Synology - 10 dicas de segurança - SISGRACOM

Synology – 10 dicas de segurança

Autor do post – Mike Chen – 12 de março de 2020

O Dia da Privacidade de Dados acabou de passar e, com o Dia Mundial do Backup ao virar da esquina, preparamos 10 dicas de segurança de dados para ajudar a proteger seus dispositivos Synology contra ameaças online.

Nos últimos anos, houve uma escalada dramática nas ameaças à segurança cibernética. De acordo com um relatório do The New York Times , mais de 200.000 organizações foram atacadas com ransomware em 2019, um aumento de 41% em relação ao ano anterior.

Para ajudar a se proteger, compilamos uma lista de configurações importantes de segurança de dados que geralmente são ignoradas. No final, incluímos dicas de bônus que podem ajudá-lo a garantir a integridade dos dados – outro pilar da proteção de dados.

Nota: A maioria das configurações listadas abaixo pode ser acessada e modificada apenas por uma conta de usuário com direitos administrativos.

Dica 1: mantenha-se atualizado e ative as notificações

Lançamos atualizações do DSM regularmente para fornecer aprimoramentos funcionais e de desempenho e resolver vulnerabilidades de segurança do produto.

Sempre que surgir uma vulnerabilidade de segurança, nossa Equipe de Resposta a Incidentes de Segurança do Produto (PSIRT) conduzirá uma avaliação e investigação dentro de 8 horas e lançará um patch nas próximas 15 horas para ajudar a evitar possíveis danos causados por ataques de dia zero.

Para a maioria dos usuários, é altamente recomendável que você configure atualizações automáticas para que as atualizações mais recentes do DSM sejam instaladas automaticamente. *

Saber mais

Muitos dispositivos Synology têm a opção de executar o DSM virtual no Virtual Machine Manager, para criar uma versão virtualizada do sistema operacional DSM. Use o Virtual DSM para criar um ambiente de temporariedade e, em seguida, replique ou tente reproduzir seu ambiente de produção nele. Execute um teste de atualização instalando a versão mais recente do DSM no DSM virtual e verifique as principais funcionalidades necessárias para sua implantação atual antes de prosseguir com a atualização em seu ambiente principal.

Outra coisa importante a considerar é ficar por dentro das coisas à medida que elas ocorrem. Configure notificações no seu Synology NAS e seja notificado por email, SMS, no seu dispositivo móvel ou através do seu navegador da Web quando ocorrerem eventos ou erros específicos. Se estiver usando o serviço DDNS da Synology, você poderá optar por ser notificado quando a conectividade de rede externa for perdida. A ação imediata sobre as notificações de volumes de armazenamento sem espaço ou quando uma tarefa de backup e restauração falha é uma parte importante da garantia da segurança dos dados a longo prazo.

Também recomendamos que você configure sua conta Synology para receber nossos boletins informativos sobre NAS e avisos de segurança para acompanhar as últimas atualizações de segurança e recursos.

* A atualização automática suporta apenas pequenas atualizações do DSM. As principais atualizações requerem instalação manual.

Saber mais

Dica 2: Execute o Supervisor de Segurança

O Security Advisor é um aplicativo pré-instalado que pode verificar o seu NAS quanto a problemas comuns de configuração do DSM, oferecendo sugestões sobre o que você precisa fazer a seguir para manter seu Synology NAS seguro. Por exemplo, ele pode detectar coisas comuns, como deixar o acesso SSH aberto, se alguma atividade anormal de logon estiver ocorrendo e se os arquivos do sistema DSM foram modificados.

Saber mais

Dica 3: Recursos básicos de segurança do DSM a serem configurados

ocê pode definir várias configurações de segurança na  guia Painel de controle  >  Segurança para proteger suas contas de usuário.

Bloqueio automático de IP

Abra o Painel de controle e vá para  Segurança  >  Bloqueio automático . Ative o bloqueio automático para bloquear automaticamente endereços IP de clientes que não conseguem entrar dentro de um número especificado de vezes e período. Os administradores também podem colocar endereços IP específicos na lista negra para evitar possíveis ataques de força bruta ou negação de serviço.

Configure a quantidade de tentativas com base no ambiente de uso e no tipo de usuários que seu dispositivo atenderá regularmente. Lembre-se de que a maioria das residências e empresas terá apenas um endereço IP externo para seus usuários e que os endereços IP geralmente são dinâmicos e mudam após um determinado número de dias ou semanas.

Saber mais

Proteção de conta

Enquanto o Auto Block bloqueia listas de endereços IP que falharam em muitas tentativas de autenticação, o Account Protection protege as contas de usuário, bloqueando o acesso de clientes não confiáveis.

Vá para  Painel de controle  >  Segurança  >  Proteção de conta . Você pode ativar a Proteção de conta para proteger contas de clientes não confiáveis ​​após um número definido de falhas de login. Isso melhora a segurança do seu DSM e reduz o risco de as contas serem vítimas de ataques de força bruta de ataques distribuídos.

