¿Qué tipo de problemas pueden ocurrir si varios NAS fallan al mismo tiempo? ¿Es causado por un ataque?
1. Prólogo
Creo que muchos amigos que juegan NAS se han sorprendido o incluso asustado por una noticia reciente. La noticia decía: "¡Los 5 millones de fanáticas de Bilibili fueron chantajeadas por piratas informáticos y les pidieron que pagaran para redimir a la" gente "! Altos expertos en seguridad: no hay solución". El cartel probablemente leyó las noticias y el contenido general es: El propietario del video construyó un NAS a través de Windows Server para que el estudio pudiera trabajar en conjunto al procesar videos y otros archivos. Al mismo tiempo, se publicó en Internet y al día siguiente fue atacado por el conocido ransomware Buran. Luego, por supuesto, los archivos están cifrados y a la espera de ser pagados.
A partir de la información en Internet, adiviné aproximadamente cómo fue atacada. Primero, puse el NAS en la red pública y usé una contraseña relativamente simple, lo que provocó el ataque y obtuve la contraseña por agotamiento de la contraseña (suponiendo que TI no estableció la cantidad de intentos de contraseña permitidos). Por supuesto, otra razón es que utiliza Windos Server. Todo el mundo sabe que los sistemas Windows tienen relativamente más virus ransomware.
Después de ver esta noticia, revisé y probé rápidamente la configuración y la implementación de mi NAS, y confirmé que la configuración y el uso de mi NAS eran relativamente seguros (no existe seguridad absoluta en el mundo).
Creo que muchos estudiantes no saben cómo garantizar la seguridad del NAS cuando lo utilizan. O no sabe si la configuración y el uso de su NAS son seguros. A continuación, el autor compartirá con usted cómo garantiza la seguridad de su NAS.
Dado que el póster utiliza Qunhui, presentaré cómo utilizar Qunhui NAS de forma segura en tres partes: implementación, configuración y uso. El requisito previo es que la configuración y los ajustes del sistema NAS también sean más o menos. O menos o menos, puedes compararlo tú mismo.
2. Implementación segura
1. Trate de no usar NAS negro
Esto no es para blanquear a todos (el cartel tampoco acepta proveedores de NAS) Tarifas de publicidad), pero de hecho existen muchos riesgos potenciales al utilizar grupos negros, ya sea software o hardware. Por lo tanto, se recomienda que todos compren un NAS normal, que es más confiable. Después de todo, el proveedor de servicios todavía tiene muchos expertos en seguridad preocupándose silenciosamente por nuestros datos detrás de escena. Dando un paso atrás, si un día Qunhui o Tieweima son atacados por un virus, ¿cómo es posible que millones de usuarios no se quejen con él?
2. Exponerlo de forma segura a la red pública
Antes de hablar de este tema, me gustaría enfatizar que "si no hay un requisito estricto, aún así recomendamos que no lo hagas". exponer su implementación NAS a la red pública. Esta es la forma más segura. "No existe una estrategia única". Por supuesto, los estudiantes que usan NAS no deben estar expuestos a la red pública, de lo contrario será muy incómodo de usar. Por esta razón, el autor ha resumido y comparado las siguientes soluciones de exposición a redes públicas para todos.
A. Métodos de uso de proveedores de servicios NAS
Por ejemplo, todos deberían tener claro acerca de Qunhui, que proporciona oficialmente QuickConnect. A través de esta función, podrás acceder directamente al NAS de tu hogar desde la red externa sin necesidad de una dirección IP pública o DDNS.
Desventajas: Más lento y más dependiente del servidor de Qunhui.
Ventajas: Sencillo y relativamente seguro.
En cuanto a otros propietarios de NAS, no lo he usado, pero es lógico que tengan funciones similares.
B. Uso de TeamViewer
TeamViewer (un software de asistencia remota rápido y conocido) ahora es compatible con Qunhui. Es decir, puede abrir TeamViewer en Qunhui y luego usar el cliente TeamViewer para acceder de forma remota a su NAS desde la red externa. El autor no ha probado este método, pero según la experiencia de utilizar la versión de escritorio de TeamViewer, su velocidad no debería ser un problema.
Ventajas: Alta velocidad
Desventajas: No se puede acceder a la aplicación NAS. Por ejemplo, ya no podrá utilizar las distintas aplicaciones proporcionadas por Qunhui en Internet.
C. Acceso configurando NPV (muy recomendado)
Este es también el método utilizado actualmente por el cartel.
Primero, suponga que hay un servidor NPV en su propia casa, y luego la red externa ingresa primero a la intranet doméstica a través de la conexión NPV, y luego puede acceder a todos los servicios NAS como la intranet. La contraseña NPV y la contraseña de inicio de sesión del NAS deben ser contraseñas seguras.
