QNAP NAS Güvenlik Kılavuzu

Bu kılavuz QNAP NAS’ın güvenlik ayarları ve koruma mekanizmaları hakkında ayrıntılı bilgiler sunarak ağ savunmanızı güçlendirmenize ve verilerinizi korumanıza yardımcı olur

Güvenlik Kılavuzunu İndir

Güvenli ağ mimarisi ve ayarları

1. NAS’ı doğru şekilde bağlayın

NAS’ın ağ bağlantı noktasını hiçbir zaman doğrudan İnternete bağlamamalısınız. NAS’ınızın ilk olarak yönlendiriciye bağlı olduğundan emin olun ve ardından İnternet Servis Sağlayıcınız (ISS) tarafından sağlanan modeme bağlayın. Doğru ayarlar yapıldığında yönlendirici, İnternetten gelen kötü amaçlı trafiği engelleyebilir ve siber saldırı riskini azaltabilir.

Doğru bağlantı: NAS ilk olarak yönlendiriciye bağlanır

Yanlış bağlantı: NAS doğrudan Modeme bağlanır

2. Yönlendiriciyi doğru şekilde yapılandırın

Yönlendiricide oturum açın veya aşağıdaki ayarları kontrol etmek ve devre dışı bırakmak için ISP’nizden yardım isteyin:

UPnP’yi Devre Dışı Bırakma
DMZ’yi Devre Dışı Bırakma

(Sivil Bölge)
Bağlantı Noktası İletmeyi Devre Dışı Bırakma

Bağlantı Noktası İletme Devre Dışı Bırakıldığında NAS’ınıza uzak erişimi nasıl güvenli hale getirebilirsiniz? QNAP; QVPN ve myQNAPcloud Link’i sağlayarak NAS’ınıza uzak erişimi güvenli hale getirir.

Daha fazla bilgi alın:
QNAP NAS’ ı her hangi bir koruma olmadan doğrudan internete bağlamayın >
QNAP NAS’a uzaktan erişmek için myQNAPcloud nasıl kurulur >
Yönlendiricinin arkasındaki QNAP NAS’ta bir VPN sunucusu nasıl kurulur? >

Aygıtlarınızın internete açık olup olmadığınızı nasıl kontrol edebilirsiniz?
Aygıtlarınızın internete açık olup olmadığını kontrol etmek için Security Center veya IP adresi sorgulama araçlarını kurmanızı ve kullanmanızı öneririz.

NAS’a uzak erişimi güvenceye almanın 4 yolu

Bağlantı Yöntemi	Avantajlar	Dezavantajlar	Uygun Kullanıcılar
UPnP için yönlendirici DMZ/Bağlantı Noktası İletme özelliğini etkinleştirin ve yapılandırın	En hızlı bağlantı	Siber saldırılara karşı savunmasızdır 0 Gün güvenlik açığı saldırılarına karşı savunma yoktur	İlişkili riskleri net bir şekilde anlamak Ağ ayarlarına aşina olmak Önemli veriler için birden fazla yedek oluşturmak Olağanüstü durum kurtarma planına sahip olmak
Yönlendiricide VPN sunucusunu etkinleştirin	Kurması daha basittir	Oturum açma hatası bildirimi, otomatik engelleme ve güvenlik duvarı işlevi bulunmaz Daha az VPN protokolü desteklenir Performans, yönlendirici donanımıyla sınırlıdır	Ağ ayarlarına aşina değilim İletim hızı benim için önemli değil
QNAP NAS’ta VPN sunucusu işlevini etkinleştirin	Birden fazla VPN protokolünü destekler NAS güvenlik duvarı (QuFirewall) ile uyumludur Oturum açma hatası bildirimini ve otomatik engellemeyi destekler	Ayarlar biraz daha karmaşıktır	Ağ ayarlarına aşinayım İnternetten pek çok dosyaya sık sık erişmem gerekiyor
Güvenli bağlantı için myQNAPcloud Link kullanın	Kurması kolay Erişim kontrolü desteği NAS’ın internete açık olması gerekmez	Daha yavaş bağlantı	Ağ ayarlarına aşina değilim İnternetten NAS’a seyrek erişim WAN IP adresinin alınamadığı ağ ortamı
SD-WAN veya Site to site VPN ürünlerini kullanın	Bir kez ayarlandıktan sonra intranet kullanıcıları herhangi bir fark olmadan kullanabilir Ayrıca Client-toSite VPN’i de destekler	Ek ekipman gerekir	Çok noktalı erişim ve uzaktan yedekleme gerektirir Katma değerli uygulamalar gerektirir

