Πρόσφατα, ορισμένοι ιδιοκτήτες Synology ανακάλυψαν ότι όλα τα αρχεία στο σύστημα NAS τους ήταν κρυπτογραφημένα. Δυστυχώς, κάποιο ransomware είχε μολύνει το NAS και ζήτησε πληρωμή για την επαναφορά των δεδομένων. Δείτε τι μπορείτε να κάνετε για να ασφαλίσετε το NAS σας.
Πίνακας περιεχομένων
Πώς να αποφύγετε την επίθεση Ransomware
Η συνολογία είναι προειδοποιώντας τους ιδιοκτήτες NAS από πολλές επιθέσεις ransomware που έπληξαν ορισμένους χρήστες πρόσφατα. Οι εισβολείς χρησιμοποιούν μεθόδους ωμής βίας για να μαντέψουν τον προεπιλεγμένο κωδικό πρόσβασης – ουσιαστικά, δοκιμάζουν κάθε δυνατό κωδικό πρόσβασης μέχρι να λάβουν έναν αντίστοιχο κωδικό πρόσβασης. Μόλις βρουν τον σωστό κωδικό πρόσβασης και αποκτήσουν πρόσβαση στη συσκευή αποθήκευσης που είναι συνδεδεμένη στο δίκτυο, οι χάκερ κρυπτογραφούν όλα τα αρχεία και ζητούν λύτρα.
Έχετε πολλές επιλογές για να αποτρέψετε επιθέσεις όπως αυτή. Μπορείτε να απενεργοποιήσετε εντελώς την απομακρυσμένη πρόσβαση, επιτρέποντας μόνο τοπικές συνδέσεις. Εάν χρειάζεστε απομακρυσμένη πρόσβαση, θα μπορούσατε να ρυθμίσετε ένα VPN για να περιορίσετε την πρόσβαση στο NAS σας. Και αν ένα VPN δεν είναι καλή επιλογή (λόγω των αργών δικτύων, για παράδειγμα), μπορείτε να σκληρύνετε τις επιλογές απομακρυσμένης πρόσβασης.
Επιλογή 1: Απενεργοποίηση απομακρυσμένης πρόσβασης
Η πιο ασφαλής επιλογή που μπορείτε να επιλέξετε είναι να απενεργοποιήσετε πλήρως τις λειτουργίες απομακρυσμένης σύνδεσης. Εάν δεν μπορείτε να αποκτήσετε πρόσβαση στο NAS σας εξ αποστάσεως, τότε δεν μπορεί ούτε ένας χάκερ. Θα χάσετε κάποια ευκολία εν κινήσει, αλλά εάν εργάζεστε μόνο με το NAS στο σπίτι —για να παρακολουθείτε ταινίες, για παράδειγμα—, τότε μπορεί να μην χάσετε καθόλου τις δυνατότητες του τηλεχειριστηρίου.
Οι πιο πρόσφατες μονάδες Synology NAS περιλαμβάνουν μια δυνατότητα QuickConnect. Το QuickConnect φροντίζει για τη σκληρή δουλειά για την ενεργοποίηση των απομακρυσμένων λειτουργιών. Με ενεργοποιημένη τη δυνατότητα, δεν χρειάζεται να ρυθμίσετε την προώθηση θύρας δρομολογητή.
Για να καταργήσετε την απομακρυσμένη πρόσβαση μέσω του QuickConnect, συνδεθείτε στη διεπαφή NAS. Ανοίξτε τον πίνακα ελέγχου και κάντε κλικ στην επιλογή “QuickConnect” κάτω από το Connectivity στην πλαϊνή γραμμή. Καταργήστε την επιλογή “Ενεργοποίηση γρήγορης σύνδεσης” και μετά κάντε κλικ στην εφαρμογή.
Εάν, ωστόσο, ενεργοποιήσατε την προώθηση θύρας στο δρομολογητή σας για να αποκτήσετε απομακρυσμένη πρόσβαση, θα πρέπει να απενεργοποιήσετε αυτόν τον κανόνα προώθησης θύρας. Για να απενεργοποιήσετε την προώθηση θύρας, θα πρέπει να αναζητήσετε τη διεύθυνση IP του δρομολογητή σας και να τη χρησιμοποιήσετε για να συνδεθείτε.
