Tăng cường bảo mật cho Synology NAS

nhatquangit · 3/1/20

- Bất kỳ lúc nào Synology NAS của bạn kết nối đến Internet, cơ hội để các hacker và virus sẽ tấn công thiết bị NAS của bạn và có gắng có truy cập trái phép vào dữ liệu bên trong. Bài viết này sẽ cung cấp cho bạn một số phương pháp để tăng cường các cài đặt bảo mật của NAS của bạn và bảo vệ nó khỏi bị hack.
1. Trước khi bắt đầu:
- Bài viết giả định rằng bạn đã có:
· Cài đặt về phần cứng cho Synology NAS đã hoàn tất.
· Đã lắp đặt và Set up DiskStation Manager (DSM) trên Synology NAS.

2. Tận dụng Security Advisor:
- Security Advisor, một ứng dụng xây dựng trên DSM, sẽ scan thiết bị NAS, kiểm tra các cài đặt trong DSM, và cho bạn lời khuyên trên các yếu tố kém bảo mật. Bạn có thể bảo vệ Synology NAS của bạn bằng hướng dẫn Security Advisor sau đây:
2.1. Để quét Synology NAS ngay:
1. Vào Main Menu > Security Advisor > Overview.
2. Click Scan.

2.2. Để cài đặt lịch quét tự động:
1. Vào Main Menu > Security Advisor > Advanced.
2. Chọn vào checkbox Enable regular scan schedule tron phần Scan Schedule. Sau đó chọn thời gian để chạy quét trong menu. Và Apply để lưu cấu hình này.

3. Cấu hình phân quyền cho các User DSM:
- Mặc định, tài khoản quản trị của Synology NAS là admin và mật khẩu sẽ được để trống. Vì cài đặt mặc định này, các chi tiết đăng nhập của tài khoản này có thể dễ dàng đoán được bởi các tổ chức xấu có gắng tấn công vào NAS.
- Vì thế, để bảo vệ Sysnology NAS của bạn, bạn nên cài đặt mật khẩu phức tạp cho tài khoản admin. Hoặc bạn có thể tạo mới tài khoản administrator và vô hiệu hóa hệ thống tài khoản admin mặc định.
- Khi bạn tạo thêm nhiều users cho Synology NAS của bạn, bạn có thể điều khiển quyền hạn cho user để truy cập vào NAS. Có 2 cách để thực hiện:
1. Cài đặt theo nhóm: Các User có thể chuyển vào các nhóm trong quá trình tạo mới. Mỗi cài đặt nhóm người dùng cũng có thể được xác định sau. Những nhóm khác nhau có thể cài đặt quyền truy cập khác nhau và các user sẽ thừa quyền truy cập của nhóm mà nó thuộc quyền sở hữu. Có một số phương thức của quyền truy cập bạn có thể cài cho các nhóm:
o Dựa vào quyền của thư mục shared cùng với các cấp sau đây:

No access: Nhóm này không thể truy cập vào thư mục shared.
§ Read/Write: Nhóm này có thể truy cập và làm thay đổi trong thư mục.
§ Read only: Nhóm này có thể truy cập vào thư mục, nhưng không thể thay đổi bên trong.
o Cài đặt quota sử dụng cho nhóm.
o Cấu hình quyền truy cập đến ứng dụng. Có 3 tùy chọn:

§ Allow: Nhóm có thể truy cập vào ứng dụng.
§ Deny: Nhóm không thể truy cập vào ứng dụng.
§ By IP: Quản lý quyền truy cập bằng địa chỉ IP.
o Kích hoạt giới hạn tốc độ cho nhóm cho các dịch vụ khác nhau.

2. Các cấu hình các nhân hóa: Quyền truy cập vào các thư mục shared và các ứng dụng được xác định bằng các nhóm chúng thuộc về. Tuy nhiên, bạn có thể thay đổi thêm quyền truy cập bằng cách vào Main Menu > Control Panel > User, chọn user và click Edit.

