Nas-enhet med öppen hårddisksläde
Foto: Depositphotos

10 tips som gör din Synology-Nas säker

Igår rapporterade vi om den förhöjda hotbilden mot Nas-enheter (fillagringsenheter) och risken för att de drabbas av utpressningstrojaner. Webbtidningen Sweclockers plockade upp nyheten, vilket i sin tur genererade flera följdfrågor som vi besvarade i Sweclockers forum.

Idag följer vi upp gårdagens artikel med tio tips på hur du som Nas-administratör bör konfigurera din Nas för att hålla den säker. Våra beskrivningar utgår från Nas-modeller som kör vårt rekommenderade Nas-operativsystem Synology DSM, men tipsen i sig är allmängiltiga för alla Nas-enheter.

Observera att detta inte är en fullständig konfigurationsguide för hur Synology DSM bör ställas in. Ifall det finns intresse för en sådan guide kan vi lägga upp det i videoformat på Nikka Systems Academy (hojta till via sociala medier om det är önskat så att vi får en uppfattning om intresset).

Översikt

  1. Håll operativsystemet uppdaterat
  2. Aktivera automatisk uppdatering av operativsystem
  3. Aktivera automatisk uppdatering av tilläggspaket
  4. Kräv starka lösenord
  5. Kräv tvåstegsverifiering
  6. Öppna enbart nödvändiga portar
  7. Spärra IP-adresser som testar lösenord
  8. Aktivera Let’s encrypt
  9. Installera antivirus
  10. Säkerhetskopiera alla viktiga filer

1. Håll operativsystemet uppdaterat

Det absolut viktigaste är att hålla Nas-enhetens operativsystem uppdaterat. Precis som med alla andra operativsystem upptäcks det ständigt nya sårbarheter som i sin tur åtgärdas genom uppdateringar.

Synology DSM:s uppdateringsinställningar
Håll Nas-enhetens operativsystem uppdaterat.

Tyvärr slarvar vissa Nas-tillverkare med att släppa nödvändiga uppdateringar till modeller som inte längre säljs. Långt ifrån alla tillverkare är lika duktiga som Synology (de underhåller fortfarande åtta år gamla Nas-modeller). Det gör att många äldre Nas-enheter står lämnade åt sitt öde.

När en Nas-enhet slutar få säkerhetsuppdateringar bör dess internetexponering blockeras. Vi rekommenderar självfallet att då byta ut Nas-enheten, men förstår samtidigt om det är förenat med en för stor kostnad. Det viktiga är då att endast använda Nas-enheten i det lokala nätverket, så att den inte kan utsättas för attacker över internet. För att komma åt dess filer på distans måste då en VPN-tunnel till en VPN-kompatibel router/brandvägg användas.

Ytterligare ett problem i sammanhanget är att få Nas-tillverkare en uttalad ”end-of-life-policy” som informerar kunderna om när produkterna går ur tiden. En tumregel i sammanhanget är att Nas-modeller som inte har uppdaterats på över ett år bör antas vara sårbara och inte längre underhållna.

2. Aktivera automatisk uppdatering av operativsystem

En Nas är typexemplet på en internetansluten produkt som gärna ”glöms bort i en garderob”. Den har sällan något praktiskt sätt att informera sin administratör om att det finns nya operativsystemsuppdateringar tillgängliga. Det är oftast endast via webbgränssnittet som notiser om uppdateringar dyker upp, och hjälper föga om administratören inte loggar in på regelbunden basis.

Vi rekommenderar att antingen schemalägga underhåll av Nas-enheten på månadsbasis (exempelvis den andra tisdagen varje månad i samband med släppet av Windows-uppdateringar) eller att aktivera automatiska uppdateringar. Vilket som är lämpligast beror på vad Nas-enheten används till.

Synology DSM:s schemaläggning för operativsystemsuppdateringar
Aktivera automatiska uppdateringar av Nas-enhetens operativsystem.