Στη συνέχεια, συμβουλευτείτε το εγχειρίδιο του δρομολογητή σας για να βρείτε τη σελίδα προώθησης θύρας (κάθε μοντέλο δρομολογητή είναι διαφορετικό). Εάν δεν διαθέτετε το εγχειρίδιο του δρομολογητή σας, μπορείτε να δοκιμάσετε μια αναζήτηση στον ιστό για τον αριθμό μοντέλου του δρομολογητή σας και τη λέξη “manual”. Το εγχειρίδιο θα σας δείξει πού να αναζητήσετε κανόνες προώθησης θύρας εξόδου. Απενεργοποιήστε τυχόν κανόνες προώθησης θύρας για τη μονάδα NAS.
Επιλογή 2: Χρήση VPN για απομακρυσμένη πρόσβαση
Συνιστούμε απλώς να μην εκθέτετε το Synology NAS σας στο Διαδίκτυο. Αλλά εάν πρέπει να συνδεθείτε από απόσταση, συνιστούμε να ρυθμίσετε ένα εικονικό ιδιωτικό δίκτυο (VPN). Με εγκατεστημένο διακομιστή VPN, δεν θα έχετε απευθείας πρόσβαση στη μονάδα NAS. Αντίθετα, θα συνδεθείτε στο δρομολογητή. Ο δρομολογητής, με τη σειρά του, θα σας μεταχειριστεί σαν να βρίσκεστε στο ίδιο δίκτυο με το NAS (ακόμα στο σπίτι, για παράδειγμα).
Μπορείτε να κάνετε λήψη ενός διακομιστή VPN στο Synology NAS σας από το Package Center. Απλώς αναζητήστε “vpn” και επιλέξτε την επιλογή εγκατάστασης στον διακομιστή VPN. Όταν ανοίξετε για πρώτη φορά τον διακομιστή VPN, θα δείτε μια επιλογή από πρωτόκολλα PPTP, L2TP/IPSec και OpenVPN. Συνιστούμε το OpenVPN, καθώς είναι η πιο ασφαλής επιλογή από τα τρία.
Μπορείτε να τηρήσετε όλες τις προεπιλογές του OpenVPN, αν και εάν θέλετε να αποκτήσετε πρόσβαση σε άλλες συσκευές στο δίκτυο όταν συνδέεστε μέσω VPN, θα πρέπει να επιλέξετε «Να επιτρέπεται στους πελάτες να έχουν πρόσβαση στο LAN του διακομιστή» και, στη συνέχεια, να κάνετε κλικ στο «Εφαρμογή».
Στη συνέχεια, θα χρειαστεί να ρυθμίσετε την προώθηση θύρας στο δρομολογητή σας στη θύρα που χρησιμοποιεί το OpenVPN (από προεπιλογή 1194).
Εάν χρησιμοποιείτε το OpenVPN για το VPN σας, θα χρειαστείτε ένα συμβατό VPN Client για πρόσβαση σε αυτό. Προτείνουμε OpenVPN Connect, το οποίο είναι διαθέσιμο για Windows, macOS, iOS, Android, και ακόμα Linux.
Επιλογή 3: Ασφαλής απομακρυσμένη πρόσβαση όσο το δυνατόν περισσότερο
Εάν χρειάζεστε απομακρυσμένη πρόσβαση και το VPN δεν είναι μια βιώσιμη λύση (ίσως λόγω χαμηλότερων ταχυτήτων Διαδικτύου), τότε θα πρέπει να ασφαλίσετε την Απομακρυσμένη Πρόσβαση όσο το δυνατόν περισσότερο.
Για να εξασφαλίσετε την απομακρυσμένη πρόσβαση, θα πρέπει να συνδεθείτε στο NAS, να ανοίξετε τον Πίνακα Ελέγχου και, στη συνέχεια, να επιλέξετε Χρήστες. Εάν ο προεπιλεγμένος διαχειριστής είναι ενεργοποιημένος, δημιουργήστε έναν νέο λογαριασμό χρήστη διαχειριστή (εάν δεν τον έχετε ήδη) και απενεργοποιήστε τον προεπιλεγμένο χρήστη διαχειριστή. Ο προεπιλεγμένος λογαριασμός διαχειριστή είναι το πρώτο ransomware που επιτίθεται συνήθως στον λογαριασμό. Ο χρήστης Guest είναι συνήθως απενεργοποιημένος από προεπιλογή και θα πρέπει να τον αφήσετε έτσι, εκτός και αν το έχετε συγκεκριμένη ανάγκη.
