Hướng dẫn bảo mật QNAP NAS

Hướng dẫn này cung cấp cái nhìn chi tiết về các cài đặt bảo mật và cơ chế bảo vệ của QNAP NAS, giúp bạn củng cố phòng thủ mạng và bảo vệ dữ liệu của mình.

Tải xuống Hướng dẫn Bảo mật

Kiến trúc và cài đặt mạng an toàn

1. Kết nối NAS đúng cách

Bạn không bao giờ nên kết nối trực tiếp cổng mạng của NAS với Internet. Đảm bảo rằng NAS của bạn được kết nối với router trước, sau đó kết nối với modem do Nhà cung cấp dịch vụ Internet (ISP) của bạn cung cấp. Với các cài đặt đúng, router có thể chặn lưu lượng độc hại từ Internet và giảm nguy cơ bị tấn công mạng.

Kết nối đúng - NAS kết nối với router trước

Kết nối sai - NAS kết nối trực tiếp với Modem

2. Cấu hình router đúng cách

Đăng nhập vào router hoặc yêu cầu ISP của bạn giúp bạn kiểm tra và vô hiệu hóa các cài đặt sau:

Vô hiệu hóa UPnP
Vô hiệu hóa DMZ

(Khu phi quân sự)
Vô hiệu hóa Chuyển tiếp Cổng

Làm thế nào để bảo mật truy cập từ xa vào NAS của bạn khi Chuyển tiếp Cổng bị vô hiệu hóa? QNAP cung cấp QVPN và myQNAPcloud Link cho phép truy cập từ xa an toàn vào NAS của bạn.

Tìm hiểu thêm:
Đừng kết nối NAS trực tiếp với Internet mà không có bất kỳ bảo vệ nào >
Cách thiết lập myQNAPcloud để truy cập từ xa vào QNAP NAS >
Cách thiết lập máy chủ VPN trên QNAP NAS phía sau bộ định tuyến? >

Làm thế nào để kiểm tra xem bạn có bị lộ ra Internet không? Chúng tôi khuyến nghị cài đặt và sử dụng Trung tâm Bảo mật hoặc các công cụ truy vấn địa chỉ IP để kiểm tra xem thiết bị của bạn có bị lộ ra internet không

4 phương pháp để bảo mật truy cập từ xa vào NAS

Phương pháp Kết nối	Ưu điểm	Nhược điểm	Người dùng phù hợp
Kích hoạt và cấu hình DMZ/Chuyển tiếp Cổng của UPnP trên router	Kết nối nhanh nhất	Dễ bị tấn công mạng Không có biện pháp phòng thủ chống lại các cuộc tấn công lỗ hổng 0-Day	Hiểu rõ các rủi ro liên quan Quen thuộc với cài đặt mạng Đã tạo nhiều bản sao lưu cho dữ liệu quan trọng Có kế hoạch khôi phục thảm họa
Kích hoạt máy chủ VPN trên router	Tương đối dễ thiết lập	Không có thông báo thất bại đăng nhập, tự động chặn và chức năng tường lửa Hỗ trợ ít giao thức VPN hơn Hiệu suất bị giới hạn bởi phần cứng của router	Không quen thuộc với cài đặt mạng Không quan tâm đến tốc độ truyền tải
Kích hoạt chức năng máy chủ VPN trên QNAP NAS	Hỗ trợ nhiều giao thức VPN Tương thích với tường lửa NAS (QuFirewall) Hỗ trợ thông báo thất bại đăng nhập và tự động chặn	Cài đặt phức tạp hơn một chút	Quen thuộc với cài đặt mạng Cần truy cập nhiều tệp từ Internet thường xuyên
Sử dụng kết nối an toàn myQNAPcloud Link	Dễ dàng thiết lập nhất Hỗ trợ kiểm soát truy cập NAS không cần phải tiếp xúc với Internet	Kết nối chậm hơn	Không quen thuộc với cài đặt mạng Ít khi truy cập NAS từ Internet Môi trường mạng không thể lấy được địa chỉ IP WAN
Sử dụng sản phẩm SD-WAN hoặc VPN Site-to-Site	Sau khi thiết lập, người dùng mạng nội bộ có thể sử dụng mà không cảm thấy bất kỳ sự khác biệt nào Cũng hỗ trợ VPN Client-to-Site	Cần thêm thiết bị bổ sung	Yêu cầu truy cập đa điểm và sao lưu từ xa Yêu cầu các ứng dụng giá trị gia tăng

