Przewodnik po zabezpieczeniach QNAP NAS

Ten przewodnik oferuje szczegółowe informacje na temat ustawień zabezpieczeń i mechanizmów ochrony QNAP NAS, pomagając wzmocnić obronę sieci i chronić dane.

Pobierz Podręcznik bezpieczeństwa

Bezpieczna architektura i ustawienia sieci

1. Połącz serwer NAS prawidłowo

Nigdy nie należy bezpośrednio podłączać portu sieciowego serwera NAS do Internetu. Upewnij się, że serwer NAS jest najpierw połączony z routerem, a następnie z modemem dostarczonym przez dostawcę usług internetowych. Przy prawidłowych ustawieniach router może blokować złośliwy ruch z Internetu i zmniejszać ryzyko cyberataków.

Prawidłowe połączenie — stacja NAS najpierw łączy się z routerem

Nieprawidłowe połączenie — stacja NAS łączy się bezpośrednio z modemem

2. Skonfiguruj ustawienia routera prawidłowo

Zaloguj się do routera lub poproś swojego dostawcę usług internetowych o pomoc w sprawdzeniu i wyłączeniu następujących ustawień:

Wyłącz UPnP
Wyłącz DMZ

(Strefa zdemilitaryzowana)
Wyłącz przekierowanie portów

Jak zabezpieczyć zdalny dostęp do serwera NAS, gdy funkcja przekierowania portów jest wyłączona? Firma QNAP zapewnia rozwiązania QVPN i myQNAPcloud Link, które umożliwiają bezpieczny zdalny dostęp do stacji NAS.

Więcej informacji:
Nie podłączaj NAS bezpośrednio do Internetu bez dodatkowych zabezpieczeń >
Jak skonfigurować chmurę myQNAPcloud, aby uzyskać zdalny dostęp do serwera QNAP NAS >
Jak skonfigurować serwer VPN na serwerze QNAP NAS za routerem? >

Jak sprawdzić, czy jesteś narażony na kontakt z Internetem?
Zalecamy zainstalowanie i używanie aplikacji Security Center lub narzędzi do zapytań o adres IP w celu sprawdzenia, czy urządzenia są narażone na dostęp przez Internet.

4 metody zabezpieczenia zdalnego dostępu do serwera NAS

Metoda połączenia	Zalety	Wady	Odpowiedni użytkownicy
Włącz i skonfiguruj funkcje routera DMZ/Przekazywanie portów UPnP	Najszybsze połączenie	Podatność na cyberzagrożenia Brak ochrony przed atakami typu Zero-Day	Dobre zrozumienie zagrożeń związanych z ustawieniami sieciowymi Dobra znajomość ustawień sieciowych Utworzone wiele kopii zapasowych ważnych danych Przygotowany plan przywracania danych po awarii
Włącz serwer VPN na routerze	Stosunkowo prosta konfiguracja	Brak powiadomień o niepowodzeniu logowania, automatyczna blokada i funkcja zapory Mniej obsługiwanych protokołów VPN Wydajność ograniczona przez sprzęt routera	Brak znajomości ustawień sieciowych Brak oczekiwań dotyczących szybkości transmisji
Włącz funkcję serwera VPN na stacji QNAP NAS	Obsługuje wiele protokołów VPN Kompatybilny z zaporą sieciową NAS (QuFirewall) Obsługuje powiadamianie o błędach logowania i automatyczne blokowanie	Ustawienia są nieco bardziej skomplikowane	Znajomość ustawień sieciowych Konieczność częstego uzyskiwania dostępu do wielu plików z Internetu
Użyj bezpiecznego połączenia myQNAPcloud Link	Najłatwiejsze do skonfigurowania Wsparcie kontroli dostępu Stacja NAS nie musi być narażona na kontakt z Internetem	Wolniejsze połączenie	Nie zna ustawień sieciowych Rzadko uzyskuje dostęp do serwera NAS z sieci Internet Środowisko sieciowe, w którym nie można uzyskać adresu IP WAN
Korzystaj z produktów SD-WAN lub Siteto-Site VPN	Po skonfigurowaniu użytkownicy intranetowi mogą z niego korzystać bez odczuwania żadnych różnic Obsługuje również VPN typu Client-toSite	Wymagany dodatkowy sprzęt	Wymaga dostępu wielopunktowego i zdalnego tworzenia kopii zapasowych Wymaga aplikacji o wartości dodanej

