synology ip адрес заблокирован так как достигнуто максимальное
Неприступный NAS: настраиваем безопасность и защищаем Synology
Современный NAS вполне способен защитить себя от большинства атак и гарантировать не только непрерывность сервиса, но и неприкосновенность хранимых данных. Даже при осуществлении минимальных настроек и следованию рекомендаций производителя, NAS может стать неприступной крепостью для злоумышленника, настолько надёжной, что вы можете подключать устройство напрямую к сети Интернет без Firewall, оставлять буквально в неохраняемом месте (что актуально для периферийных инсталляций), будучи совершенно уверенным, что даже если его физически похитят, ваши данные не окажутся в руках конкурентов и не будут слиты в сеть.
По умолчанию все NAS-ы Synology с завода обеспечивают достаточный уровень безопасности, чтобы обеспечить сохранность данных, и более того, недавно у компании в состав операционной системы DSM был включён пакет Security Advisor, который сканируя настройки устройства, указывает вам на слабые места с точки зрения безопасности и предлагает где-то сменить пароль, где-то изменить настройки, чтобы защититься от потенциальных угроз. Для домашнего или даже SOHO-офиса этого более чем достаточно, но поскольку безопасность никогда не бывает лишней, в этой статье мы расскажем как именно Synology защищает ваши данные и как эту защиту сделать ещё более сильной.
При инициализации NAS-а на устройство скачивается и устанавливается самая свежая версия операционной системы, так что вариант устаревания ОС во время пути от производителя до заказчика исключается. По умолчанию в системе уже установлен пакет Security Assistant, который можно периодически запускать для сканирования системы на предмет уязвимостей. В нашем случае он при запуске обнаружил, что не настроено E-Mail уведомление о новых версиях DSM, и вот такие мелочи здесь никак не отключаются, так что схитрить ради заветных 100% защищённости не удастся.
По умолчанию на NAS-ах Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учётную запись admin / administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (8 символов разного регистра + цифры + спец.символы) будет достаточно.
NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учётные данные пользователя и снизить область атаки для похищения логина/пароля даже если брешь присутствует в других, сторонних приложениях.
Всё большую популярность набирают методы идентификации пользователя не через пару логин/пароль, а через токен, которым может выступать как аппаратный ключ, так и смартфон. Начиная с версии DSM 7, в NAS-ах Synology поддерживаются оба этих метода. Для идентификации с аппаратным ключом потребуется, чтобы NAS был доступен по HTTPs через доменное имя, например nas.yourdomain.com, что не всегда возможно и желательно. Идентификация через смартфон не требует даже «белого» IP адреса, и работает через встроенную систему доменных имён Synology QuickConnect.
Двухфакторная аутентификация реализуется средством приложения Synology SignIn, и является альтернативой для беспарольного входа. Для настройки производятся все те же шаги, что описаны абзацем выше, с той лишь разницей, что вместо подтверждения пароля, приложение на смартфоне генерирует 6-значный код, который нужно ввести в дополнении ко вводу пароля при доступе в веб-интерфейс. На случай поломки/утери телефона вам следует указать E-Mail для аварийного восстановления доступа.
Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.): чертовски удобно.
Двухфакторная и беспарольная аутентификации работают только в пределах Web-интерфейса Synology: это полезно для таких встроенных приложений, как Web-почта, календарь, офисный пакет или чат. Да, всё это может быть запущено в пределах одного NAS, что избавит вас от зависимости от интернет-сервисов. Тем не менее, протоколы файлового и терминального доступа остаются зависимы только от пары логин/пароль, поэтому защита от перебора остаётся важным шагом в настройке безопасности.
На этой же вкладке можно включить защиту от DoS атак без каких-либо дополнительных настроек.
В топовых NAS-ах Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развёртывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всём мире ПО для сетевой безопасности, но если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.
По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS-а из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы, и запрещаем для примера им доступ из Антарктиды, Анголы и некоторых других стран.
Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.
Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Ещё совсем недавно в этой области данные не защищались, поскольку считалось что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полёте» не шифруются.
Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политики.
Windows 10 и Windows Server 2016/2019 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0.
Современные процессоры, на которых построены NAS-ы Synology поддерживают аппаратное ускорение операций кодирование, поэтому влияние на производительность минимальное.
Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3.
Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, так же по умолчанию не защищён. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определённое правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.
Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищённому SSH туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux устройств, включаем протокол RSync, который так же работает по SSH. Здесь всё по умолчанию использует кодирование, и никаких настроек делать не нужно.
Вообще, доступ по SSH вам скорее всего не потребуется, и его можно не включать, но в случае если он всё же нужен, в настройках безопасности вам будет предложен огромный выбор алгоритмов защиты трафика. Я рекомендую отключить поддержку 128-битных ключей, оставив 256-битные и выше.
Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учётной записи, и почти всё закончено.
Финальным штрихом будет получение сертификата Let’s Encrypt для корректной работы Web-интерфейса устройства через HTTPs. Для этого в локальной сети вам нужно настроить доступ к NAS через домен, так чтобы NAS отзывался на запрос по 80 и 443 портам, для чего можно использовать поддомен 3-го уровня вида nas.mycompany.com. Вы можете создать самоподписанный сертификат или импортировать существующий.
Практически, на этом защита «данных на лету» может считаться оконченной, и время перейти к самому важному, с моей точки зрения, элементу настройки.
К «данным на отдыхе» относится вся информация, находящаяся на накопителях, независимо от того, лежит ли она в кэше или в хранилище, часто она запрашивается либо редко. Здесь Synology предлагает защиту папок общего доступа по стандарту AES-256, используя файловую систему eCryptFS поверх BTRFs или EXT4, в которой каждый файл кодируется индивидуально. Стойкость защиты подтверждена сертификатом FIPS 140, и кодирование настраивается индивидуально для каждой папки общего доступа в любой момент времени, в том числе после создания.
Данная защита помогает при физической краже NAS-а или накопителей: каждый раз при перезагрузке устройства, общая папка находится в неподключённом состоянии, и чтобы её содержимое было доступно, нужно вручную смонтировать её, введя сохранённый ключ.
Если зайти через терминал в неподключённую закодированную папку, то содержимое её будет выглядеть следующим образом:
Для закодированной папки недоступна функция сжатия данных, и некоторые сервисы, например Active Backup или Virtual Machine Manager не могут использовать её в качестве хранилища. Что же касается хороших новостей, то на таких папках поддерживаются снэпшоты (хотя их и нельзя просматривать), а так же кодировать можно гибридные папки, которые используются в качестве облачного диска на ноутбуках и смартфонах.
Вопрос: что делать с iSCSI?
Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удалённый сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа «вытащить нужный файл за вчерашний день. Незащищённые папки имеют доступные снэпшоты, и для их защиты можно использовать защищённое соединение при репликации на удалённый сервер.
Резервирование содержимого самого NAS-а на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задаётся единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.
В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на неё можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищённую папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придётся при восстановлении бэкапа или для автоматической проверки целостности копий. Кстати, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после ребута, но я не советую это делать.
Финальные штрихи
Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а так же включаем еженедельное сканирование настроек безопасности средством Security Advisor.
Во-вторых, настраиваем резервирование всего NAS-а в облачную службу Synology C2. Это дёшево, практично, удобно и плюс Synology не продаёт ваши данные рекламщикам.
И рекомендую обратить внимание на приложение Note station для сохранения заметок на NAS-е: здесь есть возможность использовать защищённые записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password.
Михаил Дегтярёв (aka LIKE OFF)
04/10.2021
Не удается войти в DSM (Synology NAS)
все, что я мог исследовать это сделать мягкий сброс, но я не уверен, будет ли это исправить привилегии тоже, и я предпочел бы не уничтожить мою текущую конфигурацию.
2 ответов
благодаря подтверждению Tonny о рабочем столе я смог решить эту проблему, так что я поделюсь, потому что это немного расстраивает, если это произойдет с вами.
шаги, чтобы решить эту проблему, если вы случайно заблокировали себя из DSM Web доступ:
sudo sqlite3 synoappprivilege.db Он запросит ваш пароль. Введите пароль your_username (тот же пароль, который вы использовали для ssh ). Он подскажет:
проверить таблицы (не обязательно):
таблицы запросов (не обязательно):
будет выведено содержимое таблицы, которое будет похоже на эти:
привилегию мы случайно была удалена SYNO.Desktop и, вероятно, не будет указан в предыдущей команде. Поэтому нам нужно вставить его (Примечание: имя пользователя, как полученных с грэп, в моем случае, 1021 ):
подтверждение, что все в порядке.
готово! Теперь вы можете войти в систему.
