Co mohu udělat pro zvýšení zabezpečení svého zařízení Synology NAS?

Co mohu udělat pro zvýšení zabezpečení svého zařízení Synology NAS?

Některé články byly strojově přeloženy z angličtiny a mohou obsahovat nepřesnosti nebo gramatické chyby.

Účel

Tento článek poskytuje několik metod, které vám mohou pomoci zvýšit zabezpečení vašeho zařízení Synology NAS.

Řešení

Povolit Security Advisor

Security Advisor je vestavěná aplikace DSM, která skenuje vaše zařízení Synology NAS, kontroluje nastavení DSM a poskytuje rady, jak řešit slabiny zabezpečení. Pro konfiguraci Security Advisor se podívejte na tento článek.

Konfigurace nastavení oprávnění uživatelů DSM

  • Ujistěte se, že výchozí účet admin je deaktivován, aby se zabránilo škodlivým útokům.
  • Spravujte přístup k vašemu zařízení Synology NAS konfigurací uživatelských oprávnění ke sdíleným složkám a aplikacím, stejně jako nastavením kvót a omezení rychlosti pro různé služby. Můžete to provést na úrovni skupiny nebo individuální úrovni a během procesu vytváření skupiny/uživatele nebo později v Ovládací panel > Uživatel (pro DSM 6.2 a starší) nebo Uživatel a skupina (pro DSM 7.0 a novější).

Konfigurace pravidel síly hesla

Můžete zajistit, aby uživatelé nastavili silná hesla, čímž snížíte riziko hackingu. Vyberte Použít pravidla pro sílu hesla na následujících místech:

  • Pro DSM 7.0 a novější: Přejděte do části Ovládací panel > Uživatel a skupina > Rozšířené > Nastavení hesla.
  • Pro DSM 6.2 a starší: Přejděte do části Ovládací panel > Uživatel > Rozšířené > Nastavení hesla.

Další informace o pravidlech síly hesla naleznete v tomto článku.

Nastavení vypršení platnosti hesel

Můžete přinutit uživatele, aby po určité době změnili svá hesla. Vyberte Povolit vypršení platnosti hesla na následujících místech:

  • Pro DSM 7.0 a novější: Přejděte do části Ovládací panel > Uživatel a skupina > Rozšířené > Vypršení platnosti hesla.
  • Pro DSM 6.2 a starší: Přejděte do části Ovládací panel > Uživatel > Rozšířené > Vypršení platnosti hesla.

Další informace o vypršení platnosti hesla naleznete v tomto článku.

Použití vícefaktorového ověřování

Vícefaktorové ověřování poskytuje dodatečné zabezpečení vašeho účtu DSM. Pokud je povoleno, musíte při přihlašování do DSM poskytnout druhé ověření totožnosti nad rámec vašeho hesla. Další informace o vícefaktorovém ověřování naleznete v příslušných článcích nápovědy pro DSM 7.0 a DSM 6.2.

  • Pro DSM 7.0 a novější: Přejděte do části Možnosti > Vlastní > Účet > Dvoufázové ověření.
  • Pro DSM 6.2 a starší: Přejděte do části Možnosti >Vlastní > Účet, vyberte Povolit dvoufázové ověření.

Povolit automatické blokování a ochranu účtu

Můžete povolit automatické blokování, aby se IP adresa zablokovala po předem definovaném počtu pokusů o přihlášení. Tato funkce se vztahuje na pokusy o přihlášení přes SSH, Telnet, rsync, síťovou zálohu, synchronizaci sdílených složek, FTP, WebDAV, mobilní aplikace Synology, File Station a DSM. Konfigurujte Automatický blok na následujících místech:

  • Pro DSM 7.0 a novější: Přejděte do části Ovládací panel > Zabezpečení > Ochrana.
  • Pro DSM 6.2 a starší: Přejděte do části Ovládací panel > Zabezpečení > Účet.

Můžete povolit ochranu účtu, abyste snížili riziko útoků hrubou silou. Tato funkce podporuje následující služby a balíčky: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station a mobilní aplikace Synology. Konfigurujte Ochranu účtu v Ovládací panel > Zabezpečení > Účet.

