Příručka zabezpečení QNAP NAS

Tato příručka poskytuje podrobné pokyny k nastavení zabezpečení a implementaci ochranných mechanismů pro zařízení QNAP NAS. Pomůže vám účinně posílit síťovou ochranu a zajistit bezpečnost vašich dat.

Stáhnout bezpečnostního průvodce

Bezpečná síťová architektura a nastavení

1. Správné připojení NAS

Nikdy nepřipojujte síťový port NAS přímo k internetu. Nejprve NAS připojte k routeru a ten pak připojte k modemu, který vám přidělil poskytovatel internetových služeb (ISP). Správně nastavený router dokáže blokovat škodlivý provoz z internetu a snížit riziko kybernetických útoků.

Správné připojení – NAS je nejprve připojený k routeru

Špatné připojení – NAS je připojený přímo k modemu

2. Správná konfigurace routeru

Přihlaste se do routeru nebo požádejte svého ISP, aby vám pomohl zkontrolovat a zakázat následující nastavení:

Zakázat UPnP
Zakázat DMZ

(demilitarizovanou zónu)
Zakázat přesměrování portů

Jak zabezpečit vzdálený přístup k NAS s vypnutým přesměrováním portů? Pro zabezpečený vzdálený přístup k vašemu NAS poskytuje společnost QNAP službu QVPN a myQNAPcloud Link.

Zjistěte si více:
Nikdy nepřipojujte NAS přímo k internetu bez adekvátní ochrany >
Jak nastavit myQNAPcloud pro vzdálený přístup k zařízení QNAP NAS >
Jak nastavit server VPN na zařízení QNAP NAS za routerem? >

Jak zjistit, jestli jste vystavení internetu?
Pokud chcete zjistit, jestli jsou vaše zařízení vystavená internetu, doporučujeme nainstalovat a používat nástroj Security Center nebo nástroje pro dotazování na IP adresu.

4 metody zabezpečení vzdáleného přístupu k NAS

Metoda připojení	Výhody	Nevýhody	Vhodní uživatelé
Povolení a konfigurace přesměrování portů UPnP / DMZ na routeru	Nejrychlejší připojení	Zranitelnost vůči kybernetickým útokům Žádná obrana proti útokům zero-day na zranitelnosti	Máte jasnou představu o souvisejících rizicích Orientujete se v nastaveních sítě Máte vytvořeno několik záloh důležitých dat Máte plán obnovy po havárii
Povolení serveru VPN na routeru	Relativně jednoduché nastavení	Žádné oznámení o selhání přihlášení, automatické blokování a funkce brány firewall Menší počet podporovaných protokolů VPN Výkon omezený hardwarem routeru	Nemáte zkušenosti s nastavením sítě Nezáleží vám na přenosové rychlosti
Povolení funkce serveru VPN na QNAP NAS	Podpora více protokolů VPN Kompatibilita s firewallem NAS (QuFirewall) Podpora oznámení o selhání přihlášení a automatické blokování	Nastavení je o něco složitější	Orientujete se v nastaveních sítě Potřebujete často přistupovat k mnoha souborům z internetu
Použití zabezpečeného připojení myQNAPcloud Link	Nejjednodušší nastavení Podpora řízení přístupu NAS nemusí být vystavený internetu	Pomalejší připojení	Nemáte zkušenosti s nastavením sítě Často přistupujete k NAS z internetu Síťové prostředí, kde nelze získat adresu IP WAN
Použití produktů SD-WAN nebo Site-to-Site VPN	Po nastavení mohou uživatelé intranet používat, aniž by pocítili rozdíl Podpora i VPN typu Client-to-Site	Je potřeba další vybavení	Vyžaduje vícebodový přístup a vzdálené zálohování Vyžaduje aplikace s přidanou hodnotou

3. Povolení automatických aktualizací

Společnost QNAP často vydává bezpečnostní aktualizace firmwaru a softwaru. Povolením automatických aktualizací zajistíte, že budete mít k dispozici nejnovější funkce a opravy chyb a zranitelností.

