راهکارهای ایمن سازی NAS Storage
در چند ماه گذشته، به نظر می رسد که شرورانی که از باج افزارها برای کسب درآمد استفاده می کنند، تمرکز خود را به دستگاه های NAS معطوف کرده اند. جدیدترین نمونه ای که دیدیم مربوط به QNAP و حمله Qlocker بود. این در حالی است که در TerraMaster یک نقص امنیتی گزارش شده است و Synology چند سال قبل از حملات رنج می برد. به احتمال زیاد، وقتی اولین حملات موفقیت آمیز هستند، مهاجمان آن را ادامه می دهند. همچنین بیانیه امنیتی QNAP در تاریخ January 03, 2022 در مورد باج افزارها و حملات brute-force که تمام دستگاه های شبکه را هدف قرار داده اندضرورت توجه به توصیه های امنیتی را نشان می دهد. افرادی که دارای NAS هستند که بدون هیچ گونه حفاظتی به اینترنت دسترسی دارند، در اینجا به ویژه در معرض خطر هستند. به این ترتیب، QNAP توصیه میکند که همه افرادی که از راهحلهای NAS استفاده میکنند، دستورالعملهای تنظیمات امنیتی در این مقاله را دنبال کنند تا مطمئن شوند که در نهایت یک NAS امنداشته باشند .خوشبختانه، مراحلی وجود دارد که کاربران میتوانند برای کاهش این حملات و ایجاد NAS ایمنتر انجام دهند.
چرا دستگاه های NAS مورد حمله قرار می گیرند؟
بنابراین، سوال این است که چرا دستگاههای NAS اخیرا مورد حمله قرار گرفتهاند؟ خوب، این دستگاه ها، به ویژه Synology و QNAP، ساختار ساده ای دارند. شخصی که تجربه کمی در زمینه فناوری اطلاعات دارد، میتواند یک NAS راهاندازی کند و بدون هیچ آموزشی از آن استفاده کند. در حالی که این کار را برای کاربران خانگی و مشاغل کوچک بدون منابع IT آسان می کند، اما شکاف های زیادی در امنیت ایجاد می کند. در نهایت این یک معامله است. راه اندازی آسان به قیمت مشکلات امنیتی احتمالی است. همچنین، پلتفرمهای NAS این روزها کم و بیش از طریق ابرهای خود میزبانی میشوند، متصل ماندن 24 ساعته دستگاه شما را برای حمله مستعد میکند (اگر آنلاین نیستید، نمیتوانید از راه دور هک شوید).
تهیه نسخه پشتیبان
یکی از مهم ترین اقداماتی که کاربران می توانند انجام دهند، تهیه نسخه پشتیبان از اطلاعات خود است. اکثر NAS ها نوعی پشتیبان گیری در خارج از سایت ارائه می دهند. پشتیبانگیری کامل میتواند بار کاری سنگینی داشته باشد، اما زمانی که دسترسی به سیستم کم است، قابل انجام است. ذخیره سازی نسخه پشتیبان در فضای ابری معمولاً به اندازه بازیابی داده ها گران نیست، اما بهتر است برای بازیابی اطلاعات خود هزینه را به یکی از ابرهای عمومی پرداخت کنید تا باجگیر ها!!
Synology و QNAP هردو ، snapshot های فوری ارائه می دهند یا می توانید از چیزی مانند Veeam برای پشتیبان گیری NAS استفاده کنید. بازیابی از یک پشتیبان خارجی سادهترین راه برای رفع مشکلات باجافزار است، اما در وهله اول، استراتژی مناسبی برای جلوگیری از حمله را ارائه نمی کند.
دسترسی کنسول را غیرفعال کنید
همانطور که گفتیم، اکثر NAS های مدرن دارای ابرهای کوچک هستند. این برای سهولت استفاده خوب است، اما برای امنیت بد است. اولین قدمی که باید برداریم این است که دکمههای آنها را برای حرکت به سمت یک NAS امنتر ببندیم. این کار با غیرفعال کردن telnet و SSH انجام می شود تا دیگر دسترسی کنسول وجود نداشته باشد.
برای QNAP باید به Control Panel>Security>IP Access Protection بروید. کاربران قدرتمند دسترسی به کنسول را دوست دارند، این درب بزرگی است که در صورت عدم استفاده نیازی به آن ندارد.
برای Synology، باید به Control Panel>Terminal&SNMP>Terminal بروید. در اینجا می توانید SSH و telnet را غیرفعال کنید.
Auto Block را روشن کنید
کاربران تعجب خواهند کرد که بدانند چقدر دستگاه های NAS توسط شخصی که فقط نام کاربری و رمز عبور را حدس می زند “هک” می شود. این روزها بیشتر دسترسیها فقط به bot-farms است که بارها و بارها پسوردها را در حملات brute force حدس میزنند. یک راه آسان برای جلوگیری از این امر و یک قدم نزدیکتر شدن به NAS ایمن، روشن کردن Auto Block است.