4. Cài đặt quy định về password phức tạp:
- Một vài cách của quy định của mật khẩu có thể được kích hoạt trong để giảm nguy cơ bị tấn công vào tài khoản của người dùng.
!!!Note: Quy định về mật khẩu phức tạp chỉ áp dụng khi một tài khoản mới được tạo hoặc khi người dụng thay đổi mật khẩu của họ sau khi quy định này được cài đặt. Khi nhập các user, mật khẩu của các tài khoản được nhập vào sẽ không được kiểm tra theo quy định đang hiện hành. Quy định về mật khẩu này chỉ áp dụng khi các user cố gắng thay đổi mật khẩu của họ sau khi quy định được cài đặt.
4.1. Để cài đặt quy định mật khẩu phức tạp:
1. Vào Main Menu > Control Panel > User.

2. Vào trang Advanced. Chọn Apply password strength rules và kích hoạt các quy định sau:

o Exclude name and description of user from password: mật khẩu không bao gồm tên hoặc phần giải thích của user, nhưng các ký tự mã hóa UTF-8 được loại trừ.
o Include mixed case: Các ký tự hỗn hợp được cho phép trong một password.
o Include numeric characters: mật khẩu phải có tối thiểu 1 ký tự số (0~9).
o Include special characters: mật khẩu phải có một kí tự đặc biệt ASCII (i.e., ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ", <, >, /, ?).
o Exclude common password: mật khẩu không thể thông dụng như 123 or abc.
o Minimal password length: mật khẩu phải dài hơn giá trị này. Độ dài nên từ khoảng từ giữa 6 và 127.
o Password history (times): số lần xác định tùy chọn bao nhiêu lần user sẽ bị cấm sử dụng mật khẩu cũ.

3. Click Apply để lưu các cài đặt.

5. Thời hạn Password:
- Bạn có thể tăng tính bảo mật của các tài khoản người dùng với tính năng thời hạn mật khẩu bắt buộc người dụng phải thay đổi mật khẩu sau một thời gian nhất định.
- Để cài đặt lịch cho việc thời hạn mật khẩu:
1. Tick the Enable password expiration checkbox.
2. The following options are configurable:
o Maximum password valid duration (days): Chỉ định số ngày tối đa sau khi mật khẩu hết hạn.
o Minimum password valid duration (days): Tick vào ô checkbox để kích hoạt tính năng, và chỉ định số ngày trước khi các user không được thay đổi mật khẩu của họ.
o Prompt users to change passwords upon login before expiration (days): Chỉ định số ngày trước khi mật khẩu hết hạn người dùng sẽ được thông báo để thay đổi mật khẩu trên màn hình đăng nhập.
o Allow users to change password after expiration: Tick vào checkbox để cho phép các user đăng nhập vào mật khẩu đã hết hạn để thay mật khẩu mới.
o Send expiration notification emails: Tính năng báo mật khẩu hết hạn qua email.

3. Click Apply để lưu các cài đặt.

nhatquangit · 10/1/20

6. Bảo vệ tài khoản của bạn bằng xác thức 2 lớp:
- Xác thức 2 bước cung cấp thêm tính năng bảo vệ cho tài khoản DSM của bạn. Nếu xác thực 2 bước được kích hoạt, bạn sẽ cần vào nhập vào 1 lần mã xác thực sau bước nhập mật khẩu trong quá trình đăng nhập vào DSM. Bạn có thể kiếm được code xác thực sử dụng ứng dụng xác thực được cài đặt trên thiết bị điện thoại. Vì thế, nếu ai đó muốn truy cập vào tài khoản của bạn, họ sẽ không chỉ cần ID hoặc Password mà còn cần code trên thiết bị di động của bạn.
6.1. Yêu cầu: Xác thực 2 bước yêu cầu 1 thiết bị di động và ứng dụng xác thực hỗ trợ giao thức TOTP (Time-based One-Time Password ). Các ứng dụng xác thực có trong Google Authenticator (Android/iPhone/BlackBerry) hoặc Authenticator (Windows Phone).
6.2. Để kích hoạt tính năng Xác thực 2 bước:
1. Trong Options menu, click Personal.

