su Close per finire la configurazione.
• Una volta che la procedura guidata di configurazione è terminata, fai clic su OK per salvare le impostazioni.

• STEP 5 Abilita Auto Block in Control Panel e ADD IP BLOCK LIST. Dopo di che, eseguire Security Advisor e scansionare il NAS per assicurarsi che non ci sia una password debole nel sistema.

Dove posso trovare l’applicazione Security Advisor? Basta seguire le istruzioni nell’immagine qui sotto.

• Punto 6 Abilitare il Firewall nel Pannello di controllo, e permettere solo le porte pubbliche per i servizi che sono necessari per voi.

Impara come impostare correttamente il blocco GeoIP di Synology Firewall e i client fidati. Scoprirai le migliori impostazioni del firewall Synology per gli utenti domestici.

• Passo 7 Ti raccomando anche di tenere aggiornato il tuo NAS DSM e la tua applicazione.

Ricordati di installare sempre gli aggiornamenti dei pacchetti che vengono talvolta rilasciati tramite il Centro pacchetti. Non installare applicazioni dubbie e non aprire email dubbie da destinatari altrettanto dubbi.

• Punto 8 Disattiva tutti i servizi che non usi. Personalmente non uso il servizio SMB, il servizio AFP, FTP, SFTP, SSH.

Segui le istruzioni nell’immagine qui sotto per disattivare alcuni servizi che non usi.

• Passo 9 Cambia le porte http (5000) e https (5001) di default del DSM.

Il numero della porta deve essere compreso tra 1024 e 65535. Ricordati di fare il port-forwarding della nuova porta nelle impostazioni del tuo Router. Segui le istruzioni nello screenshot qui sotto e leggi la guida completa passo dopo passo per cambiare le porte 5000 e 5001. Non è davvero consigliabile.

• STEP 10 Abilitare la protezione Dos.

Seguire le istruzioni nell’immagine sottostante. Leggere anche Come abilitare la protezione DoS su Synology NAS.

• STEP 11 Selezionare queste opzioni: Non permettere che DSM sia incorporato con iFrame, Migliorare le protezioni contro gli attacchi cross-site request forgery, Migliorare la sicurezza con l’intestazione HTTP Content Security Policy (CSP).

• STEP 12 Protezione Spectre e Meltdown.

Abilitare la protezione Spectre e Meltdown per ridurre la minaccia della vulnerabilità dell’esecuzione speculativa. Synology dice: Abilitare questa opzione avrà un certo impatto sulle prestazioni del sistema. Dopo alcuni test, posso dire che non ho visto alcun problema di prestazioni attivando questa opzione. Il mio Synology NAS funziona velocemente come sempre ed è più protetto e sicuro. L’attivazione di questa opzione richiederà un riavvio del sistema DSM.

• Punto 13 Fidati del client attuale.

Aggiungi il tuo PC attuale come “Client fidato”. Seguire le istruzioni nelle immagini sottostanti.

Si deve sapere che anche quando si seguono tutte le raccomandazioni di sicurezza in questo articolo, tutti i servizi Synology rimangono accessibili tramite un semplice browser web. Questo significa che se un’applicazione Synology ha alcuni bug che non sono ancora stati scoperti, questi possono essere sfruttati attraverso Internet.

Questo post è stato aggiornato il lunedì / 24 agosto 2020 alle 1:13 AM