3. Otomatik güncellemeleri etkinleştirin

QNAP ürün firmware ve yazılımına sık sık güvenlik güncellemeleri yapar. Otomatik güncellemeleri etkinleştirmek, en son özelliklere, hata düzeltmelerine ve güvenlik açıklarına karşı korumaya sahip olmanızı sağlar.

İçten Dışa: Çok Katmanlı Güvenlik

QNAP, katmanlı bir siber güvenlik yönetim sistemi oluşturmak için sistem güvenlik değerlendirmeleri ve dahili ağ tehdit analizi ile birlikte kapsamlı NAS bağlantı koruması ve acil durum kurtarma planları sunar.

Bloğu Okuyun: İşletmeler için çok katmanlı bir siber güvenlik savunma sistemi oluşturur

Sistem hesap güvenliğinizi güçlendirin

1. Varsayılan "admin" yönetici hesabını devre dışı bırakın

Deneme yanılma parola kırma yöntemini kullanan bilgisayar korsanları genellikle "admin" hesabını (varsayılan yönetici hesabı) hedefler. "admin" hesabının devre dışı bırakılıp yeni bir yönetici hesabı oluşturulması kesinlikle önerilir.

Daha fazla bilgi alın: Yönetici kullanıcı hesabı nasıl devre dışı bırakılır

Yerleşik QTS 5.0.1 / QuTS hero h5.0.1 (veya üzeri) bulunan modellerde "admin" hesabı varsayılan olarak devre dışı bırakılır.

2. Erişim korumasını etkinleştirin (IP / Hesap)

"IP Erişim Koruması" ve "Hesap Erişim Koruması" parolaların deneme yanılma ile kırılmasını önlemeye yardımcı olur. Belirli bir IP veya hesapta çok fazla başarısız oturum açma denemesi olursa bu durum IP engellemeyi veya hesabı devre dışı bırakmayı tetikleyerek saldırganların sürekli olarak parola denemesinin önüne geçecektir.

3. Çok faktörlü oturum açmayı etkinleştirin

Ekstra veri güvenliği katmanı eklemek için parolasız oturum açma ve 2 adımlı doğrulama gibi güvenli oturum açma yöntemlerinin etkinleştirmesini şiddetle öneririz.

Daha fazla bilgi edinin: Çok faktörlü kimlik doğrulama ve güvenli oturum açma

4. Telnet / SSH’yi devre dışı bırakın

Telnet ve SSH’yi kullanmadığınız sürece devre dışı bırakmanız kesinlikle önerilir. Bu iki işlev genelde sistemin sürekliliğini sağlamak için QNAP müşteri hizmetleri veya profesyonel BT personeli tarafından kullanılır. Genel kullanıcıların bunlara ihtiyacı yoktur, bu nedenle devre dışı bırakılması önerilir

Planlı anlık snapshot etkinleştirin

Anlık snapshot çoklu sürüm geri yükleme noktaları oluşturarak önemli verilerinizi koruyabilir. Fidye yazılımı saldırısı olduğunda verileriniz bir anlık görüntü ile kurtarılabilir. Yeterli veri güvenliği ve depolama kullanımını sağlamak için planlı anlık snapshotların etkinleştirilmesi ve bir anlık snapshot silme ilkesi ayarlanması kesinlikle önerilir.

Daha fazla bilgi alın: Anlık Görüntüler Nedir?, Anlık Görüntü Çoğaltma: anlık snapshotslarınızı yedekleyin, Gerçek zamanlı SnapSync (*Sadece QuTS hero’da kullanılabilir)

"Depolama ve Anlık snapshotlar" öğesini açın, "Birim" öğesine tıklayın ve menüde "Depolama Yöneticisi" öğesini açın.

