Jak chronić i zabezpieczać NAS Synology przed atakami

W ostatnim czasie miał miejsce globalny atak typu Brute Force, którego celem były urządzenia NAS Synology. Na szczęście w zaledwie kilku krokach możemy zagwarantować, że nasz serwer Synology NAS jest zawsze bezpieczny, dzięki potężnej strukturze architektonicznej jądra systemu Linux, która gwarantuje bezpieczeństwo. Firma Synology zdecydowanie zaleca wszystkim użytkownikom sprawdzenie, czy poniższe środki zostały zastosowane w celu zabezpieczenia ich kont.

Please Support My work by Making a Donation.

• • KROK 2 Utwórz nowe konto w grupie administratorów i wyłącz domyślne konto systemowe „admin”.
  • KROK 3 Użyj złożonego i silnego hasła oraz zastosuj zasady dotyczące siły hasła w odniesieniu do wszystkich użytkowników.
  • KROK 4 Włącz weryfikację dwuetapową, aby dodać dodatkową warstwę zabezpieczeń do swojego konta.
  • KROK 5 Włącz funkcję Auto Block w Control Panel i ADD IP BLOCK LIST. Następnie uruchom program Security Advisor i przeskanuj NAS, aby upewnić się, że w systemie nie ma słabego hasła.
  • KROK 6 Włącz zaporę sieciową w Panelu sterowania i zezwalaj na publiczne porty tylko tym usługom, które są dla Ciebie niezbędne.
  • KROK 7 Zalecam również aktualizowanie serwera DSM NAS oraz aplikacji.
  • KROK 8 Dezaktywuj wszystkie usługi, których nie używasz. Ja osobiście nie używam usługi SMB, AFP, FTP, SFTP, SSH.
  • KROK 9 Zmień domyślne porty http (5000) i https (5001) w DSM.
  • STEP 10 Enable Dos Protection.
  • KROK 11 Wybierz te opcje: Nie zezwalaj na osadzanie DSM w ramce iFrame, Ulepsz zabezpieczenia przed atakami cross-site request forgery, Ulepsz zabezpieczenia za pomocą nagłówka HTTP Content Security Policy (CSP).
  • KROK 12 Ochrona Spectre i Meltdown.
  • KROK 13 Zaufaj bieżącemu klientowi.

  KROK 2 Utwórz nowe konto w grupie administratorów i wyłącz domyślne konto systemowe „admin”.

(Dowiedz się, jak wyłączyć konto admin na serwerze NAS firmy Synology, korzystając z poniższego zrzutu ekranu.)



• KROK 3 Użyj złożonego i silnego hasła oraz zastosuj zasady dotyczące siły hasła w odniesieniu do wszystkich użytkowników.

Co to jest złożone hasło? Złożone hasło wykorzystuje różne typy znaków w unikalny sposób w celu zwiększenia bezpieczeństwa. Hasła muszą spełniać lub przekraczać następujące kryteria:

1. Zmieniane co najmniej raz na 180 dni.
2. Długość od 8 do 128 znaków.
3. Używaj co najmniej 3 z następujących typów znaków: (a) wielkie litery, (b) małe litery, (c) cyfry i/lub (d) znaki specjalne.
4. Hasło musi być unikatowe i nie może być ponownie użyte.

• KROK 4 Włącz weryfikację dwuetapową, aby dodać dodatkową warstwę zabezpieczeń do swojego konta.

• W menu Opcje kliknij pozycję Osobiste.
• Zaznacz pole wyboru Włącz weryfikację dwuetapową, aby uruchomić kreatora konfiguracji weryfikacji dwuetapowej. Kliknij przycisk Dalej.
• Wprowadź adres e-mail. Na ten adres e-mail mogą być wysyłane awaryjne kody weryfikacyjne w przypadku utraty urządzenia mobilnego. Kliknij przycisk Next.
• Na urządzeniu mobilnym pobierz i zainstaluj aplikację uwierzytelniającą, taką jak Google Authenticator (Android/iPhone/BlackBerry) lub Authenticator (Windows Phone).
• Otwórz aplikację uwierzytelniającą i zeskanuj kod QR.
• Alternatywnie możesz kliknąć łącze, aby ręcznie wprowadzić tajny klucz. Kliknij przycisk OK, aby zamknąć okno.
• Następnie aplikacja uwierzytelniająca wygeneruje 6-cyfrowy kod weryfikacyjny. Wprowadź ten kod w pole tekstowe kreatora w celu potwierdzenia poprawności konfiguracji. Jeśli wystąpi błąd, upewnij się, że czas systemowy urządzenia mobilnego jest zsynchronizowany z czasem systemowym DSM. Ponadto kody weryfikacyjne są okresowo aktualizowane, dlatego upewnij się, że wprowadzony kod nie stracił ważności. Kliknij Next.
• Kliknij Close, aby zakończyć konfigurację.
• Po zakończeniu pracy kreatora konfiguracji kliknij OK, aby zapisać ustawienia.

