Guida alla sicurezza del NAS QNAP

Questa guida offre informazioni dettagliate sulle impostazioni di sicurezza e sui meccanismi di protezione del NAS QNAP, aiutandovi a rafforzare le difese di rete e a proteggere i vostri dati.

Scarica Guida alla sicurezza

Architettura e impostazioni di rete sicure

1. Connessione corretta del NAS

Non collegare mai la porta di rete del NAS direttamente a Internet. Assicurarsi che il NAS sia collegato prima al router, quindi collegarlo al modem fornito dall’ISP (Internet Service Provider). Con le impostazioni corrette, il router può bloccare il traffico malevolo da Internet e ridurre il rischio di attacchi informatici.

Connessione corretta - NAS connesso prima al router

Connessione errata - NAS connesso direttamente al modem

2. Configurare correttamente il router

Accedere al router o chiedere l’aiuto dell’ISP per verificare e disabilitare le seguenti impostazioni:

Disabilita UPnP
Disabilita DMZ

(Zona demilitarizzata)
Disabilita inoltro porta

Come proteggere l’accesso remoto al NAS se l’inoltro porta è disabilitato? QNAP offre QVPN e myQNAPcloud Link che offrono l’accesso remoto sicuro al NAS.

Per saperne di più:
Non collegare il NAS direttamente a Internet senza alcuna protezione >
Come configurare myQNAPcloud per l’accesso remoto al QNAP NAS >
Come configurare il server VPN sul QNAP NAS dietro a un router? >

Come verificare se si è esposti a Internet?
Consigliamo di installare e utilizzare il Security Center o gli strumenti di richiesta dell’indirizzo IP per verificare se i dispositivi sono esposti a Internet

4 metodi per proteggere l'accesso remoto al NAS

Metodo di connessione	Vantaggi	Svantaggi	Utenti idonei
Abilitare e configurare DMZ/inoltro porta di UpnP del router	Connessione più veloce	Vulnerabile agli attacchi informatici Nessuna difesa contro gli attacchi di vulnerabilità 0-Day	Avere una chiara idea dei rischi associati Famigliarità con le impostazioni di rete Avere più backup per i dati importanti Avere un piano di recupero dei disastri
Abilitare il server VPN sul router	Relativamente semplice da configurare	Nessuna notifica di accesso non riuscito, blocco automatico, e funzione firewall Meno protocolli VPN supportati Prestazioni limitate dall’hardware del router	Nessuna famigliarità con le impostazioni di rete Nessuna preoccupazione in materia di velocità di trasmissione
Abilitare la funzione server VPN sul QNAP NAS	Supporta diversi protocolli VPN Compatibile con il firewall NAS (QuFirewall) Supporta la notifica di login failure e il blocco automatico	Impostazioni leggermente più complesse	Famigliarità con le impostazioni di rete Necessità di accedere frequentemente a molti file da Internet
Usare la connessione sicura myQNAPcloud Link	Configurazione più semplice Supporta il controllo degli accessi Il NAS non deve essere esposto a Internet	Connessione più lenta	Nessuna famigliarità con le impostazioni di rete Accesso non frequente al NAS da Internet Ambiente di rete in cui non è possibile ottenere l'indirizzo IP WAN
Usare i prodotti SD-WAN o VPN site-to-site	Una volta impostato, gli utenti intranet possono utilizzarlo senza avvertire alcuna differenza Supporta anche la VPN client-to-site	Altre apparecchiature richieste	Richiesto l’accesso multi-punto e il backup remoto Richiede applicazioni a valore aggiunto

3. Abilita gli aggiornamenti automatici

QNAP aggiornamenti di sicurezza frequenti del firmware e del software. L'abilitazione degli aggiornamenti automatici garantisce di disporre delle ultime funzionalità, correzioni di bug e vulnerabilità.

Dall’Interno all’Esterno: Sicurezza a più livelli

QNAP offre una protezione completa per la connessione NAS e piani di recupero in caso di disastri, combinati con valutazioni della sicurezza del sistema e analisi delle minacce alla rete interna, per creare un sistema di gestione della cybersicurezza a più livelli.

Leggi il blog: Creare un sistema di difesa informatica a più livelli per le aziende

Rafforzare la sicurezza dell’account di sistema

1. Disabilitare l’account amministratore predefinito “admin”

Gli hacker che utilizzano attacchi brute force per violare le password generalmente prendono di mira “admin” (l’account amministratore predefinito). Si consiglia vivamente di disattivare “admin” e creare un nuovo account amministratore.

Per saperne di più: Come disabilitare l'account utente admin

Nei modelli con QTS 5.0.1 / QuTS hero h5.0.1 (o successivo) integrato, “admin” è disattivato per impostazione predefinita.