"Anlık snapshot Planla" öğesine tıklayın. Anlık snapshotıızı "Günlük" veya "Haftalık" planlamanız önerilir.

Anlık snapshotların sayısını sınırlamak ve anlık snapshotların çok fazla yer kaplamasını önlemek için bir anlık snapshot tutma ilkesi belirleyebilirsiniz. "Akıllı Sürüm Oluşturma" ayarı önerilir.

"Depolama Alanı"nın bir "Depolama Havuzu" yapısı olduğundan ve "Depolama Havuzu"nun anlık görüntü almak için yeterli boş alana sahip olduğundan emin olun. QNAP, kullanıcıların akıllı anlık snapshot alanı yönetimini etkinleştirmelerini ve NAS’ın düzgün şekilde çalışması için yeterli depolama alanına sahip olduğundan emin olmak adına anlık snapshotlar için ölçülü birimler kullanmalarını önerir.

Güvenlik Merkezi - QNAP NAS için güvenlik portalınız

Güvenlik Merkezi; NAS durumunu, olağandışı dosya etkinliğini ve potansiyel güvenlik tehditlerini proaktif olarak analiz edip izler ve sisteminizi ve verilerinizi korumak için anında koruyucu önlemler sunar. Ayrıca QNAP NAS'ınızın tam olarak korunmasını sağlamak için antivirüs ve kötü amaçlı yazılımdan koruma yazılımını entegre eder.

“Güvenlik Merkezi”ni açın, ihtiyaçlarınıza uygun güvenlik politikası düzeyini seçin ve “Şimdi Tara” öğesine tıklayın.

Tarama sonuçları herhangi bir güvenlik riskini ortaya çıkarırsa ayarları yapmanıza yardımcı olması için “Önerilen Ayarlar Yardımcısı” öğesine tıklayabilirsiniz.

Sistemin ayarları ve sistem durumunu düzenli olarak kontrol edebilmesi için “Tarama Zamanlaması” seçeneğinin en az ayda bir kez olarak ayarlanması önerilir. Bir risk saptanırsa ve Bildirim Merkezi doğru şekilde ayarlanırsa, en kısa sürede ele alınabilmesi için bir bildirim alacaksınız.

“Olağandışı Dosya Etkinliği İzleme“ özelliği belirli bir süre boyunca NAS üzerindeki olağandışı ve değiştirilmiş dosyaların ortalama sayısını kolayca takip edebilmenizi sağlar.

QuFirewall: QNAP aygıtları için yerleşik güvenlik duvarı

QuFirewall, NAS’ınızın saldırıya uğramasını önlemek için Tor (anonim bir iletişim bağlantısı) tarafından gönderildiğinden şüphelendiği paketleri engeller. Ayrıca şüpheli onion yönlendirmesini ve kötü amaçlı botları algılayıp kötü amaçlı paketlerin engelleme listesini dinamik olarak güncelleyerek QNAP aygıtlarınızın güvenliğini sağlar.

Ağınızda özel bir gereksinim bulunmuyorsa "Temel Koruma" öğesini seçmeniz ve ardından devam etmek için "İleri" öğesine tıklamanız önerilir.

Konumunuza göre bir bölge seçin. Daha sonra daha fazla bölge ekleyebilirsiniz.

QuFirewall Profilleri sayfasına gittiğinizde "Temel koruma" öğesinin etkinleştirildiğini göreceksiniz. Genişletmek için "Temel koruma" öğesine tıklayın ve ilgili güvenlik duvarı kurallarına bakın. Kurallar, gelen paketlerdeki güvenlik duvarı kurallarına göre geçmesine izin verilen veya engellenen bilgilere göre kontrol edilir.

Malware Remover

Malware Remover, en yeni kötü amaçlı yazılım tanımlarını kullanarak NAS’nızı düzenli aralıklarla tarar. Virüs bulaşmış dosya algılandığında NAS güvenliğini sağlamak için bu dosyalar hemen kaldırılır. Veri güvenliğinizi güçlendirmek için düzenli olarak bulut tabanlı kötü amaçlı yazılım tanımı güncellemeleri alır.

