Secure Your NAS

راهکارهای ایمن سازی NAS Storage

در چند ماه گذشته، به نظر می رسد که شرورانی که از باج افزارها برای کسب درآمد استفاده می کنند، تمرکز خود را به دستگاه های NAS معطوف کرده اند. جدیدترین نمونه ای که دیدیم مربوط به QNAP و حمله Qlocker بود. این در حالی است که در TerraMaster یک نقص امنیتی گزارش شده است و Synology چند سال قبل از حملات رنج می برد. به احتمال زیاد، وقتی اولین حملات موفقیت آمیز هستند، مهاجمان آن را ادامه می دهند. همچنین بیانیه امنیتی QNAP در تاریخ January 03, 2022 در مورد باج افزارها و حملات brute-force که تمام دستگاه های شبکه را هدف قرار داده اندضرورت توجه به توصیه های امنیتی را نشان می دهد. افرادی که دارای NAS هستند که بدون هیچ گونه حفاظتی به اینترنت دسترسی دارند، در اینجا به ویژه در معرض خطر هستند. به این ترتیب، QNAP توصیه می‌کند که همه افرادی که از راه‌حل‌های NAS استفاده می‌کنند، دستورالعمل‌های تنظیمات امنیتی در این مقاله را دنبال کنند تا مطمئن شوند که در نهایت یک NAS امنداشته باشند .خوشبختانه، مراحلی وجود دارد که کاربران می‌توانند برای کاهش این حملات و ایجاد NAS ایمن‌تر انجام دهند.

چرا دستگاه های NAS مورد حمله قرار می گیرند؟

بنابراین، سوال این است که چرا دستگاه‌های NAS اخیرا مورد حمله قرار گرفته‌اند؟ خوب، این دستگاه ها، به ویژه Synology و QNAP، ساختار ساده ای دارند. شخصی که تجربه کمی در زمینه فناوری اطلاعات دارد، می‌تواند یک NAS راه‌اندازی کند و بدون هیچ آموزشی از آن استفاده کند. در حالی که این کار را برای کاربران خانگی و مشاغل کوچک بدون منابع IT آسان می کند، اما شکاف های زیادی در امنیت ایجاد می کند. در نهایت این یک معامله است. راه اندازی آسان به قیمت مشکلات امنیتی احتمالی است. همچنین، پلت‌فرم‌های NAS این روزها کم و بیش از طریق ابرهای خود میزبانی می‌شوند، متصل ماندن 24 ساعته دستگاه شما را برای حمله مستعد می‌کند (اگر آنلاین نیستید، نمی‌توانید از راه دور هک شوید).

تهیه نسخه پشتیبان

یکی از مهم ترین اقداماتی که کاربران می توانند انجام دهند، تهیه نسخه پشتیبان از اطلاعات خود است. اکثر NAS ها نوعی پشتیبان گیری در خارج از سایت ارائه می دهند. پشتیبان‌گیری کامل می‌تواند بار کاری سنگینی داشته باشد، اما زمانی که دسترسی به سیستم کم است، قابل انجام است. ذخیره سازی نسخه پشتیبان در فضای ابری معمولاً به اندازه بازیابی داده ها گران نیست، اما بهتر است برای بازیابی اطلاعات خود هزینه را به یکی از ابرهای عمومی پرداخت کنید تا باجگیر ها!!

Synology و QNAP هردو ، snapshot های فوری ارائه می دهند یا می توانید از چیزی مانند Veeam برای پشتیبان گیری NAS استفاده کنید. بازیابی از یک پشتیبان خارجی ساده‌ترین راه برای رفع مشکلات باج‌افزار است، اما در وهله اول، استراتژی مناسبی برای جلوگیری از حمله را ارائه نمی کند.

دسترسی کنسول را غیرفعال کنید

همانطور که گفتیم، اکثر NAS های مدرن دارای ابرهای کوچک هستند. این برای سهولت استفاده خوب است، اما برای امنیت بد است. اولین قدمی که باید برداریم این است که دکمه‌های آن‌ها را برای حرکت به سمت یک NAS امن‌تر ببندیم. این کار با غیرفعال کردن telnet و SSH انجام می شود تا دیگر دسترسی کنسول وجود نداشته باشد.

برای QNAP باید به Control Panel>Security>IP Access Protection بروید. کاربران قدرتمند دسترسی به کنسول را دوست دارند، این درب بزرگی است که در صورت عدم استفاده نیازی به آن ندارد.

برای Synology، باید به Control Panel>Terminal&SNMP>Terminal بروید. در اینجا می توانید SSH و telnet را غیرفعال کنید.

Auto Block را روشن کنید

کاربران تعجب خواهند کرد که بدانند چقدر دستگاه های NAS توسط شخصی که فقط نام کاربری و رمز عبور را حدس می زند “هک” می شود. این روزها بیشتر دسترسی‌ها فقط به bot-farms است که بارها و بارها پسوردها را در حملات brute force حدس می‌زنند. یک راه آسان برای جلوگیری از این امر و یک قدم نزدیک‌تر شدن به NAS ایمن، روشن کردن Auto Block است.

