Niedawno niektórzy właściciele Synology odkryli, że wszystkie pliki w ich systemie NAS były zaszyfrowane. Niestety, niektóre oprogramowanie ransomware zainfekowało NAS i zażądało zapłaty za przywrócenie danych. Oto, co możesz zrobić, aby zabezpieczyć swój serwer NAS.
Jak uniknąć ataku ransomware
Synology ostrzega właścicieli serwerów NAS przed wieloma atakami ransomware, które ostatnio uderzyły w niektórych użytkowników. Atakujący używają metod brute-force, próbując odgadnąć domyślne hasło – zasadniczo próbują każdego możliwego hasła, aż znajdą odpowiednie. Po uzyskaniu dostępu do urządzenia pamięci masowej podłączonej do sieci, hakerzy szyfrują wszystkie pliki i żądają okupu.
Masz kilka opcji zapobiegania takim atakom. Możesz całkowicie wyłączyć dostęp zdalny, zezwalając tylko na połączenia lokalne. Jeśli potrzebujesz zdalnego dostępu, rozważ skonfigurowanie VPN, aby ograniczyć dostęp do swojego NAS. A jeśli VPN nie jest dobrym rozwiązaniem (na przykład z powodu wolnych sieci), możesz wzmocnić opcje zdalnego dostępu.
Opcja 1: Wyłącz dostęp zdalny
Najbezpieczniejszą opcją jest całkowite wyłączenie funkcji połączeń zdalnych. Jeśli nie możesz uzyskać zdalnego dostępu do serwera NAS, haker też nie ma do niego dostępu. Stracisz wygodę w podróży, ale jeśli pracujesz z NAS tylko w domu – na przykład w celu oglądania filmów – możesz w ogóle nie przegapić funkcji zdalnych.
Najnowsze serwery Synology NAS zawierają funkcję QuickConnect, która upraszcza włączanie funkcji zdalnych. Po jej włączeniu nie musisz konfigurować przekierowania portów routera.
Aby usunąć zdalny dostęp przez QuickConnect, zaloguj się do interfejsu NAS. Otwórz panel sterowania i kliknij opcję „QuickConnect” w obszarze Łączność na pasku bocznym. Odznacz „Włącz szybkie połączenie”, a następnie kliknij „Zastosuj”.
Jeśli jednak włączyłeś przekierowanie portów na routerze, aby uzyskać dostęp zdalny, musisz wyłączyć tę regułę przekierowania portów. Sprawdź adres IP routera i użyj go do zalogowania. Następnie zapoznaj się z instrukcją obsługi routera, aby znaleźć stronę przekierowania portów (każdy model routera jest inny). Jeśli nie masz instrukcji obsługi, poszukaj w Internecie numeru modelu routera i słowa „instrukcja”. Podręcznik pokaże Ci, gdzie szukać reguł przekierowania portów. Wyłącz wszelkie reguły przekierowania portów dla jednostki NAS.
Opcja 2: Użyj VPN do zdalnego dostępu
Zaleca się, aby nie udostępniać serwera Synology NAS w Internecie. Jeśli jednak musisz połączyć się zdalnie, skonfiguruj wirtualną sieć prywatną (VPN). Po zainstalowaniu serwera VPN nie będziesz mieć bezpośredniego dostępu do jednostki NAS, lecz będziesz łączyć się z routerem. Router z kolei będzie traktował Cię tak, jakbyś był w tej samej sieci co serwer NAS.
Serwer VPN można pobrać na serwer Synology NAS z Centrum pakietów. Wystarczy wyszukać „vpn” i wybrać opcję instalacji w obszarze VPN Server. Kiedy po raz pierwszy otworzysz serwer VPN, zobaczysz wybór protokołów PPTP, L2TP/IPSec i OpenVPN. Zalecamy OpenVPN, ponieważ jest to najbezpieczniejsza opcja.
Możesz trzymać się wszystkich domyślnych ustawień OpenVPN, chociaż jeśli chcesz uzyskać dostęp do innych urządzeń w sieci po połączeniu przez VPN, zaznacz „Zezwalaj klientom na dostęp do sieci LAN serwera”, a następnie kliknij „Zastosuj”.
Będziesz musiał także skonfigurować przekierowanie portów na routerze do portu używanego przez OpenVPN (domyślnie 1194).
Jeśli używasz OpenVPN do swojej sieci VPN, potrzebujesz kompatybilnego klienta VPN, aby uzyskać do niego dostęp. Sugerujemy OpenVPN Connect, który jest dostępny dla Windows, Mac, iOS, Android oraz Linux.
Opcja 3: Bezpieczny dostęp zdalny tak bardzo, jak to możliwe
Jeśli potrzebujesz zdalnego dostępu, a VPN nie jest opłacalnym rozwiązaniem (na przykład ze względu na wolniejsze prędkości Internetu), powinieneś zabezpieczyć dostęp zdalny tak bardzo, jak to możliwe.
Aby zabezpieczyć dostęp zdalny, zaloguj się do NAS, otwórz Panel sterowania, a następnie wybierz Użytkownicy. Jeśli domyślny administrator jest włączony, utwórz nowe konto administratora (jeśli jeszcze go nie masz) i wyłącz domyślnego administratora. Domyślne konto administratora jest pierwszym kontem, które zwykle atakuje oprogramowanie ransomware. Użytkownik Gość jest zwykle domyślnie wyłączony, więc pozostaw go w ten sposób, chyba że masz konkretną potrzebę.
Upewnij się, że wszyscy użytkownicy utworzeni dla NAS mają skomplikowane hasła. W tym celu zalecamy skorzystanie z menedżera haseł. Jeśli udostępniasz serwer NAS innym osobom, pamiętaj, aby wymusić silne hasła.
Ustawienia hasła znajdziesz w zakładce Zaawansowane profili użytkowników w Panelu sterowania. Sprawdź, czy hasła zawierają mieszane wielkości liter, znaki numeryczne, znaki specjalne i wykluczają typowe opcje. Aby uzyskać silniejsze hasło, zwiększ minimalną długość hasła do co najmniej ośmiu znaków, chociaż dłuższe hasło jest lepsze.
Aby zapobiec atakom słownikowym, włącz funkcję automatycznego blokowania, która automatycznie blokuje adresy IP po określonej liczbie nieudanych prób logowania. Automatyczne blokowanie jest domyślnie włączone w nowszych jednostkach Synology i znajdziesz je w Panelu sterowania > Bezpieczeństwo > Konto. Domyślne ustawienia blokują możliwość ponownego logowania się adresu IP po dziesięciu nieudanych próbach w ciągu pięciu minut.
Na koniec rozważ włączenie zapory sieciowej Synology. Po jej włączeniu tylko usługi określone jako dozwolone będą dostępne z Internetu. Pamiętaj, że przy włączonej zaporze musisz zrobić wyjątki dla niektórych aplikacji, takich jak Plex, i dodać reguły przekierowania portów, jeśli korzystasz z VPN. Ustawienia zapory znajdziesz w Panelu sterowania > Zapora zabezpieczająca.
Utrata danych i szyfrowanie ransomware są zawsze możliwe, nawet przy zachowaniu środków ostrożności. Ostatecznie serwer NAS nie jest systemem kopii zapasowych, a najlepszym rozwiązaniem jest tworzenie kopii zapasowych danych poza siedzibą firmy. W ten sposób, jeśli wydarzy się najgorsze (niezależnie od tego, czy jest to oprogramowanie ransomware, czy awaria dysków twardych), możesz przywrócić dane przy minimalnej utracie.