Как защититьNASот хакерских атак и программ-шифровальщиков?

У всех на слуху скандал, связанный с хакерской группойQlocker, которая написала программу-шифровальщик, проникающий на сетевые хранилища. С 20 апреля число жертв вымогателей идет на сотни в день. Хакеры используют уязвимость CVE-2020-36195, программа заражаетNASи шифрует информацию. Расшифровать данные можно только после выкупа. К счастью,NASSynologyэтой уязвимости не имеют. Но мы все равно посчитали нужным рассказать о том, как следует защитить сетевое хранилище, чтобы избежать потенциальных рисков.

Внимание: для большинства приведенных в статье советов требуются права администратораNAS.

Совет 1: отключите учетную запись администратора по умолчанию

Распространенные имена учетных записей администратора облегчают злоумышленникам атаки методом грубой силы наSynologyNASчерез подбор пароля. Избегайте таких имен, какadmin,administrator,root(*) при настройкеNAS. Мы рекомендуемсгенерировать сильный и уникальный парольдля администратораSynologyNAS, а такжеотключить учетную запись администратора по умолчанию. Если при настройкеNASвы задали административную учетную запись с новым именем, то учетная записьadminбудет автоматически отключена.

Если вы зашли как пользовательadmin, то перейдите вПанель управления, выберите пунктПользователь и группа, после чего создайте новую административную учетную запись. Затем войдите под новой записью и отключитеadmin.

*rootв качестве имени пользователя запрещен

Совет 2: используйте сильный пароль

Сильный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа. Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.

Помните, что хакеры подбирают пароли по словарям. Поэтому использовать в качестве пароля какое-либо слово нельзя. Если хакеры получат доступ к административной учетной записи, то они смогут добраться и до учетных записей других пользователей. Что нередко случается в случае взлома тех же веб-сайтов. Мы рекомендуем проверять на утечки ваш адресemailна сайтахHaveIBeenPwnedиFirefoxMonitor, например.

Если вы боитесь забыть сложный пароль, то следует использовать менеджер хранения паролей (такой как 1Password,LastPassилиBitwarden). С их помощью придется запоминать только один пароль для менеджера, после чего будет открыт доступ ко всем хранящимся паролям.

Для пользователейSynologyNASможновключить политику паролей, которая будет действовать для всех учетных записей. Перейдите вПанель управленияПользователь и группа Дополнительно. Поставьте в пунктеПрименитьправила надежности паролянужные галочки.

Политику пароля можно применить и к существующим пользователям. Им придется изменить пароль при следующем входе в систему.

Совет 3: всегда обновляйте систему и включите оповещения

Synologyрегулярно выпускаетобновленияDSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.

Если будет обнаружена уязвимость, специальная командаProductSecurityIncidentResponseTeam(PSIRT)в штатеSynologyпроведет ее исследование в течение восьми часов, а в течение следующих 15 часов будет предложенпатч, что позволяет справиться даже с так называемыми атаками нулевого дня.

Для большинства пользователей рекомендуется настроитьавтоматическое обновление, чтобы все имеющиесяпатчиDSMустанавливались без участия администратора. Но для самых крупных обновлений вмешательство администратора все же потребуется.

Многие сетевые хранилищаSynologyимеют возможность запускаVirtualDSMвнутриVirtualMachineManager, то есть виртуальную версию операционной системыDSM. ИспользоватьVirtualDSMимеет смысл, чтобы протестировать те или иные функции, а также обновления. Например, можно установить наVirtualDSM последнюю версиюDSM, после чего проверить работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.

Не менее важно получать своевременныеоповещения о событиях. Можно настроитьNASSynologyтаким образом, чтобы получать оповещения наemail,SMS, на смартфон или в браузере. При использовании сервисаSynologyDDNSможно получать оповещения, если будет потеряно подключение к сети. Благодаря оповещениям администратор может своевременно отреагировать на заканчивающееся пространство тома, сбой задачи резервирования и т.д. Все это позволяет наладить надежно работающую и защищенную систему.