3. Włącz automatyczne aktualizacje

Firma QNAP często aktualizuje oprogramowanie (układowe). Włączenie automatycznych aktualizacji zapewnia najnowsze funkcje, poprawki błędów i luk w zabezpieczeniach.

Zajrzyjmy głębiej: Wielowarstwowe zabezpieczenia

Firma QNAP oferuje kompleksową ochronę połączeń NAS i plany przywracania danych po awarii, w połączeniu z oceną bezpieczeństwa systemu i analizą zagrożeń w sieci wewnętrznej, dzięki czemu może stworzyć warstwowy system zarządzania cyberbezpieczeństwem.

Przeczytaj blog: Tworzenie wielowarstwowego systemu obrony cybrnetycznej dla firm

Zwiększ bezpieczeństwo konta systemowego

1. Wyłącz domyślne konto administratora „admin”

Hakerzy, którzy łamią hasła metodą siłową zazwyczaj atakują konto „admin” (domyślne konto administratora). Zdecydowanie zaleca się dezaktywację konta „admin” i utworzenie nowego konta administratora.

Więcej informacji: Jak wyłączyć konto użytkownika admin

Modele z wbudowanym systemem QTS 5.0.1 / QuTS hero h5.0.1 (lub nowsza wersja): konto „admin” jest domyślnie dezaktywowane.

2. Włącz ochronę dostępu (adres IP/konto)

„Ochrona dostępu adresów IP” i „Ochrona dostępu do konta” mogą pomóc w zapobieganiu łamaniu haseł metodą siłową. Gdy wystąpi zbyt duża liczba nieudanych logowań z określonego adresu IP lub na konto, spowoduje to zablokowanie adresu IP lub dezaktywację konta, uniemożliwiając atakującym wielokrotne próby haseł.

3.Włącz wieloskładnikową autentykację

Zdecydowanie polecamy włączenie bezpiecznych metod logowania, takich jak logowanie bez hasła i dwukrokowa weryfikacji, aby zwiększyć poziom bezpiecezństwa danych.

Dowiedz się więcej: Bezpieczne logowanie i wieloskładnikowa autentykacja

4. Wyłącz usługi Telnet/SSH

Jeśli ich nie używasz, zdecydowanie zaleca się wyłączenie usług Telnet i SSH. Te dwie funkcje są zazwyczaj używane przez obsługę klienta QNAP lub profesjonalny personel IT do konserwacji systemu. Zwykli użytkownicy ich raczej nie potrzebują, dlatego zaleca się ich wyłączenie

Włącz zaplanowane migawki

Migawki mogą chronić ważne dane, tworząc punkty przywracania wielu wersji. Gdy w przypadku ataku ransomware, dane mogą być odzyskane z migawki. Zdecydowanie zaleca się włączenie zaplanowanych migawek i ustawienie zasad usuwania migawek, aby zapewnić odpowiednie bezpieczeństwo danych i wykorzystanie pamięci masowej.

Więcej informacji: Czym są migawki?, Replika migawki — tworzenie kopii zapasowych migawek, SnapSync w czasie rzeczywistym (*Dostępne tylko w systemie QuTS hero)

Otwórz „Pamięć masowa i migawki”, kliknij „Wolumin” i otwórz w menu „Menedżer migawek”.

Kliknij opcję Zaplanuj migawkę. Zaleca się zaplanowanie tworzenia migawek, używając opcji „Codziennie” lub „Co tydzień”.

