Tăng cường bảo mật cho NAS Sysnology

Tăng cường bảo mật cho NAS Sysnology

null

Bất cứ khi nào thiết bị NAS Synology kết nối internet, tin tặc và hacker đều có khả năng sẽ tấn công NAS Synology của bạn và truy cập trái phép vào dữ liệu. Bài viết này sẽ cung cấp cho bạn các phương pháp khác nhau để tăng cường cài đặt bảo mật của NAS Synology và bảo vệ nó khỏi bị tấn công.

Trước khi bắt đầu

Bài viết này giả định bạn đã hoàn thành các bước sau:

  • Hoàn thành cài đặt các thiết bị phần cứng của NAS Synology.
  • Cài đặt hệ điều hành Disk Station Manager (DSM) trên thiết bị NAS Synology.

Về an ninh

Security Advisor, một ứng dụng chạy trên DSM, sẽ quét NAS Synology của bạn, kiểm tra cài đặt DSM và cho lời khuyên về cách giải quyết điểm yếu bảo mật. Bạn có thể giữ NAS Synology của mình an toàn chỉ bằng cách làm theo hướng dẫn của cố vấn bảo mật.

Để quét thiết bị NAS Synology của bạn ngay:

  •  Đi tới Main Menu > Security Advisor > Overview.
  •  Click Scan.

 

 

  • Click Apply.

Đề cài đặt tự động lịch quét:

  • Đi tới Main Menu > Security Advisor > Advanced.
  • Tick vào lựa chọn Enable regular scan schedule ở mục chọn Scan Schedule. Lựa chọn thời gian quét từ danh sách xổ xuống.

Cấu hình thiết đặt quyền của người dùng DSM

Mặc định, tài khoản administrator của NAS Synology là admin và password trống. Do cài đặt mặc định này, các chi tiết đăng nhập của tài khoản này có thể dễ dàng đoán ra bởi các phần tử độc hại cố gắng đánh cắp từ NAS Synology của bạn. Do đó, để bảo vệ NAS Synology, chúng tôi khuyến nghị bạn nên đặt mật khẩu mạnh ngay sau khi thiết lập NAS Synology. Ngoài ra, bạn cũng có thể tạo tài khoản quản trị viên mới và vô hiệu hóa tài khoản mặc định của hệ thống.

Note:

  • Nếu bạn quên mật khẩu mới, bạn có thể đặt lại NAS Synology, cho phép bạn đăng nhập bằng thông tin đăng nhập mặc định của quản trị viên.
  • Khi bạn thêm nhiều người dùng vào NAS Synology, bạn có thể muốn kiểm soát những gì mỗi người dùng có thể truy cập trên NAS Synology. Có 2 cách để quản lý đặc quyền truy cập của người dùng :

Cài đặt theo nhóm:

Người dùng có thể được chỉ định trong các nhóm trong quá trình tạo người dùng mới. Mỗi cài đặt nhóm có thể được sửa đổi sau này. Các nhóm khác nhau có thể thiết lập các đặc quyền truy nhập khác nhau và người dùng trong các nhóm đó sẽ kế thừa các đặc quyền truy cập. Có một số loại đặc quyền truy cập bạn có thể đặt cho các nhóm:

    • Gán quyền thư mục dùng chung với các cấp sau:
      • No access: Nhóm không thể truy cập vào thư mục chia sẻ.
      • Read/Write: Nhóm có thể truy nhập và thay đổi thư mục chia sẻ.
      • Read only: Nhóm có thể truy cập thư mục chia sẻ nhưng không thể thay đổi thư mục.
    • Thiết lập giới hạn sử dụng của nhóm.
    • Cấu hình đặc quyền truy cập của nhóm vào các ứng dụng. Có ba lựa chọn:
      • Allow: Nhóm có thể truy cập ứng dụng.
      • Deny: Nhóm không thể truy cập ứng dụng.
      • By IP: Quản lý quyền truy cập theo địa chỉ IP.
    • Kích hoạt giới hạn tốc độ của nhóm cho các dịch vụ khác nhau.

Theo cài đặt riêng:

Quyền truy cập của người dùng đối với các thư mục và ứng dụng được chia sẻ được xác định bởi các nhóm chứa user. Tuy nhiên bạn có thể sửa đổi thêm các đặc quyền truy cập của nó bằng cách tới Main Menu > Control Panel > User, lựa chọn user và click Edit.

