2021年8月13日 星期五

10 個提升 NAS 安全性的小撇步

 網路威脅前仆後繼地出現,尤其隨著家庭與辦公室中聯網的裝置越來越多,也讓網路犯罪分子更加容易透過安全弱點入侵使用者的網路。事實上,部署一套全方位的資料保護方案並非一蹴可幾,有賴使用者持續調整並精進裝置的配置方式。因此,我們整理了 10 個常見的安全性清單,幫助使用者更好的保護您的 Synology NAS,確保裝置與資料皆安全無虞。

*敬請注意:下述多數設置需由具有管理權限的使用者帳號登入修改。

 

一:停用預設的 admin 帳號

過於常見的管理員帳號會增加 Synology NAS 被不肖駭客組織暴力破解帳號密碼的風險。因此,使用者帳號應該避免設定像是「admin」、「administrator」、「root」等名稱。

我們建議使用者停用系統預設的 admin 帳號,並且設定一組強密碼來保護帳號。如果使用者目前使用「admin」名稱登入。可至控制台(Control Panel ) > 使用者(User)中止使用,並建立新的使用者帳號。了解更多

*root 無法作為使用者帳號名稱
*如果設定新的使用者帳號名稱,預設的 admin 即會被停用

二:提升密碼強度

設定強密碼可以確保你的系統免於未經授權的登入行為。設定密碼時,建議考慮同時包含大小寫字母、數字以及特殊符號的複雜組合。

為你的多組帳號設定相同的密碼,同樣也是一個風險極高的行為,因為駭客如果掌握了其中一個帳號密碼,他們也可以輕易的控制其他帳號,這尤其常見於使用者在註冊一個新的網站或是服務時。我們建議使用者可以透過 Have I Been Pwned 或 Firefox Monitor 這兩個網站來檢測自己的資訊是否曾經外洩。

如果使用者很難記住複雜的密碼,或者不記得哪一組密碼對應到哪一個註冊帳號,那麼也可以選擇使用密碼管理員服務(例如 1Password、LastPass 或是 Bitwarden)。使用者僅需要記憶一組主要的密碼,密碼管理員服務就會協助你自動建立並登錄其他帳號的登入憑證。

如果使用者想要設定 Synology NAS 裡的密碼憑證,可以至控制台(Control Panel ) > 使用者(User)> 進階(Advanced)裡自定義密碼的設定規則,調整設定密碼的強度,當新的使用者要註冊一組新帳號時都必須遵守這個規則。

* LDAP 和 Directory Server 服務中也提供類似的選項。了解更多

三:更新至系統最新版本並開啟通知

Synology 會定期釋出 DSM 軟體更新,除了功能與效能上的改善,也同步精進產品的安全性。每當一個新的安全性弱點揭露時, Synology 產品安全事件應變小組 PSIRT (Product Security Incident Response) 會進行即時的資安事件處理,包括 8 小時的弱點調查、 15 小時的弱點修復,在 24 小時內解決弱點並釋出安全性更新,確保產品安全且可靠。因此我們建議使用者在系統內設定自動更新,自動安裝最新的 DSM 最新版本。了解更多

此外,我們也建議使用者在 Synology NAS 上開啟通知,在發生特定事件或者錯誤時透過電子郵件、SMS,在行動裝置或者 Web 瀏覽器上接收通知。如果使用 Synology DDNS 服務,也可以在未連接到外部網路的狀態下選擇接收到通知。當儲存空間不足、備份與還原任務失敗時,立即採取相對應的措施,是確保資料長久安全性的重要一環。我們也建議使用者建立自己的 Synology Account,隨時接收最新的安全與功能性更新資訊。了解更多

*自動更新僅支援 DSM 的次要更新,主要更新需要手動安裝。

四:啟用二階段驗證

我們建議使用者啟用二階段驗證,為你的 Synology 裝置建立更進階的保護措施。在 DSM 帳戶與 Synology Account 上執行二階段驗證前,你將需要一個行動裝置,以及一個支援一次性密碼(TOTP)協議的身分驗證 App。