Możesz ustawić zasady przechowywania migawek, aby ograniczyć liczbę migawek i zapobiec zajmowaniu przez nie zbyt dużej ilości miejsca. Zaleca się ustawienie „Inteligentnego przechowywania wersji”.

Upewnij się, że „Przestrzeń magazynowa” ma strukturę „Pula pamięci” i że ma wystarczająco dużo wolnego miejsca na migawki. Firma QNAP zaleca użytkownikom aktywowanie inteligentnego zarządzania przestrzenią migawek i używanie woluminów uproszczonych do wykonywania migawek, aby zapewnić wystarczającą ilość miejsca do przechowywania do prawidłowego działania serwera NAS.

Security Center — Twój portal bezpieczeństwa dla QNAP NAS

Security Center aktywnie analizuje i monitoruje stan NAS, nietypową aktywność plików, potencjalne zagrożenia bezpieczeństwa i oferuje natychmiastowe środki zabezpieczające w celu ochrony systemu i danych. Aplikacja obejmuje także oprogramowanie antywirusowe i program do usuwania złośliwego oprogramowania, zapewniając pełną ochronę serwera QNAP NAS.

Otwórz „Security Center”, wybierz poziom polityki bezpieczeństwa, który odpowiada Twoim potrzebom, i kliknij „Skanuj teraz”.

Jeśli wyniki skanowania ujawnią jakiekolwiek zagrożenia dla bezpieczeństwa, możesz kliknąć „Asystent sugerowanych ustawień”, aby pomóc w dostosowaniu ustawień.

„Harmonogram skanowania” zaleca się ustawiać na co najmniej raz w miesiącu, aby system mógł regularnie sprawdzać ustawienia i stan systemu. Jeśli zostanie wykryte zagrożenie i Centrum powiadomień jest poprawnie skonfigurowane, otrzymasz powiadomienie, aby jak najszybciej można było je wyeliminować.

„Monitorowanie nietypowej aktywności plików” umożliwia łatwe śledzenie średniej liczby nietypowych i zmodyfikowanych plików na serwerze NAS w określonym okresie.

QuFirewall: Wbudowana w urządzeniach QNAP zapora sieciowa

W celu zapobiegania atakom na serwer NAS aplikacja QuFirewall blokuje pakiety, co do których istnieje podejrzenie, że są wysyłane za pośrednictwem Tor, anonimowego połączenia komunikacyjnego. Aplikacja QuFirewall codziennie wykrywa również podejrzany routing z sieci Tor oraz złośliwe boty, a następnie dynamicznie aktualizuje listę blokad złośliwych pakietów, zapewniając bezpieczeństwo urządzeń QNAP.

Jeśli sieć nie ma specjalnych potrzeb, zaleca się wybranie „Podstawowa ochrona”, a następnie kliknięcie „Dalej”, aby kontynuować.

Wybierz region odpowiednio do swojej lokalizacji. Więcej regionów można dodać później.

Przejdź do strony Profile QuFirewall, aby zobaczyć, czy opcja „Podstawowa ochrona” jest włączona. Kliknij „Podstawowa ochrona”, aby rozwinąć i wyświetlić odpowiednie reguły zapory. Reguły są sprawdzane pod kątem informacji w przychodzących pakietach, które mogą być przekazywane lub blokowane zgodnie z regułami zapory.

Malware Remover

Malware Remover regularnie skanuje serwer NAS przy użyciu najnowszych definicji złośliwego oprogramowania. W przypadku ataku zainfekowane pliki zostaną błyskawicznie usunięte w celu zapewnienia bezpieczeństwa danych zapisanych na serwerze NAS. Otrzymuje regularne aktualizacje definicji złośliwego oprogramowania w oparciu o chmurę, aby zwiększyć bezpieczeństwo danych.

Otwórz aplikację „Malware Remover”, zostanie wyświetlony stan ostatniego skanowania, kliknij „Ustawienia” po lewej stronie.

„Harmonogram skanowania” zaleca się ustawić na raz dziennie, aby aplikacja „Malware Remover” regularnie sprawdzała status systemu. Upewnij się również, że opcja „Automatycznie aktualizuj Malware Remover do najnowszej wersji” pozostaje zaznaczona.

Konfigurowanie powiadomień o zdarzeniach

Centrum powiadomień centralizuje wszystkie powiadomienia systemowe i może wysyłać powiadomienia do urządzeń na podstawie ustawień, aby zapewnić aktualność stanu stacji NAS.

Otwórz „Centrum powiadomień”, kliknij „Konto usługi i parowanie urządzeń” w menu po lewej stronie, wybierz „E-mail”, a następnie kliknij „Dodaj usługę SMTP”.

Wybierz konto e-mail, kliknij „Dodaj konto”, postępuj zgodnie z instrukcjami, aby ukończyć proces weryfikacji.

W menu po lewej stronie „Centrum powiadomień” kliknij „Reguły powiadomień systemowych”, wybierz „Powiadomienia o alertach” i kliknij „Utwórz regułę”.

Zmodyfikuj „Nazwę reguły” zgodnie z potrzebami, zaznacz dwa poziomy ważności „Ostrzeżenie” i „Błąd”, a następnie kliknij „Dalej”, aby zakończyć.

Subskrybuj QNAP eNews, aby otrzymywać najnowsze informacje na temat bezpieczeństwa produktów

Subskrybuj teraz Dogłębne zapoznanie się z poradami dotyczącymi bezpieczeństwa Program Security Bounty

Często zadawane pytania

Czy bezpieczniej jest odłączyć serwer NAS od Internetu?

Nie. „Rozłączenie” ogólnie odnosi się do odcięcia stacji NAS od sieci, aby nie mogła ona zainicjować połączenia ze światem zewnętrznym. Chociaż niektóre złośliwe oprogramowanie wymaga połączenia zewnętrznego do wykonania, nadal istnieje złośliwe oprogramowanie, które może z powodzeniem wykonywać złośliwe działania bez połączenia zewnętrznego. W związku z tym nie tylko nie uniemożliwi to hakerom wykonywania przestępczych działań, ale także uniemożliwi prawidłowe działanie niektórych funkcji systemu, takich jak automatyczne aktualizacje oprogramowania i powiadomienia. Właściwym podejściem jest ograniczenie ruchu do serwera NAS, np. unikanie kontaktu z Internetem, w celu poprawy bezpieczeństwa.

Mój dysk twardy jest skonfigurowany w macierzy RAID, czy to oznacza, że nie potrzebuję kopii zapasowej?

Nie. RAID nie jest metodą tworzenia kopii zapasowych. Poziomy RAID powyżej 0 są przeznaczone wyłącznie do zapewnienia redundancji w celu ochrony przed awarią dysku. Macierz RAID nie zapewnia ochrony przed usunięciem danych lub szyfrowaniem. Z tego względu zaleca się prawidłowe tworzenie kopii zapasowych danych zgodnie z zasadą tworzenia kopii zapasowych 3-2-1.

Mam już skonfigurowane „migawki”, czy to oznacza, że nie potrzebuję kopii zapasowej?

Nie. Ponieważ „migawki” są przechowywane na tym samym zestawie dysków twardych co dane, dane nadal będą tracone w przypadku awarii RAID. Ponadto, jeśli hakerzy mogą uzyskać wystarczające uprawnienia (np. przez pomyślne złamanie hasła konta administratora), mogą również usunąć „migawkę”. Z tego względu zaleca się prawidłowe tworzenie kopii zapasowych migawek zgodnie z zasadą tworzenia kopii zapasowych 3-2-1.

Mój serwer NAS nie ma dostępu do Internetu, czy to oznacza, że nie można go zaatakować?

