В данной статье рассмотрим советы по защите корпоративных данных в системах NAS Synology от неправомерного доступа и программ-шифровальщиков
НЕ ЗАБЫВАЙТЕ ВОВРЕМЯ ОБНОВЛЯТЬ ПО
Synology регулярно выпускает обновления DSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.
Для получения информации о текущей версии ПО и обновлении, перейдите в Панель управления – обновление и восстановление – обновление DSM.
Следует отметить, если у вас старая версия DSM и вы опасаетесь обновления ввиду нерабочих конфигураций текущей системы, установите Virtual DSM внутри Virtual Machine Manager (Доступно через Менеджер пакетов) – виртуальную версию операционной системы DSM, чтобы протестировать те или иные функции, а также обновления. Например, можно установить на Virtual DSM последнюю версию DSM, после чего протестировать работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.
ОТКЛЮЧИТЕ УЧЕТНУЮ ЗАПИСЬ АДМИНИСТРАТОРА ПО УМОЛЧАНИЮ
Не используйте такие логины как: admin, administrator, root.
Рисунок 1 – Отключение учетной записи администратора по умолчанию
ПРИДУМАЙТЕ СЛОЖНЫЙ ПАРОЛЬ
Сложный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа.
Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.
ВКЛЮЧИТЕ ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ
В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.
Synology поддерживает мобильное приложение Secure SignIn, а также протокол FIDO2, который опирается на аппаратные ключи безопасности (USB-ключ, Windows Hello на ПК или Touch ID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут через фишинг, методы социальной инженерии, вирусы и т.д.
УСТАНОВИТЕ НАДЕЖНЫЙ ПАКЕТ БЕЗОПАСНОСТИ
Запускайте Security Advisor — предустановленное приложение, которое будет сканировать NAS в поисках проблем конфигурации DSM. Если таковые будут выявлены, то Security Advisor предложит решения. Например, Security Advisor может определить открытый доступ SSH, подозрительную активность в журналах, а также модификацию системных файлов DSM.
Рисунок 2 – Security Advisor
Также можете установить дополнительное антивирусное ПО.
ВКЛЮЧИТЕ HTTPS
С активированной поддержкой HTTPS можно защитить сетевой трафик между Synology NAS и подключенными клиентами, уменьшая риск прослушивания незащищенного соединения.
Следует перейти в Панель управления — Портал для выхода — DSM, после чего выставить галочку Автоматически перенаправлять подключение HTTP на HTTPS для настольного ПК DSM. Порт по умолчанию https составляет 443, а в случае обычного протокола http — 80.
Если у вас нет купленного сертификата, то в DSM встроена поддержка Let’s Encrypt – данная организация предоставит сертификаты бесплатно, что позволит защитить подключение к веб-интерфейсу NAS.
Если у вас есть зарегистрированный домен или активная запись DDNS, достаточно перейти в Панель управления — Безопасность — Сертификат. Выберите Добавить — Добавить новый сертификат — Получить сертификат в Let’s Encrypt. Для большинства пользователей имеет смысл включить галочку Установить как сертификат по умолчанию. Затем достаточно указать имя домена для получения сертификата.
НАСТРОЙТЕ ПРАВИЛА БРАНДМАУЭРА
Брандмауэр – защита, фильтрующая сетевой трафик от внешних источников по заданным правилам.
В пункте Панель управления — Безопасность — Брандмауэр можно настроить правила, блокирующие доступ к тем или иным портам. Например, можно разрешить доступ к веб-интерфейсу только с IP-адреса компьютера администратора.
Рисунок 3 – Настройка брандмауэра
ОТКЛЮЧАЙТЕ SSH/TELNET
Если вам требуется командная строка SSH/telnet, то не забывайте отключать доступ к ней после завершения работы. Права SSH/telnet по умолчанию выставлены на root, вход разрешен только с административных учетных записей, но хакеры могут использовать атаку грубой силы, чтобы подобрать пароль и войти в систему. Если вам нужен доступ к командной строке на постоянной основе, рекомендуется выставить сильный пароль и изменить порт SSH по умолчанию (22).
ШИФРУЙТЕ ПАПКИ ОБЩЕГО ДОСТУПА
DSM поддерживает шифрование AES-256 для папок общего доступа, чтобы предупредить получение файлов методом физического извлечения дисков. Администраторы могут шифровать как существующие, так и вновь создаваемые папки общего доступа.
Для шифрования существующих папок общего доступа следует перейти в пункт Панель управления — Папка общего доступа, после чего выбрать Редактировать.
На вкладке Шифрование следует указать ключ, после чего DSM начнет шифрование папки. Мы рекомендуем сохранить ключ в надежном месте, поскольку восстановить зашифрованные данные без ключа невозможно.
Рисунок 4 – Шифрование данных
ВКЛЮЧИТЕ КОРЗИНУ (ВЕРСИОНИРОВАНИЕ)
Данная функция будет полезна при защите\восстановлении от порчи ваших файлов программами шифраторами.
Включаем корзину на папке общего доступа и при необходимости настраиваем ее очистку по расписанию.
Рисунок 5 – Включение корзины
Есть задачи по защите данных? Поможем обеспечить надежное хранение ваших корпоративных данных, обращайтесь к нам!