2. Abilitare la protezione dell'accesso (IP / Account)

“Protezione accesso IP” e “Protezione accesso account” possono aiutare a impedire che vengano violate le password con attacchi brute force. Quando un IP o account specifico non riesce ad accedere troppe volte, viene attivato il blocco dell'IP o la disattivazione dell’account per impedire agli aggressori di provare ripetutamente le password.

3. Abilitare l'autenticazione a più fattori

Si consiglia vivamente di attivare metodi di accesso sicuri come il login senza password e la verifica in due passaggi per aggiungere un ulteriore livello di sicurezza dei dati.

Ulteriori informazioni: Secure login e autenticazione a più fattori

4. Disabilitare Telnet/ SSH

A meno che non sia in uso, si consiglia vivamente di disabilitare Telnet e SSH. Queste due funzioni in genere sono utilizzate dal servizio clienti QNAP o professionisti IT per la manutenzione del sistema. Gli utenti normali non ne hanno bisogno, pertanto si consiglia di disabilitarle

Abilitare le snapshot panificate

Le snapshot possono proteggere i tuoi dati importanti creando punti di ripristino multi-versione. Quando si viene colpiti da ransomware, i tuoi dati possono essere recuperati da una snapshot. Si consiglia vivamente di abilitare le snapshot pianificate e impostare un criterio di eliminazione delle snapshot per garantire la sicurezza dei dati e un utilizzo dello storage adeguato.

Per saperne di più: Cosa sono le snapshot?, Snapshot Replica: esegui il backup delle tue snapshot, SnapSync in tempo reale (*disponibile solo in QuTS hero)

Aprire “Archiviazione e snapshot”, fare clic su “Volume” e aprire “Gestione snapshot” nel menu.

Fare clic “Pianifica snapshot”. Si consiglia di pianificare le snapshot su base “Giornaliera” o “Settimanale”..

È possibile impostare una politica di conservazione delle snapshot per limitarne il numero ed evitare che occupino troppo spazio. Si consiglia di impostare il “Controllo versione intelligente”.

Assicurarsi che lo “Spazio di archiviazione” sia configurato come “Storage Pool” e che quest’ultimo abbia spazio libero a sufficienza per mantenere le snapshot. QNAP consiglia agli utenti di attivare la gestione intelligente dello spazio snapshot e di usare volumi Thin in modo da garantire che ci sia sufficiente spazio storage per il corretto funzionamento del NAS.

Security Center - Il portale di sicurezza per i NAS QNAP

Security Center analizza e monitorizza in modo proattivo lo stato del NAS, le attività insolite dei file, potenziali minacce alla sicurezza oltre a offrire misure di protezione immediate per salvaguardare il sistema e i dati. Integra inoltre il software anti-virus e anti-malware per garantire una protezione completa del QNAP NAS.

Aprire “Security Center”, selezionare il livello di politica di sicurezza più adatto, quindi fare clic su “Scansiona ora”.

Se i risultati della scansione rivelano eventuali rischi per la sicurezza, è possibile fare clic su “Assistente delle impostazioni consigliate” per ricevere aiuto nella regolazione delle impostazioni.

È consigliata l’impostazione della “Pianificazione scansione” almeno una volta al mese, in modo che il sistema possa verificare regolarmente le impostazioni e lo stato. Se è rilevato un rischio e Centro notifiche è impostato correttamente, si riceverà una notifica in modo da gestirlo tempestivamente.

Il “Monitoraggio delle attività insolite dei file” consente di tenere facilmente traccia del conteggio medio dei file insoliti e modificati sul NAS durante un periodo specifico.

QuFirewall: Firewall integrato per appliance QNAP

QuFirewall blocca i pacchetti sospetti inviati da Tor (una connessione di comunicazione anonima) per evitare che il NAS venga attaccato. Rileva inoltre onion routing sospetti e bot malevoli, e aggiorna dinamicamente la block list dei pacchetti malevoli per garantire la sicurezza dei tuoi dispositivi QNAP.

Se la rete non ha esigenze speciali, si consiglia di selezionare “Protezione di base” e fare clic su “Avanti” per continuare.

Impostare una regione in base alla propria posizione. È possibile aggiungere altre regioni in seguito.

Andare alla pagina Profili di QuFirewall per vedere che la “Protezione di base” è abilitata. Fare clic su “Protezione di base” per espandere e visualizzare le regole firewall corrispondenti. Le regole sono verificate rispetto alle informazioni nei pacchetti in arrivo, che possono essere passati o bloccati in base alle regole firewall.

Malware Remover

Malware Remover scansiona regolarmente il NAS usando le definizioni malware più recenti. Quando rilevati, i file infetti saranno rimossi immediatamente per garantire la sicurezza dei dati del NAS. Riceve regolarmente aggiornamenti delle definizioni di malware cloud-based per rafforzare la sicurezza dei dati.

