Jak zabezpečit váš Synology NAS před ransomwarem

V poslední době se někteří uživatelé zařízení Synology setkali s nepříjemnou situací, kdy byly všechny soubory na jejich NAS (Network Attached Storage) zašifrovány. Nešťastnou událostí byl útok ransomware, který poškodil jejich NAS a nyní požaduje zaplacení výkupného za dešifrování dat. Následující řádky vám poradí, jak zabezpečit váš NAS a předejít takovým incidentům.

Jak se chránit před ransomwarem

Společnost Synology upozorňuje majitele NAS na sérii útoků ransomware, které v nedávné době postihly řadu uživatelů. Útočníci využívají metodu hrubé síly, pokoušejí se uhodnout výchozí heslo – zkouší všechny možné kombinace, dokud nenaleznou správnou. Jakmile se jim podaří získat přístup k síťovému úložišti, zašifrují veškerá data a požadují výkupné za jejich obnovení.

Existuje několik strategií, jak se proti těmto hrozbám bránit. Jednou z možností je kompletní zakázání vzdáleného přístupu a povolení pouze lokálního připojení. V případě, že potřebujete vzdálený přístup, můžete nastavit VPN (Virtual Private Network) pro omezení přístupu k vašemu NAS. Pokud VPN není ideální volbou (například z důvodu pomalé sítě), můžete zpřísnit zabezpečení vzdáleného přístupu.

Možnost 1: Úplné zakázání vzdáleného přístupu

Nejbezpečnějším řešením je úplné vypnutí funkcí pro vzdálené připojení. Pokud k NAS nemáte přístup vzdáleně, nemůže ho mít ani útočník. Sice přijdete o pohodlí přístupu z cest, pokud však NAS používáte pouze doma – například pro sledování filmů – tak vám vzdálený přístup pravděpodobně chybět nebude.

Moderní zařízení Synology NAS jsou vybavena funkcí QuickConnect. Tato funkce usnadňuje aktivaci vzdáleného přístupu. Díky ní se nemusíte zabývat nastavováním přesměrování portů na routeru.

Pro deaktivaci vzdáleného přístupu přes QuickConnect se přihlaste do webového rozhraní vašeho NAS. Přejděte do ovládacího panelu a v sekci Připojení klikněte na možnost „QuickConnect“. Zrušte zaškrtnutí políčka „Povolit rychlé připojení“ a potvrďte změnu kliknutím na „Použít“.

Pokud jste pro vzdálený přístup nastavili přesměrování portů na routeru, budete ho muset deaktivovat i tam. Pro deaktivaci přesměrování portů musíte znát IP adresu vašeho routeru a použít ji pro přihlášení do jeho rozhraní.

Následně nahlédněte do manuálu vašeho routeru a vyhledejte stránku nastavení přesměrování portů (každý model se liší). Pokud manuál nemáte, zkuste vyhledat na internetu model routeru a slovo „manuál“. V manuálu najdete sekci s nastavením přesměrování portů. Vypněte všechna pravidla pro přesměrování portů, která směřují na váš NAS.

Možnost 2: Využití VPN pro vzdálený přístup

Obecně se nedoporučuje vystavovat vaše zařízení Synology NAS přímému přístupu z internetu. Pokud však potřebujete vzdálený přístup, ideálním řešením je zřízení virtuální privátní sítě (VPN). S aktivní VPN nemáte přímý přístup k NAS, ale připojujete se k routeru. Router následně „předstírá“, že jste ve stejné síti jako NAS (například jste doma).

VPN server pro vaše zařízení Synology NAS můžete nainstalovat z Centra balíčků. Stačí vyhledat „vpn“ a vybrat možnost instalace pro VPN Server. Při prvním spuštění si můžete vybrat mezi protokoly PPTP, L2TP/IPSec a OpenVPN. Z hlediska bezpečnosti se doporučuje použít OpenVPN, protože je nejbezpečnější.

Můžete ponechat výchozí nastavení pro OpenVPN. Nicméně, pokud chcete při připojení přes VPN mít přístup i k ostatním zařízením v lokální síti, musíte zaškrtnout „Povolit klientům přístup k LAN serveru“ a potvrdit nastavení kliknutím na „Použít“.

Následně budete muset na vašem routeru nastavit přesměrování portů na port, který OpenVPN používá (standardně port 1194).

Pokud používáte OpenVPN pro vaši VPN, budete potřebovat kompatibilního VPN klienta. Doporučuje se OpenVPN Connect, který je dostupný pro Windows, macOS, iOS, Android a dokonce i Linux.

Možnost 3: Maximální zabezpečení vzdáleného přístupu

Pokud potřebujete mít vzdálený přístup a VPN není z různých důvodů (například nízká rychlost internetového připojení) vhodným řešením, měli byste alespoň co nejvíce zabezpečit samotný vzdálený přístup.

Pro zabezpečení vzdáleného přístupu se přihlaste do rozhraní NAS, otevřete Ovládací panely a přejděte do sekce Uživatelé. Pokud máte aktivní výchozí účet správce, vytvořte si nový účet správce (pokud ho ještě nemáte) a výchozí účet správce deaktivujte. Výchozí účet správce je totiž prvním cílem útoku ransomware. Účet host je obvykle ve výchozím stavu deaktivován a pokud jej nepotřebujete, měli byste ho tak nechat.

Zajistěte, aby všichni uživatelé, které jste vytvořili pro váš NAS, měli dostatečně silná hesla. Pro správu hesel se doporučuje používat správce hesel. Pokud sdílíte NAS s více uživateli a umožňujete jim vytvářet vlastní uživatelské účty, nezapomeňte vyžadovat silná hesla.

Nastavení pro vyžadování silných hesel najdete v uživatelských profilech, v Ovládacích panelech, na kartě Upřesnit. Měli byste zaškrtnout volby jako kombinace velkých a malých písmen, číselné znaky a speciální znaky, zároveň je vhodné vyloučit obvyklá hesla. Pro ještě větší bezpečnost zvyšte minimální délku hesla na alespoň osm znaků, ačkoli delší heslo je vždy lepší.

Jako prevenci proti slovníkovým útokům (metodě, kdy útočník hádá hesla pomocí slovníku) aktivujte automatické blokování. Tato funkce automaticky blokuje IP adresy, ze kterých dochází k opakovaným neúspěšným pokusům o přihlášení během krátké doby. Automatické blokování je na nových zařízeních Synology standardně aktivní a najdete ho v Ovládacích panelech > Zabezpečení > Účet. Výchozí nastavení zablokuje IP adresu po deseti neúspěšných pokusech o přihlášení během pěti minut.

Nakonec zvažte i aktivaci brány firewall Synology. S aktivním firewallem budou z internetu dostupné jen služby, které jste v nastavení brány firewall povolili. Mějte na paměti, že s aktivním firewallem bude pravděpodobně nutné nastavit výjimky pro některé aplikace (např. Plex) a přidat pravidla pro přesměrování portů, pokud používáte VPN. Nastavení brány firewall naleznete v Ovládacích panelech > Bezpečnost > Firewall.

I přes veškerá preventivní opatření je bohužel možné, že dojde ke ztrátě dat nebo šifrování ransomwarem i na NAS. Proto je důležité mít na paměti, že NAS neslouží jako systém pro zálohování dat. Nejlepším opatřením je zálohování dat mimo vaši lokalitu. Pokud se stane to nejhorší (ať už půjde o ransomware nebo selhání více pevných disků), budete mít svá data v bezpečí a budete je moci obnovit s minimální ztrátou.