3. Aktivera automatisk uppdatering av tilläggspaket

Det är inte bara Nas-enhetens operativsystem som måste hållas uppdaterat. Samma sak gäller alla tilläggspaket som installeras för att berika Nas-enhetens funktion. Precis som med operativsystemet kan dessa uppdateringar antingen skötas manuellt eller automatiseras.

Synology DSM:s pakethanterare
Aktivera automatiska uppdateringar av Nas-enhetens tilläggspaket.

Tilläggspaket som inte längre används bör för övrigt inaktiveras och avinstalleras. Ju fler tilläggspaket som körs, desto större blir antalet potentiella sårbarheter och därmed attackytan. En välkommen bonus i sammanhanget är att onödiga tilläggspaket stjäl prestanda som går att återfå genom att avinstallera dem.

4. Kräv starka lösenord

Som vi nämnde i gårdagens artikel är det inte genom operativsystemssårbarheter som Synologys Nas-enheter nu infekteras med utpressningstrojaner. Det är istället genom svaga lösenord. Angriparnas botnätverk testar helt enkelt de vanligaste lösenorden.

Administrationskontot är av förklarliga skäl det viktigaste kontot att skydda med ett starkt lösenord (läs ”långt lösenord”). Samtliga konton är dock skyddsvärda eftersom en utpressningstrojan kan utpressningskryptera alla filer som en kapad användare har skrivrättigheter till. Det är därför lämpligt att instifta starka lösenordskrav för alla användare, vilket i Synology DSM kan forceras från Nas-enhetens användarinställningar i Kontrollpanelen. Mer information om starka lösenord finns i Bli säker-boken.

Synology DSM:s lösenordskrav för användare
Kräv starka lösenord.

I samband med detta är det även värt att se över vilka rättigheter som olika användare har. Genom att använda gruppfunktionen går det snabbt och smidigt att dela upp användare så att ingen har åtkomst till fler resurser än de absolut behöver. Kom ihåg att inget användarkonto som har administratörsrättigheter får användas i dagligt bruk. Alla Nas-enheter ska därför ha minst två användarkonton (ett med administratörsrättigheter och ett utan sådana).

Ett bonustips i sammanhanget är att skapa ett nytt administrationskonto med ett annat användarnamn än admin och därefter inaktivera det ursprungliga administrationskontot.

5. Kräv tvåstegsverifiering

Lösenord är en bristfällig autentiseringsmetod. Den bör därför kompletteras med tvåstegsverifiering i så många fall som möjligt. Synology DSM har inbyggt stöd för tvåstegsverifieringsmetoden som vi kallar Google Authenticator-metoden, så att det både krävs rätt lösenord och en sexsiffrig tvåstegsverifieringskod för att logga in. Tvåstegsverifieringskoden genereras från en mobilapp och är endast giltig i 30 sekunder, så att ingen angripare har nytta av gamla läckta tvåstegsverifieringskoder. Detta är samma metod som bland annat Facebook, Dropbox, Slack och Nikka Systems Academy använder. Mer information om tvåstegsverifiering med Google Authenticator och andra metoder finns i Bli säker-boken.

I Synology DSM kan användarna aktivera tvåstegsverifiering för sina egna konto med några simpla knapptryck. Administratören kan också kräva att användarna aktiverar tvåstegsverifiering, vilket antingen kan göras för samtliga användare eller enbart användare med administratörsrättigheter (administrationskontot är som vanligt det viktigaste att skydda). Inställningen görs från användarinställningarna i Kontrollpanelen.  

Synology DSM:s tvåstegsverifieringsinställningar
Kräv tvåstegsverifiering, åtminstone för användare med administratörsrättigheter.

6. Öppna enbart nödvändiga portar

Olika tjänster använder olika portar. I routerns brandväggsinställningar kan routeradministratören välja vilka portar och därmed vilka tjänster som ska vara tillgängliga över internet. Grundregeln är att låta så få portar som möjligt vara öppna och att aldrig öppna en port utan att det finns en god anledning.