после того, как я исправил проблему я нашел такое же решение здесь, но из поисковиков на первом экземпляре достать было невозможно. Кроме того, остерегайтесь insert в этой ссылке есть небольшая ошибка.
интересный вопрос. Я немного покопался на своем собственном Syno и придумал это:
поиск в /etc / group по ssh. Строка должна выглядеть следующим образом:
(«plex» существует только в том случае, если вы установили пакет Plex.)
Добавьте свою учетную запись администратора в эту строку. Насколько я знаю, это единственное, что нужно, чтобы попасть в DSM web-Management. Для обычного доступа к web-серверу (персонализированной домашней странице) пользователь также должен быть добавлен в » http» строка в том же файле.
следующая вещь, чтобы вытащить файл/etc / synoappprivilege.db к компьютеру (осторожно, это двоичный файл. Не копировать в текстовом режиме.)
Это база данных SQLite, содержащая фактические привилегии.
Загрузите этот файл в шестнадцатеричном редакторе и найдите раздел рабочий стол.
Это должно выглядеть так:
YNO и MW могут иметь разные значения. Важной частью являются цифры. Они должны быть такие же как выставка выше.
Измените это с помощью шестнадцатеричного редактора и поместите измененный файл обратно на Syno (сохраните резервную копию оригинала. ).
Я не уверен, что это изменение подхватывается автоматически, поэтому для активации новой настройки может потребоваться перезагрузка.
Как защитить NAS от хакерских атак и программ-шифровальщиков?
У всех на слуху скандал, связанный с хакерской группой Qlocker, которая написала программу-шифровальщик, проникающий на сетевые хранилища. С 20 апреля число жертв вымогателей идет на сотни в день. Хакеры используют уязвимость CVE-2020-36195, программа заражает NAS и шифрует информацию. Расшифровать данные можно только после выкупа. К счастью, NAS Synology этой уязвимости не имеют. Но мы все равно посчитали нужным рассказать о том, как следует защитить сетевое хранилище, чтобы избежать потенциальных рисков.
Внимание: для большинства приведенных в статье советов требуются права администратора NAS.
Совет 1: отключите учетную запись администратора по умолчанию
Распространенные имена учетных записей администратора облегчают злоумышленникам атаки методом грубой силы на Synology NAS через подбор пароля. Избегайте таких имен, как admin, administrator, root (*) при настройке NAS. Мы рекомендуем сгенерировать сильный и уникальный пароль для администратора Synology NAS, а также отключить учетную запись администратора по умолчанию. Если при настройке NAS вы задали административную учетную запись с новым именем, то учетная запись admin будет автоматически отключена.
Если вы зашли как пользователь admin, то перейдите в Панель управления, выберите пункт Пользователь и группа, после чего создайте новую административную учетную запись. Затем войдите под новой записью и отключите admin.
* root в качестве имени пользователя запрещен
Совет 2: используйте сильный пароль
Сильный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа. Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.
Помните, что хакеры подбирают пароли по словарям. Поэтому использовать в качестве пароля какое-либо слово нельзя. Если хакеры получат доступ к административной учетной записи, то они смогут добраться и до учетных записей других пользователей. Что нередко случается в случае взлома тех же веб-сайтов. Мы рекомендуем проверять на утечки ваш адрес email на сайтах Have I Been Pwned и Firefox Monitor, например.
Если вы боитесь забыть сложный пароль, то следует использовать менеджер хранения паролей (такой как 1Password, LastPass или Bitwarden). С их помощью придется запоминать только один пароль для менеджера, после чего будет открыт доступ ко всем хранящимся паролям.
Для пользователей Synology NAS можно включить политику паролей, которая будет действовать для всех учетных записей. Перейдите в Панель управления — Пользователь и группа — Дополнительно. Поставьте в пункте Применить правила надежности пароля нужные галочки.
Политику пароля можно применить и к существующим пользователям. Им придется изменить пароль при следующем входе в систему.
Совет 3: всегда обновляйте систему и включите оповещения
Synology регулярно выпускает обновления DSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.
Если будет обнаружена уязвимость, специальная команда Product Security Incident Response Team (PSIRT) в штате Synology проведет ее исследование в течение восьми часов, а в течение следующих 15 часов будет предложен патч, что позволяет справиться даже с так называемыми атаками нулевого дня.
Для большинства пользователей рекомендуется настроить автоматическое обновление, чтобы все имеющиеся патчи DSM устанавливались без участия администратора. Но для самых крупных обновлений вмешательство администратора все же потребуется.