Thiết lập quy tắc độ mạnh mật khẩu

Một số quy tắc xác thực mật khẩu có thể được bật để giảm nguy cơ tin tặc xâm nhập vào tài khoản người dùng.

Note:

  • Quy tắc độ mạnh mật khẩu chỉ áp dụng khi người dùng mới được tạo hoặc khi người dùng thay đổi mật khẩu sau khi quy tắc được thiết lập. Khi import người dùng, mật khẩu của người dùng đã nhập sẽ không được kiểm tra theo các quy tắc. Các quy tắc sẻ chỉ áp dụng khi người dùng thay đổi mật khẩu sau khi quy tắc được thiết lập.

Cách thiết lập:

Đi tới Main Menu > Control Panel > User.

 

Đi tới trang Advanced. Tick vào Apply password strength rules và kích hoạt bất kỳ quy tắc nào sau đây:

 

tang do manh mat khau

 

  • Exclude name and description of user from password: Mật khẩu không được chưa tên hoặc mô tả người dùng, nhưng mã hóa ký tự UTF-8 được loại trừ.
  • Include mixed case: Cho phép các ký tự trộn trong mật khẩu.
  • Include numeric characters: Mật khẩu phải bao gồm ít nhất một ký tự số (0~9).
  • Include special characters: Mật khẩu phải bao gồm ít nhất một ký tự đặc biệt trong bảng mã ASCII (VD, ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ‘, “, <, >, /, ?).
  • Exclude common password: Mật khẩu không thể là mật khẩu phổ biết như 123 hoặc abc.
  • Minimal password length: Mật khẩu phải dài hơn giá trị này. Độ dài của mật khẩu là số trong khoảng 6 tới 127.
  • Password history (times): Số lượng được chỉ định xác định số lần người dùng sẽ bị cấm sử dụng mật khẩu cũ.

Click Apply để lưu lại cấu hình.

Mật khẩu hết hạn

Bạn có thể tăng cường bảo mật tài khoản người dùng bằng chức năng hết hạn mật khẩu để buộc người dùng thay đổi mật khẩu sau khoảng thời gian được chỉ định. Để thiết lập lịch trình hết hạn mật khẩu:

Tick vào Enable password expiration.

Các tùy chọn sau có thể cấu hình:

    • Maximum password valid duration (days): Chỉ định số ngày sau đó mật khẩu sẽ hết hạn.
    • Minimum password valid duration (days): Tick vào mục chọn để chỉ định số ngày trước đó người dùng không được phép thay đổi mật khẩu của họ.
    • Prompt users to change passwords upon login before expiration (days): Tick vào mục chọn để chỉ định số ngày trước khi mật khẩu hết hạn. Người dùng sẽ được nhắc nhở thay đổi mật khẩu khi đăng nhập.
    • Allow users to change password after expiration: Tick vào mục chọn để cho phép user đăng nhập bằng mật khẩu đã hết hạn và thay đổi mật khẩu của họ..
    • Send expiration notification emails: Tick vào mục chọn để thông báo cho người dùng hết hạn mật khẩu qua mail

 

luu cau hinh

Click Apply để lưu cấu hình.

Bảo vệ tài khoản của bạn bằng xác minh 2 bước

Xác minh 2 bước cung cấp thêm lớp bảo mật bổ sung cho tài khoản DSM của bạn. Nếu xác minh 2 bước được bật, bạn sẽ cần nhập mã xác minh một lần bên cạnh mật khẩu của mình khi đăng nhập vào DSM. Bạn có thể lấy mã xác minh bằng các ứng dụng xác thực bằng các ứng dụng xác thực được cài đặt trên thiết bị di động của bạn. Do đó, nếu ai đó muốn truy cập vào tài khoản của bạn, anh ta sẽ cần thêm thiết bị di động của bạn. Yêu cầu:

  • Xác thực 2 bước yêu cầu thiết bị di động và ứng dụng xác thực hỗ trợ giao thức Time-based One-Time Password (TOTP). Các ứng dụng xác thực bao gồm Google Authenticator (Android/iPhone/BlackBerry) hoặc Authenticator (Windows Phone).