Configuración de VPN: El requisito previo es tener una IP pública y usar DDNS (no explicaré el método específico, parece que hay muchos en línea). El VPN se puede configurar a través de un enrutador (generalmente disponible en enrutadores) o el propio servidor VPN de Qunhui. También se recomienda utilizar Open NPV en lugar de PPTP o L2TP. Debido a que Open NPV es más seguro, garantiza que todas sus comunicaciones estén cifradas de forma segura y no serán atacadas ni robadas por un intermediario. Hay muchos métodos para construir Open NPV a través del servidor NPV de Qunhui en Internet, solo busque con atención.
Ventajas: rápido, seguro (autenticación de seguridad de dos capas NPV+NAS)
Desventajas: complejo de configurar, acceso relativamente problemático (debe conectarse primero a NPV cada vez )
p>
D. Exponer directamente el puerto de servicio NAS a la red pública (extremadamente no recomendado)
Esto es lo mismo que el método C y requiere una IP pública y DDNS. Sin embargo, no es necesario reducir el VAN. En cambio, el servicio NAS se expone directamente a la red pública mediante la configuración de un servidor de máquina virtual en el enrutador. De esta forma, podrá acceder directamente al NAS desde el exterior a través de la IP pública (nombre de dominio) + puerto expuesto.
Ventajas: Rápido, fácil de usar
Determinación: Inseguro, el servicio NAS es propenso a ataques de escaneo, ataques de agotamiento de contraseñas, etc.
Solución recomendada: Solución NPV>Solución del proveedor de servicios>Solución TeamViewer
3. Configuración de seguridad
1. Encienda el firewall del enrutador
> Todos deben activar varios firewalls en sus enrutadores para evitar ataques. Es más confiable comprar un enrutador mejor. Se recomienda utilizar un enrutador comercial, que es más caro, pero más estable y seguro.
2. Exponer servicios al exterior a través de servidores virtuales
Exponer servicios al exterior, como la exposición directa NAS o la exposición NPV anteriores. Se recomienda utilizar un servidor virtual en el enrutador para convertir el puerto de la red externa al puerto de la red interna mediante la conversión de puerto, de modo que la red interna y la red externa puedan aislarse. Puede desempeñar un papel protector en la intranet. Nunca conecte el servidor NPV o NAS directamente a la puerta de enlace y luego lo exponga a la red pública a través del puerto.
3. Habilite el escaneo regular del NAS por parte de Security Advisor.
Security Information es una aplicación DSM integrada que puede escanear Synology NAS, verificar la configuración de DSM y brindar sugerencias sobre cómo resolverlo. vulnerabilidades de seguridad. Simplemente siga las instrucciones del asesor de seguridad para mantener seguro su Synology NAS.
4. Establezca reglas de contraseña seguras
Establecer reglas requiere que los usuarios establezcan contraseñas que cumplan con reglas complejas para evitar que las contraseñas que son demasiado simples sean atacadas exhaustivamente.
5. Establecer reglas de caducidad de contraseñas
Se recomienda cambiar las contraseñas una vez por trimestre. Si los requisitos de seguridad son mayores, se recomienda establecer un tiempo más corto.
6. No tener servicios o cuentas en la intranet que no requieran acceso con contraseña
No habilitar servicios irrelevantes en la intranet o NAS, y mucho menos servicios que no requieran contraseña acceso. O número de cuenta. Aunque tiene el inicio de sesión NPV o NAS como protección, si se viola la intranet, los piratas informáticos pueden acceder a la intranet. En este momento, si todos los servicios de acceso a su intranet son servicios de contraseñas seguras, aumentará el costo de los ataques de los piratas informáticos. Por lo tanto, se recomienda que todas las configuraciones de la intranet habiliten el mecanismo de autenticación e inicien sesión con una contraseña segura. Especialmente: inicio de sesión NAS, enrutador, servicio SFTP, etc. Si es necesario acceder a terminales como televisores, también se recomienda habilitar el inicio de sesión del servicio de contraseña segura o establecer restricciones de inicio de sesión de IP para permitir que solo la IP del televisor acceda a un servicio o cuenta de contraseña débil específicos. La dirección MAC del televisor y la IP fija deben configurarse en el enrutador.
7. Activa la verificación de segundo nivel para administradores
En la gestión de usuarios, se recomienda activar la verificación de segundo nivel. Especialmente los administradores deben activar la verificación secundaria.
