НОВИНИ

10 съвета за защита на данните Събота, 11 Април 2020

-

Предлагаме ви списък с 10 съвета за защита на данните, съхранявани във вашия NAS от Synology. По този начин ще сте надеждно защитени от онлайн заплахи и ще проверите всички важни настройки, които могат да представляват потенциален риск за сигурността.

Забележка: За да изпълните повечето от посочените настройки, ще ви е необходим администраторски достъп.

 

Съвет 1: Бъдете в час и разрешете уведомленията

Synology редовно пусна обновявания на DSM, за да предложи функционални и производителни подобрения, както и да отстрани уязвимости в сигурността.

Когато бъде установен проблем със сигурността специалният екип Product Security Incident Response Team (PSIRT) провежда разследване през първите 8 часа и пуска софтуерна поправка в следващите 15 часа, за да предотврати потенциални щети от zero-day атаки.

Затова е препоръчително потребителите да включат автоматичните обновявания* в повечето случаи и да получават най-новите ъпдейти максимално бързо.

Много устройства Synology разполагат с опцията да изпълняват Virtual DSM във Virtual Machine Manager, за да създават виртуализирана версия на операционната система DSM. Използвайте Virtual DSM, за да създадете поетапна среда, след това репликирайте или се опитайте да възпроизведете реално работещата среда в нея. Направете тест за ъпгрейд като инсталирате последната версия на DSM във вашата Virtual DSM и проверете ключовите функционалности, които текущата реализация изисква, преди да извършите ъпдейта в основната среда.

Друга важна препоръка е да бъдете информирани в момента, в който нещата се случват. Можете да настроите уведомленията да идват по имейл, по SMS, като известия на мобилния телефон или в уеб браузър при засичането на определени събития или грешки. Ако използвате DDNS услугата на Synology, можете да изберете да бъдете уведомявани и при отпадане на външната мрежова връзка. Незабавната реакция в случаи, когато мястото за съхранение е почти изчерпано или задача за бекъп или възстановяване е приключила неуспешно, е много важна, за да осигурите надеждността на данните в дългосрочен план.

Съветваме ви също да си направите Synology профил, за да получавате бюлетините със съвети за управление и защита на вашите NAS и да сте информирани за последните новости по отношение на функционалността и сигурността.

* Автоматичните ъпдейти се изпълняват само за по-малките актуализация на DSM. Основните ъпдейти изискват ръчна инсталация.

 

Съвет 2: Пуснете Security Advisor

Security Advisor е предварително инсталирано приложение, което сканира вашия NAS за общи проблеми с конфигурацията на DSM и дава препоръки какво може да бъде направено, за да бъде той защитен. Така например, могат да бъдат открити познати проблеми като оставен отворен SSH достъп или да бъдат засечени нестандартни активности в лога, или модифициране на системните файлове на DSM.

 

Съвет 3: Настройка на основните функции за сигурност на DSM

Можете да конфигурирате различни настройки за сигурност в Control Panel > Security, където да защитите потребителски профили.

IP Auto Block

Позволява автоматично блокиране на IP адресни на клиенти, които не са се логнали успешно определен брой пъти или за определено време. Администраторите могат да блокират IP адреси, за да противодействат на атаки от тип brute-force или denial-of-service.

Тук можете да зададете броя допустими опити за вписване в системата, но не забравяйте, че често много потребители идват от един IP адрес, който е динамичен и може да се промени след време.

Account Protection

Account Protection защитава потребителските профили като блокира достъпа на недоверени клиенти. Това подобрява сигурността на DSM и намалява риска от присвояване на профили чрез brute-force атаки.

Enable HTTPS

С разрешаването на HTTPS можете да криптирате мрежовия трафик между вашия Synology NAS и свързаните към него клиенти, което защитава срещу атаки от звена, намиращи се между двете крайни точки.