Zevrubně: vícevrstvé zabezpečení

Společnost QNAP nabízí komplexní plány ochrany připojení NAS a obnovy po havárii, které jsou kombinovány s posouzením zabezpečení systému a analýzou interních síťových hrozeb, a vytvářejí tak vrstvený systém správy kybernetické bezpečnosti.

Přečtěte si článek na blogu: Vytvoření vícevrstvého systému kybernetické bezpečnosti pro podniky

Posílení zabezpečení systémového účtu

1. Zakažte výchozí účet správce „admin“

Hackeři, kteří využívají techniku prolamování hesel hrubou silou, se obvykle zaměřují na účty „admin“ (výchozí účty správce). Důrazně doporučujeme účet „admin“ deaktivovat a vytvořit nový účet správce.

Zjistěte si více: Jak zakázat účet „admin“

U modelů s integrovaným systémem QTS 5.0.1 / QuTS hero h5.0.1 (nebo novějším) je účet „admin“ ve výchozím nastavení deaktivovaný.

2. Povolení ochrany přístupu (k IP / k účtu)

Možnosti „Ochrana přístupu k IP“ a „Ochrana přístupu k účtu“ mohou pomoct zabránit prolomení hesel hrubou silou. Pokud se určité IP adrese nebo účtu příliš mnohokrát nepodaří přihlásit, spustí se blokování IP adresy nebo se účet deaktivuje, čímž se útočníkům zabrání v opakovaném zkoušení hesel.

3.Povolení vícefaktorového ověřování

Pro přidání další vrstvy zabezpečení dat se důrazně doporučuje povolit bezpečné metody přihlašování, jako je přihlašování bez hesla a dvoufázové ověřování.

Zjistěte více: Zabezpečené přihlašování a vícefaktorové ověřování

4. Zakázání služby Telnet / SSH

Pokud služby Telnet a SSH nepoužíváte, důrazně doporučujeme je zakázat. Tyto dvě funkce obvykle používá zákaznický servis QNAP nebo profesionální pracovníci IT k údržbě systému. Běžní uživatelé je běžně nepotřebují, a doporučujeme je tedy zakázat

Povolení plánovaných snímků

Snímky chrání vaše důležitá data tím, že představují body, ze kterých můžete obnovit různé verze. A když je zařízení nakaženo ransomwarem, můžete ze snímku data obnovit. Důrazně doporučujeme povolit plánované snímky a nastavit zásady jejich mazání a zajistit tak vhodný poměr mezi mírou zabezpečení dat a využitím úložiště.

Zjistěte si více: Co jsou snímky?, Replika snímků – zálohování snímků, SnapSync v reálném čase (*K dispozici pouze v systému QuTS hero)

Otevřete „Úložiště a snímky“, klikněte na „Svazek“ a v nabídce otevřete „Správa snímků“.

Klikněte na tlačítko „Plán snímku“. Plánování doporučujeme nastavit na hodnotu „Denně“ nebo „Týdně“.

K dispozici je i nastavení zásad uchovávání snímků, pomocí něhož můžete počet snímků omezit a zabránit tomu, aby zabíraly příliš mnoho místa. Doporučujeme nastavit možnost „Chytré verze“.

Ujistěte se, že „prostor úložiště“ má strukturu „fondu úložiště“ a že je ve „fondu úložiště“ dostatek volného místa pro ukládání snímků. Společnost QNAP doporučuje uživatelům aktivovat chytrou správu místa pro snímky a používat pro ně tenké svazky, aby byl zajištěn dostatek úložného prostoru pro správnou funkci NAS.

Security Center – bezpečnostní portál pro QNAP NAS

Security Center proaktivně analyzuje a monitoruje stav NAS, neobvyklou aktivitu souborů, potenciální bezpečnostní hrozby a nabízí okamžitá ochranná opatření k ochraně systému a dat. Integruje také antivirový a antimalwarový skenovací software pro zajištění kompletní ochrany zařízení QNAP NAS.

