Nedávno někteří vlastníci Synology zjistili, že všechny soubory na jejich systému NAS byly zašifrovány. Bohužel nějaký ransomware infikoval NAS a požadoval platbu za obnovení dat. Zde je to, co můžete udělat pro zabezpečení svého NAS.
Table of Contents
Jak se vyhnout útoku ransomwaru
Synology je varování vlastníků NAS několika ransomwarových útoků, které nedávno zasáhly některé uživatele. Útočníci používají metody hrubé síly k uhádnutí výchozího hesla – v podstatě zkoušejí všechna možná hesla, dokud nedostanou shodu. Jakmile hackeři najdou správné heslo a získají přístup k úložnému zařízení připojenému k síti, zašifrují všechny soubory a požadují výkupné.
Máte na výběr z několika možností, jak takovým útokům zabránit. Vzdálený přístup můžete zcela zakázat a povolit pouze místní připojení. Pokud potřebujete vzdálený přístup, můžete nastavit VPN pro omezení přístupu k vašemu NAS. A pokud VPN není dobrou volbou (například kvůli pomalým sítím), můžete zpřísnit možnosti vzdáleného přístupu.
Možnost 1: Zakažte vzdálený přístup
Nejbezpečnější možností, kterou si můžete vybrat, je úplné zakázání funkcí vzdáleného připojení. Pokud nemůžete vzdáleně přistupovat k vašemu NAS, pak ani hacker. Přijdete o určité pohodlí na cestách, ale pokud s NAS pracujete pouze doma – například při sledování filmů – pak vám funkce na dálku nemusí vůbec chybět.
Nejnovější jednotky Synology NAS obsahují funkci QuickConnect. QuickConnect se postará o tvrdou práci při aktivaci vzdálených funkcí. Se zapnutou funkcí nemusíte nastavovat přesměrování portů routeru.
Chcete-li odebrat vzdálený přístup přes QuickConnect, přihlaste se k rozhraní NAS. Otevřete ovládací panel a klikněte na možnost „QuickConnect“ v části Připojení na postranním panelu. Zrušte zaškrtnutí políčka „Povolit rychlé připojení“ a klikněte na tlačítko Použít.
Pokud jste však na routeru povolili přesměrování portů, abyste získali vzdálený přístup, budete muset toto pravidlo přesměrování portů deaktivovat. Chcete-li zakázat přesměrování portů, měli byste vyhledat IP adresu routeru a použít ji k přihlášení.
Poté nahlédněte do manuálu vašeho routeru a vyhledejte stránku přesměrování portů (každý model routeru je jiný). Pokud nemáte příručku k routeru, můžete zkusit vyhledat na webu číslo modelu routeru a slovo „manual“. Příručka vám ukáže, kde hledat opouštějící pravidla přesměrování portů. Vypněte všechna pravidla přesměrování portů pro jednotku NAS.
Možnost 2: Použijte VPN pro vzdálený přístup
Doporučujeme nevystavovat zařízení Synology NAS internetu. Pokud se ale musíte připojit vzdáleně, doporučujeme nastavit virtuální privátní síť (VPN). S nainstalovaným serverem VPN nebudete mít přímý přístup k jednotce NAS. Místo toho se budete připojovat k routeru. Router se k vám zase bude chovat, jako byste byli ve stejné síti jako NAS (například stále doma).
Server VPN na zařízení Synology NAS si můžete stáhnout z Centra balíčků. Stačí vyhledat „vpn“ a vybrat možnost instalace pod serverem VPN. Když poprvé otevřete server VPN, uvidíte výběr protokolů PPTP, L2TP/IPSec a OpenVPN. Doporučujeme OpenVPN, protože je to nejbezpečnější možnost ze všech tří.
Můžete se držet všech výchozích nastavení OpenVPN, ačkoli pokud chcete přistupovat k dalším zařízením v síti při připojení přes VPN, budete muset zaškrtnout „Povolit klientům přístup k LAN serveru“ a poté kliknout na „Použít“.
Poté budete muset na svém routeru nastavit přesměrování portů na port, který OpenVPN používá (ve výchozím nastavení 1194).
Pokud pro svou VPN používáte OpenVPN, budete k němu potřebovat kompatibilního klienta VPN. Navrhujeme OpenVPN Connect, který je k dispozici pro Okna, Operační Systém Mac, iOS, Android, a dokonce Linux.
Možnost 3: Zabezpečte vzdálený přístup co nejvíce
Pokud potřebujete vzdálený přístup a VPN není schůdným řešením (možná kvůli nižší rychlosti internetu), měli byste vzdálený přístup co nejvíce zabezpečit.
Chcete-li zabezpečit vzdálený přístup, měli byste se přihlásit k NAS, otevřít Ovládací panely a vybrat Uživatelé. Pokud je zapnutý výchozí správce, vytvořte nový uživatelský účet správce (pokud jej ještě nemáte) a vypněte výchozího správce. Výchozí účet správce je prvním účtem, který ransomware obvykle útočí. Uživatel Guest je ve výchozím nastavení obvykle vypnutý a pokud to nepotřebujete, měli byste to tak nechat.
Měli byste zajistit, aby všichni uživatelé, které jste vytvořili pro NAS, měli komplikovaná hesla. K tomu doporučujeme použít správce hesel. Pokud sdílíte NAS a umožňujete jiným lidem vytvářet uživatelské účty, pak nezapomeňte vynutit silná hesla.
Nastavení hesla najdete na kartě Upřesnit v uživatelských profilech v Ovládacích panelech. Měli byste zkontrolovat zahrnout smíšená velká a malá písmena, zahrnout číselné znaky, zahrnout speciální znaky a vyloučit běžné možnosti hesla. Pro silnější heslo zvyšte minimální délku hesla na alespoň osm znaků, i když delší je lepší.
Chcete-li zabránit slovníkovým útokům, metodě, kdy útočník uhodne co možná nejvíce hesel, povolte automatické blokování. Tato možnost automaticky blokuje IP adresy poté, co uhodnou určitý počet hesel a během krátké doby selžou. Automatické blokování je na novějších jednotkách Synology ve výchozím nastavení zapnuté a najdete ho v Ovládacích panelech > Zabezpečení > Účet. Výchozí nastavení zablokuje IP adresu v provedení dalšího pokusu o přihlášení po deseti neúspěšných pokusech během pěti minut.
Nakonec zvažte zapnutí brány firewall Synology. S povoleným firewallem budou z internetu dostupné pouze služby, které ve firewallu určíte jako povolené. Jen mějte na paměti, že se zapnutou bránou firewall budete muset udělat výjimky pro některé aplikace, jako je Plex, a přidat pravidla přesměrování portů, pokud používáte VPN. Nastavení brány firewall najdete v Ovládacích panelech > Bezpečnostní brána firewall.
Ztráta dat a šifrování ransomware je u jednotky NAS vždy možné, i když přijmete preventivní opatření. Nakonec NAS není zálohovací systém a to nejlepší, co můžete udělat, je zálohovat data mimo pracoviště. Tímto způsobem, pokud dojde k nejhoršímu (ať už jde o ransomware nebo selhání více pevných disků), můžete svá data obnovit s minimální ztrátou.