Мы рекомендуем добавить в учетной записиSynologyподписку наИнструкции по безопасности, что позволить получать техническую информацию об уязвимостях продуктов и инцидентах, связанных с безопасностью.

Совет 4: включите двухфакторную аутентификацию

Если вы хотите добавить еще один уровень защиты учетной записи, мы рекомендуемактивировать двухфакторную аутентификацию. В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.

Synologyподдерживает мобильное приложениеSecureSignIn, а также протоколFIDO2, который опирается на аппаратные ключи безопасности (USB-ключ,WindowsHelloна ПК илиTouchID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут черезфишинг, методы социальной инженерии, вирусы и т.д.

	SecureSignIn	FIDO2
Тип	Программный ключ	Аппаратный ключ
Сценарий	Только интернет	Интернет и локальная сеть
Не поддерживается	LAN IP	HTTP IP QuickConnect

В итоге количество способов аутентификации увеличивается:

1-й способ

Однофакторный

2-й способ

Без пароля

3-й способ

Многофакторный

Только пароль

SecureSignInилиFIDO2

Пароль

OTPилиSecureSignInилиFIDO2

В DSM можно авторизоваться на смартфоне черезSecureSignInбез пароля.

Совет 5: регулярно запускайтеSecurityAdvisor

SecurityAdvisor предустановленное приложение, которое будет сканироватьNASв поисках проблем конфигурацииDSM. Если таковые будут выявлены, тоSecurityAdvisorпредложит решения. Например,SecurityAdvisorможет определить открытый доступSSH, подозрительную активность в журналах, а также модификацию системных файловDSM.

Совет 6: установите дополнительные опции защитыDSM

В пунктеПанель управленияБезопасностьможно установить некоторые дополнительные параметры, чтобы защитить учетные записи пользователей.

Автоматическая блокировка

На вкладкеЗащитаможно активироватьавтоматическую блокировкуIP-адресаклиента в случае многократного неправильного ввода пароля в течение определенного промежутка времени. Также можно добавить список разрешенных/запрещенныхIP-адресов, чтобы предотвратить атаки методом грубой силы или отказа в обслуживании (DoS).

Число попыток следует выбирать, исходя из вашего окружения и типа пользователей. В большинстве случаев подключение к интернету сети дома или офиса осуществляется через один внешнийIP-адрес, который может быть динамическим и меняться при повторном подключении.

Защита учетной записи

Если сIP-адреса будет зарегистрировано предельно допустимое число неуспешных попыток входа, то он будет заблокирован.Защита учетной записиобеспечивает блокировку уже на уровне учетной записи.

На вкладкеУчетная записьможно включитьЗащиту учетной записи, причем разделить настройки для доверенных инедоверенныхклиентов. Учетная запись будет блокироваться после определенного числа неудачных попыток входа. Что усиливает защитуDSMи уменьшает риск взлома учетной записи методом грубой силы с распределенных источников.

ВключитеHTTPS

С активированной поддержкойHTTPSможно защитить сетевой трафик междуSynologyNASи подключенными клиентами, уменьшая риск прослушивания и атак методом человек посередине.

Следует перейти вПанель управления Портал для выхода DSM, после чего выставить галочкуАвтоматическиперенаправлять подключениеHTTPнаHTTPSдля настольного ПКDSM. Порт по умолчаниюhttpsсоставляет 443, а в случае обычного протоколаhttp 80. Поэтому если имеются настройки брандмауэра, то их следует обновить.

Для опытных администраторов: настройте правила брандмауэра

Брандмауэр является виртуальным барьером, фильтрующим сетевой трафик от внешних источников по заданным правилам. В пунктеПанель управления Безопасность Брандмауэрможно настроить правила, блокирующие доступ к тем или иным портам. Например, можно разрешить доступ к веб-интерфейсу только сIP-адреса компьютера администратора.