Otevřete „Centrum zabezpečení“, vyberte úroveň zásad zabezpečení, která vyhovuje vašim potřebám, a klikněte na tlačítko „Skenovat nyní“.

Pokud výsledky skenování odhalí bezpečnostní rizika, můžete kliknout na tlačítko „Asistent návrhů nastavení“ a ten vám pomůže upravit nastavení.

„Plán vyhledávání“ doporučujeme nastavit na frekvenci alespoň jednou měsíčně, aby systém mohl nastavení a stav systému kontrolovat pravidelně. Pokud se zjistí riziko a Centrum oznámení je správně nastavené, obdržíte oznámení, abyste se hrozbou mohli co nejdříve zabývat.

Funkce „Sledování neobvyklé aktivity souborů“ umožňuje snadno sledovat průměrný počet neobvyklých a upravených souborů na NAS za určité období.

QuFirewall: Vestavěná brána firewall pro zařízení QNAP

QuFirewall blokuje pakety, u nichž existuje podezření, že jsou odesílány prostřednictvím Tor (anonymního komunikačního připojení) a zabraňuje tak napadení vašeho NAS. Také detekuje Onion Routing a nebezpečné boty a seznam blokovaných škodlivých paketů dynamicky aktualizuje, čímž zajišťuje bezpečnost vašich zařízení QNAP.

Pokud vaše síť nemá žádné zvláštní potřeby, doporučujeme vybrat možnost „Základní ochrana“ a pokračovat kliknutím na tlačítko „Další“.

Nastavte oblast podle své polohy. Další oblasti můžete přidat později.

Přejděte na stránku profilů QuFirewall, kde uvidíte, že je povolená „Základní ochrana“. Kliknutím na položku „Základní ochrana“ rozbalíte a zobrazíte příslušná pravidla brány firewall. Podle pravidel se kontrolují informace v příchozích paketech, které jsou podle nich buď propuštěny, nebo blokovány.

Malware Remover

Malware Remover pravidelně skenuje NAS pomocí nejnovějších definic malwaru. V případě útoku jsou infikované soubory okamžitě odstraněny, aby byla zajištěna bezpečnost dat uložených v NAS. Pravidelně dostává cloudové aktualizace definic malwaru a neustále tak posiluje zabezpečení vašich dat.

Otevřete „Malware Remover“. Zobrazí se stav posledního skenování. Klikněte na položku „Nastavení“ vlevo.

Aby Malware Remover stav systému kontroloval pravidelně, doporučujeme nastavit „Plán skenování“ na hodnotu jednou denně. Ujistěte se také, že je zaškrtnuto políčko „Automaticky aktualizujte Malware Remover na nejnovější verzi“.

Nastavení systémových oznámení

Centrum oznámení slouží k centralizaci všech systémových oznámení a může zasílat oznámení do zařízení na základě vašeho nastavení, abyste neustále měli aktuální informace o stavu vašeho NAS.

Otevřete „Centrum oznámení“, klikněte na „Účet služby a párování zařízení“ v levé boční nabídce, vyberte „E-mail“ a poté klikněte na „Přidat službu SMTP“.

Vyberte e-mailový účet, klikněte na tlačítko „Přidat účet“ a podle pokynů dokončete proces ověřování.

V levé boční nabídce Centra oznámení klikněte na „Pravidla pro systémová oznámení“, vyberte „Oznámení o výstrahách“ a klikněte na „Vytvořit pravidlo“.

Upravte „Název pravidla“ podle svých potřeb, zaškrtněte úrovně závažnosti „Varování“ a „Chyba“ a postup dokončete kliknutím na „Další“.

Přihlaste se k odběru QNAP eNews a dostávejte novinky o zabezpečení produktů

Přihlaste se k odběru Podrobné bezpečnostní poradenství Program odměn za zabezpečení

Časté otázky

Je bezpečnější odpojit NAS od internetu?

