A közelmúltban néhány Synology-tulajdonos felfedezte, hogy a NAS-rendszerükön lévő összes fájl titkosítva van. Sajnos néhány zsarolóprogram megfertőzte a NAS-t, és fizetést követelt az adatok visszaállításáért. Íme, mit tehet a NAS biztonsága érdekében.
Tartalomjegyzék
Hogyan kerüljük el a Ransomware támadást
A Synology az figyelmezteti a NAS tulajdonosokat számos ransomware támadásról, amelyek a közelmúltban értek néhány felhasználót. A támadók brute-force módszereket használnak az alapértelmezett jelszó kitalálására – lényegében minden lehetséges jelszót kipróbálnak, amíg egyezést nem találnak. Amint megtalálják a megfelelő jelszót, és hozzáférnek a hálózathoz csatlakoztatott tárolóeszközhöz, a hackerek titkosítják az összes fájlt, és váltságdíjat követelnek.
Több lehetőség közül választhat az ehhez hasonló támadások megelőzésére. Teljesen letilthatja a távoli hozzáférést, csak a helyi kapcsolatokat engedélyezve. Ha távoli hozzáférésre van szüksége, beállíthat egy VPN-t a NAS-hoz való hozzáférés korlátozására. És ha a VPN nem jó megoldás (például a lassú hálózatok miatt), akkor megerősítheti a távoli hozzáférési lehetőségeket.
1. lehetőség: A távelérés letiltása
A választható legbiztonságosabb lehetőség a távoli kapcsolati funkciók teljes letiltása. Ha Ön nem tudja távolról elérni a NAS-t, akkor a hacker sem tudja. Elveszíti az útközbeni kényelmet, de ha csak otthon dolgozik a NAS-szal – például filmek nézéséhez –, akkor előfordulhat, hogy egyáltalán nem hiányoznak a távoli funkciók.
A legújabb Synology NAS egységek tartalmaznak QuickConnect funkciót. A QuickConnect gondoskodik a távoli funkciók engedélyezésének kemény munkájáról. Ha a funkció be van kapcsolva, nem kell beállítania a router port-továbbítását.
A QuickConnecten keresztüli távoli hozzáférés megszüntetéséhez jelentkezzen be a NAS-felületre. Nyissa meg a vezérlőpultot, és kattintson a „QuickConnect” lehetőségre az oldalsávon található Kapcsolatok alatt. Törölje a „Gyors csatlakozás engedélyezése” jelölését, majd kattintson az Alkalmaz gombra.
Ha azonban engedélyezte a porttovábbítást az útválasztón a távoli hozzáférés eléréséhez, akkor le kell tiltania ezt a porttovábbítási szabályt. A porttovábbítás letiltásához keresse meg az útválasztó IP-címét, és használja azt a bejelentkezéshez.
Ezután olvassa el az útválasztó kézikönyvét, hogy megtalálja a porttovábbítási oldalt (minden útválasztó modell más és más). Ha nem rendelkezik az útválasztó kézikönyvével, próbálkozzon a webes kereséssel az útválasztó modellszámára és a „kézikönyv” szóra. A kézikönyv megmutatja, hol keresse a kilépő porttovábbítási szabályokat. Kapcsolja ki a NAS egység porttovábbítási szabályait.
2. lehetőség: Használjon VPN-t a távoli hozzáféréshez
Azt javasoljuk, hogy ne tegye ki Synology NAS-ját az internetnek. Ha azonban távolról kell csatlakoznia, javasoljuk, hogy állítson be egy virtuális magánhálózatot (VPN). Telepített VPN-kiszolgálóval nem érheti el közvetlenül a NAS-egységet. Ehelyett csatlakozik az útválasztóhoz. Az útválasztó viszont úgy kezeli Önt, mintha ugyanazon a hálózaton lenne, mint a NAS (például még otthon).
A csomagközpontból letölthet VPN-kiszolgálót Synology NAS-jára. Csak keressen rá a „vpn” kifejezésre, és válassza ki a telepítési lehetőséget a VPN-kiszolgáló alatt. Amikor először nyitja meg a VPN-kiszolgálót, a PPTP, L2TP/IPSec és OpenVPN protokollok közül választhat. Az OpenVPN-t ajánljuk, mivel ez a három közül a legbiztonságosabb lehetőség.
