Hvordan beskytte din Synology NAS mot løsepengeangrep
Nylig har flere brukere av Synology NAS-enheter opplevd at filene deres er blitt kryptert. Dette skyldes et løsepengeprogram som har infisert NAS-systemet, og de berørte eierne blir krevd for løsepenger for å gjenopprette dataene sine. Her er en veiledning for hvordan du kan styrke sikkerheten til din NAS.
Forebyggende tiltak mot løsepengeprogram
Synology har offentliggjort advarsler om en rekke løsepengeangrep som nylig har rammet noen av deres brukere. Angriperne benytter seg av en såkalt brute-force-metode for å knekke standardpassord, hvor de systematisk prøver ut en rekke passordkombinasjoner til de lykkes. Når de har oppnådd tilgang til den nettverkstilkoblede lagringsenheten, krypterer de alle filer og krever betaling for å frigjøre dem.
For å beskytte deg mot slike angrep, har du flere valgmuligheter. Du kan velge å deaktivere fjernaksess helt, og kun tillate tilkoblinger lokalt. Hvis du er avhengig av fjernaksess, kan du konfigurere en VPN-tilkobling for å begrense tilgangen til din NAS. Og dersom en VPN ikke er et passende alternativ, for eksempel på grunn av lav nettverkshastighet, kan du øke sikkerheten for de eksisterende fjernaksessfunksjonene.
Alternativ 1: Slå av ekstern tilgang
Den mest effektive sikkerhetsløsningen er å fullstendig deaktivere fjernaksessfunksjoner. Hvis din NAS ikke er tilgjengelig eksternt, kan heller ikke en hacker få tilgang. Selv om dette kan medføre en viss ulempe når du er på farten, er det kanskje ikke et problem hvis du hovedsakelig bruker NAS-en din hjemme, for eksempel til å se filmer.
De nyeste Synology NAS-enhetene har en QuickConnect-funksjon som forenkler aktivering av ekstern tilgang. Ved hjelp av denne funksjonen slipper du å konfigurere portvideresending på ruteren.
For å deaktivere fjernaksess via QuickConnect, logger du deg på NAS-administrasjonssiden. Gå til kontrollpanelet og klikk på «QuickConnect», som du finner under «Tilkobling» i sidefeltet. Fjern haken ved siden av «Aktiver QuickConnect», og klikk deretter på «Bruk» for å lagre endringen.
Dersom du har aktivert portvideresending i ruteren din for å få ekstern tilgang, må du også deaktivere denne regelen. For å gjøre dette, trenger du å finne IP-adressen til ruteren din og bruke denne for å logge deg inn.
Se i ruterens manual for å finne siden for portvideresending, da plasseringen kan variere mellom rutermodeller. Hvis du ikke har manualen, kan du søke på nettet etter ruterens modellnummer i kombinasjon med ordet «manual». I manualen vil du finne informasjon om hvor du skal se etter regler for utgående portvideresending. Deretter slår du av portvideresendingsreglene som er relevante for din NAS-enhet.
Alternativ 2: Benytt VPN for ekstern tilgang
Det er anbefalt å ikke direkte eksponere din Synology NAS mot internett. Men hvis det er nødvendig med ekstern tilkobling, anbefales det å sette opp et virtuelt privat nettverk (VPN). Med en VPN-server installert får du ikke direkte tilgang til selve NAS-enheten. I stedet kobler du deg til ruteren din. Ruteren vil da behandle tilkoblingen som om du var på samme nettverk som NAS-en (for eksempel hjemme).
Du kan laste ned en VPN-server direkte fra Synologys pakkesenter. Søk etter «vpn», og velg installasjonsalternativet under VPN Server. Når du åpner VPN-serveren, vil du se ulike protokoller, inkludert PPTP, L2TP/IPSec og OpenVPN. OpenVPN er den mest anbefalte protokollen på grunn av sin høye sikkerhetsstandard.
Du kan beholde alle standardinnstillingene for OpenVPN. Hvis du ønsker å ha tilgang til andre enheter på nettverket ditt via VPN, må du krysse av for «Tillat klienter å få tilgang til serverens LAN», og deretter klikke på «Bruk».
Deretter må du konfigurere portvideresending på ruteren din til porten som OpenVPN benytter (standard er 1194).
For å bruke OpenVPN må du ha en kompatibel VPN-klient. Et anbefalt alternativ er OpenVPN Connect, som er tilgjengelig for Windows, Mac os, iOS, Android og Linux.
Alternativ 3: Optimaliser sikkerheten for ekstern tilgang
Dersom du trenger ekstern tilgang og VPN ikke er en praktisk løsning (for eksempel på grunn av treg internett), bør du gjøre de nødvendige tiltak for å øke sikkerheten for fjernaksess.
For å forbedre sikkerheten, logg inn på NAS-en din, gå til Kontrollpanel, og velg deretter «Brukere». Hvis standard administratorkonto er aktivert, må du opprette en ny administratorkonto (hvis du ikke allerede har en), og deretter deaktivere standard administratorkonto. Standard administratorkonto er ofte et hovedmål for løsepengeangrep. Gjestekontoen er normalt deaktivert som standard, og du bør la den være det, med mindre du har en spesiell grunn til å aktivere den.
Sørg for at alle brukerkontoer du oppretter for NAS-en din har sterke passord. Det anbefales å bruke en passordbehandler for å håndtere dette. Hvis du deler din NAS med andre og lar dem opprette egne brukerkontoer, må du sørge for at også de benytter seg av sterke passord.
Du finner innstillinger for passord under fanen «Avansert» i brukerprofilene i kontrollpanelet. Sjekk av for å kreve bruk av både store og små bokstaver, tall og spesialtegn, samt ekskluder vanlige passordalternativer. For å øke passordsikkerheten ytterligere, bør du øke minimumslengden til minst åtte tegn, men gjerne lengre.
For å forhindre ordbokangrep, hvor en angriper prøver å gjette et stort antall passord så raskt som mulig, bør du aktivere «Auto-blokkering». Dette alternativet blokkerer automatisk IP-adresser etter et visst antall mislykkede påloggingsforsøk i løpet av en kort periode. Auto-blokkering er som standard aktivert på nyere Synology-enheter, og du finner denne innstillingen under Kontrollpanel > Sikkerhet > Konto. Standardinnstillingene vil blokkere en IP-adresse fra å gjøre nye påloggingsforsøk etter ti mislykkede forsøk innenfor fem minutter.
Til slutt bør du vurdere å aktivere Synology sin brannmur. Når brannmuren er aktiv, vil kun tjenester som du har angitt som tillatt, være tilgjengelig fra internett. Husk at når brannmuren er på, må du gjøre unntak for visse applikasjoner som Plex, og du må også legge til regler for portvideresending dersom du bruker VPN. Du finner brannmurinnstillingene under Kontrollpanel > Sikkerhet > Brannmur.
Datatap og kryptering forårsaket av løsepengeangrep er en potensiell risiko ved bruk av en NAS, selv om du tar forholdsregler. Husk at en NAS ikke er et fullverdig backup-system, og det beste du kan gjøre er å ta sikkerhetskopier av dataene dine utenfor selve NAS-enheten. På den måten kan du gjenopprette dataene dine med minimalt tap dersom det verste skulle skje, uansett om det skyldes løsepengevare eller andre feil.