"Malware Remover" öğesini açın, son taramanın durumu görüntülenir, soldaki "Ayarlar" öğesine tıklayın.

"Tarama Programı" öğesinin günde bir kez olacak şekilde ayarlanması önerilir; böylece sistem durumu, "Malware Remover" tarafından düzenli aralıklarla kontrol edilir. Ayrıca "Malware Remover’ı otomatik olarak en son sürüme güncelle" öğesinin işaretli olduğundan emin olun.

Sistem bildirimlerini ayarlayın

Bildirim Merkezi, tüm sistem bildirimlerini merkezi hale getirir ve sizi NAS durumunuzla ilgili bilgilendirmek için ayarlarınıza göre bildirimleri aygıtlara iletebilir.

"Bildirim Merkezi" öğesini açın, sol menüde "Hizmet Hesabı ve Aygıt Eşleme" öğesine tıklayın, "E-posta" öğesini seçin ve ardından "SMTP Hizmeti Ekle" öğesine tıklayın.

Bir e-posta hesabı seçin, "Hesap Ekle" öğesine tıklayın, doğrulama işlemini tamamlamak için talimatları izleyin.

Soldaki "Bildirim Merkezi" menüsünde "Sistem Bildirimi Kuralları" öğesine tıklayın, "Uyarı Bildirimleri" öğesini seçin ve "Kural Oluştur" öğesine tıklayın.

İhtiyaçlarınıza göre "Kural Adı" öğesini değiştirin, "Uyarı" ve "Hata" olmak üzere iki şiddet düzeyini ayarlayın ve tamamlamak için "İleri" öğesine tıklayın.

Ürün güvenliğiyle ilgili en yeni haberleri almak için QNAP eNews’e abone olun

Şimdi abone olun Güvenlik Danışmanlığına Derinlemesine Bir Bakış Security Bounty Programı

SSS

NAS’ın İnternet bağlantısını kesmek daha mı güvenlidir?

Hayır. NAS "bağlantısının kesilmesi" genellikle NAS’ın dış dünyayla bağlantı kuramayacak şekilde ağdan kesilmesi anlamına gelir. Bazı kötü amaçlı yazılımların çalıştırılması için harici bir bağlantı gerekse de, harici bir bağlantı olmadan kötü amaçlı eylemleri başarıyla gerçekleştirebilen kötü amaçlı yazılımlar da bulunur. Bu nedenle, bilgisayar korsanlarının yasa dışı eylemler gerçekleştirmesine engel olamaz ve otomatik yazılım güncellemeleri ve bildirimleri gibi bazı sistem işlevlerinin düzgün çalışmasını engeller. Doğru yöntem, güvenliği artırmak için NAS’a giden trafiği sınırlamaktır (örneğin İnternete açık olmaktan kaçınmak).

Sabit diskim RAID ile yapılandırıldı, bu yedeklemeye ihtiyacım olmadığı anlamına mı geliyor?

Hayır. RAID bir yedekleme yöntemi değildir. 0’ın üzerindeki RAID düzeyleri, yalnızca disk arızasına karşı güvencce sağlamayı amaçlar. RAID, veri silmeye karşı koruma veya şifreleme sağlamaz. Bu nedenle verilerin uygun şekilde 3-2-1 yedekleme ilkesine göre yedeklenmesi önerilir.

"Anlık görüntüleri" zaten ayarladım, bu yedeklemeye ihtiyacım olmadığı anlamına mı geliyor?

Hayır. "Anlık görüntüler" verilerinizle aynı sabit sürücü setinde saklandığından, RAID arızası durumunda veriler yine de kaybolacaktır. Ek olarak, bilgisayar korsanları yeterli ayrıcalık elde ederlerse (yönetici hesabının parolasını başarılı bir şekilde kırmak gibi) "anlık görüntüler" de silinebilir. Bu nedenle anlık görüntü dosyalarının uygun şekilde 3-2-1 yedekleme ilkesine göre yedeklenmesi önerilir.

NAS’ım internete açık değil, bu saldırıya uğramasının imkansız olduğu anlamına mı geliyor?