Để bật xác minh 2 bước: 1. Trong mục Options menu, click Personal.

Tick vào mục chọn Enable 2-step verification để chạy thiết lập xác minh 2 bước. Click Next.

Nhập địa chỉ email. Mã xác minh khẩn cấp có thể được gửi đến địa chỉ email này trong trường hợp thiết bị di động của bạn bị mất. Click Next.

 

 

Trên thiết bị di động của bạn, tải xuống và cài đặt ứng dụng xác thực, ví dụ như Google Authenticator (Android/iPhone/BlackBerry) hoặc Authenticator (Windows Phone).

Mở ứng dụng xác thực và quét mã QR code.

 

Ngoài ra bạn có thể nhấp vào địa chỉ liên kết để nhập khóa bí mật theo cách thủ công. Click OK để đóng cửa sổ.

 

Tiếp theo, ứng dụng xác thực của bạn tạo ra mã xác thực gồm 6 chữ số.Nhập mã này vào trường xác thực cài đặt xác minh 2 bước trên DSM để xác nhận cấu hình này là chính xác. Nếu xảy ra lỗi, vui lòng đảm bảo thời gian hệ thống của thiết bị di động của bạn được đồng bộ hóa với thời gian hệ thống của DSM. Ngoài ra mã xác minh được cập nhật định kỳ, vì vậy hay đảm bảo mã bạn đã nhập chưa hết hạn. Click Next.

Click Close để kết thúc cài đặt.Ket thuc cai dat

Khi trình hướng dẫn kết thúc, click OK để lưu lại cài đặt.Lưu để kết thúc cài đặt

 

Để đăng nhập vào DSM bằng xác minh 2 bước:

Khi bật xác minh 2 bước, bạn sẽ được nhắc nhở nhập mã xác minh gồm 6 chữ số khi đăng nhập DSM. 1. Trên màn hình login DSM, nhập username và password.Đăng nhập

Khi được nhắc nhập mã xác thực, hãy mở ứng dụng xác thực trên thiết bị di động của bạn. Tìm và nhập mã xác minh gồm 6 chữ số cho tài khoản của bạn. Note: Nếu thiết bị di động của bạn bị mất, bạn có thể click Lost your phone? Và một mã khẩn cấp sẽ được gửi đến địa chỉ email của bạn.

SMTP Settings:

  • Để nhận mã khẩn cấp qua email, cài đặt máy chủ SMTP được tìm thấy trong Main Menu > Control Panel > Notificationphải được thiết lập.
  • Emergency Code Limit: Mỗi người dùng có giới hạn 5 mã khẩn cấp. Nếu bạn vượt quá giới hạn, bạn sẽ cần phải tắt và bật xác minh 2 bước trước khi nhận thêm bất kỳ mã khẩn cấp nào.

Bật tự động chặn và bảo vệ tài khoản

  • Auto block: Chặn một địa chỉ IP sau một số lần đăng nhập thất bại được xác định trước. Tự động chống lại truy cập trái phép. Số lần đăng nhập bao gồm tất cả các lần đăng nhập thất bại thông qua SSH, Telnet, rsync, Network Backup, Shared Folder Sync, FTP, WebDAV, Synology mobile apps, File Station, và DSM.
  • Bật chế độ chặn IP tự động.
  • Đi tới Main Menu > Control Panel > Security > Account.
  • Tick Enable auto block phía dưới Auto Block.
  • Nhập số cho các lần thử đăng nhập Login attempts trong vòng bao nhiêu phút Within (minutes) để chặn địa chỉ IP sau số lần đăng nhập thất bại được xác định trước trong số phút đã chỉ định.
  • Tick Enable block expiration và nhập số để xóa địa chỉ IP bị chặn sau số ngày được chỉ định.
  • Click Apply
  • Bạn có thể quản lý hoặc xóa địa chỉ IP bị chặn bằng cách nhấp vào Allow/Block List.

Chặn IP tự động

 

Bảo vệ tài khoản: Cải thiện tính bảo mật của NAS Synology bằng cách bảo vệ tài khoản khỏi các máy khách không đáng tin cậy quá nhiều lần thử đăng nhập thất bại. Bảo vệ tài khoản giúp bạn giảm nguy cơ tài khoản bị phá vở bởi các cuộc tấn công.