Aprire “Malware Remover”, viene visualizzato lo stato dell’ultima scansione, fare clic su “Impostazioni” sulla sinistra.

Si consiglia di impostare “Pianifica scansione” su almeno una volta al giorno, in modo che “Malware Remover” possa verificare regolarmente lo stato del sistema. Assicurarsi inoltre che sia selezionato “Aggiornare automaticamente Malware Remover alla versione più recente”.

Configurare le notifiche di sistema

Centro notifiche centralizza tutte le notifiche di sistema e può inviare notifiche ai dispositivi in base alle tue impostazioni per tenerti aggiornato sullo stato del tuo NAS.

Aprire “Centro notifiche”, fare clic su “Account di servizio e associazione dispositivo” nel menu sulla sinistra, selezionare “E-mail”, quindi fare clic su “Aggiungi servizio SMTP”.

Selezionare un account e-mail, fare clic su “Aggiungi account”, seguire le istruzioni per completare il processo di verifica.

Nel menu sinistro di “Centro notifiche”, fare clic su “Regole di notifica di sistema”, selezionare “Notifiche avvisi” e fare clic su “Crea regola”.

Modifica il "Nome regola" in base alle tue esigenze, controlla i due livelli di gravità di "Avviso" ed "Errore" e fai clic su "Avanti" per completare.

Iscriviti alle QNAP eNews per ricevere le ultime notizie sulla sicurezza dei prodotti

Sottoscrivi ora Un'analisi approfondita di Security Advisory Security Bounty Program

FAQ

È più sicuro disconnettere il NAS da Internet?

No. La “disconnessione” del NAS in genere vuol dire tagliare il NAS dalla rete e impedirgli di stabilire connessioni verso il mondo esterno. Sebbene alcuni malware richiedano una connessione esterna per l'esecuzione, altri malware possono svolgere azioni malevole anche senza una connessione esterna. Pertanto, non solo non impedisce agli hacker di eseguire azioni illegali, ma impedisce anche il corretto funzionamento di alcune funzioni di sistema, come gli aggiornamenti software automatici e le notifiche. L’approccio corretto è limitare il traffico verso il NAS, ad esempio evitando l’esposizione a Internet per migliorare la sicurezza.

Il disco rigido è configurato con RAID, vuol dire che non è necessario eseguire il backup?

No. RAID non è un metodo di backup. I livelli RAID superiori a 0 offrono solamente la ridondanza contro il malfunzionamento dei dischi. RAID non offre alcuna protezione contro l’eliminazione dei dati o la crittografia. Pertanto, si consiglia di eseguire il backup dei dati seguendo il principio di backup 3-2-1.

Le snapshot sono già configurate, vuol dire che non è necessario eseguire il backup?

No. Poiché le “snapshot” sono archiviate sullo stesso set di dischi rigidi dei dati, in caso di malfunzionamento RAID i dati potrebbero andare persi. Inoltre, se gli hacker riesco a ottenere sufficienti privilegi (ad esempio la violazione dell’account amministratore), potrebbero essere eliminate anche le snapshot. Pertanto, si consiglia di eseguire il backup dei file delle snapshot seguendo il principio di backup 3-2-1.

Il NAS non è esposto a Internet, vuol dire che non può essere soggetto ad attacchi?

No. Sebbene molti attacchi informatici provengano da Internet, il NAS può ancora essere esposto al rischio di attacchi sulla Intranet. Ad esempio, se un altro computer o dispositivo sulla Intranet viene hackerato o infettato con malware, questo potrebbe essere utilizzato per attaccare e infettare altri dispositivi nella Intranet. L'installazione di software antivirus e la distribuzione di prodotti per la sicurezza di rete sul tuo computer possono aiutarti a gestire le minacce correlate. Ad esempio, QNAP ADRA NDR può rilevare attività intranet sospette e isolarle automaticamente. Allo stesso tempo, si consiglia anche di eseguire correttamente il backup dei dati secondo il principio di backup 3-2-1.

Il NAS è in uso da molto tempo, come è possibile verificare se sono stati installati malware?

Se si nota un carico eccessivamente elevato del processore, l’aggiornamento del software non riesce, o se in App Center sono presenti applicazioni sconosciute, è possibile che sia stato installato un programma malevolo. Si consiglia di installare e usare la versione più recente di Malware Remover. Se ancora non è possibile risolvere il problema, contattare il team del supporto tecnico QNAP per assistenza.

Cosa fare per garantire la sicurezza quando è necessario aprire alcuni servizi a Internet?

Assicurarsi che sul NAS sia installata la versione più recente del firmware e delle applicazioni. È possibile abilitare QuFirewall per una protezione firewall di base, inoltre le regole “PSIRT” e “TOR” possono aiutarti a bloccare alcune connessioni degli hacker. In caso di utente aziendale o enterprise, si consiglia di utilizzare una soluzione firewall di livello superiore. Inoltre, se lo spazio del pool di archiviazione lo permette, è possibile creare le “snapshot” per la protezione di base dei dati. Si consiglia inoltre di eseguire il backup dei dati seguendo il principio di backup 3-2-1 per essere pronti per lo scenario peggiore ed evitare la perdita potenziale di dati.