Saber mais

Ativar HTTPS

Com o HTTPS ativado, você pode criptografar e proteger o tráfego de rede entre o Synology NAS e os clientes conectados, o que protege contra formas comuns de interceptação ou ataques man-in-the-middle.

Vá para  Painel de controle  >  Rede  >  Configurações do DSM . Marque a caixa de seleção Redirecionar automaticamente conexões HTTP para HTTPS. Agora você se conectará ao DSM via HTTPS. Na barra de endereços, você notará que o URL do seu dispositivo começa com “https: //” em vez de “http: //”. Observe que o número da porta padrão para https é 443, enquanto http, por padrão, usa a porta 80. Se você já tinha determinadas configurações de firewall ou rede, pode ser necessário atualizá-las.

Saber mais

Avançado: personalizar regras de firewall

Um firewall serve como uma barreira virtual que filtra o tráfego de rede de fontes externas de acordo com um conjunto de regras. Vá para Painel de Controle  >  Segurança  >  Firewall para configurar regras de firewall para impedir a entrada não autorizada e controlar o acesso ao serviço. Você pode decidir se deseja permitir ou negar o acesso a determinadas portas de rede por endereços IP específicos, uma boa maneira de, por exemplo, permitir o acesso remoto a partir de um escritório específico ou permitir apenas o acesso a um serviço ou protocolo específico.

Saber mais

Dica 4: HTTPS Parte 2 - Vamos criptografar

Os certificados digitais desempenham um papel fundamental na ativação do HTTPS, mas geralmente são caros e difíceis de manter, principalmente para usuários não comerciais. O DSM possui suporte interno para o Let’s Encrypt, uma organização de emissão de certificados gratuita e automatizada, para permitir que qualquer pessoa proteja facilmente suas conexões.

Se você já possui um domínio registrado ou está usando DDNS, vá para Painel de Controle  >  Segurança >  Certificado .
Clique em Adicionar um novo certificado > Obtenha um certificado em Let’s Encrypt , para a maioria dos usuários, marque “Definir como certificado padrão” *. Digite seu nome de domínio para obter um certificado.

Depois de obter um certificado, verifique se todo o tráfego passa por HTTPS (conforme listado na Dica 3).

* Se você configurou seu dispositivo para fornecer serviços através de vários domínios ou subdomínios, precisará configurar qual certificado é usado por cada serviço em Painel de Controle  >  Segurança >  Certificado > Configurar

Vídeo tutorial do YouTube

Dica 5: desative a conta de administrador padrão

Os nomes de usuário comuns de administrador podem tornar seu Synology NAS vulnerável a partes mal-intencionadas que empregam ataques de força bruta que usam combinações comuns de nome de usuário e senha. Evite nomes comuns como “admin”, “administrador”, “root” * ao configurar o seu NAS. Recomendamos que você também defina uma senha forte e exclusiva logo após configurar o Synology NAS e desabilite a conta de administrador padrão do sistema **.

Se você estiver atualmente usando a conta de usuário “admin”, vá para Painel de Controle > Usuário e crie uma nova conta administrativa. Em seguida, efetue login usando a nova conta e desative o “admin” padrão do sistema.

* “Root” não é permitido como um nome de usuário.
** Se configurado usando um nome de usuário que não seja “admin”, a conta padrão já estará desativada.

Saber mais

Dica 6: força da senha

Uma senha forte protege seu sistema contra acesso não autorizado. Crie uma senha complexa que incorpore letras maiúsculas, dígitos e caracteres especiais de uma maneira que somente você possa lembrar.

Usar uma senha comum para muitas contas também é um convite para hackers. Se uma conta for comprometida, os hackers podem facilmente controlar suas outras contas. Isso acontece regularmente para sites e outros provedores de serviços. Recomendamos que você se inscreva em serviços públicos de monitoramento, como Eu já fui enviado ou o Firefox Monitor .

Se você tiver problemas para memorizar senhas complexas e exclusivas para contas diferentes, um gerenciador de senhas (como 1Password, LastPass ou Bitwarden) pode ser sua melhor solução. Você só precisa memorizar uma senha – uma senha mestra – e o gerenciador de senhas o ajudará a criar e preencher credenciais de login para todas as suas outras contas.

Se você administrar um Synology NAS que lida com autenticação *, poderá personalizar a política de senha do usuário para reforçar os requisitos de segurança de senha para todas as novas contas de usuário. Vá para Painel de controle  >  Usuário  >  Avançado e marque a caixa de seleção Aplicar regras de força da senha na seção Configurações de senha. A política será aplicada a qualquer usuário que criar uma nova conta.

* Opções semelhantes também estão disponíveis nos pacotes Servidor LDAP e Servidor de Diretório.