I exemplet på bilden tillåter vi endast portarna för HTTP- och HTTPS-trafik, det vill säga port 80 och port 443. En lista över vilka portar som olika tjänster använder finns på Synologys webbplats.

Portkonfiguration för Synology-Nas i Zyxel Nebula
Öppna enbart nödvändiga portar.

Ett bonustips i sammanhanget är att ändra portnumren så att inte standardportnumren används. Botarna som letar efter sårbara Nas-enheter testar i första hand standardportarna. Vilka portnummer som ska användas definieras i Nas-inställningarna för respektive tjänst. Det går också att låta routerbrandväggen växla portnummer så att egenpåhittade portnummer används externt medan standardportnummer används internt.

7. Spärra IP-adresser som testar lösenord

Botar som försöker attackera Nas-enheter genom ordlisteattacker är lätta att blockera. Det görs genom att spärra IP-adresserna för besökare som anger fel lösenord för många gånger. Hur många försök en besökare ska få är egentligen av mindre betydelse. Så länge det endast rör sig om någon handfull försök skyddar blockeringen tillräckligt effektivt.

Synology DSM:s inställningar för IP-adressblockering
Spärra angriparnas IP-adresser.

8. Aktivera Let’s encrypt

För att en Nas ska få vara tillgänglig över internet måste den stödja säkra HTTPS-anslutningar. Detta är ett faktum och inte något som är öppet för diskussion i undertecknads ögon. Det är samtidigt problematiskt för många Nas-ägare eftersom inte alla Nas-operativsystem stödjer Let’s encrypt (Synology DSM har inbyggt stöd).

Med Let’s encrypt kan administratören få certifikatet som krävs för att stödja säkra HTTPS-anslutningar helt kostnadsfritt. Utan Let’s encrypt måste certifikatet köpas från en certifikatutfärdare, vilket är förknippat med en årlig kostnad. Installation av ett köpt certifikat är inte heller någon barnlek för lekmän, medan aktivering med Let’s encrypt i Synology DSM enbart kräver några knapptryck.

Synology DSM:s aktiveringsguide för Let's encrypt
Aktivera Let’s encrypt för säkra anslutningar.

Med ett certifikat på plats bör dessutom alla osäkra HTTP-anslutningar automatiskt uppgraderas till säkra HTTPS-anslutningar. I Synology DSM ligger inställningen för detta i Kontrollpanelens nätverksflik under DSM-inställningar.

9. Installera antivirus

Det är inte bara datorer som behöver antivirusprogram. Samma sak gäller filservrar. Synology DSM har ett kostnadsfritt tilläggspaket vid namn Antivirus Essential som bör installeras. Det kan schemaläggas så att det genomsöker Nas-enhetens system och filresurser på regelbunden basis. Genomsökningen bör förläggas på tider då Nas-enheten inte används eftersom den tar en hel del systemresurser i anspråk (gäller framförallt på klenare konsumentmodeller).

Tilläggspaketet Synology Antivirus Essential
Installera antivirus och schemalägg regelbunden genomsökning.

Det är inte alla Nas-operativsystem som har antivirustilläggspaket. Då är det en god idé att istället låta en dator i det lokala nätverket genomsöka Nas-enheten på regelbunden basis. Detta är fyller tyvärr inte riktigt samma funktion eftersom datorn enbart kan genomsöka filresurser (inte själva Nas-systemet). Ett antivirusprogram på själva Nas-enheter är därför att föredra.

10. Säkerhetskopiera alla viktiga filer

När allt kommer till kritan är det goda säkerhetskopieringsrutiner som är det allra viktigaste. Om olyckan skulle vara framme finns det inget som skyddar lika väl som säkerhetskopior. Många Nas-enheter har inbyggda säkerhetskopieringsprogram som kan ladda upp kopior av de viktigaste filerna till molnlagringstjänster. Här är det dock viktigt att särskilja säkerhetskopiering från molnsynkronisering. Med molnsynkronisering synkroniseras alla ändringar av filerna, inklusive eventuell utpressningskryptering av filerna. Synology DSM stödjer båda principerna (var noga med att välja rätt).

