Неприступный Synology: настройка безопасности
News | 09.12.2021
По умолчанию, все сетевые системы хранения данных (NAS) Synology уже с производственных мощностей обеспечивают достаточно высокий уровень безопасности, обеспечивая сохранность данных. Более того, недавно у компании в состав операционной системы DSM был включен пакет Security Advisor, который сканируя настройки устройства, указывает вам на слабые места с точки зрения безопасности и предлагает где-то сменить пароль, где-то изменить настройки, чтобы защититься от потенциальных угроз. Для домашнего или даже SOHO-офиса этого более чем достаточно, но… Безопасность никогда не бывает лишней!
Современный NAS-сервер способен защитить себя от большинства атак и гарантировать непрерывность работы и неприкосновенность хранимых данных. Даже при осуществлении минимальных настроек и следованию рекомендаций производителя, NAS-сервер может стать труднопреодолимой крепостью для злоумышленника, настолько надежной, что вы можете подключать устройство напрямую к сети Интернет без Firewall, будучи совершенно уверенным, что ваши данные не окажутся в руках конкурентов и не будут слиты в сеть.
На хранилищах Synology по умолчанию отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000.
Чтобы защититься от подбора пароля администратора, первым делом необходимо отключить учетную запись admin / administrator, с назначением функций администратора вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию будет достаточно (это 8 символов разного регистра + цифры + спец. символы).
NAS (Network Attached Storage) может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог коннектиться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учетные данные пользователя и снизить область атаки для похищения логина/пароля в сторонних приложениях. Двухфакторная аутентификация реализуется средством приложения Synology SignIn, и является альтернативой для беспарольного входа. Для настройки производятся все те же шаги, что описаны выше, с той лишь разницей, что вместо подтверждения пароля, приложение на смартфоне генерирует 6-значный код, который нужно ввести в дополнении к вводу пароля при доступе в веб-интерфейс. На случай поломки/утери телефона необходимо указать электронный адрес для аварийного восстановления доступа.
Двухфакторная и беспарольная аутентификации работают только в пределах web-интерфейса Synology.

Двухфакторная и беспарольная аутентификации работают только в пределах web-интерфейса Synology. Это полезно для таких встроенных приложений, как web-почта, календарь, офисный пакет приложений или тот же чат. Запуск данных сервисов в пределах одного NAS избавит вас от зависимости от интернет-сервисов. Однако, протоколы файлового и терминального доступа остаются зависимы только от пары логин/пароль, поэтому защита от перебора остается важным шагом в настройке безопасности. В устройствах SMB-класса поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager.
Для каких-то особых ситуаций развертывания инфраструктуры рекомендуется просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всем мире ПО для сетевой безопасности. Но, если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.
Как правило, VPN-туннели реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Рекомендуется максимально заворачивать внешний трафик через VPN, даже если соединение защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности не забываем изменить стандартный порт 1194 на произвольный.

Включение файловых протоколов SMB или CIFS, которые используются для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политике.
Windows 10 и Windows Server 2016/2019 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0. Современные процессоры, на которых построены NAS Synology, поддерживают аппаратное ускорение операций кодирования, поэтому влияние на производительность минимальное.
Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, также по умолчанию не защищен. В закладке NFS Permissions это можно настроить индивидуально для каждой папки и диапазона IP-адресов. Здесь вам необходимо создать определенное правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS. Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищенному SSH туннелю).
Для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux устройств, обязательно включаем протокол RSync, который также работает по SSH. Здесь каждый функционал по умолчанию использует кодирование, поэтому никаких дополнительных настроек делать не нужно.
Следующий шаг — получение сертификата Let’s Encrypt для корректной работы web-интерфейса устройства через HTTPs. Для этого в локальной сети вам нужно настроить доступ к NAS через домен, так, чтобы NAS отзывался на запрос по 80 и 443 портам, для чего можно использовать поддомен третьего уровня вида nas.mycompany.com. Вы можете создать самозаверенный (самоподписанный) сертификат или импортировать существующий. Практически, на этом защита «данных на лету» может считаться оконченной, и время перейти к следующему, не менее важному, элементу настройки.
Итак, мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплоитов Meltdown и Spectre, благодаря чему зараженная виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьезно замедляющие операции случайного чтения с дисковой подсистемы.
Следующий шаг, шифрование различных резервных копий, которые могут храниться на NAS-сервере.
Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS-серверами или в облако — другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест — третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои.
Обо всем по порядку.
Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удаленный сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа “вытащить нужный файл за вчера с 7-00 до 15-00”. Незащищенные папки имеют доступные снэпшоты, и для их защиты можно использовать защищенное соединение при репликации на удаленный сервер.

Резервирование содержимого вашего NAS на другой NAS-сервер или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задается единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.
В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на нее можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищенную папку, ключ от которой знаете только вы. И таких папок может быть сколько угодно. Подключить закрытую папку вводом пароля придется при восстановлении бэкапа или для автоматической проверки целостности копий. Дополнительно, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после перезагрузки.
После всего описанного, мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля генератором ключей, физическим похищением всего устройства или его дисков, а также от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам, NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology.
Впереди защита от самого непредсказуемого фактора — человеческого!
Шаг первый, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения идентичны по параметрам, и включаем еженедельное сканирование настроек безопасности средством Security Advisor.
Шаг второй, настраиваем резервирование всего NAS-сервера в облачную службу Synology C2. Это недорого, практично и удобно. Дополнительный немаловажный плюс — Synology никогда не продаст ваши персональные данные 'рекламщикам'.