В Control Panel > Network > DSM Settings не забравяйте да отметнете Automatically redirect HTTP connections to HTTPS. Адресът на достъп трябва да се промени на “https://” вместо “http://”. Портът по подразбиране за достъп по https е 443, а http по подразбиране използва порт 80. В тази връзка може да се наложи да актуализирате настройките на защитната стена.

За напреднали: Персонализирайте Firewall правилата

Защитната стена служи като виртуална бариера, която филтрира мрежовия трафик от външни източници, следвайки набор от правила. В Control Panel > Security > Firewall можете да настроите тези правила, за да предотвратите неоторизирано вписване и достъп до контролните услуги. Можете да решите дали да позволите или забраните достъп до конкретни мрежови портове за специфичен IP адрес, например за да позволите отдалечен достъп от друг офис или да позволите достъп само за специфична услуга или протокол.

 

Съвет 4: HTTPS втора част – Let’s Encrypt

Цифровите сертификати играят ключова роля в обезпечаването на HTTPS, но често са скъпи или трудни за поддръжка, особено за домашните потребители. DSM има градена поддръжка на Let’s Encrypt, организация за автоматично издаване на безплатни сертификати, което позволява на всеки лесно да подсигури своите връзки.

Ако вече имате регистриран домейн или използвате DDNS, отидете в Control Panel > SecurityCertificate. Кликнете на Add a new certificate > Get a certificate from Let’s Encrypt, повечето потребители могат да отметнат “Set as default certificate”*. Въведете името на домейна, за да получите сертификата.

Когато вече разполагате със сертификат, уверете се, че целия трафик минава по HTTPS (вижте съвет #3).

* Ако вашето устройство е настроено да осигурява услуги чрез множество домейни или поддомейни, ще трябва да конфигурирате кой сертификат да се използва от всяка услуга тук: Control Panel > SecurityCertificate > Configure.

 

Съвет 5: Деактивирайте администраторския профил по подразбиране

Широкоразпространените администраторски имена могат да направят вашия Synology NAS уязвим за brute-force атаки, които ползват комбинации от популярни имена и пароли. Избягвайте имена като “admin”, “administrator”, “root”*, когато настройвате вашия NAS. Препоръчваме да сложите също уникална и силна парола и да деактивирате системния администраторски профил по подразбиране **.

Ако в момента се логвате с “admin” профил, отидете в Control Panel > User и създайте нов администраторски профил. След това се логнете с него и деактивирайте този по подразбиране.

* “root” не е позволено потребителско име.
** Ако настройвате системата с потребителско име, различно от “admin”, профилът по подразбиране автоматично ще бъде деактивиран.

 

Съвет 6: Сила на паролите

Силната парола включва малки и големи символи, цифри и специални знаци в уникална комбинация. Използването на стандартни и слаби пароли е врата за хакерите. Можете да проверите дали вашата парола не е била компроментирана с услуги като Have I Been Pwned или Firefox Monitor.

Ако не можете да помните различни сложни пароли, на помощ идват мениджъри на пароли като 1Password, LastPass или Bitwarden. Трябва да запомните само мастър паролата, а останалите ще бъдат попълвани автоматично.

Когато администрирате Synology NAS, който обслужва и автентификацията*, можете да персонализирате политиката за пароли на потребителите за всички нови профили. Това става като отидете в Control Panel > User > Advanced и отметнете Apply password strength rules в секцията Password Settings.

* Подобни опции са налични в пакетите LDAP Server и Directory Server.

 

Съвет 7: 2-степенна проверка

Ако искате да добавите допълнителен слой сигурност към вашия акаунт, силно препоръчваме да активирате 2-степенната проверка. За целта ще ви е необходимо мобилно устройство и автентификатор, който поддържа Time-based One-Time Password (TOTP) протокола. Така вписването в системата ще изисква не само потребителско име и парола, но и 6-цифрен код с ограничена времева валидност. 

