Hur du skyddar och säkrar din Synology NAS från attacker

Det har nyligen förekommit en global Brute Force-attack mot Synology NAS-enheter. Lyckligtvis kan vi med några få steg garantera att vår Synology NAS alltid är säker, tack vare den kraftfulla arkitektoniska strukturen i Linuxkärnan som garanterar säkerheten. Synology rekommenderar starkt att alla användare kontrollerar om åtgärderna nedan är på plats för att säkra sina konton.

Stötta mitt arbete genom att göra en donation.

• • STEG 2 Skapa ett nytt konto i administratörsgruppen och inaktivera systemets standardkonto ”admin”.
  • STEG 3 Använd ett komplext och starkt lösenord och tillämpa regler för lösenordsstyrka för alla användare.
  • STEG 4 Aktivera tvåstegsverifiering för att lägga till ett extra säkerhetslager för ditt konto.
  • STEG 5 Aktivera automatisk blockering i Kontrollpanelen och Lägg till IP BLOCK LIST. Kör därefter Security Advisor och skanna din NAS för att se till att det inte finns något svagt lösenord i systemet.
  • STEG 6 Aktivera brandväggen i kontrollpanelen och tillåt endast offentliga portar för tjänster som är nödvändiga för dig.
  • STEG 7 Jag rekommenderar också att du håller din DSM NAS uppdaterad liksom ditt program.
  • STEG 8 Inaktivera alla tjänster som du inte använder. Personligen använder jag inte SMB-tjänsten, AFP-tjänsten, FTP, SFTP, SSH.
  • STEG 9 Ändra standardportarna http (5000) och https (5001) för DSM.
  • STEG 10 Aktivera Dos Protection.
  • STEG 11 Välj dessa alternativ: Tillåt inte att DSM bäddas in med iFrame, Förbättra skyddet mot angrepp mot cross-site request forgery, Förbättra säkerheten med HTTP Content Security Policy (CSP) header.
  • STEG 12 Skydd mot spektrum och Meltdown.
  • STEG 13 Trust current client.

  STEG 2 Skapa ett nytt konto i administratörsgruppen och inaktivera systemets standardkonto ”admin”.

(Lär dig hur du inaktiverar admin på Synology NAS genom att följa skärmdumpen nedan.)



• STEG 3 Använd ett komplext och starkt lösenord och tillämpa regler för lösenordsstyrka för alla användare.

Vad är ett komplext lösenord? Ett komplext lösenord använder olika typer av tecken på unika sätt för att öka säkerheten. Lösenorden måste uppfylla eller överskrida dessa kriterier:

1. Änskas minst var 180:e dag.
2. Mellan 8 och 128 tecken långa.
3. Använd minst 3 av följande typer av tecken: (a) stora bokstäver, (b) små bokstäver, (c) siffror och/eller (d) specialtecken.
4. Lösenordet måste vara unikt och får inte återanvändas.

• STEG 4 Aktivera tvåstegsverifiering för att lägga till ett extra säkerhetslager för ditt konto.

• I menyn Alternativ klickar du på Personligt.
• Kryssa i rutan Aktivera tvåstegsverifiering för att starta installationsguiden för tvåstegsverifiering. Klicka på Nästa.
• Inför en e-postadress. Nödverifieringskoder kan skickas till den här e-postadressen om din mobila enhet skulle försvinna. Klicka på Nästa.
• Hämta och installera en autentiseringsapp på din mobila enhet, till exempel Google Authenticator (Android/iPhone/BlackBerry) eller Authenticator (Windows Phone).
• Öppna autentiseringsappen och skanna QR-koden.
• Alternativt kan du klicka på länken för att manuellt ange en hemlig nyckel. Klicka på OK för att stänga fönstret.
• Nästan genererar din autentiseringsapp en 6-siffrig verifieringskod. Ange den här koden i textfältet i guiden för att bekräfta att konfigurationerna är korrekta. Om ett fel uppstår ska du kontrollera att systemtiden för din mobila enhet är synkroniserad med DSM:s systemtid. Dessutom uppdateras verifieringskoderna med jämna mellanrum, så se till att koden du anger inte har löpt ut. Klicka på Nästa.
• Klicka på Stäng för att avsluta installationen.
• När installationsguiden är klar klickar du på OK för att spara inställningarna.

• STEG 5 Aktivera automatisk blockering i Kontrollpanelen och Lägg till IP BLOCK LIST. Kör därefter Security Advisor och skanna din NAS för att se till att det inte finns något svagt lösenord i systemet.

Var hittar jag programmet Security Advisor? Följ bara instruktionerna i bilden nedan.

• STEG 6 Aktivera brandväggen i kontrollpanelen och tillåt endast offentliga portar för tjänster som är nödvändiga för dig.

Lär dig hur du korrekt ställer in Synology Firewall GeoIP Blocking och betrodda klienter. Du får reda på de bästa inställningarna för Synologys brandvägg för hemanvändare.

• STEG 7 Jag rekommenderar också att du håller din DSM NAS uppdaterad liksom ditt program.

Håll dig alltid till att installera paketeringsuppdateringar som ibland släpps via Package Center. Installera inte tvivelaktiga program och öppna inte tvivelaktiga e-postmeddelanden från lika tvivelaktiga mottagare.

• STEG 8 Inaktivera alla tjänster som du inte använder. Personligen använder jag inte SMB-tjänsten, AFP-tjänsten, FTP, SFTP, SSH.

Följ instruktionerna i bilden nedan för att inaktivera vissa tjänster som du inte använder.

• STEG 9 Ändra standardportarna http (5000) och https (5001) för DSM.

Portnumret måste vara mellan 1024 och 65535. Kom ihåg att portvidarebefordra den nya porten i inställningarna för din router. Följ instruktionerna i skärmdumpen nedan och läs hela steg för steg-guiden för att ändra portarna 5000 och 5001. Rekommenderas inte riktigt.

• STEG 10 Aktivera Dos Protection.

Följ instruktionerna i bilden nedan. Läs också Hur man aktiverar DoS-skydd på Synology NAS.

• STEG 11 Välj dessa alternativ: Tillåt inte att DSM bäddas in med iFrame, Förbättra skyddet mot angrepp mot cross-site request forgery, Förbättra säkerheten med HTTP Content Security Policy (CSP) header.

• STEG 12 Skydd mot spektrum och Meltdown.

Aktivera skydd mot spektrum och Meltdown för att minska hotet från sårbarheten för spekulativ exekvering. Synology Säg: Om du aktiverar det här alternativet kommer systemets prestanda att påverkas i viss utsträckning. Efter några tester kan jag säga att jag inte har sett några prestandaproblem genom att aktivera det här alternativet. Min Synology NAS körs snabbt som alltid och är mer skyddad och säker. Aktivering av det här alternativet kräver en omstart av DSM-systemet.

• STEG 13 Trust current client.

Lägg till din nuvarande dator som ”Trust client”. Följ instruktionerna i bilderna nedan.

Du måste vara medveten om att även när du följer alla säkerhetsrekommendationer i den här artikeln, förblir alla Synology-tjänster tillgängliga via en enkel webbläsare. Detta innebär att om en Synology-applikation har några buggar som ännu inte har upptäckts kan dessa utnyttjas via Internet.

Detta inlägg uppdaterades måndag / 24 augusti 2020 kl. 1:13

.