• DevOps
  • Защита информации
  • ИТ-поддержка
  • Защита корпоративного NAS от шифровальщика

    В данной статье рассмотрим советы по защите корпоративных данных в системах NAS Synology от неправомерного доступа и программ-шифровальщиков

    Не забывайте вовремя обновлять ПО

    Synology регулярно выпускает обновления DSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.

    Для получения информации о текущей версии ПО и обновлении, перейдите в Панель управления - обновление и восстановление - обновление DSM.

    Следует отметить, если у вас старая версия DSM и вы опасаетесь обновления ввиду нерабочих конфигураций текущей системы, установите Virtual DSM внутри Virtual Machine Manager (Доступно через Менеджер пакетов) - виртуальную версию операционной системы DSM, чтобы протестировать те или иные функции, а также обновления. Например, можно установить на Virtual DSM последнюю версию DSM, после чего протестировать работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.

    Отключите учетную запись администратора по умолчанию

    Не используйте такие логины как: admin, administrator, root.

    Отключение учетной записи администратора по умолчанию

    Рисунок 1 - Отключение учетной записи администратора по умолчанию

    Придумайте сложный пароль

    Сложный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа.

    Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.

    Включите двухфакторную аутентификацию

    В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.

    Synology поддерживает мобильное приложение Secure SignIn, а также протокол FIDO2, который опирается на аппаратные ключи безопасности (USB-ключ, Windows Hello на ПК или Touch ID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут через фишинг, методы социальной инженерии, вирусы и т.д.

    Установите надежный пакет безопасности

    Запускайте Security Advisor — предустановленное приложение, которое будет сканировать NAS в поисках проблем конфигурации DSM. Если таковые будут выявлены, то Security Advisor предложит решения. Например, Security Advisor может определить открытый доступ SSH, подозрительную активность в журналах, а также модификацию системных файлов DSM.

    Security Advisor

    Рисунок 2 - Security Advisor

    Также можете установить дополнительное антивирусное ПО.

    Включите HTTPS

    С активированной поддержкой HTTPS можно защитить сетевой трафик между Synology NAS и подключенными клиентами, уменьшая риск прослушивания незащищенного соединения.

    Следует перейти в Панель управления — Портал для выхода — DSM, после чего выставить галочку Автоматически перенаправлять подключение HTTP на HTTPS для настольного ПК DSM. Порт по умолчанию https составляет 443, а в случае обычного протокола http — 80.

    Если у вас нет купленного сертификата, то в DSM встроена поддержка Let’s Encrypt - данная организация предоставит сертификаты бесплатно, что позволит защитить подключение к веб-интерфейсу NAS.

    Если у вас есть зарегистрированный домен или активная запись DDNS, достаточно перейти в Панель управления — Безопасность — Сертификат. Выберите Добавить — Добавить новый сертификат — Получить сертификат в Let’s Encrypt. Для большинства пользователей имеет смысл включить галочку Установить как сертификат по умолчанию. Затем достаточно указать имя домена для получения сертификата.

    Настройте правила брандмауэра

    Брандмауэр - защита, фильтрующая сетевой трафик от внешних источников по заданным правилам.

    В пункте Панель управления — Безопасность — Брандмауэр можно настроить правила, блокирующие доступ к тем или иным портам. Например, можно разрешить доступ к веб-интерфейсу только с IP-адреса компьютера администратора.

    Настройка брандмауэра

    Рисунок 3 - Настройка брандмауэра

    Отключайте SSH/telnet

    Если вам требуется командная строка SSH/telnet, то не забывайте отключать доступ к ней после завершения работы. Права SSH/telnet по умолчанию выставлены на root, вход разрешен только с административных учетных записей, но хакеры могут использовать атаку грубой силы, чтобы подобрать пароль и войти в систему. Если вам нужен доступ к командной строке на постоянной основе, рекомендуется выставить сильный пароль и изменить порт SSH по умолчанию (22).

    Шифруйте папки общего доступа

    DSM поддерживает шифрование AES-256 для папок общего доступа, чтобы предупредить получение файлов методом физического извлечения дисков. Администраторы могут шифровать как существующие, так и вновь создаваемые папки общего доступа.

    Для шифрования существующих папок общего доступа следует перейти в пункт Панель управления — Папка общего доступа, после чего выбрать Редактировать.

    На вкладке Шифрование следует указать ключ, после чего DSM начнет шифрование папки. Мы рекомендуем сохранить ключ в надежном месте, поскольку восстановить зашифрованные данные без ключа невозможно.

     Шифрование данных

    Рисунок 4 - Шифрование данных

    Включите корзину (версионирование)

    Данная функция будет полезна при защите\восстановлении от порчи ваших файлов программами шифраторами.

    Включаем корзину на папке общего доступа и при необходимости настраиваем ее очистку по расписанию.

    Включение корзины

    Рисунок 5 - Включение корзины

    Есть задачи по защите данных? Поможем обеспечить надежное хранение ваших корпоративных данных, обращайтесь к нам!

    Не нашли ответа на свой вопрос?
    Содержание