每一次的登錄活動都會需要身分驗證以及一組透過 Microsoft Authenticator、Authy 或其他身份驗證 App 所發送,有時間限制的 6 位數密碼,以避免任何未經授權的登入行為。

在 Synology Account 中,如果你遺失載有身份驗證 App 的手機*,你可以利用當初設定二階段驗證時的備份密碼來登入。使用者可以下載這個密碼或是將其列印出來,確保自己持有並隨時可以獲取這組密碼。

在 DSM 中,如果使用者遺失憑證,萬不得已的情況下可以選擇重置二階段驗證,在管理員名單裡的使用者可以執行這項操作。而萬一所有的管理員帳戶都無法登入,就必須重新設定裝置上的憑證與網路配置。按住 NAS 上的重置鍵約 4 秒(即會聽到嗶聲),然後重新啟動 Synology Assistant 重新設定裝置。**

*一些身份驗證 App 支援基於第三方帳戶的備份和還原方法。以此評估您的安全要求,以及便利性與災難復原選項。
** SHA、VMM,自動掛載的加密共享文件夾以及多重安全設置,使用者帳戶和網路連接埠設置將被重置。了解更多

五:啟動安全諮詢中心(Security Advisor)

安全諮詢中心(Security Advisor)是 DSM 預設的安全性應用程式,可以掃描 Synology NAS 的整體設定,進行登入分析跟帳號密碼分析與惡意行為偵測,並提供建議以確保裝置的安全性。例如,安全諮詢中心可以檢測到是否開啟 SSH 服務,是否發生任何異常的登入活動,以及是否更動過 DSM 系統檔案等。了解更多


六:設定基本的 DSM 安全性功能

使用者可以前往 DSM 控制台(Control Panel )> 安全性(Security)選項中設置數種安全性相關設定。舉例來說,你可以設定:

IP 自動封鎖
在控制台(Control Panel) > 安全性(Security) > 自動封鎖(Auto Block)可進行自動封鎖的設定,封鎖嘗試登入失敗多次的用戶端 IP 位址。

管理員可以將特定的 IP 位置加入到黑名單,以避免可能的風險或暴力攻擊。使用者可以依據環境以及使用者類型,來配置嘗試登入的次數。需提醒的是,大多數的家庭和企業只有一個外部 IP 位址提供使用者使用,IP 位址通常是動態的,且會在幾天或幾週後改變。了解更多

帳號保護
雖然自動封鎖功能可以將嘗試登入失敗多次的用戶端 IP 位址加進黑名單,帳號保護可讓帳號不被未信任的用戶端登入。使用者可以在控制台(Control Panel )> 安全性(Security)> 帳號保護(Account Protection)進行設定,透過啟用帳號保護功能,讓帳號免於被未信任且嘗試登入失敗過多次的用戶端登入,降低帳號遭到暴力破解攻擊的風險。了解更多

啟用 HTTPS
啟用 HTTPS ,可以加密與保護 Synology NAS 與連接用戶端之間的網路流量,防止竊聽(Eavesdropping)與中間人攻擊(man-in-the-middle attacks)。
使用者可以在控制台(Control Panel )>網路(Network)> DSM 設定(DSM Setting)進行設定。選取將 HTTP 自動重新導向 HTTPS 的複選框,你就會透過 HTTPS 連線至 DSM ,並發現位址欄的 URL 從 「http://」轉成「https://」。了解更多

進階:客製化的防火牆設定
防火牆可以擔綱虛擬屏障,依據設定的規則來阻隔來自外部的網路流量。使用者可以在控制台(Control Panel )>安全性(Security)> 防火牆(Firewall)進行設定,防止未經授權的登入活動與控管可訪問的服務。你可以決定允許或拒絕特定的 IP 位址訪問特定的網路接口,例如允許從特定的辦公室來進行遠端存取,或者僅允許訪問特定服務與位址等。了解更多