2. Chọn vào checkbox Enable 2-step verification để cho phép cài đặt xác thực 2 bước. Click Next.

3. Nhập vào địa chỉ email. Những mã xác thực khẩn cấp có thể được gửi đến địa chỉ email của bạn trong trường hợp thiết bị bị mất. Click Next.

4. Trên thiết bị di động của bạn, tải về và cài đặt ứng dụng xác thực.
5. Mở ứng dụng xác thực và quét mã QR.

6. Thêm vào đó bạn có thể click vào link có 1 khóa bí mật. Click OK để đóng cửa sổ.

7. Tiếp đó, ứng dụng xác thực của bạn tạo ra 6 số xác thực. Nhập mã này vào ô trong của sổ trên DSM. Nếu xảy ra thông báo lỗi, hãy đảm bảo thiết bị di động và hệ thống DSM đã được đồng bộ cùng thời gian. Mặt khác, các mã xác thực được cập nhật định kỳ, nên đảm bảo mã bạn nhập vào không bị hết hạn. Click Next.

8. Click Close để kết tức bước cài đặt.

9. Khi chương trình cài đặt được hoàn tất, cick OK để lưu các thay đổi.

6.3. Để đăng nhập vào trong DSM bằng xác thực 2 bước:
1. Trên màn hình đăng nhập DSM, nhập vào your username/password.

2. Khi thông báo nhập mã xác thực, mở ứng dụng xác thực trên thiết bị di dộng. Tìm và nhập 6 ký tự mã xác thực cho tài khoản của bạn
!!! Nếu thiết bị di động của bạn bị mất, bạn có thể click vào Lost your phone? và mã khẩn cấp sẽ được gửi đến email của bạn.

6.4. Cài đặt SMTP:
- Để nhận mã khẩn cấp qua email, cài đặt SMTP server theo đường dẫn Main Menu > Control Panel > Notification phải được cài đặt.
- Emergency Code Limit: mỗi user có một giới hạn là 5 mã khẩn cấp. Nếu bạn quá số lần giới hạn, bạn sẽ cần vô hiệu hóa và kích hoạt lại xác thực 2 bước trước khi nhận bất kỳ mã khẩn cấp nào nữa.

7. Kích hoạt tự động khóa và bảo vệ tài khoản:
- Auto block: Khóa một địa chỉ IP sau khi xác định các cố gắng đăng nhập thất bại. Chức năng tự động khóa IP cung cấp bảo vệ các truy cập trái phép không xác định. Số lần cố gắng đăng nhập thất bại trên tất cả các tính năng thông qua SSH, Telnet, rsync, Network Backup, Shared Folder Sync, FTP, WebDAV, Synology mobile apps, File Station, and DSM.
- Để kích hoạt tự động khóa IP:
1. Vào theo đường dẫn Main Menu > Control Panel > Security > Account.
2. Chọn Enable auto block bên dưới Auto Block.
3. Nhập vào số lần cố gắng đăng nhập Login attempts và Within (thời gian khóa - phút).
4. Chọn Enable block expiration và nhập vào số ngày xóa địa chỉ IP đã bị khóa khỏi danh sách khóa.
5. Click Apply.
6. Bạn có thể quản lý và xóa IP bị block khỏi danh sách khóa bằng cách click vào trong Allow/Block List.

- Để kích hoạt bảo vệ tài khoản:
1. Vào mục Main Menu > Control Panel > Security > Account.
2. Chọn checkbox Enable Account Protection. Click Apply.

!!! Bảo vệ tài khoản hỗ trợ các dịch vụ và packages sau: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station, và các ứng dụng Synology mobile.

8. Kết nối bằng HTTPS:
- HTTPS là cách bảo vệ tương tác với Synology NAS của bạn sử dụng giao thức HTTP cơ bản. Khi kết nối HTTPS được kích hoạt, kết nối đến DSM, Web Station, Photo Station, File Station, Audio Station, Surveillance Station sẽ được mã hóa sử dụng SSL/TLS. Điều này có nghĩa kết nối của bạn đến Synology NAS sẽ được bảo vệ.

9. Chỉ mở các port cho các dịch vụ thực sự cần thiết trên router:
- Synology NAS được thiết kế để dễ truy cập thông qua Internet. Các tính năng EZ-Internet hướng dẫn bạn qua tất cả các bước để thiết lập truy cập thông qua Internet đến Synology NAS của bạn. Nếu router của bạn không hỗ trợ EZ-Internet, Synology NAS cũng cho phép bạn cấu hình mà không cần EZ-Internet Wizard.
- Để đảm bảo tính bảo mật của Synology NAS, chứng tối khuyến cài bạn chỉ mở các port thông dụng thực sự cần thiết cho các dịch vụ trên.

10. Kích hoạt chống DoS
- Bạn cần kích hoạt bảo vệ Denial-of-service (DoS) để ngăn chăn các tấn công lỗ hổng thông qua Internet.
- Để kích hoạt bảo vệ DoS:
1. Vào trang Main Menu > Control Panel > Security > Protection.
2. Chọn Enable DoS protection. Click Apply.

!!! Sau khi kích hoạt bảo vệ DoS, Synology NAS của bạn sẽ trả lời đến chỉ một gói ICMP ping mỗi giây. Nếu tần suất nhiều hơn 1 lần mỗi giây, Synology NAS sẽ không trả lời echo request.

11. Thay đổi các port quản lý mặc định:
- Bạn có thể thay đổi các port dịch vụ mặc định để chặn các có gắng đăng nhập bằng lỗ hổng bảo mật. Thay đổi ví dụ thành các port như sau:

HTTP: 5000

HTTPS: 5001

SSH: 22

- Để thay đổi HTTP/HTTPS port mặc định:
1. Vào theo đường dẫn Main Menu > Control Panel > Network > DSM Settings.
2. Nhập vào số port tùy ý trong ô HTTP hoặc HTTPS. Click Apply.

- Để thay đổi port SSH mặc định:
1. Vào mục Main Menu > Control Panel > Terminal & SNMP > Terminal.
2. Chọn checkbox của Enable SSH service.
3. Điền vào số port bạn muốn. Click Apply.

13. Truy cập bằng trình duyệt ẩn danh đăng nhập vào NAS Synology bằng máy tính công cộng:
- Bất cứ khi nào bạn duyệt web bằng trình duyệt ẩn danh, các trang web bạn xem sẽ không xuất hiện trong lịch sử duyệt hoặc lịch sử tìm kiếm, và chúng sẽ xóa sạch các dấu vết, như cookies, trên máy tính sau khi bạn đóng tất cả các của sổ ẩn danh. Vì thế, chúng tôi khuyến khích người dùng sử dụng trình duyệt ẩn danh khi truy cập vào Synology NAS trên máy tính công cộng.

nhatquangit · 10/3/20

Video cấu hình bảo mật NAS Synology (How to secure your Synology DSM)

anhhunglangbat · 28/3/21

Thanks.

binhduong · 28/2/24

CẤU HÌNH FIREWALL RULE BẢO VỆ THIẾT BỊ LƯU TRỮ SYNOLOGY NAS KHỎI TẤN CÔNG BRUTE FORCE

- Ở phần này sẽ giới thiệu cho bạn thêm các cách làm giảm số cuộc tấn công trực tiếp vào thiết bị Synology NAS. Bằng cách lập ra các quy tắc GeoIP Firewall có sẵn trên DSM 7, bạn có thể chặn IP theo khu vực địa lý và loại trừ IP của bạn ra (IP tĩnh và subnet mask của bạn từ ISP). Nhưng cuộc tấn công Brute Force (dò mật khẩu) đến từ bên ngoài quốc gia của bạn. Với các cài đặt chi tiết bạn không chỉ giảm số thông báo nhận được cho các cuộc tấn công trên port 22 (SSH login), mà còn đưa con số này gần như bằng 0.

- Bạn sẽ thực hiện theo đúng với hình dưới đây với các rule: allow, allow, allow, deny. Và thứ tự các dòng cũng phải đúng như vậy. Kết quả sẽ giúp Log Center không còn các thông báo cố gắng đăng nhập bất hợp pháp tới từ bất kỳ quốc gia nào mà bạn đã chặn.

- Sau khi hoàn tất toàn bộ các bước tạo rule trong bài viết này, Firewall profile sẽ trông như thế này:

(1). Ports All – Protocol All – Source IP: "Subnet Mask – Default Gateway" mạng LAN của bạn (trong bài viết này sẽ là 192.168.1.1/255.255.255.0) với "Action: Allow".

(2). Ports All – Protocol All – Source IP: "Static IP" của bạn với "Action: Allow". (Nhập IP Public tĩnh mà ISP cung cấp).

(3). Ports All – Protocol All – Source IP: “Alternative Static IP” (nếu bạn có nhiều hơn một Static IP) và "Action: Allow".

(4). Ports All – Protocol All – Source IP: "Country" + "Action: Allow". Hãy chọn chính quốc gia mà bạn đang đặt thiết bị. Bạn có thể truy cập vào NAS từ bất kỳ địa chỉ IP thuộc vùng lãnh thổ mà bạn chọn ở đây.

(5). Ports All – Protocol All – Source IP ALL – Action: Deny: Rule này sẽ chặn toàn bộ các IP từ tất cả quốc gia khác truy cập tới Sysnology NAS, ngoại trừ nước được chọn ở mục (4). Ở đây, admin sẽ chỉ cho phép port '80' và '443' có thể được nhìn thấy từ các quốc gia khác, qua đó bạn có thể thấy được hosting (nếu có) từ bất kỳ đâu.

ĐI VÀO CÁC BƯỚC CẤU HÌNH:

Bước 1: Đăng nhập vào DSM của thiết bị lưu trữ Synology NAS với quyền administrator.

Bước 2: Đi vào phần 'Control Panel / Security / Firewall ' và làm theo hướng dẫn như sau:

2.1. Chọn Enable Firewall.

2.2. và cả Enable Firewall Notifications.

2.3. Trong Firewall Profile chọn mục 'default' và click Edit Rules.

Bước 3: Cửa sổ 'Edit Profile "default"' sẽ hiện ra, hãy đặt lại tên cho profile này.

RULE 1
- Tạo một Firewall Rule đầu tiên để cho phép mạng internal
- Click vào Create.

- Cửa sổ Create Firewall Rules sẽ mở ra và cấu hình:

Ports: chọn All.

Source IP: chọn Specific IP. Hãy click vào nút Select và cửa sổ mới sẽ mở ra.

Action: Allow và chọn thêm Enabled.

- Trên cửa sổ Source IP này, chọn "Subnet". Trong mục IP Address thêm địa chỉ và cả mask của ”Default Gateway" của bạn vào. Click OK để lưu lại.

RULE 2 (TÙY CHỌN)
- Tạo một Firewall Rule thứ hai để cho phép địa chỉ IP tĩnh được cấp từ ISP mà bạn có.
- Click vào Create.

- Cửa sổ Create Firewall Rules cấu hình như sau:

Ports: chọn All.

Source IP: chọn Specific IP > click Select.

Action: Allow và chọn thêm Enabled.

- Tại cửa sổ Source IP, chọn "Single Host". Nhập vào đó địa chỉ IP tĩnh và subnetmask của bạn, sau đó click OK. Nếu có nhiều Static IP, hãy tạo thêm rule "Allow" cho mỗi IP mà bạn có.

RULE 3
- Tạo thêm Firewall Rule thứ ba để cho phép IP thuộc quốc gia của bạn.

- Cấu hình trên cửa sổ Create Firewall Rules.

Ports: chọn All.

Source IP: chọn Location > click Select.

Action: Allow và chọn thêm Enabled.

- Ở cửa sổ Location, nhập vào ô tìm kiếm tên đất nước của bạn rồi sau đó chọn vào ô 'Selected' tương ứng với kết quả. Click OK.

RULE 4
- Tạo Firewall Rule thứ tư để cấm/chặn IP từ các quốc gia khác 'RULE 3'.

Ports: chọn All.

Source IP: chọn All.

Action: chọn Deny và chọn thêm Enabled. Cuối cùng, click OK.

- Lúc này cấu hình Security (hay Firewall) sẽ trông như hình ảnh dưới đây (không bao gồm các rule tùy ý khác).

RULE 5 (Nếu có sử dụng Reverse Proxy)
- Nếu bạn đang sử dụng Synology NAS làm hosting web hoặc nếu bạn có một dịch vụ mà tất cả mọi người đều có thể truy cập được, hãy làm theo hướng dẫn trong hình ảnh bên dưới. Ở rule thứ năm này, bạn phải chọn từ danh sách các ứng dụng đã được tích hợp sẵn và loại trừ dịch vụ của mình.

- Trong ví dụ đây, rule đã loại port '80' và '443' khỏi danh sách 'Deny' để làm cho web hosting có thể truy cập được từ khắp nơi trên thế giới. Trong phần “Select from a list of built-in applications”, bạn có thể chọn "app/port/services" nào có thể truy cập được từ tất cả các quốc gia/địa điểm.

- Chọn "Deny Rule > click Edit" như hình ảnh dưới đây.

- Để kiểm thử kết nối tới Synology NAS hoạt động đúng với firewall rule của bạn từ ngoài mạng Internet (và bên trong quốc gia của bạn) như văn phòng, trường học hay quán cà phê. Bạn cũng có thể đảm bảo xem tường lửa có đang chặn kết nối từ các quốc gia/địa điểm địa lý khác hay không bằng cách sử dụng trình duyệt Tor hoặc dịch vụ VPN để gửi lưu lượng truy cập từ một quốc gia khác. Nếu không thể kết tới Synology NAS được, điều đó có nghĩa là tường lửa đang hoạt động tốt với yêu cầu bạn đưa ra.

MỘT VÀI LƯU Ý:
1. Các Firewall rule sẽ thực hiện tuần tự từ trên xuống. Điều này có nghĩa các rule "Allow" phải ở trên đầu danh sách, với rule "Deny" ở dưới cuối. Khi traffic vào NAS, nó sẽ đi qua danh sách này, nếu không nó không được cho phép rõ ràng, rule "Deny" sẽ chặn traffic đó.

2. Nếu bạn không có Public IP tĩnh, thay vào đó là IP động thay đổi mỗi khi bạn kết nối. Chỉ cần cài đặt các RULE 1, RULE 3 và RULE 4 như bài hướng dẫn ở trên.

3. Nếu bạn chỉ cấu hình RULE 1 và RULE 3 vì bạn có IP động, bạn có thể kết nối tới NAS thông qua VPN nếu bạn có kế hoạch ra nước khác tạm thời, hoặc bạn có thể cho phép quốc gia đó vào RULE 3 trước khi rời khỏi nước sở tại.

4. Nếu bạn không định nghĩa vị trí quốc gia hiện tại trong "Country" ở RULE 3, bạn sẽ nhận được thông báo này: "Your computer has been blocked by the new firewall configuration". Cấu hình firewall đã reset trạng thái trước đó. Hãy kiểm tra lại để chắc chắn rằng không có rule nào chặn máy tính của bạn và thử lại.

5. Khi bạn thêm các file cài đặt mới vào NAS, các rule "Alllow" mới sẽ cần được tạo thêm. Synology NAS thường sẽ thông báo cho bạn rằng bạn cần tạo thêm một rule khi bạn cài đặt/cấu hình xong một gói cài đặt mới.

6. Mở rộng ra tính năng bảo vệ "IP Block List".