Совет 7:HTTPSчасть 2 получите сертификатLetsEncrypt

Цифровые сертификатывесьма важны для правильной активацииHTTPS, но получать их обычно сложно и дорого, особенно для домашних пользователей. ВDSMвстроена поддержкаLetsEncrypt, данная организация предоставит сертификаты бесплатно, что позволит защитить подключение к веб-интерфейсуNAS.

Если у вас есть зарегистрированный домен или активная записьDDNS, достаточно перейти вПанель управления Безопасность Сертификат. ВыберитеДобавить Добавить новый сертификат Получить сертификат вLetsEncrypt. Для большинства пользователей имеет смысл включить галочкуУстановитькак сертификат по умолчанию. Затем достаточно указать имя домена для получения сертификата.

После получения сертификата убедитесь, что ваш трафик идет черезHTTPS(см. совет выше).

Примечание: если вы планируете предоставлять сервисы через несколько доменов илисубдоменов, то следует настроить, какой сертификат будет использоваться с каждым сервисом. Достаточно перейти в пунктНастройки.

Совет 8: измените порты по умолчанию

Изменение портовDSMпо умолчаниюHTTP(5000) иHTTPS(5001) не является панацеей, но все же способно отразить многие автоматические атаки, которые направлены на определенные сервисы. Для изменения портов достаточно перейти вПанель управления Портал для входа Веб-службы, где поменять номера. Также имеет смысл изменить портSSHпо умолчанию (22), если вы пользуетесь данным сервисом.

Можно настроитьобратный прокси-сервер, чтобы ограничить векторы атаки лишь определенными веб-сервисами. Обратный прокси-сервер работает как посредник между внутренним сервером и удаленными клиентами, скрывая информацию о сервере, такую как реальныйIP-адрес.

Совет 9: отключайтеSSH/telnet, когда они не нужны

Если вам требуется командная строкаSSH/telnet, то не забывайте отключать доступ к ней после завершения работы. Права SSH/telnetпо умолчанию выставлены наroot, вход разрешен только с административных учетных записей, но хакеры могут использовать атаку грубой силы, чтобы подобрать пароль и войти в систему. Если вам нужен доступ к командной строке на постоянной основе, рекомендуется выставить сильный пароль и изменить портSSHпо умолчанию (22). Кроме того, можно ограничить доступ кSSHтолько определенными (локальными)IPили добавитьVPN.

Совет 10: шифруйте папки общего доступа

DSMподдерживаетшифрованиеAES-256 для папок общего доступа, чтобы предупредить получение файлов методом физического извлечения дисков. Администраторы могут шифровать как существующие, так и вновь создаваемые папки общего доступа.

Для шифрования существующих папок общего доступа следует перейти в пунктПанель управления Папка общего доступа, после чего выбратьРедактировать. На вкладкеШифрованиеследует указать ключ, после чегоDSMначнет шифрование папки. Мы рекомендуем сохранить ключ в надежном месте, поскольку восстановить зашифрованные данные без ключа невозможно.

Бонусный совет: целостность данных

Для сохранения данных они должны оставаться вцелостном состоянии. Защита данных как раз и гарантирует, что та же программа-шифровальщик не сможет вмешаться и нарушить целостность данных.

Есть две меры, которые можно принять для защиты целостности данных: включить контрольную сумму и регулярно проводить тестыS.M.A.R.T. В первом случае система будет проверять контрольную сумму при каждом доступе к файлу. И если она не будет совпадать, то данные будут восстановлены из информации избыточности (RAID5/6). Выставить опциюВключитьконтрольную сумму данных для дополнительной целостности данныхможно только при создании папки общего доступа. При этом несколько снижается производительность, поэтому включать дополнительную защиту следует только для критически важных данных.

По умолчаниюNASSynologyавтоматически проводиттесты S.M.A.R.T.раз в месяц. Если какие-то проблемы будут выявлены, администратор получит оповещение. В случае появления критических проблем S.M.A.R.T. диск следует немедленно заменить.