Hayır. çoğu siber saldırı İnternet kaynaklı olsa da, NAS yine de intranet’te saldırıya uğrama riski altındadır. Örneğin, intranetinizdeki başka bir bilgisayar veya aygıt ele geçirilirse veya kötü amaçlı yazılımdan etkilenirse intranetteki diğer aygıtlara saldırmak ve bu aygıtlara yayılmak için kullanılabilir. Bilgisayarınıza virüsten koruma yazılımı yüklemek ve ağ güvenlik ürünleri dağıtmak ilgili tehditlerle başa çıkmanıza yardımcı olabilir. Örneğin QNAP ADRA NDR, şüpheli intranet etkinliklerini algılayabilir ve bunları otomatik olarak izole edebilir. Aynı zamanda verilerin uygun şekilde 3-2-1 yedekleme ilkesine göre yedeklenmesi de önerilir.

NAS’ım uzun süredir kullanılmıyor, kötü amaçlı yazılım yüklenip yüklenmediğini nasıl kontrol ederim?

İşlemci yükünün anormal derecede yüksek olduğunu fark ederseniz, yazılım güncellemesi hataları yaşarsanız veya App Center’da bilinmeyen uygulamalar varsa kötü amaçlı program yüklenmiş olabilir. Malware Remover’ın son sürümünü yükleyip kullanmanız önerilir. Yine de sorunu çözemezseniz yardım için QNAP teknik destek ekibi ile iletişime geçin.

Bazı hizmetleri internete açmam gerekiyorsa güvenliği sağlamak için ne yapmalıyım?

Lütfen NAS’ın en son ürün yazılımına sahip olduğundan ve uygulamaların yüklendiğinden emin olun. Temel güvenlik duvarı koruması sağlamak için QuFirewall’u etkinleştirebilirsiniz. "PSIRT" ve "TOR" kuralları, bazı bilgisayar korsanlarının bağlantılarını engellemenize yardımcı olabilir. İşletme veya kuruluş kullanıcısıysanız daha üst düzey bir güvenlik duvarı çözümü kullanmanız önerilir. Ek olarak, depolama havuzu alanınız izin veriyorsa temel veri koruması için "anlık snapshotlar" oluşturabilirsiniz. En kötü durum senaryosuna hazırlanmak ve olası veri kaybını önlemek için verilerin 3-2-1 yedekleme ilkesine göre uygun şekilde yedeklenmesi de önerilir.

NAS’ım eski ve son QTS sürümünü desteklemiyor, yine de güvenli bir şekilde kullanılabilir mi?

Eski ve Ömrünü Tamamlamış (EOL) modeller sınırlı desteğe sahiptir ve yalnızca intranet/çevrimdışı yedekleme için kullanılmalıdır.

Neden sürekli NAS oturum açma hatası uyarısı alıyorum?

Başarısız oturum açma işleminin gerçekleştiği IP adresi İnternet kaynaklıysa NAS’ınız deneme yanılma parola kırma saldırısı altında demektir. NAS’ınızı İnternet’e açmaktan kaçınmalı ve NAS’ınızı güçlendirmek için bu yönergelere uymalısınız. Başarısız oturum açma işleminin gerçekleştiği IP adresi intranet kaynaklıysa lütfen IP adresinin kullanıldığı aygıtta kötü amaçlı yazılım yüklü olup olmadığını kontrol edin.

Tüm dosyalarımda neden garip dosya adları var?

Bu, fidye yazılımı bulaşmasının belirtisidir. Şifreleme eyleminin başka bir bilgisayardan mı yoksa NAS’ın kendisinden mi geldiğini belirlemek için NAS erişim günlüklerini kontrol edin. NAS’ınız fidye yazılımından etkilendiyse daha fazla virüs bulaşmasını engellemek için gerekli adımları atmalısınız. Gerekirse yardım için QNAP teknik destek ile iletişime geçin.

NAS’ıma fidye yazılımı bulaşırsa ne yapmalıyım?