3. Kích hoạt cập nhật tự động

QNAP thường xuyên cập nhật bảo mật firmware và phần mềm. Kích hoạt cập nhật tự động đảm bảo rằng bạn có các tính năng mới nhất, sửa lỗi và các lỗ hổng bảo mật.

Từ Bên Trong Ra Ngoài: Bảo Mật Đa Lớp

QNAP cung cấp bảo vệ kết nối NAS toàn diện và kế hoạch khôi phục thảm họa, kết hợp với đánh giá bảo mật hệ thống và phân tích mối đe dọa mạng nội bộ, để tạo ra một hệ thống quản lý an ninh mạng nhiều lớp.

Đọc Blog: Xây dựng hệ thống phòng thủ an ninh mạng đa lớp cho doanh nghiệp

Tăng cường bảo mật tài khoản hệ thống

1. Vô hiệu hóa tài khoản quản trị viên mặc định "admin"

Các hacker sử dụng phương pháp bẻ khóa mật khẩu thường nhắm vào “admin” (tài khoản quản trị viên mặc định). Rất khuyến khích vô hiệu hóa “admin” và tạo một tài khoản quản trị viên mới.

Tìm hiểu thêm: Cách vô hiệu hóa tài khoản người dùng admin

Các mẫu có tích hợp QTS 5.0.1 / QuTS hero h5.0.1 (hoặc mới hơn), "admin" bị vô hiệu hóa theo mặc định.

2. Bật bảo vệ truy cập (IP / Tài khoản)

"Bảo vệ truy cập IP" và "Bảo vệ truy cập tài khoản" có thể giúp ngăn chặn mật khẩu bị bẻ khóa bằng cách tấn công brute force. Khi một IP cụ thể hoặc tài khoản không đăng nhập được quá nhiều lần, nó sẽ kích hoạt chặn IP hoặc vô hiệu hóa tài khoản, ngăn chặn kẻ tấn công thử mật khẩu nhiều lần.

3. Bật xác thực đa yếu tố

Rất khuyến khích bật các phương pháp đăng nhập an toàn như đăng nhập không mật khẩu và Xác minh 2 bước để thêm một lớp bảo mật dữ liệu.

Tìm hiểu thêm: Đăng nhập an toàn và xác thực đa yếu tố

4. Vô hiệu hóa Telnet / SSH

Trừ khi bạn đang sử dụng chúng, rất khuyến khích vô hiệu hóa Telnet và SSH. Hai chức năng này thường được sử dụng bởi dịch vụ khách hàng của QNAP hoặc nhân viên IT chuyên nghiệp để bảo trì hệ thống. Người dùng thông thường không cần chúng, vì vậy nên vô hiệu hóa chúng

Bật ảnh chụp theo lịch trình

Ảnh chụp có thể bảo vệ dữ liệu quan trọng của bạn bằng cách tạo các điểm khôi phục nhiều phiên bản. Khi ransomware tấn công, dữ liệu của bạn có thể được khôi phục từ ảnh chụp. Rất khuyến khích bật ảnh chụp theo lịch trình và đặt chính sách xóa ảnh chụp để đảm bảo an ninh dữ liệu và sử dụng lưu trữ hợp lý.

Tìm hiểu thêm: Snapshots là gì? , Snapshot Replica – sao lưu các snapshots của bạn , SnapSync thời gian thực (*Chỉ có sẵn trong QuTS hero)

Mở "Lưu trữ & Ảnh chụp", nhấp vào "Volume", và mở "Trình quản lý Ảnh chụp" trong menu.

Nhấp vào "Lên lịch Ảnh chụp". Khuyến nghị lên lịch ảnh chụp của bạn theo "Hàng ngày" hoặc "Hàng tuần".