Ако изгубите своето мобилно устройство с приложението за автентифициране*, можете да използвате бекъп кодовете, които се генерират при настойката на услугата, за да се впишете в вашия Synology Account. Важно е да пазите тези кодове на сигурно място като ги свалите някъде или ги отпечатате.

Ако загубите автентификатора, можете да ресетнете 2-степенната проверка като последна мярка. Това могат да направят само потребителите от групата на администраторите.

Ако няма наличен нито един администраторски профил, трябва да ресетнете данните за достъп и мрежовите настройки на устройството. Задръжте хардуерния бутон RESET на вашия NAS за около 4 секунди (ще чуете сигнал) и след това стартирайте Synology Assistant, за да реконфигурирате устройството.**

* Някои приложения за автентификация поддържат методи за бекъп и възстановяване на трети страни. Преценете вашите изисквания към сигурността спрямо удобството и опциите за възстановяване.

** SHA, VMM, автоматично монтирани криптирани споделени папки, множество настройки за сигурност, потребителските профили и настройките на портовете ще бъдат нулирани.

 

Съвет 8: Променете портовете по подразбиране

Въпреки че смяната на портовете по подразбиране на DSM HTTP (5000) и HTTPS (5001) не може да предотврати насочени атаки, то може да елиминира стандартни заплахи, които атакуват точно определени услуги. За да промените портовете по подразбиране, отидете в Control Panel > Network > DSM Settings ги сменете. Добра идея е да промените и стандартния SSH (22) порт, ако използвате този интерфейс.

Можете да имплементирате и реверсивно прокси, за да намалите потенциалните вектори на атака само до някои специфични уеб услуги за подобрена сигурност. Реверсивното прокси изпълнява ролята на междинна среда в комуникацията между (обикновено) външен сървър и отдалечени клиенти като скрива определена информация за сървъра, като например неговият истински IP адрес.

 

Съвет 9: Изключете SSH/telnet, когато не ги използвате

Ако сте напреднал потребител, който често се нуждае от достъп до командния ред, не забравяйте да изключите SSH/telnet, когато не ги използвате. Тъй като root достъпът е разрешен по подразбиране и SSH/telnet поддържат само вписване от администраторски профили, хакерите могат да използват brute-force атака, за да разбият паролата и да получат неоторизиран достъп до системата. Ако се нуждаете от терминална услуга през цялото време, ви препоръчваме да зададете силна парола и да смените стандартния SSH порт (22), за да подобрите сигурността. Можете да обмислите също използването на VPN и ограничаването на SSH достъпа само до локални и доверени IP-та.

 

Съвет 10: Криптирайте споделените папки

DSM поддържа криптиране AES-256, за да предотврати извличането на данни при физически заплахи. Администраторите могат да криптират съществуващите и новосъздавани споделени папки.

За да криптирате наличните споделени папки, отидете в Control Panel > Shared Folder и редактирайте папката. Задайте криптиращ ключ в таба Encryption и DSM ще започне да криптира папката. Силно препоръчваме да запазите файла-ключ, който е генериран в защитено хранилище, тъй като криптираните данни не могат да бъдат възстановени без паролата или файла.

 

Бонус съвет: Интегритет на данните

Сигурността на данните е неразривно свързана с консистентността и точността на данните — техния интегритет. Сигурността на данните е предпоставка за техния интегритет, тъй като неоторизиран достъп може да доведе до подправяне или загубата им, което на практика ги прави безполезни.

Има две мерки, които можете да вземете по отношение на точността и консистентността на данните: да активирате създаването на контролни суми и да изпълнявате регулярно S.M.A.R.T. тестове.

По-важно от всякога

Онлайн заплахите винаги се развиват и сигурността на данните трябва да прогресира със същите темпове. С използването на все повече устройства в офисите и домовете, на киберпрестъпниците става все по-лесно да експлоатират пропуските в сигурността и да получат достъп до вашата мрежа. Защитата не е нещо, което правите еднократно, а безспирен процес.