• KROK 5 Włącz funkcję Auto Block w Control Panel i ADD IP BLOCK LIST. Następnie uruchom program Security Advisor i przeskanuj NAS, aby upewnić się, że w systemie nie ma słabego hasła.

Gdzie mogę znaleźć aplikację Security Advisor? Wystarczy postępować zgodnie z instrukcjami na poniższym obrazie.

• KROK 6 Włącz zaporę sieciową w Panelu sterowania i zezwalaj na publiczne porty tylko tym usługom, które są dla Ciebie niezbędne.

Dowiedz się, jak poprawnie skonfigurować Synology Firewall GeoIP Blocking i zaufanych klientów. Poznasz najlepsze ustawienia zapory Synology dla użytkowników domowych.

• KROK 7 Zalecam również aktualizowanie serwera DSM NAS oraz aplikacji.

Pamiętaj, aby zawsze instalować aktualizacje pakietów, które czasami są udostępniane za pośrednictwem Centrum pakietów. Nie instaluj podejrzanych aplikacji i nie otwieraj podejrzanych maili od równie podejrzanych odbiorców.

• KROK 8 Dezaktywuj wszystkie usługi, których nie używasz. Ja osobiście nie używam usługi SMB, AFP, FTP, SFTP, SSH.

Postępuj zgodnie z instrukcjami na poniższym obrazku, aby dezaktywować niektóre usługi, których nie używasz.

• KROK 9 Zmień domyślne porty http (5000) i https (5001) w DSM.

Numer portu musi zawierać się w przedziale od 1024 do 65535. Pamiętaj, aby przekierować nowy port w ustawieniach routera. Postępuj zgodnie z instrukcjami na zrzucie ekranu poniżej i przeczytaj pełną instrukcję krok po kroku, aby zmienić porty 5000 i 5001. Not really recommend.

• STEP 10 Enable Dos Protection.

Follow the instructions in the image below. Przeczytaj także Jak włączyć ochronę przed atakami DoS na serwerze Synology NAS.

• KROK 11 Wybierz te opcje: Nie zezwalaj na osadzanie DSM w ramce iFrame, Ulepsz zabezpieczenia przed atakami cross-site request forgery, Ulepsz zabezpieczenia za pomocą nagłówka HTTP Content Security Policy (CSP).

• KROK 12 Ochrona Spectre i Meltdown.

Włącz ochronę Spectre i Meltdown, aby złagodzić zagrożenie związane z lukami w wykonywaniu spekulacyjnym. Synology mówi: Włączenie tej opcji w pewnym stopniu wpłynie na wydajność systemu. Po kilku testach mogę powiedzieć, że nie zaobserwowałem żadnych problemów z wydajnością po włączeniu tej opcji. Mój serwer NAS Synology działa tak szybko jak zawsze, a ponadto jest lepiej chroniony i zabezpieczony. Włączenie tej opcji będzie wymagało ponownego uruchomienia systemu DSM.

• KROK 13 Zaufaj bieżącemu klientowi.

Dodaj bieżący komputer jako „Zaufanego klienta”. Wykonaj instrukcje przedstawione na poniższych obrazach.

Musisz mieć świadomość, że nawet w przypadku przestrzegania wszystkich zaleceń dotyczących bezpieczeństwa przedstawionych w tym artykule wszystkie usługi firmy Synology pozostają dostępne za pośrednictwem zwykłej przeglądarki internetowej. Oznacza to, że jeśli jedna z aplikacji Synology ma jakieś błędy, które nie zostały jeszcze odkryte, można je wykorzystać za pośrednictwem Internetu.

Ten post został zaktualizowany w poniedziałek / 24 sierpnia 2020 o 1:13 AM

.