Bạn có thể đặt chính sách giữ lại ảnh chụp để giới hạn số lượng ảnh chụp và ngăn ảnh chụp chiếm quá nhiều không gian. Khuyến nghị đặt "Phiên bản Thông minh".

Đảm bảo rằng "Không gian lưu trữ" là cấu trúc "Bể lưu trữ" và "Bể lưu trữ" có đủ không gian trống để chụp ảnh. QNAP khuyến nghị người dùng kích hoạt quản lý không gian ảnh chụp thông minh và sử dụng các volume mỏng cho ảnh chụp để đảm bảo có đủ không gian lưu trữ cho NAS hoạt động bình thường.

Trung tâm Bảo mật - Cổng bảo mật của bạn cho QNAP NAS

Trung tâm Bảo mật chủ động phân tích và giám sát trạng thái NAS, hoạt động tệp bất thường, các mối đe dọa bảo mật tiềm ẩn, và cung cấp các biện pháp bảo vệ tức thì để bảo vệ hệ thống và dữ liệu của bạn. Nó cũng tích hợp phần mềm chống virus và chống phần mềm độc hại để đảm bảo bảo vệ hoàn toàn cho QNAP NAS của bạn.

Mở "Trung tâm Bảo mật", chọn mức chính sách bảo mật phù hợp với nhu cầu của bạn, và nhấp vào "Quét ngay".

Nếu kết quả quét tiết lộ bất kỳ rủi ro bảo mật nào, bạn có thể nhấp vào "Trợ lý Cài đặt Đề xuất" để giúp bạn điều chỉnh cài đặt.

"Lịch trình Quét" được khuyến nghị đặt ít nhất một lần mỗi tháng, để hệ thống có thể thường xuyên kiểm tra cài đặt và trạng thái hệ thống. Nếu phát hiện rủi ro và Trung tâm Thông báo được thiết lập đúng cách, bạn sẽ nhận được thông báo để có thể xử lý ngay lập tức.

"Giám sát Hoạt động Tệp Bất thường" cho phép bạn dễ dàng theo dõi số lượng trung bình của các tệp bất thường và đã sửa đổi trên NAS trong một khoảng thời gian cụ thể.

QuFirewall: Tường lửa tích hợp cho các thiết bị QNAP

QuFirewall chặn các gói tin bị nghi ngờ được gửi bởi Tor (một kết nối giao tiếp ẩn danh) để ngăn NAS của bạn bị tấn công. Nó cũng phát hiện định tuyến hành tây đáng ngờ và các bot độc hại, và cập nhật động danh sách chặn các gói tin độc hại, đảm bảo an ninh cho các thiết bị QNAP của bạn.

Nếu mạng của bạn không có nhu cầu đặc biệt, nên chọn "Bảo vệ cơ bản", sau đó nhấp "Tiếp theo" để tiếp tục.

Đặt một khu vực theo vị trí của bạn. Bạn có thể thêm nhiều khu vực sau.

Đi đến trang Hồ sơ QuFirewall và bạn sẽ thấy rằng "Bảo vệ cơ bản" đã được bật. Nhấp vào "Bảo vệ cơ bản" để mở rộng và xem các quy tắc tường lửa tương ứng. Các quy tắc được kiểm tra dựa trên thông tin trong các gói tin đến, được phép đi qua hoặc bị chặn theo các quy tắc tường lửa.

Trình gỡ bỏ phần mềm độc hại

Malware Remover thường xuyên quét NAS của bạn bằng các định nghĩa phần mềm độc hại mới nhất. Khi phát hiện, các tệp bị nhiễm sẽ được loại bỏ ngay lập tức để đảm bảo an ninh dữ liệu NAS. Nó nhận các bản cập nhật định nghĩa phần mềm độc hại dựa trên đám mây thường xuyên để tăng cường an ninh dữ liệu của bạn.

Mở "Trình gỡ bỏ phần mềm độc hại", trạng thái của lần quét cuối cùng được hiển thị, nhấp vào "Cài đặt" ở bên trái.

"Lịch quét" được khuyến nghị đặt thành một lần mỗi ngày, để "Trình gỡ bỏ phần mềm độc hại" thường xuyên kiểm tra trạng thái hệ thống. Cũng đảm bảo rằng "Tự động cập nhật Trình gỡ bỏ phần mềm độc hại lên phiên bản mới nhất" vẫn được chọn.

Thiết lập thông báo hệ thống

Trung tâm Thông báo tập trung tất cả các thông báo hệ thống và có thể đẩy thông báo đến các thiết bị dựa trên cài đặt của bạn để giữ bạn luôn cập nhật với trạng thái NAS của mình.

Mở "Trung tâm Thông báo", nhấp vào "Tài khoản Dịch vụ và Ghép nối Thiết bị" trên menu bên trái, chọn "Email", và sau đó nhấp vào "Thêm Dịch vụ SMTP".

Chọn một tài khoản email, nhấp vào "Thêm Tài khoản", làm theo hướng dẫn để hoàn tất quá trình xác minh.

Trên menu bên trái của "Trung tâm Thông báo", nhấp vào "Quy tắc Thông báo Hệ thống", chọn "Thông báo Cảnh báo", và nhấp vào "Tạo Quy tắc".

Chỉnh sửa "Tên Quy tắc" theo nhu cầu của bạn, kiểm tra hai mức độ nghiêm trọng của "Cảnh báo" và "Lỗi", và nhấp vào "Tiếp theo" để hoàn tất.

Đăng ký QNAP eNews để nhận tin tức bảo mật sản phẩm mới nhất

Đăng ký ngay Khám phá chi tiết về Tư vấn Bảo mật Chương trình Tiền thưởng Bảo mật

Câu hỏi thường gặp

Ngắt kết nối NAS khỏi Internet có an toàn hơn không?

Không. "Ngắt kết nối" NAS thường đề cập đến việc cắt đứt NAS khỏi mạng để nó không thể kết nối ra bên ngoài. Mặc dù một số phần mềm độc hại cần kết nối bên ngoài để thực thi, vẫn có phần mềm độc hại có thể thực hiện các hành động độc hại mà không cần kết nối bên ngoài. Do đó, không chỉ không ngăn chặn được hacker thực hiện các hành động bất hợp pháp, mà còn ngăn cản một số chức năng hệ thống hoạt động đúng cách, chẳng hạn như cập nhật phần mềm tự động và thông báo. Cách tiếp cận đúng là hạn chế lưu lượng truy cập vào NAS, chẳng hạn như tránh tiếp xúc với Internet, để cải thiện bảo mật.

Ổ cứng của tôi được cấu hình với RAID, điều đó có nghĩa là tôi không cần sao lưu?

Không. RAID không phải là phương pháp sao lưu. Các cấp độ RAID trên 0 chỉ nhằm cung cấp sự dư thừa chống lại lỗi đĩa. RAID không cung cấp bảo vệ chống lại việc xóa hoặc mã hóa dữ liệu. Do đó, nên sao lưu dữ liệu đúng cách theo nguyên tắc sao lưu 3-2-1.

Tôi đã thiết lập "snapshots", điều đó có nghĩa là tôi không cần sao lưu?

Không. Vì "snapshots" được lưu trữ trên cùng một bộ ổ cứng với dữ liệu của bạn, dữ liệu vẫn sẽ bị mất nếu có sự cố RAID. Ngoài ra, nếu hacker có thể có được đủ quyền (chẳng hạn như bẻ khóa thành công tài khoản quản trị viên), "snapshot" cũng có thể bị xóa. Do đó, nên sao lưu đúng cách các tệp snapshot theo nguyên tắc sao lưu 3-2-1.

NAS của tôi không tiếp xúc với Internet, điều đó có nghĩa là không thể bị tấn công?

Không. Mặc dù hầu hết các cuộc tấn công mạng đến từ Internet, NAS vẫn có nguy cơ bị tấn công trên mạng nội bộ. Ví dụ, nếu một máy tính hoặc thiết bị khác trên mạng nội bộ của bạn bị hack hoặc bị ảnh hưởng bởi phần mềm độc hại, nó có thể được sử dụng để tấn công và lan truyền sang các thiết bị khác trên mạng nội bộ. Cài đặt phần mềm diệt virus và triển khai các sản phẩm bảo mật mạng trên máy tính của bạn có thể giúp bạn đối phó với các mối đe dọa liên quan. Ví dụ, QNAP ADRA NDR có thể phát hiện các hoạt động đáng ngờ trên mạng nội bộ và tự động cô lập chúng. Đồng thời, cũng nên sao lưu dữ liệu đúng cách theo nguyên tắc sao lưu 3-2-1.

NAS của tôi đã được sử dụng trong một thời gian dài, làm thế nào để kiểm tra xem có phần mềm độc hại được cài đặt không?

Nếu bạn nhận thấy rằng tải của bộ xử lý cao bất thường, gặp lỗi cập nhật phần mềm hoặc nếu có các ứng dụng không rõ trong Trung tâm Ứng dụng, có thể đã có một chương trình độc hại được cài đặt. Nên cài đặt và sử dụng phiên bản mới nhất của Malware Remover. Nếu bạn vẫn không thể giải quyết vấn đề, hãy liên hệ với đội ngũ hỗ trợ kỹ thuật của QNAP để được trợ giúp.

Nếu tôi cần mở một số dịch vụ ra Internet, tôi nên làm gì để đảm bảo an toàn?

Vui lòng đảm bảo rằng NAS đã cài đặt phiên bản firmware và ứng dụng mới nhất. Bạn có thể kích hoạt QuFirewall để cung cấp bảo vệ tường lửa cơ bản, và các quy tắc "PSIRT" và "TOR" có thể giúp bạn chặn một số kết nối của hacker. Nếu bạn là người dùng doanh nghiệp hoặc doanh nghiệp, nên sử dụng giải pháp tường lửa cấp cao hơn. Ngoài ra, nếu không gian lưu trữ cho phép, bạn có thể tạo "ảnh chụp nhanh" để bảo vệ dữ liệu cơ bản. Cũng nên sao lưu dữ liệu đúng cách theo nguyên tắc sao lưu 3-2-1 để chuẩn bị cho tình huống xấu nhất và ngăn ngừa mất dữ liệu tiềm ẩn.

NAS của tôi đã cũ và không hỗ trợ phiên bản QTS mới nhất, nó có thể được sử dụng an toàn không?

Các mẫu Legacy và End of Life (EOL) có hỗ trợ hạn chế và chỉ nên được sử dụng cho sao lưu nội bộ/ngoại tuyến.

Tại sao tôi liên tục nhận được cảnh báo đăng nhập NAS thất bại?

Nếu địa chỉ IP của lần đăng nhập thất bại đến từ Internet, điều đó có nghĩa là NAS của bạn đang bị tấn công bẻ khóa mật khẩu. Bạn nên tránh để NAS của mình tiếp xúc với Internet và làm theo hướng dẫn này để tăng cường bảo mật cho NAS. Nếu địa chỉ IP của lần đăng nhập thất bại đến từ mạng nội bộ, vui lòng kiểm tra xem thiết bị có địa chỉ IP đó có cài đặt phần mềm độc hại hay không.

Tại sao tất cả các tệp của tôi có tên tệp lạ?

Đây là triệu chứng của việc nhiễm ransomware. Kiểm tra nhật ký truy cập NAS để xác định xem hành động mã hóa đến từ máy tính khác hay từ chính NAS. Nếu NAS của bạn bị ảnh hưởng bởi ransomware, bạn nên thực hiện các bước thích hợp để ngăn chặn sự lây lan của nhiễm trùng. Nếu cần, hãy liên hệ với đội ngũ hỗ trợ kỹ thuật của QNAP để được trợ giúp.

Tôi nên làm gì nếu NAS của tôi bị nhiễm ransomware?