七:啟用 HTTPS – Let’s Encrypt 功能

數位憑證在啟用 HTTPS 功能時扮演關鍵角色,但對非商用使用者來說,通常服務的價格昂貴且難以維護。為了讓任何使用者能進一步落實資安防護,DSM 內建支援 Let’s Encrypt,任何使用者都可以按需建立憑證,藉此輕鬆保護網路連線。

如果使用者已經有註冊的域名或正在使用 DDNS 服務,可至控制台(Control Panel ) > 安全性(Security)> 憑證(Certificate)。選取增加新憑證 > 從 Let’s Encrypt 獲取憑證,對於大多數的使用者,可以選取「設置為預設設定」,並輸入域名以獲得憑證。獲得認證後,確保所有網路流量都如第三點一樣皆通過 HTTPS。

若使用者已將設備設置為透過多個網域或子網域提供服務,則需要在控制台(Control Panel )  >安全性(Security) >憑證(Certificate) >配置(Configure)中配置每個服務所使用的憑證。Youtube 範例影片

八:調整預設網路連接埠

儘管將 DSM 預設的連接埠號碼 HTTP(5000)與 HTTPS(5001)調整成自定義的埠號並無法防止針對性的攻擊,但可以預防常見針對預設服務的攻擊。

要調整預設的設定,可以至控制台(Control Panel) > 網路(Network)> DSM 設定(DSM Setting)裡自定義埠號。如果使用者經常進行 SSH 存取,那也建議更改預設的 SSH(22)端口。使用者也可以部署反向代理,降低對於特定網路服務的潛在攻擊,進一步提高安全性。反向代理通常用作內部伺服器與遠端用戶端的通訊中介,可以隱藏伺服器的特定資訊,例如實際的 IP 位址等。了解更多


九:除非必要不然停用 SSH/telnet 服務

由於透過 root 登入為預設開啟, SSH/telnet 又僅支援以管理員帳號登入,因此駭客可能會強行透過密碼對系統進行未經授權的登入,如果使用者需要持續提供外部服務,我們建議使用者更改預設的 SSH 埠號(22)以及設定一組強密碼。使用者也可以考慮利用 VPNs 並將 SSH 限制為僅有本地 IP 或可信賴的 IP 能夠存取,並且記得在不需要存取時將 SSH/telnet 服務關閉。了解更多

十:加密共用資料夾

DSM 支援 AES-256 位元的軍事等級加密技術,防止物理的數據提取威脅,管理員可以為新建立的或是現有的共用資料夾進行加密。要加密現有的共用文件夾,可以至控制台(Control Panel) > 共用資料夾(Shared Folder)中編輯文件夾,在「加密」選項中設置加密密碼,DSM 將開始對文件夾進行加密。由於如果沒有使用金鑰就無法恢復加密的數據,建議使用者妥善保存加密共用資料夾的金鑰。了解更多

更重要的是

資料安全性是資料完整性的先決條件,未經授權的存取可能會導致資料受到竄改或遺失,進而使關鍵資料喪失作用。而資料的完整性又可分為資料一致性與資料準確性,使用者可以採取兩種措施強化保護:定期執行 Data Scrubbing 以確保資料一致性並降低資料遺失的風險;定期執行 S.M.A.R.T. 檢測來監控硬碟的健康狀態,以盡早發現硬碟相關問題。

資料來源:https://blog.synology.com/cht/10_security_tips_to_keep_your_data_safe






https://cybernews.com/resources/nas-security-guide/


最常見的 NAS 安全問題

1. 密碼安全

可以通過使用數字工具相對容易地猜測或暴力破解弱密碼。這就是您必須做的第一件事是更改默認密碼的原因。由於 NAS 服務器直接連接到您的網絡(以及整個互聯網),因此它們本身就可能暴露於可能的密碼黑客攻擊中。

