目前台灣去年 QNAP 被中了勒索病毒比較嚴重之外,今年初出現了 Asustor 也攻陷了,但災情還算控制內,Synology 目前僅 2014 年發生過一次,後來證實是舊版 DSM 造成,後續有持續修補更新上去,不要為了便宜行事,才會方便去裸奔全都露,為了勒索軟體攻擊預防措施,面對威脅最好的方法就是做提高資安。
在事件發生勒索軟體攻擊之前,要先做應變計劃能力,雖然不能百分之百是安全,大多都是人為設定問題,比較常見是新手對資安概念不足,沒有做了預防措施,直接把 NAS 裸奔出去,所以了解要採取的確定優先要做的事。
停用 Admin 帳號
大多 NAS 預設都是 admin 帳號登入,很容易會被駭客盯上,不斷試圖攻擊猜測密碼駭客,建議把 admin 帳號停用,不過在之前必須要先建立新的自訂命名帳號給最高管理員後,再把 admin 帳號停用,另 guest 一併停用吧~
另外,帳號密碼避免設定太簡單,很容易被破解,建議啟用密碼強度,把包含混合大小寫、數字、特殊字元 (不是表情符號圖…) 勾選,這樣強制這種複雜密碼,提高避免被破解。
特別注意 請勿將生日、電話、身份證號碼做為密碼。
提高 SMB 安全性
在檔案服務的進階設定內,將把 SMB 調整到 SMB2 到 3,不要設 SMB1 協定。
再檢查一下,是否有關閉了 NTLMv1 驗證,這一點很重要。
外部存取變更設定
前陣子 Asustor 發生勒索病毒攻擊來源可能是 輕鬆連線 功能,但 Synology 不確定有沒有可能性,所以先預防關閉 QuickConnect ID 功能,目前原因狀況不明,先自行判斷是否要使用。
若自己有網域名稱或免費 DDNS 的話,可以透過 DDNS 接管暫時取代 QuickConnect ID 功能。
DSM 服務對外的 Port 埠號,建議把預設 5000、5001 改掉自訂 Port 連線。
安全性調整提高
DSM 安全性調整,建議勾選 強化抵禦跨網站要求偽造攻擊的能力、啟動 HTTP 內容安全政策 ( CSP ) 標頭來提升安全性、禁止 DSM 被 iFrame 嵌入以及重開機自動清除所有使用者登人連線…等四項,來強化安全性。
防火牆部分,如果你前面有一台防火牆設置的話,可忽略此設定,除非你要雙重防火牆關卡,也是可以勾選啟用。
防火牆設定檔,像我做 GeoIP 建立規則,僅台灣允許連入,然後高風險可疑駭客組織的國家也設定拒絕連入。
保護機制,若不明來源試圖登入侵入的話,會觸發自動封鎖,看你喜好設定,避免被誤判封鎖到你的帳戶…XD
DoS 拒絕服務也是要開,設定外部網路介面就可以多了一層保護。
終端機 & SNNM 請在有需要的時候,才開啟,否則沒有必要性一直開著,然後 Port 請改自訂埠號。
定期更新修補
不管出那個版本更新修補,大多都是自動更新,不過許多人怕在平日時間,無故自動更新,造成炸開 (X),所以建議你自行規劃好檢查排程更新。
Synology 曾經在 2014 年發生 SynoLocker 事件,不過經查確認是舊版 DSM 漏洞造成的,大多用戶於人為因素未進行更新至最新版本,才造成 SynoLocker 事件,不要為了第三方相容性的問題,就不更新修補,仍需再三思而行。
設定值備份,避免在有設定那些,忘了備份下來,記得要啟動自動備份系統設定值,以利還原。
Router 路由分享器安全性設定
以上 Synology NAS 調整後,不過上一層 Router 路由分享器還是要安全性設定,避免內部設備直接裸奔,不過因為廠牌介面不同,以下僅供參考設定。
Asus 分享器設定
WAN 網際網路連線頁面,記得把 UPnP 關閉。
切到 DMZ 頁面,也是要關閉 DMZ 虛擬非軍事區。
防火牆要 啟用 DoS 防護,並且關閉 回應 ICMP Ping 要求,這很重要,避免被一直掃瞄無差別攻擊的問題。
接著是額外防護,但只有特定機型才有支援,都全打開吧~
TP-Link 分享器設定
在 Advanced 裡 NAT Forwarding 頁面,把 UPnP 功能關閉。
另一方面,DMZ 也是要關掉。
切到 Security 裡,Firewall 開啟,另二個 Pings 都關閉。
D-Link 分享器設定
在 advanced 裡 Network 頁面,把 UPnP、WAN Ping 這二項關閉。
切 Firewall Settings 頁面,把 DMZ Host 關閉。
MikroTik 分享器設定
在 UPnP 頁面,把它關掉,再 Apply 套用生效。
後續
雖然無法保證百分之百有效防護,面對病毒變化快、科技進步快、修補更新率高,只要前提有做好防護設定的話,多多少少會降低被中招攻擊的問題,面對未來充滿不確定性因素,記得要不定期檢查一下狀況,同時定期做快照備份,對你來說會有幫助。