Auto Block،یک آدرس IP را با تلاش های ناموفق زیاد برای ورود مسدود می کند. کاربران می توانند تعیین کنند که چه تعداد تلاش مجاز است (به خاطر داشته باشید که ممکن است خودتان نام کاربری و/یا رمز عبور اشتباه وارد کنید). تنها راه حل این است که به صورت محلی وارد NAS شوید و آن IP را از لیست سیاه حذف کنید.

برای Synology، فقط باید به Control Panel>Security>Account بروید. بلوک خودکار باید درست در بالا باشد. آن را فعال کنید و سپس تلاش‌هایی را که می‌خواهید در یک بازه زمانی اجازه دهید تا یک بلوک را راه‌اندازی کنید، وارد کنید.

با QNAP باید به Control Panel>Security>IP Access Protection رفته و تلاش ها را در آنجا تنظیم کنید.

برنامه های استفاده نشده را غیرفعال کنید

حدود یک دهه پیش، یک کمپین بازاریابی وجود داشت که به ما می‌گفت که یک برنامه برای هر چیز وجود دارد . اکنون تعداد زیادی برنامه وجود دارد و وجود دارد که تلفن‌ها، تبلت‌ها و اکنون دستگاه‌های NAS ما را مسدود کرده‌اند.

بسیاری از این چیزها رایگان و جالب هستند و اگر فقط 30 دقیقه در روز وقت داشته باشیم، کاری با آن انجام می دهیم. اما ما این کار را نمی کنیم. برنامه های استفاده نشده روی NAS شما باید حذف یا غیرفعال شوند تا از هرگونه تهدید امنیتی جلوگیری شود.

با Synology، شما به سادگی باید به Package center بروید، روی برنامه کلیک کنید، و یک منوی کشویی در کنار Open وجود دارد که می توانید Stop یا Uninstall را انتخاب کنید.

برای QNAP به App Center بروید و منوی کشویی کنار برنامه ای را که می خواهید متوقف یا حذف کنید باز کنید.

تغییر نام کاربری پیش فرض و بروز رسانی سیستم عامل

این یکی آسان به نظر می رسد، اما افراد بسیار کمی آن را در خانه یا حتی در مرکز داده انجام می دهند. وقتی یک NAS را راه‌اندازی می‌کنید، یک حساب پیش‌فرض ایجاد می‌کند که معمولاً «Admin» به‌عنوان نام کاربری وجود دارد. اکثر مردم آن را فراموش می کنند و فقط رمز عبور را تغییر می دهند.

یک راه حل این است که یک کاربر جدید با اعتبار خود ایجاد کنید و سپس اکانت مدیریت اصلی را حذف یا غیرفعال کنید. یا گاهی اوقات می توانید نام اکانت Admin را به چیز دیگری تغییر دهید. در هر صورت، با حذف نام کاربری از معادله، هکرها باید برای حدس زدن نام کاربری و رمز عبور بسیار سخت‌تر کار کنند.

رمزهای عبور قوی و فعال کردن احراز هویت 2 مرحله ای برای همه حساب های کاربری نیز در جلوگیری از تلاش های دسترسی غیرمجاز بسیار مهم است. توصیه می‌شود یک خط‌مشی رمز عبور برای سازمان‌ها یا کسب‌وکارهایی که موارد زیر را شامل می شود، اجرا کنید:

استفاده از رمزهای عبور پیچیده
تغییر رمز عبور منظم

با پیاده سازی رمزهای عبور قوی و فعال کردن احراز هویت 2 مرحله ای، کاربران می توانند امنیت دستگاه های NAS خود را تقویت کنند. QNAP ویژگی هایی را ارائه می دهد که به راحتی این اقدامات امنیتی را تسهیل می کند. Authenticator QNAP گزینه‌های متعددی را برای ورود به NAS شما ارائه می‌کند، مانند گذرواژه‌های یک بار مصرف مبتنی بر زمان (که می‌توان به صورت آفلاین از آنها استفاده کرد)، اسکن کد QR، تأیید ورود و کدهای تأیید آنلاین. علاوه بر این، شما می توانید بدون استفاده از رمز عبور به سیستم NAS خود دسترسی داشته باشید. با اسکن یک کد QR یا تأیید یک درخواست ورود به سیستم، می توانید بدون زحمت وارد NAS خود شوید.

به روز رسانی منظم سیستم عامل NAS برای رفع آسیب پذیری های شناخته شده یا نقص های امنیتی ضروری است. گزینه‌هایی برای تکمیل خودکار این به‌روزرسانی‌ها وجود دارد، بنابراین کار زیادی در سمت مشتری نیاز نیست. به روز نگه داشتن سیستم عامل NAS برای جلوگیری از درصد زیادی از حملات بدافزار و باج افزار حیاتی است. QNAP به کاربران خود اجازه می دهد تا حساب های ورود خود را به راحتی تغییر/غیرفعال کنند و یا به روز رسانی خودکار سیستم عامل را فعال کنند. بسیار مهم است که به این دو دستورالعمل اساسی برای محافظت از سیستم های NAS استفاده شده پایبند باشید. این رویکرد بسیاری از این دستگاه ها را در برابر تهدیدات امنیتی احتمالی محافظت می کند و امنیت کلی اکوسیستم NAS را افزایش می دهد. در عصر بدافزارهای پیچیده، تکنیک های پیشرفته هک، و حملات بی رحمانه مداوم، بسیار مهم است که در هنگام ایمن سازی NAS خود تا حد امکان کوشا باشید.

