Na początku sierpnia 2014 roku użytkownicy serwerów NAS firmy Synology padli ofiarą ataku złośliwego oprogramowania o nazwie „SynoLocker”, które zablokowało dostęp do danych przechowywanych na serwerach przez zaszyfrowanie ich mocnym kluczem AES 256 bitowym. Oczywiście nie wszystkie serwery Synology zostały zaatakowane i nie wynika to z tego, że jedne modele są bardziej odporne na atak, a drugie mniej; 90% sukcesu to prawidłowa konfiguracja serwera. Okazuje się, że duża liczba właścicieli serwerów plików Synology nie zdaje sobie sprawy z niebezpieczeństwa jakie czyha na urządzenia podłączone do sieci Internet. Jest też spore grono osób, które chcą zabezpieczyć serwer, a po prostu nie wiedzą jak to zrobić. W tym poradniku postaramy się przystępnie, krok po kroku, wytłumaczyć jak skonfigurować pamięć masową od Synology, aby zminimalizować szanse na udany atak przez hackerów.
Ustaw bezpieczne hasło dla konta admin
Pierwsze co powinniśmy zrobić to ustawić bezpieczne hasło dla konta z loginem admin. Naszym zdaniem bezpieczne hasło to minimum 10 znaków, zawierające zarówno wielkie i małe litery, oprócz tego dobrze jest dodać przynajmniej dwie liczby i jakieś znaki specjalnie. Jest to bardzo ważne ponieważ większość bootów atakujących serwery korzystają z bazy danych haseł, które są najczęściej wykorzystywane, więc ustawienie hasła typu admin lub 12345 nie jest mądre. O zgrozo co niektórzy potrafią w ogóle nie ustawiać hasła, bo taka opcja niestety w serwerach Synology jest możliwa, ale to pozostawimy już bez komentarza.
Staraj się nie korzystać z konta z loginem admin
Należy jak najmniej korzystać z konta z loginem admin, najlepiej raz ustawić mocne hasło i korzystać z niego tylko w ostateczności. Żeby mimo wszystko mieć uprawnienia admina, tworzymy nowe konto z własnym wymyślonym loginem i dodajemy go do grupy administratorów z poziomu panelu sterowania. Od tego momentu wszystko co robisz na serwerze, rób przy pomocy nowego konta.
Zmień domyślne porty do DSM
Oprogramowanie typu „Synlocker” było ukierunkowane na system operacyjny Synology DSM i domyślnie atakowało na portach 5000 i 5001 (standardowe porty ustawione fabrycznie), dlatego dobrze jest zmienić te porty na inne niestandardowe np. na 8080 i 8081.
Loguj się do DSM tylko przy pomocy SSL
Loguj się tylko przy pomocy bezpiecznego połączenia HTTPS (szyfrowane – SSL) i najlepiej wyłączyć opcję logowania bez SSL, tak żeby nie kusiło. Będzie to działać nawet jak nie mamy wykupionego certyfikatu, oczywiście jego wykupienie sprawi, że stanie się to jeszcze bezpieczniejsze. Na powyższym zrzucie widać, że mam zaznaczone automatyczne przekierowanie na HTTPS.
Uruchom dwupoziomową weryfikację dla logowania do DSM
Nie każdy zdaje sobie sprawę, ale Synology daje możliwość dwustopniowej weryfikacji użytkownika, który próbuje się zalogować na serwer Synology. Pierwszy stopień weryfikacji to podanie loginu i hasła; jeżeli będzie prawidłowe do Synology poprosi jeszcze o jednorazowy kod który zostanie wygenerowany na Waszym telefonie. Oczywiście żeby to wszystko działało trzeba pobrać odpowiednią aplikację na telefon. Aplikacja jest dostępna dla telefonów z systemem Android, Windows Phone 8 oraz Apple iOS. Pozostaje to wszystko ładnie skonfigurować. Aby to zrobić bardzo prosto w prawym górnym rogu panelu zarządzania klikamy na „admin” i z rozwijanego menu wybieramy „Opcje”.
Następnie klikamy „Włącz weryfikację 2-etapową” i wykonujemy instrukcje podane przez kreatora instalacji.
To wszystko teraz przy logowaniu po wpisaniu loginu i hasła, serwer pyta także jednorazowy kod.
Poniżej jest zrzut ekranu jak taki proces wygląda z poziomu komórki. Jak widać wygenerowany kod weryfikacyjny ma określony czas ważności i mamy około 15 sekund na jego przepisanie gdyż po tym czasie zostanie on zdezaktualizowany.
Wyłącz dostęp SSH i Telnet
Kolejną ważną sprawą jest wyłączenie w serwerze Synology usług SSH i Telnet. Jeżeli jednak okaże się, że musisz mieć dostęp do konsoli (bo jesteś zapalonym użytkownikiem i miłośnikiem Linuxa) to zmień port 22 dla SSH na inny, przykładowo może to być 8022 i staraj się logować tylko lokalnie. Jeżeli musisz mieć zdalny dostęp to łącz się do serwera przy pomocy szyfrowanego łącza wykorzystując np. protokół VPN. Warto też skonfigurować dodatkową autentykację dla protokołu SSH, która oprócz loginu i hasła będzie weryfikować także klucz szyfrujący.
Nie udostępniaj dysku sieciowego w Internecie
Jeżeli nie musisz, to nie otwieraj dostępu do Synology przez sieć Internet. Tak, wiemy, że wielu z was kupiło serwer Synology po to, żeby świadczył funkcjonalność prywatnej chmury, ale jest też wielu, którzy wykorzystują go tylko lokalnie i w takich przypadkach nie ma sensu kusić losu dając do niego dostęp z sieci zewnętrznej i nie korzystać z tego.
Przekierowuj porty z głową
W przypadku gdy musisz przekierować porty na routerze, żeby umożliwić zdalny dostęp do usług na serwerze Synology to zmieniaj porty domyślne na nietypowe. Po drugie pod żadnym pozorem nie otwieraj portów, z których nie będziesz korzystał, a już, o zgrozo, nie dodawaj serwera Synology do DMZ. Ważne, aby wiedzieć co się robi, dlatego przekierowując porty rób to z poziomu routera a nie przy pomocy automatów EZ Internet. Nie wolno także korzystać z wynalazków typu QuickConnect. My wiemy, że to są fajne usługi, wszystko robią za nas, ale jednocześnie prosimy pamiętać, że nie mamy nad nimi kontroli i jeżeli się okaże, że zawierają bug lub backdoor, który później ktoś wykorzysta to możemy mieć duże problemy. Jak widzicie na poniższych screenach przekierowane są porty tylko potrzebne, a automatyczne aplikacje o których wspominaliśmy są nie skonfigurowane.
Automatycznie blokuj nieznane IP
Fajnym narzędziem, które posiada większość serwerów (na pewno posiada je Synology, Qnap i Asustor) z którego trzeba skorzystać jest możliwość automatycznego blokowania adresów IP. W przypadku gdy z danego adresu IP ktoś błędnie wpisze login i hasło w krótkim odstępie czasu, serwer automatycznie zablokuje wszelkie połączenia z niego. Zalecamy ustawienie ilości prób na 5 w czasie 300 sekund i ustawienie bezterminowej blokady tego adresu. Ci którzy uważają, że ich serwer nie będzie atakowany zdziwią się, jak w pierwszych dwóch tygodniach liczba IP będzie rosła w zastraszającym tempie.
Jak widać uzbierało się 958 adresów IP, które zostały zablokowane na stałe. Oznacza to także, że w sieci skanowane są bezustannie wszystkie publiczne adresy IP. Bez znaczenia czy mamy je na stałe czy przydzielane są nam dynamicznie. Boty skanują sieć i próbują się logować na znalezione urządzenia różnymi drogami.
Skonfiguruj firewall-a
Nie każdy zdaje sobie z tego sprawę, ale Synology i Qnap mają wbudowanego własnego firewall’a i naprawdę warto go skonfigurować. Na początek trzeba dodać wpis, który umożliwi logowanie do DSM tylko z adresu IP, który posiada nasz komputer, druga reguła to „Jeżeli żadna reguł nie pasuje odmów dostępu”. Następnie dodajemy kolejne reguły w zależności od tego do czego serwer będzie wykorzystywany. Reasumując z góry zabraniamy wszystkich połączeń i tworzymy listę tych, które są dozwolone, tzw. biała lista.
Ponieważ zmieniamy standardowe porty na niestandardowe to podczas konfiguracji wybieramy opcję niestandardowy i wpisujemy numer portu i jego typ ręcznie.
Uruchamiaj tylko te usługi, z których korzystasz
Jak wszyscy wiecie Synology ma duże możliwości, ale to nie znaczy, że z wszystkiego będziecie korzystać. Po to jest centrum pakietów, żeby dostosować system do swoich potrzeb, a nie żeby instalować wszystko bezmyślnie na zasadzie „może kiedyś to uruchomię i sprawdzę”. Dlatego ważne: instalujemy tylko te usługi, z których korzystamy. Dzięki czemu skorzystamy podwójnie, po pierwsze serwer nie będzie obciążony innymi usługami co sprawi, że będzie działał szybciej, a po drugie mniej zainstalowanych paczek oznacza mniejszą szansę na trafienie na bug, który może być wykorzystany do ataku.
Aktualizuje oprogramowanie
Tutaj pstryczek w stronę tych, których zaatakował Synolocker, a którym nie chciało się im przez osiem miesięcy zaktualizować oprogramowania serwera. Aktualizacja właśnie usuwała dziurę wykorzystaną później przez „Synolocker” do skutecznego ataku na serwery Synology. Proszę pamiętać, też o aktualizacji paczek z repozytorium pakietów.
Jak widzicie, nawet jeśli macie problem z pamięcią to serwer sam jest w stanie zweryfikować czy są nowe aktualizacje. Synology DSM automatycznie nie zostanie zaktualizowane, zostanie to zrobione dopiero po waszej akceptacji nowej wersji.
W przypadku pakietów też mamy automatyczne sprawdzanie, ale tu dodatkowo możemy zaznaczyć, żeby były one także automatycznie aktualizowane. Decyzję pozostawiam wam, my osobiście wolimy mieć nad tym kontrolę, i uważamy, że lepiej samemu decydować o aktualizacji poszczególnym pakietów.
Uważaj co instalujesz
Jako, że serwery Synology są bardzo popularne, dlatego można spotkać sporo nieautoryzowanego przez Synology oprogramowanie, które można zainstalować na serwerze. I tutaj powinna zapalić się nam lampka. Zanim coś takiego zainstalujesz, to zastanów się czy autor jest wiarygodny i jaką masz pewność że oprócz usługi której oczekujesz nie doinstalujesz jakiegoś bonusa, który później umożliwi włamanie na serwer? Nie masz żadnej pewności, więc lepiej nie instalować paczek z poza oficjalnego repozytorium Synology. Poniżej screen, który pokazuje, że Synology ma możliwość dodania zewnętrznych repozytoriów, jednak my osobiście z tego nie korzystamy.
Antywirus
Pamiętajcie też, że złośliwe oprogramowanie możemy sami wgrać na serwer razem z jakimiś zainfekowanymi plikami, dlatego trzeba mieć zawsze uruchomiony wbudowany na Synology antywirus, który regularnie raz dziennie, np. o 1 w nocy codziennie będzie skanował dane i weryfikował czy nie mamy zainfekowanego serwera.
Zdalny dostęp do danych tylko przez VPN
Jeżeli musisz koniecznie skorzystać zdalnie z danych, które przechowujesz na serwerze, to zainstaluj serwer VPN i łącz się z serwerem przez PPTP lub OpenVPN. Te dwa standardy obsługuje każdy system operacyjny, a nawet urządzenia mobilne. Konfiguracja jest naprawdę łatwa. Fakt VPN spowalnia działanie urządzeń i prędkość transmisji, ale musisz zadać sobie pytanie czy chcesz, aby twoje dane były bezpieczne czy może wolisz działać szybko i bez zabezpieczeń. Wystarczy w centrum pakietów zainstalować paczkę serwer VPN.
Następnie po zainstalowaniu pakietu klikamy w ikonę serwer VPN i po lewej stronie wybieramy PPTP, a po prawej stronie klikamy „Włącz serwer PPTP VPN”. To wszystko co musimy zrobić na serwerze Synology. Pozostało nam przekierować na ruterze port 1723 TCP na lokalny adres IP Synology i skonfigurować połączenie VPN na naszym systemie. Poniżej przykład z Windows 8.
W „Centrum sieci i udostępnienia” klikamy „Skonfiguruj nowe połączenie lub nową sieć”
Z dostępnych opcji wybieramy „Połącz z miejscem pracy”
Następnie wybieramy „Użyj mojego połączenie internetowego (VPN)”
W kolejnych krokach podajemy adres IP lub nazwę domeny oraz wpisujemy login i hasło i to wszystko. Połączenie jest już skonfigurowane.
Teraz jak przejdziemy do połączeń sieciowych mamy nowe rozłączone połączenie sieci VPN. Klikamy na nie prawym przyciskiem myszy i wybieramy z rozwijanego menu opcję Połącz. Po połączeniu mamy dostęp do serwera i do tego na takiej zasadzie, że mimo iż logujemy się zdalnie to korzystamy z niego tak jakbyśmy byli w tej samej sieci lokalnej w której znajduje się serwer.
Szyfruj ważne dane
Synology daje możliwość szyfrowania wybranych udziałów. Dane, które tam się znajdują są procesowane dłużej, ale w przypadku gdy ktoś fizycznie ukradnie serwer to mamy pewność, że po uruchomieniu nie będzie miał dostępu do tych danych. Oczywiście to Ty decydujesz, które dane są dla Ciebie. Oczywiście nie ma problemu żeby szyfrować całość danych, ale wtedy trzeba się pogodzić z wolniejszą pracą serwera. Mimo wszystko przy obecnych osiągach serwerów i tak czasy dostępu będą naszym zdaniem wystarczające. Opcję szyfrowania wybiera się przy tworzenia nowego udziału. Tylko niech ktoś nie wpadnie na głupi pomysł i nie zaznaczy montowania automatycznego przy uruchomieniu.
Rozsądnie przyznawaj uprawnienia
Nigdy nie przyznawaj uprawnień na na wyrost. Najlepiej, żeby w grupie administratorów było tylko dwóch administratorów: domyślny admin i ten stworzony przez nas. Oczywiście można i czasami nawet trzeba stworzyć komuś konto administratora, ale pomyśl 10 razy zanim komuś dasz taki dostęp. Istnieje duża szansa, że inne osoby mogą nie przykładać tak dużego znaczenia do bezpieczeństwa danych jak Ty.
Backup
Zawsze warto zrobić dodatkowy backup na zewnętrzny dysk na USB i po jego wykonaniu wrzucić go w bezpieczne miejsce. Dla osób, które mają fundusze zalecam zakup drugiego mniejszego serwera i wykonywanie zdalnej replikacji danych na nim. Pamiętajcie, RAID to nie wszystko, dyski mogą ulec awarii. Mieliśmy przypadki gdzie uszkodziły się dwa dyski w RAID 1 w tym samym czasie lub przypadki gdy podczas odbudowy RAID5 awarii ulegał kolejny dysk. Dlatego pamiętajcie zawsze, że trzeba mieć przynajmniej jedną kopię danych z serwera, najlepiej poza lokalizacją gdzie jest serwer. Nawet jak ktoś jest pewny, że jego dyski wytrzymają wszystko to czy macie pewność, że nie spali się dom, lub czy powódź nie zaleje serwera, albo że zwykły złodziej go ukradnie. Świat nie jest idealny i warto brać pod uwagę każdą pesymistyczną opcję. Inna sprawa to czy wykonane backup-y są prawidłowe, czy nie zaszkodziło im np. ciche uszkodzenie danych, ale to już temat na inny artykuł.
Podsumowanie
Jeśli zastosujecie się do powyższych zaleceń to gwarantujemy Wam, że zminimalizujecie podatność Waszego serwera na ataki z zewnątrz i na pewno zwykłe booty nic wam nie zrobią. Natomiast zaznaczamy – nikt Wam nie zagwarantuje 100% skuteczności i bezpieczeństwa danych. Wyznajemy zasadę, że jak ktoś chce się włamać, to się włamie – kwestia tylko czasu, narzędzi i wiedzy. A sprzęt bezpieczny to sprzęt odpięty od sieci i najlepiej wyłączony.
Jeżeli jesteś użytkownikiem serwerów NAS firmy QNAP to mamy dla ciebie dobrą informację, za darmo możesz tam zabezpieczyć nie tylko dane, ale również całą sieć, więcej znajdziesz tutaj:
2 Comments