Расслабляться не стоит!

Злоумышленники постоянно изобретают новые средства заработка, что хорошо видно по нынешней уязвимости CVE-2020-36195, которая привела к печальным последствиям для многих пользователейNAS. К счастью, продуктыSynologyданной уязвимости не имеют. Но расслабляться не стоит! Защита это не разовые меры, а постоянный комплекс мероприятий, направленный на предупреждение потенциальных угроз. Будем надеяться, вам пригодятся советы, приведенные в статье.

В марте мы уже публиковалипост о фирменных жестких дисках иSSD Synology, в котором мы рассмотрели преимущества подобного шага для клиентов компании. Сейчас настало время протестировать один из жестких дисков серииSynologyHAT5300, которая специально разработана для использования вSynologyNASи серверах. Мы проведем тесты вSynologyRackStationRS820RP+, а также по традиционной методике совместно с лабораторией

Несколько месяцев назадSynologyна онлайн-конференции 2021ANDBEYONDпредставила новую версию своей операционной системыDiskStationManager7.0.DSM это унифицированная операционная системаSynology, в версии 7.0 появилось много инноваций, касающихсяхранения данных,резервированияигибридного облака. Но обо всем по порядку.

Сегодня обрабатываются беспрецедентные объемы информации, бу

КомпанияSynologyуже давно выпускает различные системы хранения данных, но жестких дисков иSSDв ассортименте до сих пор не было. Что побудилоSynologyпредставить на рынок собственные накопители? И чем они лучше конкурентов? Давайте разберемся. И начнем мы с жестких дисков.

В поисках надежности

При выборе системы хранения данных многие даже не задумываются, насколько важную роль играют жесткие диски. Между тем требован

Большую часть своей жизни я жил и работал в Москве. Занимался тем, что менял здоровье на деньги. Правда, на очень хорошие, поэтому под занавес пятого десятка купил квартиру в тихом приморском городке, далеко от столичной суеты и ежедневной нервотрёпки.

Особой необходимости в работе у меня не было. Дети уже стали самостоятельными настолько, что запросто могут содержать нас с женой. Да и скопить удалось прилично. Однако, были

Слово Анонимус уже давно стало нарицательным его часто употребляют в отношении пользователей интернета, не желающих лишний раз светить своими персональными данными. В то же время термин Anonymous имеет вполне конкретное значение так называется международное движение хактивистов, прославившееся целым рядом громк

Компания Bolid лидер в разработке интегрированных систем безопасности - то, что вы услышите, если позвоните им по телефону. Это своего рода российский Apple в сфере

Exchange довольно мощный и популярный почтовый сервер в мире энтерпрайза. Против угроз малварей и фишинга он имеет как встроенные механизмы защиты, так и возможность использования сторонних продуктов. Но в реальности этих возможностей не всегда достаточно для отлова всех вредоносных писем: малвари проходят к пользователям до того, как их сигнатуры попадут в антивирусные базы, а URL-адреса в репутационные списки. Поэтому мы разработ

Наверное, все разработчики слышали, что нужно писать чистый код. Но не менее важно писать и использовать безопасный код.

Python-разработчики обычно устанавливают модули и сторонние пакеты, чтобы не изобретать велосипеды, а использовать готовые и проверенные решения. Но проблема в том, что они не в

Цель статьи - собрать интересные инструменты, техники и команды, которые можно использовать для выполнения задач при проведении тестирования на проникновение. Краткий список того, что будет в этой статье:

Что такого с DNSAdmins?