Hầu hết ransomware sử dụng các phương pháp mã hóa không thể phá vỡ. Nếu không có khóa chính xác, các tệp không thể được mở khóa, vì vậy các tệp chỉ có thể được khôi phục bằng sao lưu hoặc ảnh chụp nhanh. Thay đổi cài đặt bộ định tuyến theo hướng dẫn này ngay lập tức để tránh để NAS tiếp xúc với Internet và ngăn chặn các cuộc tấn công thứ cấp. Thứ hai, bạn nên ngay lập tức tạm dừng tất cả các tác vụ đồng bộ hóa và đặt ảnh chụp nhanh được giữ lại vĩnh viễn để tránh mất các tệp sao lưu. Nếu dữ liệu của bạn có sao lưu hoặc ảnh chụp nhanh mà bạn có thể khôi phục, bạn có thể khôi phục các tệp sau khi cập nhật firmware và ứng dụng NAS và sau khi hoàn thành quét Malware Remover. Nếu dữ liệu không được sao lưu, vui lòng sao lưu ghi chú tiền chuộc do ransomware để lại và phương pháp trả tiền chuộc, sau đó thử sử dụng các phương pháp như khôi phục dữ liệu để khôi phục một số dữ liệu. Nếu cần, hãy liên hệ với đội ngũ hỗ trợ kỹ thuật của QNAP để được trợ giúp.

Tôi liên tục thấy các báo cáo truyền thông về việc QNAP vá các lỗ hổng sản phẩm. Điều này có nghĩa là các sản phẩm của QNAP không an toàn?

Không có phần mềm và phần cứng nào hoàn hảo trên thế giới. Cho dù đó là phần mềm độc quyền được phát triển bởi các nhà sản xuất khác nhau hay phần mềm mã nguồn mở, hoặc thậm chí là phần cứng, các lỗ hổng luôn được tìm thấy và sau đó được các nhà sản xuất vá lại. Giống như các công ty công nghệ lớn khác, QNAP tiếp tục vá các lỗ hổng đã biết và sau đó phát hành các tệp cập nhật để người dùng cập nhật càng sớm càng tốt để đảm bảo an toàn cho thiết bị và dữ liệu của người dùng. QNAP PSIRT cũng phát hành các thông báo an ninh mạng để tiết lộ ra bên ngoài, để người dùng có thể hành động chống lại các vấn đề phát sinh. QNAP tin rằng việc xử lý các lỗ hổng một cách công khai và minh bạch có thể bảo vệ quyền được biết của người dùng và giúp cải thiện độ an toàn của sản phẩm. Người dùng cũng được mời đăng ký nhận các Thông báo An ninh của QNAP để có được thông tin liên quan, chính xác và đầy đủ trước khi các báo cáo truyền thông xuất hiện.

Nguyên tắc sao lưu 3-2-1 là gì?

Nguyên tắc sao lưu 3-2-1 là một nguyên tắc sao lưu nổi tiếng trong ngành CNTT. Nó chuẩn bị cho tình huống xấu nhất. Nó đảm bảo rằng trong trường hợp xảy ra thảm họa, có các tệp sao lưu để khôi phục dữ liệu nhằm tránh mất mát và đảm bảo an toàn. "3" trong Sao lưu 3-2-1 có nghĩa là ít nhất ba bản sao lưu; "2" có nghĩa là ít nhất hai phương tiện lưu trữ; và "1" có nghĩa là ít nhất một bản sao là Sao lưu Ngoài trang. Dựa trên nguyên tắc sao lưu 3-2-1, sẽ có các tệp sao lưu có thể được khôi phục bất kể sửa đổi ngẫu nhiên, xóa, hư hỏng phần cứng, nhiễm virus và các thảm họa như cháy và lũ lụt. Để đáp ứng nguyên tắc này, QNAP NAS bao gồm Hybrid Backup Sync 3 (HBS3), Snapshot Replica và SnapSync (chỉ được hỗ trợ bởi QuTS hero) để sao lưu dữ liệu trên NAS đến một NAS ngoài trang, đám mây công cộng, lưu trữ ngoài, các máy chủ tệp khác và/hoặc các thiết bị khác để đảm bảo rằng không có gì bị mất.

NAS

Networking

Giám sát