Ne. „Odpojení“ NAS obecně znamená odříznutí NAS od sítě, aby nemohl navazovat spojení s okolním světem. Ačkoli některé škodlivé programy vyžadují ke spuštění externí připojení, stále existují takové, které dokáží škodit, aniž by se potřebovaly spojit s internetem. Nejenže tedy odpojení nezabrání hackerům v provádění nezákonných aktivit, ale zabrání také správnému fungování některých systémových funkcí, jako jsou automatické aktualizace softwaru a oznámení. Správný přístup spočívá ve zvýšení bezpečnosti omezením přenosů do NAS, například zabráněním vystavení internetu.

Můj pevný disk je součástí pole RAID. Znamená to, že data nemusím zálohovat?

Ne. RAID není metoda zálohování. Úrovně RAID vyšší než 0 jsou určeny pouze k zajištění redundance při selhání disku. Pole RAID neposkytuje žádnou ochranu proti vymazání nebo zašifrování dat. Proto doporučujeme data řádně zálohovat podle zásady 3-2-1.

Mám již nastavené snímky. Znamená to, že data nemusím zálohovat?

Ne. Snímky jsou uložené na stejných pevných discích jako vaše data, takže v případě selhání pole RAID dojde k jejich ztrátě. Pokud se navíc hackerům podaří získat dostatečná oprávnění (například úspěšně prolomí účet správce), mohou odstranit i snímky. Proto doporučujeme soubory snímků řádně zálohovat podle zásady zálohování 3-2-1.

Můj NAS není vystavený internetu. Znamená to, že nemůže být napaden?

Ne. Ačkoli většina kybernetických útoků pochází z internetu, NAS nadále ohrožují útoky v rámci intranetu. Například když dojde k napadení jiného počítače nebo zařízení v intranetu nebo k jeho nakažení malwarem, může být tento malware použit k útoku a rozšíření na další zařízení v intranetu. S řešením hrozeb vám může pomoct instalace antivirového softwaru a nasazení produktů pro zabezpečení sítě v počítači. Například software QNAP ADRA NDR dokáže detekovat podezřelé aktivity v intranetu a automaticky je izolovat. Současně také doporučujeme data řádně zálohovat podle zásady zálohování 3-2-1.

NAS používám už dlouho. Jak mohu zkontrolovat, jestli je v něm nainstalovaný malware?

Zařízení může být nakažené malwarem, pokud zjistíte, že je zatížení procesoru neobvykle vysoké, selhávají aktualizace softwaru nebo jsou v App Center neznámé aplikace. Doporučujeme nainstalovat a používat nejnovější verzi programu Malware Remover. Pokud se vám stále nedaří problém vyřešit, obraťte se na technickou podporu společnosti QNAP.

Pokud potřebuji otevřít některé služby na internetu, co mám udělat pro zajištění bezpečnosti?

Ujistěte se, že je na NAS nainstalovaná nejnovější verze firmwaru a aplikací. Pro základní firewallovou ochranu můžete povolit nástroj QuFirewall a blokovat některá připojení hackerů pomocí pravidel „PSIRT“ a „TOR“. Pokud jste firemní nebo podnikový uživatel, doporučujeme použít řešení brány firewall vyšší úrovně. Pokud to prostor fondu úložiště dovolí, můžete pro základní ochranu dat navíc pořizovat snímky. Doporučujeme data také řádně zálohovat podle zásady 3-2-1 a připravit se tak na nejhorší možný scénář a předejít případné ztrátě dat.

Můj NAS je starý a nepodporuje nejnovější verzi systému QTS. Lze jej stále bezpečně používat?

Starší modely a modely na konci životnosti (EOL) mají omezenou podporu a měly by se používat pouze pro intranetové/offline zálohování.

Proč se mi stále zobrazuje varování o selhání přihlášení k NAS?

Pokud IP adresa neúspěšného přihlášení pochází z internetu, znamená to, že je NAS pod útokem prolomení hesla hrubou silou. Měli byste zabránit tomu, aby byl váš NAS vystavený internetu, a posílit ho podle následujícího návodu. Pokud IP adresa neúspěšného přihlášení pochází z intranetu, zkontrolujte, zda není v zařízení s danou IP adresou nainstalovaný malware.