Когда мы купили квартиру и делали в ней ремонт, телефоны были еще кнопочными, а Wi-Fi роутеры если и существовали, то в качестве диковинки. Предполагалось, что интернет будет подключен через витую пару к компу, а сам комп будет стоять на балконе, потому что балкон будет теплым и в нем будет кабинет. Квартира была без отделки, и поэтому мы решили сделать умный ход чтобы не тащить провода под плинтусами от коридора до балкона (как об

Дата-центры становятся всё более важными объектами, ведь от их нормальной работы зависит как нормальный ход работы многих крупных и мелких компаний, так и сохранность данных обычных пользователей. Всего минута простоя крупного дата-центра может стать причиной миллионных убытков для клиентов оператора ЦОДа

Привет, Хабр! Этим постом я хотел бы начать серию публикаций по промышленным решениям, которые мы сейчас активно тестируем в нашей КРОК-лаборатории. Для начала попробую разобрать основные вопросы проводных промышленных сетей и показать, чем их построение отличается от классических офисных. В качестве подопытного кролика возьму наиболее востребованное на рынке оборудование и софт от Cisco и разберу их особенности.

Компания Seeed Studio хорошо известна своими разработками, среди которых выделяются одноплатники. На днях ее команда представила необычный проект компактный edge-сервер и сетевое хранилище данных (NAS).

Базируется разработка на процессор

Основная идея асинхронного поллинга

Асинхронность позволяет сильно увеличить парралельность работы. В случае сетевого взаимодействия и съема SNMP времена ожидания ответов большие, что позволяет программе заняться чем-то полезным пока не пришел ответ.

Есть синхронные способы реализации парралельности форки, треды. Это просто с точки зрения написания программы, но это очень дорого с точки зрения ресурсов ОС

Не

Наверное, меня можно считать поклонником SpaceX. Когда могу, я наблюдаю за пусками, кроме того, отслеживаю прогресс развития проекта Starship. Благодаря SpaceX пуски ракет-носителей удешевляется. Значит, вывод грузов любого типа в космос тоже деш

Начну с того, что очень часто, рядом со мной аккумулируется разного рода железо (~~в простонародье хлам~~), а так как я по своей природе Плюшкин, в том плане, что я очень редко выкидываю технику, а если и случается предварительно вытаскиваю оттуда всё, что может хоть ка

Сегодня обрабатываются беспрецедентные объемы информации, бу

16 ноября 2012 года на сайте Республиканского исследовательского комитета (Republican Study Committee, или RSC), объединяющего более 170 членов палаты представителей США от республиканской партии, появил

В поисках надежности

Сегодня обрабатываются беспрецедентные объемы информации, бу

В поисках надежности

Как справиться с растущими объемами данных?

В нынешние времена практически любой смартфон может снимать фотографии в высоком разрешении и записывать видео 4K, поэтому пространство на персональном компьютере, ноутбуке или мобильных гаджетах заканчивается еще быстрее, чем раньше. Конечно, можно купить внешний жесткий диск для хранения и резервирования данных с ПК или телефона. Но в таком случае накопитель должен быть всегда

Некоторое время назад передо мной встала задача, в целях защиты коммерческой тайны своих клиентов, отказаться от использования сторонних облачных сервисов.
Первое и самое логичное предоставить им доступ на уже имеющийся в наличии Synology.

И тут возникло желание сделать

	Русский
	English

Как защититьNASот хакерских атак и программ-шифровальщиков?

Совет 1: отключите учетную запись администратора по умолчанию

Совет 2: используйте сильный пароль

Совет 3: всегда обновляйте систему и включите оповещения

Совет 4: включите двухфакторную аутентификацию

Совет 5: регулярно запускайтеSecurityAdvisor

Совет 6: установите дополнительные опции защитыDSM

Автоматическая блокировка

Защита учетной записи

ВключитеHTTPS

Для опытных администраторов: настройте правила брандмауэра

Совет 7:HTTPSчасть 2 получите сертификатLetsEncrypt

Совет 8: измените порты по умолчанию

Совет 9: отключайтеSSH/telnet, когда они не нужны

Совет 10: шифруйте папки общего доступа

Бонусный совет: целостность данных

Расслабляться не стоит!

Сейчас читают

Блог компании synology

ТестSynologyHAT5300 на 8 TB жесткий диск корпоративного класса для системSynology

Synology DiskStation Manager 7.0 чтонового?