Maradhat az OpenVPN összes alapértelmezett beállításánál, bár ha VPN-en keresztül csatlakozva hozzá szeretne férni a hálózat többi eszközéhez, be kell jelölnie „Az ügyfelek hozzáférésének engedélyezése a szerver LAN-jához” jelölőnégyzetet, majd kattintson az „Alkalmaz” gombra.
Ezután be kell állítania a porttovábbítást az útválasztón arra a portra, amelyet az OpenVPN használ (alapértelmezés szerint 1194).
Ha OpenVPN-t használ a VPN-hez, akkor a hozzáféréshez kompatibilis VPN-kliensre lesz szüksége. Azt javasoljuk OpenVPN Connect, amelyhez elérhető ablakok, Mac operációs rendszer, iOS, Android, sőt még Linux.
3. lehetőség: Biztonságos távoli hozzáférés, amennyire csak lehetséges
Ha távoli hozzáférésre van szüksége, és a VPN nem életképes megoldás (talán a lassabb internetsebesség miatt), akkor a lehető legjobban biztosítsa a távoli hozzáférést.
A távoli hozzáférés biztosításához jelentkezzen be a NAS-ba, nyissa meg a Vezérlőpultot, majd válassza a Felhasználók lehetőséget. Ha az alapértelmezett adminisztrátor be van kapcsolva, hozzon létre egy új rendszergazdai felhasználói fiókot (ha még nem rendelkezik ilyennel), és kapcsolja ki az alapértelmezett adminisztrátort. Az alapértelmezett rendszergazdai fiók az első fiók, amelyet általában megtámadnak a zsarolóvírusok. A Vendég felhasználó általában alapértelmezés szerint ki van kapcsolva, és hagyja így, hacsak nincs rá konkrét igénye.
Győződjön meg arról, hogy a NAS-hoz létrehozott felhasználók bonyolult jelszavakkal rendelkeznek. Javasoljuk, hogy ehhez jelszókezelőt használjon. Ha megosztja a NAS-t, és megengedi másoknak, hogy felhasználói fiókokat hozzanak létre, ügyeljen arra, hogy erős jelszavakat kényszerítsen ki.
A jelszóbeállításokat a Vezérlőpult Felhasználói profilok Speciális lapján találja. Ellenőrizze a vegyes kis- és nagybetűket, a numerikus karaktereket, a speciális karaktereket és a gyakori jelszóbeállításokat. Erősebb jelszó érdekében növelje meg a jelszó minimális hosszát legalább nyolc karakterre, bár a hosszabb jobb.
A szótári támadások megelőzése érdekében engedélyezze az automatikus blokkolást, vagyis azt a módszert, amellyel a támadó a lehető legtöbb jelszót kitalálja. Ez az opció automatikusan blokkolja az IP-címeket, miután bizonyos számú jelszót kitalálnak, és rövid időn belül meghiúsulnak. Az automatikus blokkolás alapértelmezés szerint be van kapcsolva az újabb Synology egységeken, és a Vezérlőpult > Biztonság > Fiók menüpontban találja meg. Az alapértelmezett beállítások megakadályozzák, hogy egy IP-cím újabb bejelentkezési kísérletet hajtson végre öt percen belüli tíz hiba után.
Végül fontolja meg Synology tűzfalának bekapcsolását. Engedélyezett tűzfal esetén csak a tűzfalban engedélyezettként megadott szolgáltatások lesznek elérhetők az internetről. Ne feledje, hogy bekapcsolt tűzfal mellett kivételeket kell tennie bizonyos alkalmazásokhoz, például a Plexhez, és hozzá kell adnia a porttovábbítási szabályokat, ha VPN-t használ. A tűzfal beállításait a Vezérlőpult > Biztonsági tűzfal menüpontban találja.
Az adatvesztés és a zsarolóprogramok titkosítása mindig lehetséges a NAS egységgel, még akkor is, ha óvintézkedéseket tesz. Végső soron a NAS nem egy biztonsági mentési rendszer, és a legjobb, amit tehet, ha külső biztonsági másolatot készít az adatokról. Így ha a legrosszabb történne (legyen szó zsarolóvírusról vagy több merevlemez meghibásodásáról), minimális veszteséggel állíthatja vissza adatait.