Použití šifrovaných připojení

Pro šifrování připojení pomocí SSL/TLS použijte HTTPS pro přístup k DSM a webovým balíčkům, jako jsou Synology Chat, Synology Drive, Synology Photos a Surveillance Station. Tím se zabezpečí komunikace klienta s vaším zařízením Synology NAS. HTTPS můžete povolit následujícími způsoby:

  • Pro přihlášení do DSM přejděte do Ovládací panel > Login Portal > DSM a vyberte buď Automaticky přesměrovat připojení HTTP na HTTPS nebo Povolení HSTS nutí prohlížeče používat zabezpečená připojení (vyberte tuto možnost, pokud používáte přizpůsobenou doménu). Nepovolujte obě možnosti současně, abyste se vyhnuli problémům s připojením.
  • Pro nastavení portálu nebo reverzního proxy serveru zaškrtněte políčka související s HSTS při konfiguraci následujícího:
  • Pro přihlášení do mobilní aplikace a nástrojů vyberte HTTPS na přihlašovací obrazovce mobilních aplikací Synology nebo desktopových nástrojů.

Jakmile dokončíte výše uvedená nastavení, ujistěte se, že přidáte platný SSL certifikát.

Kromě toho, protože některé služby nebo balíčky také poskytují šifrování připojení, můžete vyzkoušet následující metody, jak zvýšit zabezpečení vašeho zařízení Synology NAS:

  • Povolte FTPS nebo SFTP místo FTP, protože FTP nenabízí žádné šifrování pro zabezpečení přenosu dat.
  • Vyberte Šifrování přenosu při zálohování dat na vzdálené cíle pomocí Hyper Backup.
  • Vyberte Povolit šifrování přenosu SSH při použití Synchronizace sdílených složek.

Otevřete pouze veřejné porty pro potřebné služby na směrovači

Zařízení Synology NAS je navrženo tak, aby bylo snadno přístupné přes internet. Podívejte se na tento návod, abyste se naučili, jak konfigurovat vzdálený přístup. Aby bylo zajištěno zabezpečení vašeho zařízení Synology NAS, důrazně doporučujeme otevírat pouze veřejné porty pro potřebné služby na směrovači.

Povolit ochranu DoS

Můžete povolit ochranu před útoky odepření služby (DoS), abyste zabránili škodlivým útokům přes internet. Chcete-li to provést, přejděte do Ovládací panel > Zabezpečení > Ochrana, vyberte Povolit ochranu DoS a klikněte na Použít.

Po povolení bude vaše zařízení Synology NAS reagovat odlišně v závislosti na verzi DSM:

  • Pro DSM 7.0 a vyšší: NAS bude reagovat na až 1 000 ICMP ping paketů za sekundu. Pokud frekvence překročí 1 000 pingů za sekundu, NAS přestane reagovat na další požadavky.
  • Pro DSM 6.2 a starší: NAS bude reagovat pouze na jeden ICMP ping paket za sekundu. Pokud je přijato více než jeden ping za sekundu, NAS ignoruje další požadavky.

Změna výchozích portů pro správu

Můžete přizpůsobit porty, abyste zablokovali škodlivé pokusy o přihlášení. Výchozí porty jsou následující:

  • HTTP: 5000
  • HTTPS: 5001
  • SSH: 22

Můžete změnit výchozí porty HTTP/HTTPS na následujících místech:

  • Pro DSM 7.0 a vyšší: Ovládací panel > Login Portal > DSM.
  • Pro DSM 6.2 a starší: Ovládací panel > Network > DSM Settings.

Můžete změnit výchozí port SSH v Ovládací panel > Terminál a SNMP > Terminál.

Účel
Řešení
Povolit Security Advisor
Konfigurace nastavení oprávnění uživatelů DSM
Konfigurace pravidel síly hesla
Nastavení vypršení platnosti hesel
Použití vícefaktorového ověřování
Povolit automatické blokování a ochranu účtu
Použití šifrovaných připojení
Otevřete pouze veřejné porty pro potřebné služby na směrovači
Povolit ochranu DoS
Změna výchozích portů pro správu
Další čtení