اجرای یک طرح قوی برای Disaster Recovery

بلایایی مانند خرابی سخت افزار، بلایای طبیعی یا حوادث پیش بینی نشده خطر قابل توجهی را برای راه حل های NAS ایجاد می کند که می تواند منجر به از دست دادن یا آسیب دائمی داده ها شود. توصیه می شود برای اطمینان از یکپارچگی و دسترسی به داده های ذخیره شده در اکوسیستم NAS، یک طرح جامع Disaster Recovery اجرا کنید.

متنوع کردن مکان‌های پشتیبان به کاهش خطر از دست رفتن داده‌ها کمک می‌کند و انعطاف‌پذیری داده‌ها را در هنگام ناهنجاری‌های سخت‌افزاری و حتی زمانی که رویدادهای فاجعه‌بار رخ می‌دهند، افزایش می‌دهد. فضاهای ذخیره سازی متفاوت شامل موارد زیر است، اما به آنها محدود نمی شود:

سایر دستگاه های NAS
سرورهای راه دور
خدمات ابری
واحدهای گسترش ذخیره سازی
هارد اکسترنال

QNAP با اجرای یک دستورالعمل «3-2-1» برای پشتیبان‌گیری از داده‌ها به تنوع نسخه پشتیبان پرداخته است، QNAP’s Hybrid Backup Sync، که به شدت کاربران را تشویق می‌کند تا چندین نسخه از داده‌های خود را در انواع رسانه‌های مختلف و در مکان‌های جداگانه ذخیره کنند تا محافظت در برابر این موارد را به حداکثر برسانند.

قانون کلی 3-2-1 برای پشتیبان گیری شامل موارد زیر است:

سه نسخه از داده های خود را حفظ کنید،
حداقل در دو نوع رسانه مختلف ذخیره می شود،
با یک نسخه خارج از سایت ذخیره شده است.

StorageReview-QNAP-NAS-security-counselor

برنامه های امنیتی

برنامه‌های امنیتی NAS که از طریق سیستم‌عامل مبتنی بر وب دستگاه در دسترس هستند و از طریق فروشگاه برنامه NAS قابل دسترسی هستند، محافظت بیشتری برای امنیت NAS ارائه می‌کنند. این برنامه‌ها ویژگی‌های تخصصی مانند اسکن آسیب‌پذیری، حذف بدافزار، هشدارهای امنیتی بی‌درنگ و قابلیت‌های فایروال را ارائه می‌کنند و از محافظت جامع سیستم در برابر ضعف‌ها و تهدیدات بالقوه اطمینان می‌دهند. با استفاده از این برنامه های امنیتی اختصاصی، کاربران می توانند به طور قابل توجهی امنیت کلی NAS خود را افزایش دهند.

مرکز برنامه QNAP که از طریق سیستم عامل QTS در دسترس است، یک مخزن جامع است که طیف وسیعی از برنامه های امنیتی اختصاصی را برای افزایش حفاظت کلی از NAS شما ارائه می دهد. برخی از این موارد عبارتند از:

Security Counselor: مشاور امنیت QNAP یک راه حل امنیتی جامع برای دستگاه های QNAP NAS است که شامل اسکن آسیب پذیری، حذف بدافزار و هشدارهای امنیتی در زمان واقعی برای اطمینان از محافظت از سیستم است. توصیه های عملی و اقدامات پیشگیرانه را برای رفع ضعف ها و تهدیدات بالقوه ارائه می دهد و امنیت کلی NAS را افزایش می دهد.
QuFirewall: QNAP QuFirewall یک برنامه فایروال قوی است که برای دستگاه های QNAP NAS طراحی شده است و کنترل جزئیات را در ترافیک شبکه برای افزایش امنیت NAS ارائه می دهد. این به شما امکان می دهد پروفایل های ترافیک را تعریف کرده و دسترسی را کنترل کنید. این برنامه همچنین ویژگی هایی مانند ارسال پورت، حفاظت از DDoS، مسدود کردن IP و قابلیت های ثبت و نظارت جامع برای شناسایی و پاسخ به فعالیت های مشکوک شبکه را ارائه می دهد.

سخن پایانی

حملات باج‌افزاری علیه سیستم‌های NAS در حال افزایش است، اما شما می‌توانید با استقرار NAS ایمن‌تر برای محافظت از خود اقداماتی انجام دهید. موارد فوق تضمین نمی کند که شما از حمله باج افزار در امان باشید، اما مطمئناً کمک زیادی به شما خواهد کرد.