2. 來自其他網絡設備的洩漏

NAS 服務器可以直接或間接連接到大量其他設備。通常,這包括同一網絡上的計算機。


3. 惡意軟件和病毒

2017年,出現了一個名為SecureCrypt的代理,它利用SambaCry NAS漏洞來控制服務器。加密受害驅動器上的數據後,SecureCrypt 會要求比特幣“徵稅”以解鎖內容,否則驅動器將無法使用。


4. 命令注入

黑客報告了相對簡單的命令注入技術來控制 LG NAS 服務器,而 Buffalo、Western Digital 和 ZyXEL 等公司的驅動器都受到審查。幾乎沒有發現任何 NAS 設備能夠完全抵禦命令注入攻擊。

https://securityaffairs.co/wordpress/71499/hacking/lg-network-attached-storage-devices-hack.html

NAS安全指南

1. 實施強密碼安全

NAS 和其他企業攻擊常常是由於使用目標網絡的人的安全性薄弱而助長的。因此,請務必評估員工的意識水平,並定期審核他們的安全技能以確保標准保持在高水平。設置密碼規則也是一個好主意——這樣沒有人能夠創建短而弱的密碼。

您還應該使用雙因素身份驗證 (2FA) 保護所有帳戶。最常見的方法之一是在手機上使用身份驗證器應用程序。這樣,即使有人竊取了您的密碼,只要您不通過輸入 PIN 碼或使用 Touch ID 驗證訪問權限,該帳戶就會保持安全。

2. 確保定期更新 NAS 固件

網絡攻擊者一直在尋找破解 NAS 固件的方法,他們最終往往會成功。幾個月後,幾乎沒有任何 NAS 操作系統可以被認為是完全安全的,因此需要打補丁和大修。

3. 切勿使用默認管理員帳戶

您需要盡可能地破解任何給定 NAS 驅動器的登錄過程,並且選擇像“admin”這樣容易猜測的身份總是一個糟糕的選擇。


4. 保護您的連接和端口

您應該啟用 HTTPS 而不是 HTTP 來保護傳入和傳出的流量。您還應該確保 FTP 連接也是安全的。

您應該關閉與外部通信不需要的所有端口。另一個好主意是更改默認端口 - 這將減少對 NAS 的攻擊次數。我們建議至少更改 HTTP、HTTPS 和 SSH 端口。

5. 使用你的 NAS 防火牆

大多數 NAS 系統都帶有防火牆,沒有理由關閉它們。防火牆的工作原理是註冊合法用戶並拒絕其他任何人訪問。這使它們成為抵禦可能的攻擊者的第一道防線。

6. 啟用 DoS 保護

啟用拒絕服務 (DoS) 攻擊保護是 NAS 中的另一個重要設置。大多數情況下默認情況下不會啟用它,但這是有充分理由的。您可能會得到誤報,即您的 NAS 可能認為良性流量實際上是 DoS 攻擊。最好的方法是將已知流量來源列入白名單並保持保護


7. 使用 NAS 時使用 VPN

一個VPN可以是一個必不可少的NAS的安全工具。一流的 VPN 為在您的網絡和 Web 之間傳遞的所有在線流量添加了一層加密。這意味著潛在的攻擊者無法攔截和嗅探密碼詳細信息或合法用戶的 IP 地址。



https://www.hkcert.org/blog/security-risks-of-network-attached-storages-nas


HKCERT 建議用戶:


如果不是絕對必要,請不要將 NAS 設備連接到 Internet

如有必要,請在訪問前使用虛擬專用網絡 (VPN)

更改 Web 管理界面的默認協議和端口

更改默認管理員密碼或創建新的管理員帳戶

如果沒有必要,請不要安裝或啟用其他功能

定期備份文件

不斷更新系統並註意其設備的安全警報




https://www.edn.com/exposing-a-nas-security-issue/

暴露 NAS 安全問題




https://www.cloudwards.net/nas-security-guide/


NAS 安全指南 2021:如何保護您的網絡附加存儲


基本安全原則

1. 禁用管理員帳戶,始終更改默認密碼,先刪除默認帳戶並使用安全密碼創建一個新帳戶。

2. 不要點擊電子郵件或其他地方的可疑鏈接,尤其是當它們重定向到您的本地網絡時(例如 http://192.168.xx)