Synology DSM har också ett tilläggspaket som kallas Hyper Backup. Hyper Backup gör det möjligt att säkerhetskopiera Nas-enheten till en annan Nas-enhet. I konsumentsammanhang är det en utmärkt lösning om två vänner har varsin Synology-Nas, i och med att de då kan säkerhetskopiera till varandra. Säkerhetskopiorna överförs i krypterad form så att vännerna inte kan komma åt innehållet i varandras säkerhetskopior.

Tilläggspaketet Synology Hyper Backup
Aktivera säkerhetskopiering med Hyper Backup.

I företagssammanhang kan Hyper Backup användas för att säkerhetskopiera mellan Nas-enheter i olika filialer. Hyper Backup stödjer också säkerhetskopiering till bland annat Amazon S3, Microsoft Azure och Synologys egen tjänst Synology C2.

Obs! En vanligt förekommande missuppfattning är att Raid ersätter behovet av säkerhetskopiering. Det gör det inte. Raid skyddar mot hårddiskkrascher och inget annat. Endast goda säkerhetskopieringsrutiner skyddar mot utpressningstrojaner, brand och inbrott.

Bonustips: Kör Security Advisor

Som Nas-administratör kan alla säkerhetsinställningar snabbt bli oöverskådliga. I Synology DSM finns därför ett inbyggt verktyg som kallas Security Advisor. Det går igenom alla säkerhetsinställningar och meddelar ifall det finns någon inställning som bör ändras. Security Advisor är således ett bra verktyg att ha till hands för att veta om det är något som behöver fixas akut.

Synologys verktyg Security Advisor
Ta hjälp av Security Advisor för att hitta säkerhetsrelaterade konfigurationsproblem.

Tyvärr har Security Advisor en del utdaterade rekommendationer kring lösenord. Verktyget rekommenderar exempelvis att kräva blandade teckentyper och periodiska lösenordsbyten. Båda dessa åtgärder är utdömda av såväl Nist som Microsoft. Läs mer om goda och dåliga lösenordsrekommendationer i Bli säker-boken.

Denna guide och dess bilder är publicerad under CC-BY 4.0-licens (gäller ej eventuella bildbanksbilder där annan fotograf är angiven).

Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

2 kommentarer

  1. Karl Emil Nikka

    Bra tilläggstips från Synology-gruppen på Facebook (omformulerat för kontexten):

    Inaktivera gästkontot om du inte är 100 % säker på att du behöver det. Öppna kontrollpanelen, gå till Användare-fliken och välj att inaktivera Guest. Kontot är inaktiverat som standard, åtminstone på Nas-enheter som levereras med DSM 6.2.

  2. Karl Emil Nikka

    Bra tilläggstips från Synology-gruppen på Facebook (omformulerat för kontexten):

    Höj lägsta SMB-versionen från dagens sårbara SMB 1 till minst SMB 2. Öppna Kontrollpanelen, välj Filtjänster och klicka på Avancerade inställningar.

Kommentera

Få Bli säker-nyheterna till din inkorg en gång per vecka. Läs mer.

Barnbarn hjälper mormor med datorproblem.

Podd #87: Hjälp på distans

Hur kan vi hjälpa våra vänner med IT-säkerhetsrelaterade datorproblem på distans? I veckans podd tipsar vi om tre kostnadsfria lösningar för Windows och Mac OS.

Man med paraply ser Firefox Send-logotypen

Firefox Send kom aldrig tillbaka

I början av sommaren stängdes Firefox Send tillfälligt. Den temporära nedstängningen blev tyvärr en permanent sådan. Fildelningstjänsten kommer inte tillbaka.