Ваш NAS, вероятно, является одним из самых важных устройств в вашей домашней сети, но вы уделяете ему внимание, которое оно заслуживает, когда дело касается безопасности?
Последнее, что вы хотите, — это то, что ваш NAS будет взломан и/или на него будет загружено вредоносное ПО, например, выкупленное программное обеспечение SynoLocker. Хорошей новостью является то, что есть способы защитить себя от будущих атак и не допустить взлома вашего ящика NAS.
Примечание. Большинство шагов и изображений, приведенных ниже, основаны на моем NAS Synology, но вы также можете делать это на большинстве других блоков NAS.
Будьте внимательны к обновлениям
Возможно, самая простая вещь, которую вы можете сделать, чтобы защитить ваш NAS, — это обновление программного обеспечения. Synology NAS запускают DiskStation Manager, и, как правило, каждое обновление выполняется каждые две недели.
Причина, по которой вы хотите сохранить обновления, — это не только новые интересные функции, но и исправления ошибок и исправления безопасности, которые обеспечивают безопасность и безопасность вашего NAS.
Возьмем, например, SynosLocker ransomware. Новые версии DiskStation Manager безопасны, но если вы не обновляетесь через несколько лет, вы можете быть уязвимыми. Кроме того, новые эксплоиты всегда выпускаются — еще одна причина не отставать от обновлений.
Отключить учетную запись администратора по умолчанию
В вашем NAS есть учетная запись администратора по-умолчанию, а имя пользователя, скорее всего, «админ» (настоящий креатив, да?). Проблема в том, что вы обычно не можете изменить имя пользователя этой учетной записи по-умолчанию. Мы рекомендуем отключить учетную запись администратора по умолчанию и создать новую учетную запись администратора с пользовательским именем пользователя.
Причина этого — дать хакерам еще один слой, который им нужно прорваться. С учетной записью по умолчанию они могут использовать «admin» в качестве имени пользователя и просто сосредоточиться на взломе пароля. Это похоже на то, как люди никогда не меняют учетные данные своего маршрутизатора — по умолчанию имя пользователя обычно «admin», а пароль — «пароль», что делает его очень легким для взлома.
Создав учетную запись администратора с именем пользователя, таким как «BeefWellington», а затем используя надежный пароль, вы значительно уменьшите вероятность того, что ваши учетные данные будут взломаны ленивым скриптом kiddy.
Включить двухфакторную аутентификацию
Если вы не используете двухфакторную аутентификацию для своих различных онлайн-учетных записей, то неплохо бы её включить. У вашего NAS, вероятно, есть возможность для этого, так что воспользуйтесь ей.
Двухфакторная аутентификация надёжна, потому что вам нужно не только имя пользователя и пароль для входа в систему, но вам также нужно другое устройство, которому вы владеете (например, смартфон), чтобы подтвердить логин. Это делает невозможным для хакера взломать ваш аккаунт (хотя никогда не говори никогда).
Использовать HTTPS
Когда вы обращаетесь к своему NAS удаленно, вы, вероятно, делаете это через HTTP, если вы не перепутали какие-либо настройки. Это небезопасно и может оставить ваше соединение открытым для принятия. Чтобы исправить это, вы можете заставить NAS использовать HTTPS-соединение в любое время.
Однако сначала вам необходимо установить сертификат SSL на вашем NAS, что может быть вполне сложным процессом. Для начала вам нужно имя домена, чтобы связать сертификат SSL, а затем связать IP-адрес NAS с именем домена.
Вам также придется заплатить за сертификат SSL, но они обычно не более 10 долларов США в год от любого уважаемого регистратора доменов. И Synology даже поддерживает бесплатное шифрование SSL-сертификатов, если вы хотите пройти этот маршрут.
Настройка брандмауэра
Брандмауэр является общей хорошей защитой, потому что он может автоматически блокировать любое соединение, которое NAS не распознает. И вы можете обычно настраивать правила, которые он использует для открытия определенных подключений, а также выключение всех остальных подключений.
По умолчанию большинство брандмауэров на любом устройстве даже не включены, что позволяет всем и каждому без проверки, и это, как правило, плохая идея. Поэтому не забудьте проверить настройки брандмауэра на вашем NAS и настроить любые правила в соответствии с вашими потребностями.
Например, у вас может быть правило, которое блокирует все IP-адреса из определенных стран или правило, которое разрешает определенные порты с IP-адресов в США.
Не подключайте его к Интернету
Несмотря на то, что все вышеперечисленные шаги — это отличные возможности для обеспечения безопасности NAS, они не защищают на 100%. Самое лучшее, что вы можете сделать, это просто полностью отключить NAS от внешнего мира.
Конечно, это нелегко сделать, особенно если у вас есть определенные программы, запущенные на вашем NAS, которые могут быть доступны удаленно (например, используя ваш NAS в качестве вашей собственной службы облачного хранилища).
Но важно отметить, что вы, по крайней мере, знаете о рисках при экспонировании своего NAS для внешнего мира, и что вышеупомянутые шаги не будут поддерживать ваш NAS на 100% безопасным, обязательно. Если вы ищете лучший способ защитить свой NAS, он будет поддерживать его только в вашей локальной сети.