Proč mají všechny mé soubory podivné názvy?

Jedná se o příznak nakažení ransomwarem. Zkontrolujte protokoly o přístupu k NAS a zjistěte, zda šifrovací činnost pochází z jiného počítače, nebo ze samotného NAS. Pokud byl váš NAS napaden ransomwarem, měli byste k zastavení šíření infekce podniknout odpovídající kroky. V případě potřeby se obraťte na technickou podporu společnosti QNAP.

Co mám dělat, pokud je můj NAS nakažený ransomwarem?

Většina ransomwaru používá neprolomitelné metody šifrování. Soubory nelze bez správného klíče odemknout, takže je lze obnovit pouze ze zálohy nebo ze snímku.
Okamžitě upravte nastavení routeru podle následujícího návodu, aby nedošlo k vystavení NAS internetu a aby se zabránilo druhotným útokům. Za druhé byste měli okamžitě pozastavit všechny úlohy synchronizace a nastavit trvalé uchovávání snímků, abyste předešli ztrátě záložních souborů. Pokud máte k dispozici zálohy nebo snímky, ze kterých můžete data obnovit, můžete tak učinit po aktualizaci firmwaru NAS a aplikací a po dokončení kontroly pomocí nástroje Malware Remover. Pokud data zálohovaná nejsou, zálohujte si zprávu ohledně výkupného, kterou ransomware zanechal, a způsob jeho zaplacení a poté se pokuste pomocí metod, jako je obnova dat, některá data získat zpět. V případě potřeby se obraťte na technickou podporu společnosti QNAP.

Neustále vídám tiskové zprávy o tom, že společnost QNAP vydala opravy zranitelností produktů. Znamená to, že produkty QNAP nejsou bezpečné?

Dokonalý software a hardware neexistuje. Ať už se jedná o vlastní software vyvinutý různými výrobci, nebo o software s otevřeným zdrojovým kódem, nebo dokonce o hardware, výrobci neustále nacházejí a následně opravují zranitelnosti. Stejně jako jiné významné technologické společnosti i společnost QNAP nepřetržitě opravuje známé zranitelnosti a následně vydává aktualizační soubory, aby uživatelé mohli své systémy co nejdříve aktualizovat a zajistit tak bezpečnost svých zařízení a dat. Tým QNAP PSIRT také vydává oznámení o kybernetické bezpečnosti určené pro veřejnost, aby uživatelé mohli na vzniklé problémy včas reagovat.
Společnost QNAP věří, že otevřené a transparentní řešení zranitelností chrání právo uživatelů na získávání informací a přispívá ke zvýšení bezpečnosti produktů. Uživatelé se také mohou přihlásit k odběru bezpečnostních zpráv QNAP a dostávat relevantní, přesné a úplné informace ještě před vydáním tiskových zpráv.

Co je to zásada zálohování 3-2-1?

Zásada 3-2-1 je v oboru IT dobře známý princip zálohování. Slouží k přípravě na nejhorší možný scénář. Zajišťuje, že v případě havárie jsou k dispozici záložní soubory pro obnovu dat, aby se zabránilo ztrátám a zajistila se bezpečnost.
Trojka znamená mít nejméně tři záložní kopie, dvojka představuje nejméně dvě paměťová média a jednička znamená, že nejméně jedna kopie je záloha mimo pracoviště. Díky zásadě zálohování 3-2-1 budete mít k dispozici záložní soubory, které půjde obnovit bez ohledu na náhodnou změnu, vymazání, poškození hardwaru, napadení virem a katastrofy, jako jsou požáry a záplavy.
Pro dodržení této zásady obsahuje QNAP NAS funkce Hybrid Backup Sync 3 (HBS3), replika snímků a SnapSync (podporováno pouze v systému QuTS hero), které zálohují data na NAS do externího NAS, veřejného cloudu, externího úložiště, jiných souborových serverů a/nebo jiných zařízení, aby se zajistilo, že o nic nepřijdete.

Úložiště

Sítě

Příslušenství pro rozšíření

Dozorování

NAS