Θα πρέπει να βεβαιωθείτε ότι όλοι οι χρήστες που δημιουργήσατε για το NAS έχουν περίπλοκους κωδικούς πρόσβασης. Συνιστούμε να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να σας βοηθήσει με αυτό. Εάν μοιράζεστε το NAS και επιτρέπετε σε άλλα άτομα να δημιουργούν λογαριασμούς χρηστών, τότε φροντίστε να επιβάλετε ισχυρούς κωδικούς πρόσβασης.
Θα βρείτε ρυθμίσεις κωδικού πρόσβασης στην καρτέλα Για προχωρημένους των προφίλ χρήστη στον Πίνακα Ελέγχου. Θα πρέπει να ελέγξετε τη συμπερίληψη μεικτών πεζών-κεφαλαίων, να συμπεριλάβετε αριθμητικούς χαρακτήρες, να συμπεριλάβετε ειδικούς χαρακτήρες και να εξαιρέσετε κοινές επιλογές κωδικού πρόσβασης. Για έναν ισχυρότερο κωδικό πρόσβασης, αυξήστε το ελάχιστο μήκος κωδικού πρόσβασης σε τουλάχιστον οκτώ χαρακτήρες, αν και μεγαλύτερο είναι καλύτερο.
Για να αποτρέψετε επιθέσεις λεξικού, μια μέθοδος κατά την οποία ένας εισβολέας μαντεύει όσο το δυνατόν περισσότερους κωδικούς πρόσβασης, ενεργοποιήστε τον Αυτόματο αποκλεισμό. Αυτή η επιλογή αποκλείει αυτόματα τις διευθύνσεις IP αφού μαντέψουν έναν συγκεκριμένο αριθμό κωδικών πρόσβασης και αποτύχουν σε σύντομο χρονικό διάστημα. Ο αυτόματος αποκλεισμός είναι ενεργοποιημένος από προεπιλογή σε νεότερες μονάδες Synology και θα το βρείτε στον Πίνακα Ελέγχου > Ασφάλεια > Λογαριασμός. Οι προεπιλεγμένες ρυθμίσεις θα εμποδίσουν μια διεύθυνση IP να κάνει άλλη μια προσπάθεια σύνδεσης μετά από δέκα αποτυχίες σε πέντε λεπτά.
Τέλος, εξετάστε το ενδεχόμενο να ενεργοποιήσετε το τείχος προστασίας Synology. Με ένα τείχος προστασίας ενεργοποιημένο, μόνο οι υπηρεσίες που ορίζετε ως επιτρεπόμενες στο τείχος προστασίας θα είναι προσβάσιμες από το Διαδίκτυο. Απλώς λάβετε υπόψη ότι με ενεργοποιημένο το τείχος προστασίας, θα πρέπει να κάνετε εξαιρέσεις για ορισμένες εφαρμογές όπως το Plex και να προσθέσετε κανόνες προώθησης θυρών εάν χρησιμοποιείτε VPN. Θα βρείτε τις ρυθμίσεις του τείχους προστασίας στον Πίνακα Ελέγχου > Τείχος προστασίας ασφαλείας.
Η απώλεια δεδομένων και η κρυπτογράφηση ransomware είναι πάντα μια δυνατότητα με μια μονάδα NAS, ακόμη και όταν λαμβάνετε προφυλάξεις. Σε τελική ανάλυση, ένα NAS δεν είναι ένα σύστημα δημιουργίας αντιγράφων ασφαλείας και το καλύτερο που μπορείτε να κάνετε είναι να δημιουργήσετε αντίγραφα ασφαλείας των δεδομένων εκτός τοποθεσίας. Με αυτόν τον τρόπο, εάν συμβεί το χειρότερο (είτε πρόκειται για ransomware είτε για αποτυχία πολλαπλού σκληρού δίσκου), μπορείτε να επαναφέρετε τα δεδομένα σας με ελάχιστη απώλεια.