Nyligen har det rapporterats att ett antal Synology-användare upptäckt att deras filer på NAS-systemen har blivit krypterade. Den olyckliga orsaken är att skadlig ransomware har infiltrerat dessa NAS-enheter och kräver betalning för att dekryptera data. Här följer några åtgärder du kan vidta för att öka säkerheten på din NAS.
Skydda din NAS mot Ransomware-attacker
Synology har utfärdat varningar till NAS-användare om en serie ransomware-attacker som nyligen drabbat vissa individer. Angriparna använder sig av metoder med ”brute-force”, vilket innebär att de testar en stor mängd lösenord i hopp om att hitta rätt. När ett korrekt lösenord identifierats och angriparna har tillgång till lagringsenheten, krypterar de alla filer och kräver en lösensumma för att återställa datan.
Det finns flera sätt att skydda din enhet från dessa attacker. Du kan välja att helt inaktivera fjärråtkomst, vilket endast tillåter lokala anslutningar. Om fjärråtkomst är nödvändigt, kan du konfigurera ett VPN (Virtual Private Network) för att begränsa åtkomsten till din NAS. Om ett VPN inte är ett lämpligt alternativ, exempelvis på grund av långsamma nätverk, bör du stärka dina fjärråtkomstalternativ.
Alternativ 1: Stäng av fjärråtkomst
Det säkraste alternativet är att helt stänga av funktioner som tillåter fjärråtkomst. Om du inte kan nå din NAS på distans, kan inte heller en hackare. Detta kan leda till viss förlust av bekvämlighet när du är på resande fot, men om du bara använder din NAS hemma, till exempel för att titta på film, kanske du inte saknar fjärråtkomst alls.
De senaste Synology NAS-enheterna inkluderar en funktion kallad QuickConnect. Denna funktion tar hand om det komplicerade arbetet med att möjliggöra fjärråtkomst. Med QuickConnect aktiverat behöver du inte ställa in portvidarebefordran i din router.
För att stänga av fjärråtkomst via QuickConnect, logga in i ditt NAS-gränssnitt. Gå till Kontrollpanelen och välj ”QuickConnect” under ”Anslutning” i sidomenyn. Avmarkera ”Aktivera QuickConnect” och klicka på ”Tillämpa”.
Om du tidigare aktiverat portvidarebefordran på din router för att få fjärråtkomst, måste du även inaktivera dessa portvidarebefordringsregler. För att göra detta, ta reda på din routers IP-adress och logga in på routerns inställningar.
Se sedan din routers manual för att hitta sidan där du kan konfigurera portvidarebefordran (eftersom varje routermodell är olika). Om du inte har din manual, kan du söka på nätet efter routerns modellnummer tillsammans med ordet ”manual”. Manualen visar dig hur du hittar och stänger av reglerna för portvidarebefordran. Stäng av alla regler som gäller för din NAS-enhet.
Alternativ 2: Använd ett VPN för fjärråtkomst
Det är bäst att inte direkt exponera din Synology NAS för internet. Om du behöver ansluta på distans, rekommenderar vi att du konfigurerar ett VPN. Med en VPN-server installerad får du inte direkt tillgång till NAS-enheten. Istället ansluter du till routern, som i sin tur behandlar din enhet som om den vore på samma nätverk som NAS:en.
Du kan ladda ner en VPN-server från Paketcenter på din Synology NAS. Sök efter ”vpn” och välj installationsalternativet under ”VPN-server”. När du startar VPN-servern kommer du att se ett urval av protokoll, inklusive PPTP, L2TP/IPSec och OpenVPN. Vi rekommenderar OpenVPN, eftersom det anses vara det säkraste alternativet.
Du kan behålla alla standardinställningar för OpenVPN. Men om du vill nå andra enheter i nätverket när du är ansluten via VPN, måste du markera ”Tillåt klienter att få åtkomst till serverns LAN” och klicka på ”Tillämpa”.
Du måste sedan ställa in portvidarebefordran på din router till den port som OpenVPN använder (vanligtvis 1194).
För att använda OpenVPN behöver du en kompatibel VPN-klient. Vi föreslår OpenVPN Connect, som finns tillgänglig för Windows, Mac OS, iOS, Android, och även Linux.
Alternativ 3: Stärk din fjärråtkomst
Om fjärråtkomst är nödvändigt och ett VPN inte är ett bra alternativ, exempelvis på grund av låga hastigheter, bör du stärka fjärråtkomsten så mycket som möjligt.
För att öka säkerheten, logga in på din NAS, gå till Kontrollpanelen och välj ”Användare”. Om standardadministratörskontot är aktiverat, skapa ett nytt administratörskonto (om du inte redan har ett) och inaktivera det ursprungliga administratörskontot. Detta standardkonto är ofta det första målet för ransomware-attacker. Gästkontot är vanligtvis avstängt som standard, och det bör du hålla det såvida du inte har ett särskilt behov av det.
Se till att alla användare som har skapats för NAS:en har komplicerade lösenord. Vi rekommenderar att du använder en lösenordshanterare för att underlätta detta. Om du delar din NAS med andra personer och låter dem skapa sina egna användarkonton, se till att de använder starka lösenord.
Du hittar lösenordsinställningarna under fliken ”Avancerat” i användarprofilerna på kontrollpanelen. Du bör markera ”blandade skiftlägen”, ”numeriska tecken”, ”specialtecken” och att ”utesluta vanliga lösenord”. För ett starkare lösenord, öka minsta längden till minst åtta tecken, gärna längre.
För att skydda dig mot ”dictionary-attacker”, en metod där en angripare testar en enorm mängd lösenord så snabbt som möjligt, aktivera ”Auto-blockering”. Denna inställning blockerar automatiskt IP-adresser efter ett antal misslyckade inloggningsförsök inom en viss tidsperiod. Auto-blockering är oftast aktiverad som standard på nyare Synology-enheter, och du hittar den i Kontrollpanelen > Säkerhet > Konto. Standardinställningen blockerar en IP-adress efter tio misslyckade försök inom fem minuter.
Slutligen, överväg att aktivera brandväggen på din Synology. När en brandvägg är aktiv, kommer endast tjänster som du har tillåtit i brandväggen att vara tillgängliga från internet. Tänk på att när brandväggen är påslagen, måste du skapa undantag för vissa applikationer som till exempel Plex, och lägga till regler för portvidarebefordran om du använder ett VPN. Du hittar brandväggsinställningarna i Kontrollpanelen > Säkerhet > Brandvägg.
Dataförlust och kryptering av ransomware är alltid en risk med en NAS-enhet, även om du vidtar försiktighetsåtgärder. Det är viktigt att komma ihåg att en NAS inte är ett fullständigt säkerhetssystem. Det bästa du kan göra är att ta regelbundna säkerhetskopior av din data på en annan plats. Om det värsta skulle hända, oavsett om det är ransomware eller flera diskfel, kan du återställa dina data med minimal förlust.