8. Controle estrictamente el uso de los permisos de los miembros.
Al asignar permisos a los usuarios, asegúrese de seguir el "principio de privilegios mínimos". Es decir, asignar la menor cantidad de permisos posible al usuario o grupo. No asigne permisos inútiles. Porque no todo el mundo tiene una fuerte sensación de seguridad. Como administrador, puede asegurarse de que sus cuentas no se vean comprometidas, pero es difícil garantizar que las contraseñas de los usuarios no se vean comprometidas. Así que asigne permisos mínimos a otros usuarios.
9. Iniciar el bloqueo automático de IP
A través de este mecanismo de bloqueo, se puede evitar que los usuarios vuelvan a intentar iniciar sesión constantemente. Cuando el número de inicios de sesión fallidos excede el valor establecido, su IP se puede bloquear y no se permiten inicios de sesión nuevamente, o no se permiten inicios de sesión durante un período de tiempo. Esto puede prevenir ataques de agotamiento de contraseñas y otros intentos de ataque.
4. Uso seguro
1. Uso seguro de contraseñas
Establece contraseñas de usuario complejas y cámbialas periódicamente. Al mismo tiempo, la contraseña ya no se registra en la computadora (el registro de la contraseña en el navegador se puede ver fácilmente en texto plano y cualquiera con un poco de conocimiento web puede hacerlo).
Además, no utilice la misma contraseña para varios servicios o cuentas. En la vida, muchas personas establecerán la misma contraseña para varias cuentas agregadas por conveniencia, lo que facilita el ataque de relleno de credenciales.
2. Ya no utilice ordenadores públicos para conectarse al NAS
Esto es realmente importante. No utilice ordenadores públicos (especialmente bibliotecas y cibercafés) para conectarse al NAS. Porque todos sabemos que las computadoras públicas son las más afectadas por el envenenamiento. Nadie sabe qué virus hay en la computadora. Es muy probable que haya un virus que registre las pulsaciones de teclas y registre sus contraseñas.
3. Copia de seguridad de datos de múltiples partes (para obtener más detalles, consulte el artículo que escribí antes)
Para la copia de seguridad de datos de múltiples partes, puede consultar el artículo que escribí antes "Cómo utilizar NAS para garantizar el 100 % de la seguridad de los datos (solución de almacenamiento de datos)";
4. Copia de seguridad en frío periódica de los datos centrales (hay problemas con la copia de seguridad en caliente)
Por qué es importante ¿Es necesario realizar una copia de seguridad en frío de los datos (copia de seguridad en un dispositivo de almacenamiento no conectado a la red a través de USB)? Porque si lamentablemente su NAS es atacado por un virus ransomware. Luego cifrará todos sus archivos. Luego, debido a que su mecanismo de copia de seguridad activa (como Cloud Sync) sincronizará automáticamente estos archivos cifrados con la nube, sobrescribiendo su copia de seguridad anterior, los datos en la nube también se cifrarán. El dispositivo de espera en frío no está conectado a la red, por lo que incluso si el NAS se ve comprometido, nuestros datos no se verán afectados.
Una vez completada la copia de seguridad en frío, asegúrese de desconectar el dispositivo del NAS.
Con respecto al tema de la copia de seguridad en frío, también le pregunté específicamente al funcionario de Qunhui y la respuesta fue mía. Lo recibido también fue "copia de seguridad en frío". ¡Solo así podremos garantizar la seguridad absoluta de los datos!"
5. Uso seguro de las máquinas virtuales de Windows
Creo que muchos estudiantes que las han usado NAS ha utilizado máquinas virtuales para instalar el sistema Windows en el NAS. Después de todo, algunas operaciones son convenientes para utilizar el sistema Linux. Sin embargo, cuando utilice el sistema de ventanas, también debe prestar atención a los siguientes puntos:
A. La contraseña de inicio de sesión debe ser una contraseña segura
B. Instale una nueva versión de Windows (por ejemplo, no use win7)
p>C. Instale los últimos parches a tiempo
D. Apague la computadora cuando no esté en uso y enciéndala nuevamente cuando sea necesario No se recomienda estar en línea 24*365
Resumen
De hecho, nunca existe una estrategia de seguridad absoluta. Solo podemos aumentar la seguridad del sistema (datos). ) a través de diversos medios, aumentando así el costo del ataque del atacante. Por ejemplo: si le piden que gaste 100 yuanes de esfuerzo para conseguir algo que vale 50 yuanes, ¿cuántas personas estarían dispuestas a hacerlo? Recuerde: ¡los piratas informáticos también necesitan una vida!
Todas las estrategias se pueden resumir en tres puntos:
1. Tener un fuerte sentido de seguridad
2. Realizar copias de seguridad de los datos importantes en múltiples lugares y en múltiples terminales
2. Copia de seguridad en frío periódica de datos extremadamente importantes