3. 為您的路由器和 NAS 登錄使用隨機的字母數字密碼

4. 定期更新路由器或 NAS 上的固件。如果支持,請打開自動更新

5. 啟用 SSL

6. 僅啟用您需要的功能,如果您在路由器上打開一個端口以從 Internet 訪問您的 NAS,請確保您使用的是強用戶名和密碼。

7. 考慮啟用 NAS 提供的任何過濾或自動阻止功能,以消除暴力登錄嘗試。

8. 通過 VPN 連接到 NAS 是確保 NAS 安全的最佳方式之一。

9. 啟用兩步驗證意味著嘗試訪問您帳戶的攻擊者需要您的密碼和您的手機,從而大大降低了被入侵的可能性。

10. 



保護您的路由器

第 1 步。登錄到您的路由器並更改默認密碼。如果您可以選擇從“admin”更改用戶名,也請這樣做。

第 2 步。如果您的路由器具有此功能,請禁用 WPS。永遠不要使用 WPS,因為它非常不安全。

第 3 步。如果可用,請啟用 HTTPS 登錄(這因設備而異,因此我們無法給出確切說明)。這會在訪問路由器的配置頁面時加密您的連接。禁用傳統 HTTP 並儘可能僅使用 HTTPS。

第 4 步。除非您確切地知道自己在做什麼,否則請確保禁用遠程訪問。遠程訪問讓您可以從任何地方登錄並打開您的設備以進行攻擊。

第 5 步。為您的無線網絡啟用 WPA2 加密並選擇一個長的隨機密碼。選擇一個即使是 NSA 也無法破解的密碼。

第 6 步。更新路由器的固件。如果您的路由器支持,請啟用自動更新。

第 7 步。啟用日誌記錄,以便在發生某些事情時,您有記錄來跟踪問題。



https://hk.xfastest.com/56738/qnap-nas-tutorial-how-to-enhance-the-security-of-your-nas/

第1頁 : 使用強密碼

第2頁 : 啟用自動封鎖功能

用家需要啟用自動封鎖功能,在密碼錯誤達一定的次數後,就把 IP Address 直接封鎖一段時間,甚至是永久封鎖,即可避免駭客攻擊。


第3頁 : 避免使用預設的連接埠

即使你已經不是使用預設連接埠,但仍然有很多不知名 IP Address 嘗試登入,即代表你的 NAS 已成為駭客目標,請再次修改連接埠


第4頁 : 停用不必要的服務

服務愈多,潛在的漏洞就愈多。


第5頁 : 只對外開放有需要使用的服務

只對外開放有需要在外網使用的服務可以減低風險。用家甚至可以只開放 VPN Server 的連接埠,把所有服務改為在 VPN 環境下執行,雖然略為不便,但總比直接暴露在互聯網上安全多了


第6頁 : 使用 SSL 加密連線

配合正確的 SSL Cert 使用 HTTPS 連線會辨識為「安全連線」,資料在傳輸的過程會被加密


第7頁 : 啟用系統連線記錄

透過連線記錄可以清楚得知有什麼檔案曾經被存取,也能得知使用者在什麼時候從什麼 IP Address 登入


第8頁 : 啟用 NAS 通知功能

NAS 的通知功能讓用家清楚知道 NAS 的狀態,提早發現被攻擊再加以處理,能有效降低風險


第9頁 : 保持系統及套件在最新的版本

不少被駭客攻破的 NAS 都不是使用最新版本的系統及套件。舊版本的系統及套件通常都存在不少已知的安全性漏洞,不少駭客會利用已知的嚴重安全性漏洞進行攻擊,並有可能在免密碼的情況下直接攻破


第10頁 : 安裝安全性檢查套件

沒有留言: