如何保护 Synology NAS 免受勒索软件的侵害

作者
Tweet
Share
Share
Pin
0 Shares

最近,一些群晖(Synology)用户发现他们的网络存储设备(NAS)上的所有文件都被加密了。不幸的是,勒索软件已经侵入了一些NAS设备,并要求支付赎金才能恢复数据。以下是一些你可以采取的措施来保护你的NAS。

如何防范勒索软件攻击

群晖已经发出警告,提醒NAS用户最近发生了一些针对用户的勒索软件攻击。攻击者通常使用暴力破解的方式来尝试默认密码,即不断尝试所有可能的密码组合直到找到正确的那个。一旦他们成功获取了NAS设备的访问权限,黑客就会加密所有文件并要求赎金。

为了防止这类攻击,你有多种选择。你可以完全禁用远程访问,只允许本地连接。如果你需要远程访问,你可以设置一个虚拟私人网络(VPN)来限制对NAS的访问。如果VPN不是一个合适的选择(例如,因为网络速度较慢),你可以加强远程访问的安全性。

选项一:禁用远程访问

最安全的做法是完全禁用远程连接功能。如果你的NAS设备无法远程访问,黑客也就无从下手。虽然这可能会牺牲一些移动便利性,但如果你只是在家中使用NAS(例如观看电影),那么你可能根本不会感觉到远程功能缺失。

最新的群晖NAS设备都配备了QuickConnect功能。这项功能负责处理远程访问的繁琐设置。启用此功能后,你无需在路由器上设置端口转发。

要通过QuickConnect禁用远程访问,请登录到你的NAS管理界面。打开控制面板,然后在侧边栏中“连接”下找到“快速连接”选项。取消选中“启用快速连接”,然后点击“应用”。

此外,如果你的路由器上启用了端口转发来实现远程访问,你也需要禁用这些端口转发规则。要禁用端口转发,你需要找到你路由器的IP地址并使用该地址登录到路由器管理界面。

然后查阅你的路由器手册以找到端口转发页面(每个路由器的设置界面可能有所不同)。如果你没有路由器手册,你可以在网上搜索你的路由器型号加上“手册”关键词。手册会告诉你如何找到已有的端口转发规则,然后关闭针对你NAS设备的任何端口转发规则。

选项二:使用VPN进行远程访问

我们不建议将群晖NAS设备直接暴露在互联网上。但如果确实需要远程连接,我们建议你设置一个虚拟私人网络(VPN)。安装VPN服务器后,你将无法直接访问NAS设备。相反,你会连接到你的路由器。而路由器会把你视为与NAS在同一网络上(就像你仍然在家一样)。

你可以从群晖NAS的套件中心下载VPN服务器。只需搜索“vpn”并选择“VPN Server”下的安装选项。当你第一次打开VPN服务器时,你会看到PPTP、L2TP/IPSec和OpenVPN协议的选择。我们推荐使用OpenVPN,因为它是这三者中最安全的。

你可以保留OpenVPN的所有默认设置,但如果你想在通过VPN连接时访问你网络上的其他设备,你需要选中“允许客户端访问服务器的LAN”选项,然后点击“应用”。

之后,你需要在路由器上设置端口转发到OpenVPN使用的端口(默认为1194)。

如果你使用OpenVPN作为你的VPN,你需要一个兼容的VPN客户端才能连接。我们推荐OpenVPN Connect,它适用于WindowsmacOSiOSAndroid,甚至Linux

选项三:尽可能保护远程访问

如果由于网速较慢等原因,VPN不是可行的解决方案,但你仍然需要远程访问,那么你应该尽可能地加强远程访问的安全性。

为了保护远程访问,你需要登录到NAS管理界面,打开控制面板,然后选择“用户”。如果默认的管理员账户已启用,请创建一个新的管理员用户账户(如果你还没有),并禁用默认的管理员用户。默认的管理员账户是勒索软件攻击的常见目标。访客用户通常默认是禁用的,除非你有特殊需求,否则你应该保持这种状态。

你应该确保为你的NAS创建的任何用户都使用复杂密码。我们建议使用密码管理器来帮助你管理密码。如果你的NAS是多人共享的,并且允许其他人创建用户账户,请务必强制他们使用强密码。

你可以在控制面板的用户个人资料的高级选项卡中找到密码设置。你应该启用包括混合大小写、包含数字字符、包含特殊字符和排除常见密码等选项。为了获得更强的密码,请将最小密码长度增加到至少八个字符,当然越长越好。

为了防止字典攻击(一种攻击者尝试尽可能快地猜出尽可能多的密码的方法),请启用自动阻止。此选项会在某个IP地址在短时间内尝试登录并失败多次后自动阻止该IP地址。较新的群晖设备默认启用自动阻止,你可以在控制面板 > 安全 > 账户中找到它。默认设置是在5分钟内尝试登录失败10次后阻止该IP地址再次尝试登录。

最后,考虑开启群晖的防火墙。启用防火墙后,只有你在防火墙中指定允许的服务才能从互联网访问。请记住,如果开启了防火墙,你需要为Plex等一些应用程序设置例外,如果你使用VPN,还需要添加端口转发规则。你可以在控制面板 > 安全 > 防火墙中找到防火墙设置。

即使你采取了所有这些预防措施,NAS设备仍然存在数据丢失和被勒索软件加密的风险。归根结底,NAS并不是备份系统,你能做的最好的事情是对数据进行异地备份。这样,即使最坏的情况发生(无论是勒索软件还是多个硬盘驱动器故障),你也可以以最小的损失恢复数据。