Il NAS è vecchio e non supporta la versione più recente di QTS, può ancora essere utilizzato in modo sicuro?

I modelli legacy ed EOL (End of Life) hanno un supporto limitato e devono essere utilizzati solo per il backup Intranet/offline.

Perché è visualizzata l’avvertenza per l’accesso non riuscito al NAS?

Se l'indirizzo IP dell'accesso non riuscito proviene da Internet, significa che il NAS è sottoposto a un attacco brute force per il cracking della password. Dovresti evitare di esporre il tuo NAS a Internet e seguire questo tutorial per rafforzare il tuo NAS. Se l'indirizzo IP dell'accesso non riuscito proviene dall'intranet, verificare se sul dispositivo con tale indirizzo IP è installato software malware.

Perché tutti i file hanno nomi file strani?

È uno dei sintomi di infezione da ransomware. Verificare i log di accesso del NAS per determinare se l’azione di crittografia viene da un altro computer o dal NAS stesso. Se il NAS viene infettato da ransomware, è necessario adottare le procedure adeguate per interrompere la diffusione dell’infezione. Se necessario, contattare il team del supporto tecnico QNAP per assistenza.

Cosa fare se il NAS è infettato da ransomware?

Molti ransomware utilizzano metodi di crittografia indecifrabili. Se non si dispone della chiave corretta, i file non possono essere sbloccati, e possono essere ripristinati solamente tramite backup o snapshot.
Modificare subito le impostazioni del router seguendo questo tutorial per evitare l’esposizione del NAS a Internet e prevenire attacchi secondari. In secondo luogo, sospendere immediatamente tutte le attività di sincronizzazione e impostare la conservazione definitiva delle snapshot per evitare la perdita dei file di backup. Se i tuoi dati hanno backup o snapshot restorabili, puoi ripristinare i file dopo aver aggiornato il firmware, le app del NAS e dopo aver completato la scansione di Malware Remover. Se non viene eseguito il backup dei dati, salva la nota di riscatto lasciata dal ransomware e il metodo di pagamento richiesto, quindi provare a utilizzare soluzioni come il recupero dei dati per ripristinare alcuni dati. Se necessario, contattare il team di supporto tecnico QNAP per assistenza.

Continuo a vedere report dei media sulle patch rilasciate da QNAP per le vulnerabilità del prodotto. Questo significa che i prodotti QNAP non sono sicuri?

Al mondo non esistono software e hardware perfetti. Che si tratti di software proprietario sviluppato da vari produttori o di software open source, o anche di hardware, le vulnerabilità vengono sempre rilevate e poi riparate dai produttori. Proprio come le principali aziende tecnologiche, QNAP continua a correggere le vulnerabilità note e rilascia i file di aggiornamento affinché gli utenti possano aggiornarli il prima possibile per garantire la sicurezza dei dispositivi e dei dati. QNAP PSIRT emette anche notifiche di sicurezza informatica per la divulgazione esterna, in modo che gli utenti possano agire contro i problemi che si presentano.
QNAP ritiene che la gestione delle vulnerabilità in modo aperto e trasparente possa proteggere il diritto degli utenti di sapere e aiutare a migliorare la sicurezza del prodotto. Inoltre, gli utenti sono invitati a sottoscrivere Avvisi sulla sicurezza di QNAP per ricevere informazioni pertinenti, precise e complete prima dei report dei media.

Cosa è il principio di backup 3-2-1?

Il principio di backup 3-2-1 è un principio di backup ben conosciuto nel settore IT. Prepara agli scenari peggiori. Garantisce che, in caso di disastri, siano disponibili dei file di backup per il ripristino dei dati ed evitare perdite e garantire la sicurezza.
“3” nel Backup 3-2-1, indica almeno tre copie di backup; “2” indica almeno due supporti di archiviazione; e “1” indica che almeno una copia sia un backup esterno. Sulla base del principio di backup 3-2-1, ci saranno file di backup che possono essere ripristinati indipendentemente da modifiche accidentali, cancellazioni, danni all'hardware, infezioni da virus e disastri quali incendi e allagamenti.
Per soddisfare questo principio, QNAP NAS include Hybrid Backup Sync 3 (HBS3), Replica snapshot, e SnapSync (supportato solo da QuTS hero) per eseguire il backup dei dati sul NAS su un NAS esterno, cloud pubblico, archiviazione esterna, altri server file, e/o altri dispositivi per garantire che nulla venga perso.

Storage

Rete

Accessori di espansione

Sorveglianza

NAS