Нещодавно певні користувачі пристроїв Synology зіткнулися з неприємною ситуацією: усі їхні файли на NAS (мережевому сховищі даних) виявилися зашифрованими. На жаль, деякі шкідливі програми-вимагачі проникли в їхні системи NAS, вимагаючи викуп за відновлення доступу до даних. Розглянемо, які заходи можна вжити, щоб забезпечити захист вашого NAS.
Як запобігти атаці програм-вимагачів
Компанія Synology попередила користувачів про випадки атак програм-вимагачів, які останнім часом зачепили багатьох. Зловмисники використовують методи грубої сили, намагаючись підібрати пароль доступу, шляхом перебору всіх можливих варіантів. Після того як їм вдається отримати доступ до мережевого пристрою зберігання даних, хакери шифрують усі файли і вимагають гроші за їх розшифрування.
Існує декілька стратегій, які ви можете застосувати для уникнення таких атак. Ви можете повністю відключити віддалений доступ, дозволивши підключення лише в межах вашої локальної мережі. Якщо вам потрібен віддалений доступ, можна налаштувати VPN для обмеження доступу до вашого NAS. Якщо ж VPN не є оптимальним рішенням (наприклад, через низьку швидкість з’єднання), можна посилити параметри віддаленого доступу.
Варіант 1: Відключення віддаленого доступу
Найбезпечнішим варіантом є повне відключення функцій віддаленого доступу. Якщо ви не можете отримати доступ до свого NAS віддалено, то й хакери не зможуть цього зробити. Хоча це може спричинити певні незручності у користуванні, якщо ви використовуєте NAS виключно вдома, наприклад для перегляду відео, відсутність віддаленого доступу може не стати для вас проблемою.
Сучасні пристрої Synology NAS мають функцію QuickConnect. Вона спрощує налаштування віддаленого доступу, усуваючи необхідність налаштування переадресації портів маршрутизатора.
Щоб скасувати віддалений доступ через QuickConnect, увійдіть до веб-інтерфейсу вашого NAS. Перейдіть в “Панель керування” і в розділі “Підключення” на бічній панелі знайдіть пункт “QuickConnect”. Зніміть позначку з опції “Увімкнути QuickConnect” і натисніть “Застосувати”.
Якщо ви налаштували переадресацію портів на маршрутизаторі для забезпечення віддаленого доступу, вам необхідно вимкнути ці правила. Для цього знайдіть IP-адресу свого маршрутизатора та увійдіть до його інтерфейсу.
Зверніться до інструкції вашого маршрутизатора, щоб знайти сторінку налаштування переадресації портів (інтерфейс у різних моделей може відрізнятися). Якщо у вас немає інструкції, спробуйте пошукати її в інтернеті, вказавши номер моделі та слово “інструкція”. Інструкція підкаже вам, де знаходяться правила переадресації. Вимкніть усі правила, що стосуються вашого NAS.
Варіант 2: Використання VPN для віддаленого доступу
Ми рекомендуємо не відкривати ваш Synology NAS для прямого доступу з інтернету. Проте, якщо вам потрібно підключатися віддалено, найкращим рішенням буде використання VPN (віртуальної приватної мережі). За наявності VPN-сервера ви не отримуватимете прямий доступ до NAS. Замість цього, ви будете спочатку підключатися до вашого маршрутизатора, який, у свою чергу, працюватиме так, ніби ви знаходитесь в одній мережі з NAS (тобто вдома).
Ви можете завантажити VPN-сервер для вашого Synology NAS з Центру пакетів. Знайдіть “vpn” і встановіть відповідний пакет VPN Server. При першому запуску сервера ви побачите варіанти протоколів PPTP, L2TP/IPSec та OpenVPN. Ми радимо використовувати OpenVPN, оскільки це найбільш безпечний варіант з цих трьох.
Ви можете залишити усі налаштування OpenVPN за замовчуванням. Однак, якщо вам потрібен доступ до інших пристроїв у вашій мережі під час підключення через VPN, потрібно активувати опцію “Дозволити клієнтам отримувати доступ до локальної мережі сервера” і натиснути “Застосувати”.
Після цього необхідно налаштувати переадресацію портів на вашому маршрутизаторі на порт, який використовує OpenVPN (за замовчуванням це 1194).
Для підключення до VPN з використанням OpenVPN вам знадобиться відповідний VPN-клієнт. Ми рекомендуємо OpenVPN Connect, який доступний для Windows, macOS, iOS, Android і навіть Linux.
Варіант 3: Максимальний захист віддаленого доступу
Якщо вам потрібен віддалений доступ, а VPN не підходить (можливо через низьку швидкість інтернету), слід максимально посилити захист вашого віддаленого доступу.
Для цього увійдіть до вашого NAS, перейдіть в “Панель керування”, а потім виберіть “Користувачі”. Якщо обліковий запис адміністратора за замовчуванням активний, створіть новий обліковий запис адміністратора (якщо його ще немає) і вимкніть обліковий запис адміністратора за замовчуванням. Обліковий запис адміністратора за замовчуванням є першим, на який зазвичай націлюються програми-вимагачі. Обліковий запис гостя зазвичай вимкнений за замовчуванням, і краще його таким залишити, якщо він вам не потрібен.
Переконайтеся, що всі облікові записи користувачів, створені вами для NAS, мають складні паролі. Рекомендується використовувати менеджер паролів для зручного зберігання та генерації паролів. Якщо ви дозволяєте іншим користувачам створювати облікові записи, переконайтеся, що вони також встановлюють надійні паролі.
Параметри налаштування паролів знаходяться на вкладці “Додатково” профілів користувачів у панелі керування. Необхідно активувати вимоги до використання різних регістрів, цифрових символів, спеціальних символів, а також заборонити використання загальних параметрів паролів. Для підвищення надійності пароля встановіть мінімальну довжину не менше восьми символів, але довші паролі завжди кращі.
Для запобігання атакам по словнику (методу, при якому зловмисник намагається швидко перебрати якомога більше паролів), активуйте автоматичне блокування. Ця опція автоматично блокує IP-адреси після певної кількості невдалих спроб входу протягом короткого проміжку часу. Автоматичне блокування ввімкнено за замовчуванням на новіших пристроях Synology, і його можна знайти в “Панель керування” > “Безпека” > “Обліковий запис”. Налаштування за замовчуванням блокують IP-адресу після 10 невдалих спроб входу протягом 5 хвилин.
Наостанок, розгляньте можливість увімкнення брандмауера Synology. Якщо брандмауер ввімкнено, з інтернету будуть доступні лише ті послуги, які ви явно дозволите у налаштуваннях брандмауера. Пам’ятайте, що при активованому брандмауері потрібно буде додати винятки для деяких програм, таких як Plex, та налаштувати правила переадресації портів, якщо ви використовуєте VPN. Налаштування брандмауера знаходяться в “Панель керування” > “Безпека” > “Брандмауер”.
Втрата даних та шифрування програм-вимагачів завжди є ризиком для NAS, навіть якщо ви вживаєте запобіжних заходів. Врешті-решт, NAS не є системою резервного копіювання, і найкраще, що ви можете зробити, — це створювати резервні копії даних за межами вашої мережі. У такому випадку, якщо трапиться найгірше (чи то атака програми-вимагача, чи поломка кількох жорстких дисків), ви зможете відновити свої дані з мінімальними втратами.