Многие сетевые хранилища Synology имеют возможность запуска Virtual DSM внутри Virtual Machine Manager, то есть виртуальную версию операционной системы DSM. Использовать Virtual DSM имеет смысл, чтобы протестировать те или иные функции, а также обновления. Например, можно установить на Virtual DSM последнюю версию DSM, после чего проверить работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.
Не менее важно получать своевременные оповещения о событиях. Можно настроить NAS Synology таким образом, чтобы получать оповещения на email, SMS, на смартфон или в браузере. При использовании сервиса Synology DDNS можно получать оповещения, если будет потеряно подключение к сети. Благодаря оповещениям администратор может своевременно отреагировать на заканчивающееся пространство тома, сбой задачи резервирования и т.д. Все это позволяет наладить надежно работающую и защищенную систему.
Мы рекомендуем добавить в учетной записи Synology подписку на Инструкции по безопасности, что позволить получать техническую информацию об уязвимостях продуктов и инцидентах, связанных с безопасностью.
Совет 4: включите двухфакторную аутентификацию
Если вы хотите добавить еще один уровень защиты учетной записи, мы рекомендуем активировать двухфакторную аутентификацию. В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.
Synology поддерживает мобильное приложение Secure SignIn, а также протокол FIDO2, который опирается на аппаратные ключи безопасности (USB-ключ, Windows Hello на ПК или Touch ID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут через фишинг, методы социальной инженерии, вирусы и т.д.
Ограничение доступа к веб-приложениям в Synology DSM
С пользовательскими чуть сложнее, к тому же иногда хочется оставить их на стандартном 443 порту, доступными по протоколу HTTPS (от использования HTTP есть смысл отказаться совсем).
Итак, я опишу некую “жизненную” конфигурацию. Дано:
Надо заметить, что уровень доверия к системным приложениям DSM достаточно высок — обновления безопасности системы выпускаются часто. Чего не скажешь про пользовательские приложения. На мой взгляд именно их уязвимости (потенциальные) и представляют основную угрозу безопасности всей системе и пользовательским данным конкретного приложения. Поэтому доступ к ним необходимо ограничить. Опять же — некоторые приложения не подразумевают никакой авторизации и разграничения прав доступа к своим данным, рассчитывая на использование только во внутренней сети.
Ограничивать доступ будем следующим образом:
DokuWiki — свободный доступ из внутренней сети. Снаружи доступ только при наличии сертификата. Используется модуль apache mod_ssl. Затем вступает в действие внутренняя система авторизации. Как я уже писал выше, в DokuWiki свои собственные пользователи и своя система прав на доступ к статьям.
Tiny RSS — свободный доступ из внутренней сети. Снаружи доступ только при наличии сертификата. Используется модуль apache mod_ssl. Больше никаких дополнительных средств ограничения доступа не требуется.
Cops — свободный доступ из внутренней сети. Из вне доступ по имени и паролю. Используется модуль apache mod_auth_digest. Подразумевается, что снаружи могут подключаться всевозможные “электронные книги” и я не уверен, что на них возможно загрузить пользовательский сертификат и использовать его в веб-браузере.
Таким образом для ограничения доступа используются различные модули веб сервера Apache.
Теперь реализация, настроим авторизацию по сертификатам
Идея здесь такая, что только пользователь, имеющий сертификат, подписанный нашим CA, имеет доступ к определенной части сайта.
Затем настроим авторизацию по имени-паролю:
Пару слов об использованных методах авторизации
auth_digest: пришла на смену auth_basic и отличается от предшественницы тем, что пароль не передается в открытом виде, соответственно ее можно использовать поверх HTTP.
SSL: как часть модуля mod_ssl. Основное: каждый, кто будет иметь клиентский сертификат, подписанный нашим CA будет иметь доступ к необходимым приложениям.
Как можно усовершенствовать авторизацию с помощью сертификатов?
— Можно для разных приложений использовать разные CA
— Можно разрешать доступ пользователю на основе различных полей сертификата
— Можно выпускать клиентский сертификат на короткий срок — например на неделю или на месяц
— Можно (даже нужно) добавить в конфигурацию путь к CRL (список отозванных сертификатов) для оперативной блокировки отдельных пользователей
— Клиентские сертификаты можно закрывать паролем и/или хранить на USB eToken