Twój serwer NAS jest prawdopodobnie jednym z najważniejszych urządzeń w sieci domowej, ale czy dajesz mu uwagę, na którą zasługuje, jeśli chodzi o bezpieczeństwo?
Ostatnią rzeczą, której pragniesz, jest zaatakowanie NAS i / lub zaatakowanie przez złośliwe oprogramowanie, takie jak ransomware SynoLocker, które kilka lat temu wczołgało się na skrzynki NAS firmy Synology. Dobrą wiadomością jest to, że istnieją sposoby na zabezpieczenie się przed przyszłymi atakami i zapobieganie włamaniom do skrzynki NAS.
Uwaga: Większość poniższych kroków i zdjęć bazuje na moim serwerze Synology NAS, ale możesz to zrobić na większości innych pudeł NAS.
Być może najłatwiejszą rzeczą, jaką możesz zrobić, aby zabezpieczyć swój NAS, jest aktualizacja oprogramowania. Serwery NAS firmy Synology uruchamiają DiskStation Manager, a co kilka tygodni pojawia się nowa aktualizacja.
Powodem, dla którego chcesz być na bieżąco z aktualizacjami, jest nie tylko nowe, ciekawe funkcje, ale także poprawki błędów i poprawki bezpieczeństwa, które zapewniają bezpieczeństwo Twojego serwera NAS.
Przykładem niech będzie ransomware SynoLocker. Nowsze wersje DiskStation Manager są bezpieczne od tego, ale jeśli nie aktualizowałeś się przez kilka lat, możesz być podatny na ataki. Co więcej, nowe exploity są zawsze publikowane - kolejny powód, by nadążyć za aktualizacjami.
Twój serwer NAS ma domyślne konto administratora, a nazwa użytkownika to najprawdopodobniej "administrator" (prawdziwa kreacja, huh?). Problem polega na tym, że zazwyczaj nie można zmienić nazwy użytkownika tego domyślnego konta. Zalecamy wyłączenie domyślnego konta administratora i utworzenie nowego konta administratora z niestandardową nazwą użytkownika.
Powodem tego jest dać hakerom jeszcze jedną warstwę, którą muszą przełamać. Z domyślnym kontem mogą używać "admin" jako nazwy użytkownika i po prostu skupić się na łamaniu hasła. Jest podobny do tego, jak ludzie nigdy nie zmieniają danych logowania swojego routera - domyślnie nazwa użytkownika to zazwyczaj "admin", a hasło to "hasło", co bardzo ułatwia włamanie.
Tworząc konto administratora o nazwie użytkownika "BeefWellington", a następnie używając silnego hasła, znacznie zmniejszasz szanse na to, że twoje poświadczenia konta zostaną złamane przez leniwy skrypt kiddy.
Jeśli nie korzystasz z uwierzytelniania dwuskładnikowego już dla różnych kont internetowych, powinieneś być. Twój NAS również ma taką możliwość, więc skorzystaj z tego.
Uwierzytelnianie dwuetapowe jest wspaniałe, ponieważ nie tylko potrzebujesz nazwy użytkownika i hasła do logowania, ale potrzebujesz też innego urządzenia, które posiadasz (np. Smartfona), aby potwierdzić logowanie. To sprawia, że haker nie może wejść na twoje konto (chociaż nigdy nie mów nigdy).
Kiedy zdalnie uzyskujesz dostęp do serwera NAS, prawdopodobnie robisz to za pośrednictwem protokołu HTTP, jeśli nie wprowadziłeś żadnych ustawień. To nie jest bezpieczne i może pozostawić połączenie szeroko otwarte do podjęcia. Aby to naprawić, możesz wymusić na NAS używanie połączenia HTTPS przez cały czas.
Najpierw jednak musisz zainstalować certyfikat SSL na swoim urządzeniu NAS, co może być dość trudne. Na początek potrzebujesz nazwy domeny, aby połączyć certyfikat SSL z, a następnie połączyć swój adres IP z NAS z nazwą domeny.
Będziesz musiał zapłacić za certyfikat SSL, ale zwykle nie więcej niż 10 USD rocznie od renomowanego rejestratora domen. Ponadto Synology ma nawet darmowe certyfikaty Let's Encrypt SSL, jeśli chcesz jechać tą trasą.
Zapora ogniowa jest ogólnie dobrą obroną, ponieważ może automatycznie blokować każde połączenie, którego NAS nie rozpoznaje. Zwykle można dostosować reguły, których używa do utrzymywania pewnych połączeń otwartych, jednocześnie wyłączając wszystkie inne połączenia.
Domyślnie większość zapór ogniowych na dowolnym urządzeniu nie jest nawet włączona, co umożliwia każdemu i każdemu dostęp bez inspekcji, a to zwykle jest zły pomysł. Sprawdź ustawienia zapory na serwerze NAS i dostosuj dowolne reguły do swoich potrzeb.
Na przykład, możesz mieć regułę, która blokuje wszystkie adresy IP z niektórych krajów lub regułę zezwalającą tylko niektórym portom na adresy IP w USA - świat jest twoją ostrygą.
Wszystkie powyższe kroki są świetnymi rzeczami do zrobienia w celu zapewnienia bezpieczeństwa NAS, ale nie są w 100% bezpieczne. Najlepsze, co możesz zrobić, to po prostu całkowicie odłączyć NAS od świata zewnętrznego.
Oczywiście nie jest to łatwe, szczególnie jeśli w NAS masz uruchomione pewne programy, które mogą być zdalnie dostępne (np. Używanie NAS jako własnej usługi przechowywania w chmurze).
Należy jednak zwrócić uwagę na fakt, że przynajmniej zdajesz sobie sprawę z ryzyka związanego z narażeniem NAS na świat zewnętrzny i że powyższe kroki nie utrzymają w 100% twojego serwera NAS w sposób bezpieczny. Jeśli szukasz Najlepszym sposobem na zabezpieczenie swojego NAS, jest utrzymywanie go tylko dla twojej sieci lokalnej.