Saber mais

Dica 7: verificação em duas etapas

Se você deseja adicionar uma camada extra de segurança à sua conta, é altamente recomendável que você ative a verificação em duas etapas. Para impor a verificação em duas etapas na sua conta DSM e na conta Synology, você precisará de um dispositivo móvel e um aplicativo autenticador que suporte o protocolo TOTP (Time-One-Time Password). A entrada exigirá suas credenciais de usuário e um código de 6 dígitos, com tempo limitado, recuperado do Microsoft Authenticator, Authy ou de outros aplicativos autenticadores para impedir o acesso não autorizado.

Para a conta Synology, se você perdeu o telefone com o aplicativo autenticador *, pode usar os códigos de backup fornecidos durante a configuração da autenticação em duas etapas para entrar. É importante manter esses códigos seguros fazendo o download em algum lugar ou imprimindo-os. Lembre-se de manter esses códigos seguros, mas acessíveis.

No DSM, se você perder o autenticador, poderá redefinir a verificação em duas etapas como último recurso. Usuários pertencentes ao grupo de administradores podem redefinir a configuração.

Se todas as contas de administrador não estiverem mais acessíveis, você precisará redefinir as credenciais e as configurações de rede no seu dispositivo. Mantenha o botão RESET de hardware no NAS por cerca de 4 segundos (ouvirá um sinal sonoro) e inicie o Synology Assistant para reconfigurar o seu dispositivo.

* Alguns aplicativos de autenticação oferecem suporte a métodos de backup e restauração baseados em contas de terceiros. Avalie seus requisitos de segurança em comparação às opções de conveniência e recuperação de desastres.

** SHA, VMM, montagem automática de pasta compartilhada criptografada, várias configurações de segurança, contas de usuário e configurações de porta serão redefinidas. Leia mais sobre o processo de redefinição

Saber mais

Dica 8: Alterar portas padrão

Embora alterar as portas HTTP (5000) e HTTPS (5001) padrão do DSM para portas personalizadas não possa impedir ataques direcionados, pode impedir ameaças comuns que atacam apenas serviços predefinidos. Para alterar as portas padrão, vá para Painel de controle  >  Rede  >  Configurações do DSM e personalize os números das portas. Também é uma boa idéia alterar a porta SSH padrão (22) se você usa regularmente o acesso ao shell.

Você também pode implantar um proxy reverso para reduzir os vetores de ataque em potencial apenas a serviços da web específicos para aumentar a segurança. Um proxy reverso atua como um intermediário para comunicações entre um servidor interno (geralmente) e clientes remotos, ocultando determinadas informações sobre o servidor, como seu endereço IP real.

Saber mais

Dica 9: Desative o SSH / telnet quando não estiver em uso

Se você é um usuário avançado que geralmente requer acesso ao shell, lembre-se de desativar o SSH / telnet quando não estiver em uso. Como o acesso root é ativado por padrão e o SSH / telnet suporta apenas logins de contas de administrador, os hackers podem forçar sua senha com força bruta para obter acesso não autorizado ao seu sistema. Se você precisar que o serviço de terminal esteja disponível o tempo todo, recomendamos que você defina uma senha forte e altere o número da porta SSH padrão (22) para aumentar a segurança. Você também pode considerar aproveitar VPNs e limitar o acesso SSH apenas a IPs locais ou confiáveis.

Saber mais

Dica 10: Criptografar pastas compartilhadas

O DSM suporta a criptografia AES-256 de suas pastas compartilhadas para impedir a extração de dados contra ameaças físicas. Os administradores podem criptografar pastas compartilhadas recém-criadas e existentes.

Para criptografar pastas compartilhadas existentes, vá para Painel de controle  >  Pasta compartilhada e edite a pasta. Configure uma chave de criptografia na guia Criptografia e o DSM começará a criptografar a pasta. É altamente recomendável salvar o arquivo-chave gerado em um local seguro, pois os dados criptografados não podem ser recuperados sem a senha usada ou o arquivo-chave.

Saber mais

Dica bônus: Integridade dos dados

A segurança dos dados está intimamente ligada à consistência e precisão dos seus dados – integridade dos dados. A segurança dos dados é um pré-requisito para a integridade dos dados, pois o acesso não autorizado pode levar à violação ou perda de dados, tornando seus dados críticos inúteis.

Você pode tomar duas medidas para garantir a precisão e a consistência dos seus dados: ativar a soma de verificação dos dados e executar regularmente os testes SMART . Escrevemos sobre esses dois métodos de segurança em nossas postagens anteriores – verifique-os para obter mais informações.

Mais importante do que nunca

As ameaças online estão sempre evoluindo e a segurança dos dados precisa ser igualmente multifacetada. À medida que mais dispositivos conectados são introduzidos em casa e no trabalho, fica mais fácil para os cibercriminosos explorar brechas de segurança e obter acesso à sua rede. Manter-se seguro não é algo que você faz uma vez e depois esquece; é um processo contínuo.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *