Guia de segurança NAS QNAP

Este guia oferece informações detalhadas sobre as definições de segurança e os mecanismos de proteção do NAS QNAP, ajudando-o a reforçar as defesas da rede e a proteger os seus dados.

Transferir o Manual de segurança

Arquitetura e definições de rede seguras

1. Ligar o NAS corretamente

Nunca deverá ligar diretamente a porta de rede do NAS à internet. Certifique-se de que primeiro liga o seu NAS ao router e, em seguida, ligue-o ao modem fornecido pelo seu fornecedor de serviços de internet (ISP). Com as definições corretas, o router pode bloquear o tráfego malicioso da internet e reduzir o risco de ciberataques.

Ligação correta — O NAS é ligado primeiro ao router

Ligação incorreta — O NAS é ligado diretamente ao modem

2. Configurar corretamente o router

Inicie a sessão no router ou peça ao seu ISP para o ajudar a verificar e desativar as seguintes definições:

Desativar UPnP
Desativar DMZ

(Zona desmilitarizada)
Desativar o encaminhamento de porta

Como proteger o acesso remoto ao seu NAS com o encaminhamento de porta desativado? A QNAP fornece o QVPN e o myQNAPcloud Link, que permitem o acesso remoto seguro ao seu NAS.

Mais informações:
Não ligue diretamente o NAS à internet sem qualquer proteção >
Como configurar o myQNAPcloud para aceder remotamente a um NAS QNAP >
Como configurar um servidor VPN no NAS QNAP atrás do router? >

Como verificar se está exposto à internet?
Recomendamos a instalação e a utilização do Security Center ou das ferramentas de consulta de endereços IP para verificar se os seus dispositivos estão expostos à internet

4 métodos para proteger o acesso remoto ao NAS

Método de ligação	Vantagens	Desvantagens	Utilizadores adequados
Ativar e configurar o router DMZ/Encaminhamento de porta de UPnP	Ligação mais rápida	Vulnerável a ataques cibernéticos Sem defesa contra ataques de dia zero de vulnerabilidade	Têm uma compreensão clara dos riscos associados Estão familiarizados com definições de rede Criaram várias cópias de segurança de dados importantes Têm um plano de recuperação após desastre
Ativar o servidor VPN no router	É relativamente simples de configurar	Sem notificação de falha de início de sessão, bloqueio automático e função de firewall Menos protocolos VPN suportados Desempenho limitado pelo hardware do router	Não estão familiarizados com definições de rede Não se preocupam com a velocidade de transmissão
Ativar a função de servidor VPN no NAS QNAP	Suporta múltiplos protocolos VPN Compatível com a firewall do NAS (QuFirewall) Suporta notificação de falha de início de sessão e bloqueio automático	As definições são ligeiramente mais complexas	Estão familiarizados com definições de rede Necessitam de aceder frequentemente a um grande número de ficheiros a partir da internet
Utilizar a ligação segura de myQNAPcloud Link	Mais fácil de configurar Suporta o controlo de acesso O NAS não precisa de estar exposto à internet	Ligação mais lenta	Não estão familiarizados com definições de rede Acesso pouco frequente ao NAS a partir da internet Ambiente de rede onde não é possível obter o endereço IP da WAN
Utilizar produtos SD-WAN ou VPN de site para site	Uma vez configurado, os utilizadores da intranet podem utilizá-lo sem sentir qualquer diferença Também suporta VPN de cliente para site	Equipamento adicional necessário	Requer acesso multiponto e cópia de segurança remota Requer aplicações de valor acrescentado

3. Ativar atualizações automáticas

A QNAP atualiza frequentemente firmware e software de segurança. A ativação das atualizações automáticas assegura que dispõe das mais recentes funcionalidades, correções de erros e vulnerabilidades.

De dentro para fora: Segurança multicamada

A QNAP oferece planos abrangentes de proteção da ligação de NAS e recuperação após desastre, combinados com avaliações de segurança do sistema e análise de ameaças à rede interna, para criar um sistema de gestão de cibersegurança por camadas.

Ler blogue: Criação de um sistema de defesa de cibersegurança multicamada para empresas

Reforçar a segurança da conta do sistema

1. Desativar a conta de administrador “admin” predefinida

Os piratas informáticos que tentam decifrar palavras-passe por força bruta geralmente têm como alvo “admin” (a conta de administrador predefinida). É fortemente recomendado desativar “admin” e criar uma nova conta de administrador.

Mais informações: Como desativar a conta de utilizador admin

Nos modelos com QTS 5.0.1/QuTS hero h5.0.1 (ou posterior) incorporado, a conta “admin” está desativada por predefinição.

2. Ativar a proteção de acesso (IP/Conta)

“Proteção de Acesso IP” e “Proteção de acesso a contas” podem ajudar a evitar que as palavras-passe sejam decifradas por força bruta. Quando um IP ou conta específica não consegue iniciar sessão demasiadas vezes, vai acionar o bloqueio de IP ou a desativação da conta, impedindo os atacantes de tentarem repetidamente outras palavras-passe.

3. Ative a autenticação multifator

Recomenda-se fortemente a ativação de métodos de início de sessão seguros, tais como início de sessão sem palavra-passe e verificação de 2 passos para adicionar mais uma camada de segurança de dados.

Mais informações: Início de sessão seguro e autenticação multifator

4. Desativar Telnet/SSH

A menos que os utilize, é fortemente recomendado desativar Telnet e o SSH. Estas duas funções são geralmente utilizadas pela assistência ao cliente da QNAP ou por pessoal de TI profissional com vista à manutenção do sistema. Os utilizadores em geral não devem precisar deles, pelo que se recomenda a sua desativação.

Ativar agendamentos de instantâneos

Os instantâneos podem proteger os seus dados importantes através da criação de pontos de restauro multi-versão. Quando o ransomware ataca, os seus dados podem ser recuperados a partir de um instantâneo. Recomenda-se vivamente que ative o agendamento de instantâneos e defina uma política de eliminação de instantâneos para garantir a segurança adequada dos dados e a utilização do armazenamento.

Mais informações: O que são instantâneos?, Snapshot Replica — efetuar cópias de segurança dos seus instantâneos, SnapSync em tempo real (* Apenas disponível no QuTS hero)

Abra “Armazenamento e Instantâneos”, clique em “Volume” e abra “Gestor de Instantâneo” no menu.

Clique em “Agendar Instantâneo”. Recomenda-se o agendamento “Diário” ou “Semanal” de instantâneos.

Pode definir uma política de retenção de instantâneos para limitar o número de instantâneos e evitar que ocupem demasiado espaço. Recomenda-se que defina “Controlo de versões inteligente”.

Certifique-se de que “Espaço de armazenamento” é uma estrutura de “Pool de armazenamento” e que “Pool de armazenamento” tem espaço livre suficiente para tirar instantâneos. A QNAP recomenda que os utilizadores ativem a gestão inteligente do espaço de instantâneos e utilizem volumes finos para instantâneos a fim de garantir a existência de espaço de armazenamento suficiente para o NAS funcionar corretamente.

Security Center — O seu portal de segurança para NAS QNAP

O Security Center analisa e monitoriza proativamente o estado do NAS, atividade invulgar dos ficheiros, potenciais ameaças à segurança e oferece medidas de proteção instantâneas para proteger o sistema e os dados. Também integra software antivírus e antimalware para assegurar a proteção completa do seu NAS QNAP.

Abra o “Security Center”, selecione o nível de política de segurança adequado às suas necessidades e clique em “Analisar agora”.

Se os resultados da verificação revelarem riscos de segurança, pode clicar no “Assistente de definições sugeridas” para o ajudar a ajustar as definições.

Recomenda-se que a opção “Agenda de pesquisa” esteja definida para pelo menos uma vez por mês, de modo a que o sistema possa verificar regularmente as definições e o estado do sistema. Se for detetado um risco e o Centro de Notificação estiver configurado corretamente, receberá uma notificação para tratar dele o mais rapidamente possível.

“Monitorização de atividade invulgar dos ficheiros” permite-lhe acompanhar facilmente a contagem média de ficheiros invulgares e alterados no NAS durante um período específico.

QuFirewall: Firewall integrada para dispositivos QNAP

QuFirewall bloqueia pacotes suspeitos de serem enviados por Tor (uma ligação de comunicação anónima) a fim de evitar que o seu NAS seja atacado. Deteta também encaminhamentos tipo “cebola” suspeitos e bots maliciosos, e atualiza dinamicamente a lista de bloqueios de pacotes maliciosos, garantindo a segurança dos seus dispositivos QNAP.

Se a sua rede não tiver necessidades especiais, recomenda-se selecionar “Proteção básica” e, em seguida, clicar em “Seguinte” para continuar.

Defina a região de acordo com a sua localização. Pode adicionar mais regiões posteriormente.

Aceda à página Perfis do QuFirewall e verá que a opção “Proteção básica” está ativada. Clique em “Proteção básica” para expandir e ver as regras de firewall correspondentes. As regras são verificadas em relação à informação contida nos pacotes recebidos, que podem passar ou ser bloqueados de acordo com as regras da firewall.

Malware Remover

O Malware Remover analisa regularmente o seu NAS utilizando as definições mais recentes de malware. Quando detetados, os ficheiros infetados serão imediatamente removidos para garantir a segurança dos dados do NAS. Recebe regularmente atualizações de definições de malware baseadas na nuvem para reforçar a segurança dos seus dados.

Abra o “Malware Remover”. É apresentado o estado da última análise, Clique em “Definições” do lado esquerdo.

Recomenda-se que a opção “Agendar análise” seja definida para uma vez por dia, de modo a que o “Malware Remover” verifique regularmente o estado do sistema. Certifique-se também de que a opção “Atualizar automaticamente o Malware Remover para a versão mais recente” continua assinalada.

Configurar notificações do sistema

O Centro de Notificação centraliza todas as notificações do sistema e pode enviar notificações push para dispositivos com base nas suas definições de modo a mantê-lo atualizado sobre o estado do seu NAS.

Abra o “Centro de Notificação”, clique em “Conta de serviço e emparelhamento de dispositivos” no menu do lado esquerdo, selecione “E-mail” e, em seguida, clique em “Adicionar serviço SMTP”.

Selecione uma conta de e-mail, clique em “Adicionar conta” e siga as instruções para concluir o processo de verificação.

No menu do lado esquerdo de “Centro de Notificação”, clique em “Regras de notificação do sistema”, selecione “Notificações de alerta” e clique em “Criar Regra”.

Modifique o “Nome da regra” de acordo com as suas necessidades, verifique os dois níveis de gravidade de “Aviso” e “Erro” e clique em “Seguinte” para concluir.

Subscreva a QNAP eNews para receber as notícias mais recentes sobre segurança dos produtos

Subscreva agora Uma análise aprofundada do mundo do Aconselhamento de segurança Programa de recompensas de segurança

Perguntas frequentes

É mais seguro desligar o NAS da internet?

Não. “Desligar” o NAS refere-se geralmente a impedir o NAS de utilizar a rede para que não possa iniciar ligações com o mundo exterior. Embora algum malware exija uma ligação externa para ser executado, ainda há malware que pode executar com êxito ações maliciosas sem uma ligação externa. Por conseguinte, não só não impedirá os piratas informáticos de realizar ações ilegais, como também impedirá que algumas funções do sistema funcionem corretamente, tais como atualizações automáticas de software e notificações. A abordagem correta é limitar o tráfego ao NAS, por exemplo, evitando a exposição à internet, para melhorar a segurança.

O meu disco rígido está configurado com RAID, isso significa que não preciso de efetuar cópias de segurança?

Não. RAID não é um método de cópia de segurança. Os níveis RAID acima de 0 destinam-se apenas a proporcionar redundância contra a falha de um disco. RAID não oferece proteção contra eliminação ou encriptação de dados. Por conseguinte, recomenda-se efetuar uma cópia de segurança adequada dos dados de acordo com o princípio de cópia de segurança 3-2-1.

Já configurei “instantâneos”, significa que não preciso de efetuar cópias de segurança?

Não. Os “instantâneos” são armazenados no mesmo conjunto de discos rígidos que os seus dados, pelo que ainda assim perderá os dados se ocorrer uma falha de RAID. Além disso, se os piratas informáticos conseguirem obter privilégios suficientes (como, por exemplo, decifrar com êxito a conta de administrador), o “instantâneo” também pode ser eliminado. Por conseguinte, recomenda-se efetuar uma cópia de segurança adequada dos ficheiros de instantâneos de acordo com o princípio de cópia de segurança 3-2-1.

O meu NAS não está exposto à internet, isso significa que é impossível ser atacado?

Não. Embora a maioria dos ataques cibernéticos provenha da internet, o NAS continua em risco de ser atacado na intranet. Por exemplo, se outro computador ou dispositivo na sua intranet for pirateado ou afetado por malware, pode ser utilizado para atacar e espalhar-se para outros dispositivos na intranet. A instalação de software antivírus e a implementação de produtos de segurança de rede no seu computador pode ajudá-lo a lidar com as ameaças relacionadas. Por exemplo, o NDR ADRA da QNAP pode detetar atividades suspeitas na intranet e isolá-las automaticamente. Simultaneamente, também se recomenda efetuar uma cópia de segurança adequada dos dados de acordo com o princípio de cópia de segurança 3-2-1.

O meu NAS já é utilizado há muito tempo, como posso verificar se existe malware instalado?

Se notar que a carga do processador é anormalmente elevada, ocorrem falhas na atualização de software ou se existirem aplicações desconhecidas no App Center, é possível que tenha sido instalado um programa malicioso. Recomenda-se a instalação e utilização da versão mais recente do Malware Remover. Se ainda assim não conseguir resolver o problema, contacte a equipa de assistência técnica da QNAP para obter apoio.

Se for necessário abrir alguns serviços à internet, o que devo fazer para garantir a segurança?

Certifique-se de que o NAS tem a versão mais recente de firmware e de aplicações instaladas. Pode ativar o QuFirewall para fornecer proteção básica de firewall, e as regras “PSIRT” e “TOR” podem ajudá-lo a bloquear algumas ligações de piratas informáticos. Se for um utilizador profissional ou empresarial, recomenda-se a utilização de uma solução de firewall de nível superior. Além disso, se o espaço de pools de armazenamento permitir, é possível criar “instantâneos” para proteção básica de dados. Também se recomenda a realização de uma cópia de segurança adequada dos dados de acordo com o princípio de cópia de segurança 3-2-1 para se preparar para o pior cenário e evitar uma potencial perda de dados.

O meu NAS é antigo e não suporta a versão mais recente do QTS, ainda pode ser utilizado em segurança?

Os modelos antigos e em fim de vida (EOL) têm um suporte limitado e só devem ser utilizados para efetuar cópias de segurança da intranet/offline.

Porque é que continuo a receber um aviso de falha de início de sessão do NAS?

Se o endereço IP do início de sessão falhado for proveniente da internet, significa que o seu NAS está sob ataque de decifragem de palavras-passe por força bruta. Deve evitar expor o seu NAS à internet e deve seguir este tutorial para reforçar o seu NAS. Se o endereço IP do início de sessão falhado for da intranet, verifique se o dispositivo com esse endereço IP tem malware instalado.

Porque é que todos os meus ficheiros têm nomes de ficheiro estranhos?

Este é um sintoma de uma infeção por ransomware. Verifique os registos de acesso do NAS para determinar se a ação de encriptação é de outro computador ou do próprio NAS. Se o seu NAS tiver sido afetado por ransomware, então deverá tomar as medidas adequadas para impedir a propagação da infeção. Se necessário, contacte a equipa de assistência técnica da QNAP para obter apoio.

O que devo fazer se o meu NAS estiver infetado com ransomware?

A maioria do ransomware usa métodos de encriptação indecifráveis. Se não existir uma chave correta, os ficheiros não podem ser desbloqueados, pelo que os ficheiros só podem ser restaurados por cópia de segurança ou instantâneo.
Modifique imediatamente as definições do router de acordo com este tutorial para evitar a exposição do NAS à internet e para evitar ataques secundários. Em segundo lugar, deve suspender imediatamente todas as tarefas de sincronização e definir instantâneos para serem retidos permanentemente de modo a evitar a perda de ficheiros de cópia de segurança. Se tiver cópias de segurança ou instantâneos dos seus dados que possa restaurar, pode restaurar os ficheiros depois de atualizar o firmware e as aplicações do NAS e, em seguida, concluir a análise do Malware Remover. Se não tiver uma cópia de segurança dos dados, efetue uma cópia de segurança da nota de ransomware deixada pelo programa de ransomware e o método de pagamento do resgate e, em seguida, tente utilizar métodos como a recuperação de dados para recuperar alguns dados. Se necessário, contacte a equipa de assistência técnica da QNAP para obter apoio.

Continuo a ver relatos nos meios de comunicação social sobre as vulnerabilidades dos produtos de correção da QNAP. Isto significa que os produtos da QNAP não são seguros?

Não há software e hardware perfeitos no mundo. Quer se trate de software proprietário desenvolvido por vários fabricantes ou software de código aberto, ou mesmo hardware, são sempre encontradas vulnerabilidades, que depois são corrigidas pelos fabricantes. Tal como outras grandes empresas tecnológicas, a QNAP continua a corrigir vulnerabilidades conhecidas e, em seguida, lança ficheiros de atualização para que os utilizadores os atualizem o mais rapidamente possível, a fim de garantir a segurança dos dispositivos e dados dos utilizadores. A PSIRT da QNAP também emite notificações de cibersegurança para divulgação externa, para que os utilizadores possam agir contra problemas que surjam.
A QNAP acredita que lidar com as vulnerabilidades de uma forma aberta e transparente pode proteger o direito dos utilizadores de serem informados e ajudar a melhorar a segurança dos produtos. Os utilizadores são também convidados a subscrever os Avisos de Segurança da QNAP para obterem informações relevantes, precisas e completas antes dos relatos dos meios de comunicação.

O que é o princípio de cópia de segurança 3-2-1?

O princípio de cópia de segurança 3-2-1 é um princípio de cópia de segurança bem conhecido na indústria de TI. Prepara-o para o pior cenário possível. Garante que, em caso de catástrofe, existem ficheiros de cópia de segurança para restaurar os dados de modo a evitar perdas e garantir a segurança.
“3” em Cópia de segurança 3-2-1 significa pelo menos três cópias de segurança; “2” significa pelo menos dois suportes de armazenamento; e “1” significa que pelo menos uma cópia é uma cópia de segurança fora do local. Com base no princípio de cópia de segurança 3-2-1, existirão ficheiros de cópia de segurança que podem ser restaurados independentemente de uma modificação acidental, eliminação, danos de hardware, infeção por vírus e desastres, tais como incêndios e inundações.
Para satisfazer este princípio, o NAS QNAP inclui o Hybrid Backup Sync 3 (HBS3), Snapshot Replica e SnapSync (suportado apenas pelo QuTS hero) para efetuar cópias de segurança de dados no NAS para um NAS fora do local, nuvem pública, armazenamento externo, outros servidores de ficheiros e/ou outros dispositivos para garantir que nada se perde.

Armazenamento

Funcionamento em rede

Acessórios de expansão

Vigilância

NAS