How to Protect and Secure Your Synology NAS From Attacks

最近、Synology NAS デバイスを標的としたブルートフォース攻撃が世界的に発生している。 幸いにも、セキュリティを保証する Linux カーネルの強力なアーキテクチャ構造のおかげで、わずか数ステップで Synology NAS が常に安全であることを保証することができます。 Synology はすべてのユーザーに対して、アカウントを保護するために以下の対策が実施されているかどうかを確認するよう強くお勧めします。

Please Support My work by Making a Donation.

• • STEP 2 管理者グループで新しいアカウントを作成し、システムのデフォルト「admin」アカウントを無効にする。
  • STEP 3 複雑で強いパスワードを使い、すべてのユーザーにパスワード強度規則を適用する
  • STEP 4 2段階認証機能を有効にしてアカウントに追加のセキュリティ層を追加しましょう。
  • STEP 5 コントロールパネルの自動ブロックとIPブロックリストを追加するを有効化します。 その後、Security Advisorを実行し、NASをスキャンして、システムに弱いパスワードが存在しないことを確認します。
  • STEP 6 コントロールパネルで Firewall を有効にして、自分にとって必要なサービスのパブリックポートだけを許可する
  • STEP 7 また、アプリケーションと同様に DSM NAS も最新の状態に保つことをお勧めします。
  • STEP 8 使用しないサービスをすべて無効にする。 個人的には、SMB サービス、AFP サービス、FTP、SFTP、SSH は使用しません。
  • STEP 9 DSMのデフォルトhttp（5000）、https（5001）ポートを変更する。
  • STEP 10 Enable Dos Protection.
  • STEP 11 これらのオプションを選択します。 DSM を iFrame に埋め込むことを許可しない、クロスサイトリクエストフォージェリ攻撃に対する保護を強化する、HTTP コンテンツ セキュリティポリシー (CSP) ヘッダーでセキュリティを強化する。
  • STEP 12 Spectre and Meltdown Protection.
  • STEP 13 現在のクライアントを信頼する

  STEP 2 管理者グループで新しいアカウントを作成し、システムのデフォルト「admin」アカウントを無効にする。

(以下のスクリーンショットに従って Synology NAS で管理者を無効にする方法をご覧ください)



• STEP 3 複雑で強いパスワードを使い、すべてのユーザーにパスワード強度規則を適用する

複合パスワードとは何ですか? 複雑なパスワードは、さまざまな種類の文字を独自の方法で使用し、セキュリティを向上させます。

1. 少なくとも180日ごとに変更する。
2. 8～128文字の間である。 (a) 大文字、(b) 小文字、(c) 数字、(d) 特殊文字。
3. パスワードはユニークで再利用できない必要があります。

• STEP 4 2段階認証機能を有効にしてアカウントに追加のセキュリティ層を追加しましょう。

• ［オプション］メニューから［個人］をクリックします。
• ［2段階認証の有効化］にチェックを入れて、2段階認証の設定ウィザードを起動します。 次へ］をクリックします。
• 電子メールアドレスを入力します。 携帯端末を紛失した場合に備えて、このメールアドレスに緊急認証コードを送信することができます。 次へ］をクリックします。
• モバイル デバイスで、Google Authenticator (Android/iPhone/BlackBerry) または Authenticator (Windows Phone) などの認証アプリをダウンロードしてインストールします。
• 認証アプリを開いて QRコードをスキャンします。
• または、リンクをクリックして秘密鍵を手動入力することも可能です。 OK］をクリックしてウィンドウを閉じます。
• 次に、認証ツールアプリが6桁の認証コードを生成します。 このコードをウィザードのテキストフィールドに入力し、設定が正しいかどうかを確認します。 エラーが発生した場合は、モバイルデバイスのシステム時刻がDSMのシステム時刻と同期していることを確認してください。 また、検証コードは定期的に更新されますので、入力したコードが有効期限内であることを確認してください。 次へ」をクリックします。
• 「閉じる」をクリックして設定を終了します。
• 設定ウィザードが終了したら、「OK」をクリックして設定を保存します。

• STEP 5 コントロールパネルの自動ブロックとIPブロックリストを追加するを有効化します。 その後、Security Advisorを実行し、NASをスキャンして、システムに弱いパスワードが存在しないことを確認します。

Security Advisor アプリケーションはどこにあるのですか？

• STEP 6 コントロールパネルで Firewall を有効にして、自分にとって必要なサービスのパブリックポートだけを許可する

Synology Firewall GeoIP Blocking と信頼できるクライアントの正しい設定方法について学びます。 ホームユーザーに最適な Synology ファイアウォール設定がわかります。

• STEP 7 また、アプリケーションと同様に DSM NAS も最新の状態に保つことをお勧めします。

パッケージ センターから時々リリースされるパッケージ更新を常にインストールすることを忘れないようにします。 怪しいアプリケーションをインストールしたり、同じく怪しい受信者からの怪しいメールを開いたりしないでください。

• STEP 8 使用しないサービスをすべて無効にする。 個人的には、SMB サービス、AFP サービス、FTP、SFTP、SSH は使用しません。

以下の画像の指示に従って、使用しないいくつかのサービスを非アクティブにします。

• STEP 9 DSMのデフォルトhttp（5000）、https（5001）ポートを変更する。

port number must be between 1024 to 65535.The port numbers is not disclosed. ルーターの設定で、新しいポートをポートフォワードすることを忘れないでください。 以下のスクリーンショットの指示に従って、ポート5000と5001を変更する手順をご覧ください。

• STEP 10 Enable Dos Protection.

下の画像にある手順に従ってください。 また、Synology NAS で DoS 保護を有効にする方法もお読みください。

• STEP 11 これらのオプションを選択します。 DSM を iFrame に埋め込むことを許可しない、クロスサイトリクエストフォージェリ攻撃に対する保護を強化する、HTTP コンテンツ セキュリティポリシー (CSP) ヘッダーでセキュリティを強化する。

• STEP 12 Spectre and Meltdown Protection.

Spectre と Meltdown の保護を有効にして推測実行脆弱性という脅威に対応する。 Synology の説明：このオプションを有効にすると、システム性能にある程度の影響を与えます。 いくつかのテストの後、私はこのオプションを有効にして、パフォーマンスの問題を見なかったと言うことができます。 私の Synology NAS はいつもと同じように高速で作動し、より安全に保護されています。 このオプションを有効にするには、DSM システムの再起動が必要です。

• STEP 13 現在のクライアントを信頼する

現在の PC を「信頼するクライアント」として追加します。 以下の画像の指示に従ってください。

この記事にあるすべてのセキュリティ勧告に従っても、すべての Synology サービスは単純な Web ブラウザでアクセスできることに注意する必要があります。 つまり、Synology アプリケーションにまだ発見されていないバグがある場合、インターネットを介して悪用される可能性があります。

This post was updated on Monday / August 24th, 2020 at 1:13 AM