Nie. Chociaż większość ataków cybernetycznych pochodzi z Internetu, nadal istnieje ryzyko, że serwer NAS zostanie zaatakowany w intranecie. Na przykład: jeśli złośliwe oprogramowanie zhakuje lub zaatakuje inny komputer lub urządzenie w intranecie, może ono zostać wykorzystane do ataku i rozprzestrzenienia się na inne urządzenia w intranecie. Instalowanie oprogramowania antywirusowego i wdrażanie produktów bezpieczeństwa sieciowego na komputerze może pomóc w radzeniu sobie z powiązanymi zagrożeniami. Na przykład podejrzane działania w intranecie może wykrywać i automatycznie je izolować rozwiązanie QNAP ADRA NDR. Jednocześnie zaleca się również prawidłowe tworzenie kopii zapasowych danych zgodnie z zasadą tworzenia kopii zapasowych 3-2-1.

Mój serwer NAS jest używany od dłuższego czasu, jak sprawdzić czy zainstalowano złośliwe oprogramowanie?

Jeśli zauważysz, że obciążenie procesora jest nienormalnie wysokie, wystąpią awarie aktualizacji oprogramowania lub w App Center są nieznane aplikacje, być może zainstalowano złośliwy program. Zaleca się zainstalowanie i uruchomienie najnowszej wersji oprogramowania Malware Remover. Jeśli nadal nie możesz rozwiązać problemu, skontaktuj się z zespołem pomocy technicznej QNAP, aby uzyskać pomoc.

Jeśli muszę otworzyć niektóre usługi w Internecie, co należy zrobić, aby zapewnić bezpieczeństwo?

Upewnij się, że serwer NAS ma zainstalowane najnowsze wersje oprogramowania układowego i aplikacji. Możesz włączyć QuFirewall, aby zapewnić podstawową ochronę zapory, a reguły „PSIRT” i „TOR” mogą pomóc w zablokowaniu niektórych połączeń hakerów. Jeśli jesteś użytkownikiem biznesowym lub korporacyjnym, zaleca się korzystanie z rozwiązania firewall wyższego poziomu. Ponadto, jeśli pozwala na to miejsce w puli pamięci, można utworzyć „migawki” w celu zapewnienia podstawowej ochrony danych. Zaleca się również prawidłowe tworzenie kopii zapasowych danych zgodnie z zasadą tworzenia kopii zapasowych 3-2-1, aby przygotować się na najgorszy scenariusz i zapobiec potencjalnej utracie danych.

Moja stacja NAS jest stara i nie obsługuje najnowszej wersji QTS, czy nadal można jej bezpiecznie używać?

Starsze modele i modele wycofane ze sprzedaży (EOL) mają ograniczone wsparcie i powinny być używane tylko do tworzenia kopii zapasowych w intranecie/w trybie offline.

Dlaczego otrzymuję ostrzeżenie o błędnym logowaniu do NAS?

Jeśli adres IP nieudanego logowania pochodzi z Internetu, oznacza to, że serwer NAS jest atakowany metodą siłowego łamania haseł. Należy unikać wystawiania stacji NAS na kontakt z Internetem i postępować zgodnie z tym samouczkiem, aby wzmocnić zabezpieczenia. Jeśli adres IP nieudanego logowania pochodzi z intranetu, sprawdź, czy na urządzeniu z tym adresem IP nie zainstalowano złośliwego oprogramowania.

Dlaczego wszystkie moje pliki mają dziwne nazwy?

Jest to objaw infekcji ransomware. Sprawdź dzienniki dostępu stacji NAS, aby ustalić, czy akcja szyfrowania pochodzi z innego komputera, czy z samej stacji NAS. Jeśli serwer NAS został zaatakowany przez oprogramowanie ransomware, należy podjąć odpowiednie kroki, aby zatrzymać rozprzestrzenianie się infekcji. W razie potrzeby skontaktuj się z zespołem wsparcia technicznego QNAP w celu uzyskania pomocy.

Co należy zrobić, jeśli mój serwer NAS został zainfekowany oprogramowaniem ransomware?

Większość programów ransomware wykorzystuje metody szyfrowania, których nie da się złamać. Bez prawidłowego klucza nie można odblokować plików, więc pliki można przywrócić tylko za pomocą kopii zapasowej lub migawki.
Zmodyfikuj ustawienia routera zgodnie z tym samouczkiem, aby uniknąć narażenia serwera NAS na działania z Internetu i zapobiec wtórnym atakom. Po drugie, należy natychmiast zawiesić wszystkie zadania synchronizacji i ustawić trwałe przechowywanie migawek, aby uniknąć utraty plików kopii zapasowych. Jeśli dane mają kopie zapasowe lub migawki, które można przywrócić, możesz przywrócić pliki po zaktualizowaniu oprogramowania sprzętowego i aplikacji NAS oraz po zakończeniu skanowania przez aplikację Malware Remover. Jeśli dane nie mają kopii zapasowych, wykonaj kopię zapasową notatki o okupie pozostawionej przez oprogramowanie ransomware i metody opłacenia okupu, a następnie spróbuj użyć metod takich jak odzyskiwanie danych w celu odzyskania niektórych danych. W razie potrzeby skontaktuj się z zespołem wsparcia technicznego QNAP w celu uzyskania pomocy.

Ciągle widzę doniesienia mediów o łataniu luk w zabezpieczeniach produktów QNAP. Czy to oznacza, że produkty QNAP nie są bezpieczne?

Nie ma idealnego oprogramowania i sprzętu. Niezależnie od tego, czy jest to oprogramowanie opracowane przez różnych producentów, oprogramowanie open source, czy nawet sprzęt, luki w zabezpieczeniach są zawsze znajdowane, a następnie łatane przez producentów. Podobnie jak inne duże firmy technologiczne QNAP na bieżąco łata znane luki w zabezpieczeniach, a następnie publikuje pliki aktualizacji, które użytkownicy mogą jak najszybciej zainstalować, aby zapewnić bezpieczeństwo urządzeń i danych użytkowników. Zespół QNAP PSIRT wydaje również powiadomienia na temat bezpieczeństwa do publikacji zewnętrznychaby użytkownicy mogli działać przeciwko pojawiającym się problemom.
Firma QNAP uważa, że radzenie sobie z lukami w sposób otwarty i przejrzysty pomaga chronić prawo użytkowników do wiedzy oraz pomaga w poprawie bezpieczeństwa produktów. Użytkownicy są również zaproszeni do subskrybowania Zalecenia dotyczących bezpieczeństwa QNAP w celu uzyskania odpowiednich, dokładnych i kompletnych informacji przed publikacją informacji w mediach.

Co to jest zasada 3-2-1 tworzenia kopii zapasowych?

Zasada tworzenia kopii zapasowych 3-2-1 jest dobrze znaną w branży IT zasadą tworzenia kopii zapasowych. Przygotowuje na najgorszy scenariusz. Powoduje, że w przypadku awarii istnieją pliki kopii zapasowej do przywrócenia danych, aby uniknąć strat i zapewnić bezpieczeństwo.
„3” w zasadzie 3-2-1 tworzenia kopii zapasowych oznacza co najmniej trzy kopie zapasowe; „2” — co najmniej dwa nośniki pamięci; a „1” — co najmniej jedną kopię zapasową poza siedzibą. W oparciu o zasadę 3-2-1 tworzenia kopii zapasowych będą dostępne pliki kopii zapasowych, które można przywrócić niezależnie od przypadkowej modyfikacji, usunięcia, uszkodzenia sprzętu, infekcji wirusowej i katastrof, takich jak pożary i powodzie.
Aby realizować tę zasadę, serwer QNAP NAS zawiera oprogramowanie Hybrid Backup Sync 3 (HBS3), Replikacja migawek i SnapSync (obsługiwane tylko w systemie QuTS hero) do tworzenia kopii zapasowych danych na serwerze NAS, w chmurze publicznej, w zewnętrznej pamięci masowej, innych serwerach plików i/lub innych urządzeniach, aby zapewnić, że nic nie zostanie utracone.

Pamięć masowa

Łączność sieciowa

Akcesoria do rozbudowy

Monitoring

NAS