Çoğu fidye yazılımı, kırılamaz şifreleme yöntemleri kullanır. Doğru anahtar yoksa dosyaların kilidi açılamaz, bu nedenle dosyalar yalnızca yedekleme veya anlık snapshot ile geri yüklenebilir.
NAS’ın İnternete açık olmasını önlemek ve ikincil saldırıları engellemek için yönlendirici ayarlarını talimatlara uygun şekilde hemen değiştirin. İkinci olarak, yedekleme dosyalarını kaybetmemek için tüm senkronizasyon görevlerini derhal askıya almalı ve anlık görüntüleri kalıcı olarak tutulacak şekilde ayarlamalısınız. Verilerinize ait geri yükleyebileceğiniz yedekler veya anlık snapshotlar varsa NAS ürün yazılımını ve uygulamalarını güncelleyip Malware Remover taramasını tamamladıktan sonra dosyaları geri yükleyebilirsiniz. Veriler yedeklenmemişse lütfen fidye yazılımı tarafından bırakılan fidye yazılımı notunu ve fidye yazılımı ödeme yöntemini yedekleyin ve sonrasında bazı verileri kurtarmak için veri kurtarma gibi yöntemleri kullanmayı deneyin. Gerekirse yardım için QNAP teknik destek ile iletişime geçin.

Medyada QNAP’in ürün güvenlik açıklarına yama yaptığına dair haberler görmeye devam ediyorum. Bu, QNAP ürünlerinin güvenli olmadığı anlamına mı geliyor?

Dünyanın hiçbir yerinde kusursuz yazılım ve donanım yoktur. Çeşitli üreticiler tarafından geliştirilen tescilli yazılımlar, açık kaynaklı yazılımlar veya donanımlar olmasına bakılmaksızın güvenlik açıkları her zaman üreticiler tarafından bulunur ve ardından yama yapılır. QNAP de diğer büyük teknoloji şirketleri gibi bilinen güvenlik açıklarına yama yapmaya devam etmekte ve ardından, kullanıcıların aygıtlarının ve verilerinin güvenliğini sağlamak amacıyla mümkün olan en kısa sürede güncelleme yapmaları için kullanıcılara yönelik güncelleme dosyaları yayınlamaktadır. QNAP PSIRT ayrıca kullanıcıların ortaya çıkan sorunlara karşı harekete geçebilmesi adına harici açıklama için siber güvenlik bildirimleri yayınlar.
QNAP, güvenlik açıklarını açık ve şeffaf bir şekilde ele almanın kullanıcıların bilgi edinme hakkını koruyabileceğine ve ürün güvenliğini artırmaya yardımcı olabileceğine inanmaktadır. Kullanıcıların ayrıca doğru ve eksiksiz bilgileri medyadaki haberlerden önce almak için QNAP Güvenlik Önerilerine abone olmaları önerilir.

3-2-1 yedekleme ilkesi nedir?

3-2-1 yedekleme ilkesi, BT sektöründe bilinen bir yedekleme ilkesidir. En kötü senaryo için hazırlık yapar. Olağanüstü durum olması halinde kayıpları önlemek ve güvenliği sağlamak için verileri geri yüklemek üzere yedek dosyaların bulunmasını sağlar.
Yedekleme 3-2-1’deki "3", en az üç yedekleme kopyası anlamına gelir; "2", en az iki depolama ortamı anlamına gelir; "1" ise Site Dışı Yedeklemenin bir kopyası anlamına gelir. 3-2-1 yedekleme ilkesine dayalı olarak yanlışlıkla değişiklik, silme, donanım hasarı, virüs bulaşması, yangın, sel gibi felaketlere bakmaksızın geri yüklenebilecek yedekleme dosyaları olacaktır.
Bu ilkeyi karşılamak için QNAP NAS, NAS’taki verileri hiçbir şeyin kaybolmasın diye site dışı bir NAS’a, genel buluta, harici depolamaya, diğer dosya sunucularına ve/veya diğer aygıtlara yedeklemek için Hybrid Backup Sync 3 (HBS3), Anlık Görüntü Çoğaltma ve SnapSync (yalnızca QuTS hero tarafından desteklenir) içerir.

Depolama

Ağ Oluşturma

Genişletme Aksesuarları

Gözetim

NAS