Kích hoạt bảo vệ tài khoản:

  • Đi tới Main Menu > Control Panel > Security > Account.
  • Tick vào mục chọn Enable Account Protection. Click Apply.

Kích hoạt bảo vệ tài khoản

Note:

  • Hỗ trợ bảo vệ tài khoản theo dịch vụ và gói: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station, và Synology mobile apps.

Kích hoạt kết nối HTTPS

HTTPS là một cách tương tác an toàn với NAS Synology bằng cách sử dụng HTTP. Khi kết nối HTTPS được bật, kết nối tới DSM, Web Station, Photo Station, File Station, Audio Station, và Surveillance Station sẽ mã hóa sử dụng SSL/TLS. Điều này có nghĩa kết nối của bạn tới NAS Synology sẽ được bảo mật.

Dịch vụ FTP an toàn

NAS Synology hỗ trợ bảo mật FTP khi dịch vụ FTP được bật.

Chỉ mở các cổng công cộng cho các dịch vụ cần thiết trên bộ định tuyến

NAS Synology được thiết kế để dễ dàng truy cập qua Internet. Tính năng EZ-Internet của nó hướng dẫn các bước để thiết lập quyền truy cập từ xa vào NAS Synology của bạn. Nếu bộ định tuyến của bạn không được EZ-Internet hỗ trợ, NAS Synology cũng có thể cho phép bạn cấu hình cài đặt không cần EZ-Internet Wizard. Để đảm bảo an toàn cho NAS Synology, chúng tôi khuyến nghị chỉ nên mở các cổng công cộng cho các dịch vụ cần thiết trên bộ định tuyến.

Kích hoạt bảo vệ DoS

Bạn có thể bật bảo vệ Denial-of-service (DoS) để ngăn chặn các cuộc tấn công độc hại qua internet.

Kích hoạt bảo vệ DoS:

  • Đi tới Main Menu > Control Panel > Security > Protection.
  • Tick vào mục chọn Enable DoS protection. Click Apply.

 

kích hoạt bảo vệ DoS

Note:

  • Sau khi bật bảo vệ DoS, NAS Synology sẽ phản hồi mỗi gói tin ICMP mỗi giây. Nếu tần số cao hơn một giây mỗi lần, NAS Synology sẽ không đáp ứng yêu cầu phản hồi.

Thay đổi cổng quản lý mặc định

Bạn có thể tùy chỉnh các cổng để chặn các đăng nhập độc hại. Sau đây là các cổng mặc định:

  • HTTP: 5000
  • HTTPS: 5001
  • SSH: 22

 Thay đổi cổng HTTP/HTTPS mặc định:

  • Đi tới Main Menu > Control Panel > Network > DSM Settings.
  • Nhập số port bạn cần thay đổi ở trường HTTP hoặc HTTPS. Click Apply.

thay đổi cổng HTTP

Thay đổi cổng SSH mặc định:

  • Đi tới Main Menu > Control Panel > Terminal & SNMP > Terminal.
  • Tick vào mục chọn Enable SSH service.
  • Nhập số port bạn cần thay đổi ở trường Port. Click Apply.thay đổi SSH mặc định

Bật chế độ ẩn danh của trình duyệt hoặc sử dụng tính năng duyệt khách khi truy cập NAS Synology bằng máy tính công cộng

Bất cứ khi nào bạn duyệt ở chế độ ẩn danh, các trang bạn xem sẽ không xuất hiện trong lịch sử trình duyệt hoặc lịch sử tìm kiếm, sẽ không để lại dấu vết như cookie, sau khi bạn đóng cửa sổ ẩn danh. Do đó chúng tôi khuyến khích người dùng kích hoạt chế độ ẩn danh của trình duyệt khi truy cập NAS Synology trên máy tính công cộng.

  • Mozilla Firefox
  • Microsoft Edge
  • Google Chrome

truy cập ẩn danh bằng máy tính công cộng

Hy vọng qua bài viết này các bạn sẽ có thể tăng cường nâng cao việc bảo vệ dữ liệu của mình. Nếu có bất kỳ thắc mắc cũng như cần hỗ trợ đừng ngần ngại hãy liên hệ với chúng tôi để được hỗ trợ sớm nhất.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn