QNAP NAS Säkerhetsguide

Den här guiden ger detaljerade insikter i säkerhetsinställningarna och skyddsmekanismerna för QNAP NAS, vilket hjälper dig att stärka nätverksförsvar och skydda dina data.

Ladda ned säkerhetsguiden

Skydda nätverkets arkitektur och inställningar

1. Anslut NAS-enheten korrekt

Du får aldrig ansluta NAS-enhetens nätverksportar direkt till internet. Kontrollera att NAS-enheten är ansluten till routern först och anslut sedan till modemet som internetleverantören tillhandahåller (ISP). Med rätt inställningar kan routern blockera skadlig trafik från internet och minska riskerna för cyberangrepp.

Korrekt anslutning: NAS-enheten ansluten till routern först

Felaktig anslutning: NAS-enheten direkt ansluten till modemet

2. Konfigurera routern korrekt

Logga in på routern och be internetleverantören att kontrollera följande inställningar:

Inaktivera UPnP
Inaktivera DMZ

(Demilitariserad zon)
Inaktivera portvidarebefordran

Hur får jag säker fjärråtkomst till NAS-enheten med inaktiverad portvidarebefordran? QNAP tillhandahåller QVPN och myQNAPcloud Link som möjliggör säker fjärråtkomst till NAS-enheten.

Läs mer:
Anslut inte NAS direkt till Internet utan något skydd >
Konfigurera myQNAPcloud för fjärråtkomst till en QNAP NAS >
Hur konfigurerar jag VPN-server på en QNAP NAS bakom routern? >

Hur kontrollerar du om du är exponerad på internet?
Vi rekommenderar att installera och använda Security Center eller verktyg för IP-adressfrågor för att kontrollera om dina enheter är exponerade på internet

Fyra sätt för säker fjärråtkomst till NAS-enheten

Anslutningsmetod	Fördelar	Nackdelar	Lämpliga användare
Aktivera och konfigurera routerns DMZ/portvidarebefordran för UPnP	Snabbast anslutning	Sårbar för cyberangrepp Inget skydd mot dagnollangrepp	Förstår de tillhörande riskerna Kännedom om nätverksinställningar Har skapat flera säkerhetskopieringar av viktig data Har en katastrofåterställningsplan
Aktivera VPN-server på routern	Relativt enkelt att konfigurera	Inget meddelande om misslyckad inloggning, automatisk blockering och brandvägg Stöder färre VPN-protokoll Prestanda begränsad av routerns maskinvara	Ingen kännedom om nätverksinställningar Överföringshastighet inte viktigt
Aktivera VPN-serverfunktion på QNAP NAS	Stöder flera VPN-protokoll Kompatibel med NAS-brandväggen (QuFirewall) Stöder meddelande om misslyckad inloggning och automatisk blockering	Inställning är lite mer komplicerat	Kännedom om nätverksinställningar Behöver ofta åtkomst till många filer på internet
Använd myQNAPcloud Link säker anslutning	Enklast att konfigurera Stöder åtkomstkontroll NAS-enheten måste inte vara exponerad på internet	Långsammare anslutning	Ingen kännedom om nätverksinställningar Sporadisk åtkomst till NAS-enheten från internet Nätverksmiljö där det inte går att hämta WAN-IP-adress
Använd SD-WAN eller VPN-produkter för site-to-site	När det är konfigurerat märker intranätanvändare ingen skillnad Stöder även VPN för client-to-site	Ytterligare utrustning krävs	Kräver flerpunktsåtkomst och fjärrsäkerhetskopiering Kräver mervärdesprogram

3. Aktivera automatiska uppdateringar

QNAP uppdaterar ofta inbyggd programvara och programvara. Aktivera automatiska uppdateringar för att få de senaste funktionerna, felkorrigeringarna och skyddet mot säkerhetsrisker.

Inifrån och ut: Säkerhet i flera lager

QNAP erbjuder heltäckande NAS-anslutningsskydd och katastrofåterställningsplaner, kombinerat med systemsäkerhetsbedömningar och intern nätverkshotanalys, för att skapa ett cybersäkerhetshanteringssystem med olika lager.

Läs bloggen: Skapa cybersäkerhetsförsvar med flera lager för företag

Stärk systemkontots säkerhet

1. Inaktivera det förinställda administratörskontot ”admin”

Hackare som använder råstyrkerangrepp mot lösenord inriktar sig i allmänhet mot ”admin” (det standardinställda administratörskontot). Vi rekommenderar starkt att inaktivera ”admin” och skapa ett nytt administratörskonto.

Läs mer: Så här inaktiverar du administratörskontot ”admin”

Modeller med QTS 5.0.1/QuTS hero h5.0.1 (eller senare) inbyggt inaktiverar "admin" som standard.

2. Aktivera åtkomstskydd (IP/konto)

Skydd mot IP-åtkomst och skydd mot kontoåtkomst hjälper till att förhindra att lösenord gissas med råstyrkeangrepp. När det inte går att logga in på en viss IP-adress eller ett visst konto många gånger, utlöser det IP-blockering eller inaktiverar kontot och förhindrar att angripare provar olika lösenord.

3.Aktivera multifaktorautentisering

Det rekommenderas starkt att aktivera säkra inloggningsmetoder som lösenordslös inloggning och tvåstegsverifiering för att lägga till ett extra lager av datasäkerhet.

Läs mer: Säker inloggning och multifaktorautentisering

4. Inaktivera Telnet/SSH

Om du inte använder Telnet och SSH rekommenderar vi att inaktivera dem. Dessa funktioner används vanligen av QNAP:s kundtjänst eller professionell IT-personal för att underhålla systemet. Vanliga användare behöver dem inte, varför vi rekommenderar att inaktivera dem.

Aktivera schemalagda ögonblicksbilder

Ögonblicksbilder skyddar viktig data genom att skapa återställningspunkter för flera versioner. När en utpressningstrojan angriper går det att återställa data med en ögonblicksbild. Vi rekommenderar starkt att schemalägga ögonblicksbilder och ställa in en borttagningsprincip för dem som säkerställer god datasäkerhet och användning av lagringsutrymmet.

Läs mer: Vad är ögonblicksbilder?, Snapshot Replica – säkerhetskopiera ögonblicksbilderna, SnapSync i realtid (*Endast i QuTS hero )

Öppna Lagring och snapshots, klicka på Volym och öppna Snapshothanteraren på menyn.

Klicka på Schemalägg snapshot. Vi rekommenderar att schemalägga ögonblicksbilden som Daglig eller Veckovis.

Det går att ställa in en bevarandeprincip för att begränsa antalet ögonblicksbilder och förhindra att de tar upp för mycket lagringsutrymme. Vi rekommenderar att ställa in Smart versionshantering.

Kontrollera att Lagringsutrymme är en Lagringspool-struktur och att lagringspoolen har tillräckligt ledigt utrymme för ögonblicksbilder. QNAP rekommenderar att användare aktiverar smart utrymmeshantering för ögonblicksbilder och tunna volymer för att säkerställa tillräckligt lagringsutrymme för NAS-enheten att fungera normalt.

Security Center – din säkerhetsportal för QNAP NAS

Security Center analyserar och övervakar NAS-status, ovanlig filaktivitet, möjliga säkerhetshot och tillhandahåller omedelbara skyddsåtgärder som skyddar system och data. Det integrerar även antiviruslösningar och genomsökning efter skadlig kod för att säkerställa fullständigt skydd för din QNAP NAS.

Öppna Security Center, välj en säkerhetsprincipnivå som passar dina behov och klicka på Sök igenom.

Om genomsökningsresultatet påvisar säkerhetsrisker går det att klicka på Assistenten Föreslagna inställningar som hjälper dig att ändra inställningarna.

Vi rekommenderar att ställa in Skanningsschema på minst en gång i månaden så att systemet kontrollerar inställningar och systemstatus regelbundet. Om en risk identifieras och Aviseringscenter är korrekt konfigurerat får du en avisering som gör det möjligt att vidta åtgärder så snart som möjligt.

Funktionen Övervakning av ovanlig filaktivitet gör det möjligt spåra genomsnittligt antal ovanliga och ändrade filer snabbt på NAS-enheten under en viss period.

QuFirewall: Inbyggd brandvägg för QNAP-installationer

QuFirewall blockerar paket som misstänks vara skickade med Tor (en anonym kommunikationsanslutning) och förhindrar att NAS-enheten angrips. Den identifierar misstänkt onion routing och skadliga botar och uppdaterar dynamiskt blockeringslistan med skadliga paket för att skydda QNAP-enheterna.

Om ditt nätverk saknar särskilda behov rekommenderar vi att välja Grundskydd och sedan klicka på Nästa för att fortsätta.

Välj platsens region. Det går att lägga till fler regioner senare.

Öppna sidan Profiler i QuFirewall och du ser att Grundskydd är aktiverat. Klicka på Grundskydd för visa motsvarande brandväggsregler. Reglerna jämförs med informationen i inkommande paket, som släpps igenom eller blockeras enligt brandväggsreglerna.

Malware Remover

Appen Malware Remover söker regelbundet igenom NAS-enheten med de senaste definitionsfilerna för skadlig kod. När infekterade filer identifieras tas de omedelbart bort för att säkerställa NAS-enhetens datasäkerhet. Appen får regelbundna molnbaserade uppdateringar av definitionsfiler för skadlig kod för att stärka datasäkerheten.

Öppna Malware Remover där status för den senaste genomsökningen visas till vänster och klicka på Inställningar till vänster.

Vi rekommenderar att ställa in schemalagd genomsökning på minst en gång per dag så att Malware Remover kontrollerar systemstatus regelbundet. Kontrollera att Uppdatera Malware Remover automatiskt till den senaste versionen är markerat.

Konfigurera systemaviseringar

Aviseringscenter centraliserar alla systemaviseringar och kan skicka aviseringar till enheter enligt inställningarna för att informera dig om NAS-enhetens status.

Öppna Aviseringscenter och klicka på Tjänstkonto och koppla enheter på menyn till vänster, välj E-post och klicka sedan på Lägg till SMTP-tjänst.

Välj ett e-postkonto, klicka på Lägg till konto och följa anvisningarna för att slutföra verifieringen.

Klicka på Systemaviseringsregler på menyn till vänster i Aviseringscenter och välj Händelseaviseringar och klicka på Skapa regel.

Ändra Regelnamn efter behov och markera säkerhetsnivåerna Varning och Fel och klicka på Nästa för att slutföra.

Prenumerera på QNAP eNews för att få de senaste produktsäkerhetsnyheterna

Prenumerera nu En djupdykning i Security Advisory Belöningsprogram för säkerhet

Vanliga frågor och svar

Är det mycket säkrare att koppla bort NAS-enheten från internet?

Nej. Att koppla bort NAS-enheten hänvisar vanligtvis till att ta bort NAS-enheten från nätverket så att de inte kan ansluta till yttervärlden. Trots att en del skadlig kod behöver en extern anslutning för att köras, finns det fortfarande skadlig kod som kan göra skada utan extern anslutning. Det lyckas därför inte att förhindra att hackare utför obehöriga åtgärder, det förhindrar även att en del systemfunktioner inte fungerar normalt, såsom automatiska programuppdateringar och aviseringar. Det korrekta sättet är att öka säkerheten genom begränsa trafiken till NAS-enheten, såsom att undvika exponering på internet.

Min hårddisk är konfigurerad med RAID, innebär det att jag inte behöver säkerhetskopiera?

Nej. RAID är ingen säkerhetskopieringsmetod. RAID-nivåer över 0 är endast avsedda för förbättrad redundans mot diskfel.. RAID ger inget skydd mot raderad data eller kryptering. Vi rekommenderar därför att säkerhetskopiera data noggrant enligt säkerhetskopieringsprincipen 3-2-1.

Jag har redan konfigurerat ögonblicksbilder, innebär det att jag inte behöver säkerhetskopiera?

Nej. Eftersom ögonblicksbilder lagras på samma uppsättning hårddiskar som din data, förlorar du ändå data om det uppstår ett RAID-fel. Om hackare dessutom får tillräcklig behörighet (såsom att knäcka administratörskontot), kan det hända att även ögonblicksbilderna raderas. Vi rekommenderar därför att säkerhetskopiera ögonblicksbilderna enligt säkerhetskopieringsprincipen 3-2-1.

Min NAS-enhet är inte exponerad på internet, innebär det att det är omöjligt att angripa den?

Nej. Även om de flesta cyberangreppen kommer från internet, är det fortfarande möjligt att angripa NAS-enheten genom intranätet. Om till exempel en annan dator eller enhet på intranätet hackas eller påverkas av skadlig kod kan den spridas och angripa andra enheter på intranätet. Installera antivirusprogram och distribuera produkter för nätverkssäkerhet på datorn kan hjälpa dig att hantera olika hot. QNAP ADRA NDR kan till exempel identifiera misstänkta aktiviteter på intranätet och isolera dem automatiskt. Vi rekommenderar samtidigt att säkerhetskopiera data noggrant enligt säkerhetskopieringsprincipen 3-2-1.

Jag har använt NAS-enheten länge, hur kontrollerar jag om det finns skadlig kod på den?

Om du lägger märke till att processorbelastningen är onormalt hög, har misslyckade programuppdateringar eller om det finns okända appar i App Center, är det möjligt att ett skadligt program är installerat. Vi rekommenderar att installera och använda den senaste versionen av Malware Remover. Kontakta QNAP:s tekniska supportteam om du fortfarande inte kan lösa problemet.

Om jag måste öppna en del tjänster på internet, vad måste jag göra för att säkerställa säkerheten?

Kontrollera att NAS-enheten har den senaste versionen av inbyggd programvara och appar installerad. Det går att aktivera QuFirewall för grundläggande brandväggsskydd reglerna PSIRT och TOR hjälper dig att blockera en del hackaranslutningar. Om du är företagsanvändare rekommenderar vi att använda en brandväggslösning på högre nivå. Det går att skapa ögonblicksbilder för grundläggande dataskydd och lagringspoolens utrymme tillåter. Vi rekommenderar även att säkerhetskopiera data enligt säkerhetskopieringsprincipen 3-2-1 för att vara beredd på det värsta och förhindra möjlig dataförlust.

Min NAS-enhet är gammal och stöder inte den senaste QTS-versionen. Går det fortfarande att använda den säkert?

Äldre och uttjänta modeller (EOL) har begränsat stöd och bör endast användas på intranät/säkerhetskopiering offline.

Varför får jag hela tiden varningar om misslyckad NAS-inloggning?

Om IP-adress för den misslyckade inloggningen kommer från internet, innebär det att NAS-enheten är utsatt för en råstyrkeattack mot lösenordet. Du bör undvika att exponera NAS-enheten på internet och följa dessa självstudier för att skydda NAS-enheten. Om IP-adressen för den misslyckade inloggningen kommer från intranätet, måste du kontrollera om den IP-adressen ha skadlig kod installerad.

Varför har mina filer underliga filnamn?

Det är ett symptom på infektion med utpressningstrojan. Kontrollera NAS-enhetens åtkomstloggar för att avgöra om krypteringsåtgärden kommer från en annan dator eller NAS-enheten själv. Om NAS-enheten har påverkats av utpressningstrojaner måste du vidta lämpliga åtgärder för att stoppa att infektionen sprids. Kontakta vid behov QNAP:s tekniska supportteam för hjälp.

Vad gör jag göra om min NAS-enhet är infekterad med en utpressningstrojan?

De flesta utpressningstrojaner använder obrytbara krypteringsmetoder. Om du inte har rätt nyckel går det inte att låsa upp filerna, utan de går endast att återställa från säkerhetskopior eller ögonblicksbilder.
Ändra omedelbart routerinställningarna enligt dessa självstudier för att undvika att exponera NAS-enheten på internet och för att förhindra sekundära angrepp. Du måste dessutom omedelbart avbryta alla synkroniseringsuppgifter och bevara ögonblicksbilder permanent för att undvika att förlora säkerhetskopieringsfiler. Om data har säkerhetskopior eller ögonblicksbilder som går att återställa är det möjligt att återställa filerna när du har uppdaterat NAS-enhetens inbyggda programvara och slutfört genomsökning med Malware Remover. Om data inte är säkerhetskopierad måste du säkerhetskopiera utpressningsbrevet och hur du betalar lösensumma och sedan försöka använda dataåterställning för att återställa en del data. Kontakta vid behov QNAP:s tekniska supportteam för hjälp.

Jag ser ofta rapporter i media om att QNAP korrigerar produktsäkerhetsrisker. Innebär det att QNAP:s produkter inte är säkra?

Det finns ingen perfekt program- eller maskinvara. Oavsett om det är tillverkarspecifik eller programvara med öppen kod eller till och med maskinvara, finns det alltid säkerhetsrisker som tillverkare sedan korrigerar. I likhet med andra större teknikföretag fortsätter QNAP korrigera kända säkerhetsrisker och släpper sedan uppdateringsfiler för användare att uppdatera så snart som möjligt för att skydda sina enheter och data. QNAP PSIRT publicerar även cybersäkerhetsmeddelanden för extern användning som gör det möjligt för användare att reagera på problem som uppstår.
QNAP tror på att hantera säkerhetsrisker på ett öppet och transparent sätt skyddar användarnas rätt till information och förbättrar produktsäkerheten. Användare bjuds även in till att prenumerera på QNAP Security Advisories för att få relevant, korrekt och fullständig information innan media rapporterar.

Vad är säkerhetskopieringsprincipen 3-2-1?

Säkerhetskopieringsprincipen 3-2-1 är välkänd i IT-branschen. Den förbereder för det värsta scenariot. Den säkerställer att det i händelse av katastrof finns säkerhetskopieringsfiler för att återställa data och undvika dataförlust och öka säkerheten.
3 säkerhetskopieringen 3-2-1 innebär att det finns minst tre säkerhetskopior, 2 innebär minst två lagringsmedia och 1 att det finns minst en kopia på annan plats. Enligt 3-2-1-principen finns det säkerhetskopieringsfiler som går att återställa oavsett oavsiktlig ändring, radering, maskinvaruskada, virusinfektion och katastrofer såsom brand och översvämning.
QNAP NAS uppfyller den här principen genom Hybrid Backup Sync 3 (HBS3), Snapshot Replica och SnapSync (endast i QuTS hero) som kan säkerhetskopiera data på NAS-enheten till NAS på annan plats, offentligt moln, extern lagring, andra filservrar och/eller andra enheter för att säkerställa att inget går förlorat.

Lagring

Nätverk

Expansionstillbehör

Övervakning

NAS