Auto Block،یک آدرس IP را با تلاش های ناموفق زیاد برای ورود مسدود می کند. کاربران می توانند تعیین کنند که چه تعداد تلاش مجاز است (به خاطر داشته باشید که ممکن است خودتان نام کاربری و/یا رمز عبور اشتباه وارد کنید). تنها راه حل این است که به صورت محلی وارد NAS شوید و آن IP را از لیست سیاه حذف کنید.
برای Synology، فقط باید به Control Panel>Security>Account بروید. بلوک خودکار باید درست در بالا باشد. آن را فعال کنید و سپس تلاشهایی را که میخواهید در یک بازه زمانی اجازه دهید تا یک بلوک را راهاندازی کنید، وارد کنید.
با QNAP باید به Control Panel>Security>IP Access Protection رفته و تلاش ها را در آنجا تنظیم کنید.
برنامه های استفاده نشده را غیرفعال کنید
حدود یک دهه پیش، یک کمپین بازاریابی وجود داشت که به ما میگفت که یک برنامه برای هر چیز وجود دارد . اکنون تعداد زیادی برنامه وجود دارد و وجود دارد که تلفنها، تبلتها و اکنون دستگاههای NAS ما را مسدود کردهاند.
بسیاری از این چیزها رایگان و جالب هستند و اگر فقط 30 دقیقه در روز وقت داشته باشیم، کاری با آن انجام می دهیم. اما ما این کار را نمی کنیم. برنامه های استفاده نشده روی NAS شما باید حذف یا غیرفعال شوند تا از هرگونه تهدید امنیتی جلوگیری شود.
با Synology، شما به سادگی باید به Package center بروید، روی برنامه کلیک کنید، و یک منوی کشویی در کنار Open وجود دارد که می توانید Stop یا Uninstall را انتخاب کنید.
برای QNAP به App Center بروید و منوی کشویی کنار برنامه ای را که می خواهید متوقف یا حذف کنید باز کنید.
تغییر نام کاربری پیش فرض و بروز رسانی سیستم عامل
این یکی آسان به نظر می رسد، اما افراد بسیار کمی آن را در خانه یا حتی در مرکز داده انجام می دهند. وقتی یک NAS را راهاندازی میکنید، یک حساب پیشفرض ایجاد میکند که معمولاً «Admin» بهعنوان نام کاربری وجود دارد. اکثر مردم آن را فراموش می کنند و فقط رمز عبور را تغییر می دهند.
یک راه حل این است که یک کاربر جدید با اعتبار خود ایجاد کنید و سپس اکانت مدیریت اصلی را حذف یا غیرفعال کنید. یا گاهی اوقات می توانید نام اکانت Admin را به چیز دیگری تغییر دهید. در هر صورت، با حذف نام کاربری از معادله، هکرها باید برای حدس زدن نام کاربری و رمز عبور بسیار سختتر کار کنند.
رمزهای عبور قوی و فعال کردن احراز هویت 2 مرحله ای برای همه حساب های کاربری نیز در جلوگیری از تلاش های دسترسی غیرمجاز بسیار مهم است. توصیه میشود یک خطمشی رمز عبور برای سازمانها یا کسبوکارهایی که موارد زیر را شامل می شود، اجرا کنید:
استفاده از رمزهای عبور پیچیده
تغییر رمز عبور منظم
با پیاده سازی رمزهای عبور قوی و فعال کردن احراز هویت 2 مرحله ای، کاربران می توانند امنیت دستگاه های NAS خود را تقویت کنند. QNAP ویژگی هایی را ارائه می دهد که به راحتی این اقدامات امنیتی را تسهیل می کند. Authenticator QNAP گزینههای متعددی را برای ورود به NAS شما ارائه میکند، مانند گذرواژههای یک بار مصرف مبتنی بر زمان (که میتوان به صورت آفلاین از آنها استفاده کرد)، اسکن کد QR، تأیید ورود و کدهای تأیید آنلاین. علاوه بر این، شما می توانید بدون استفاده از رمز عبور به سیستم NAS خود دسترسی داشته باشید. با اسکن یک کد QR یا تأیید یک درخواست ورود به سیستم، می توانید بدون زحمت وارد NAS خود شوید.
به روز رسانی منظم سیستم عامل NAS برای رفع آسیب پذیری های شناخته شده یا نقص های امنیتی ضروری است. گزینههایی برای تکمیل خودکار این بهروزرسانیها وجود دارد، بنابراین کار زیادی در سمت مشتری نیاز نیست. به روز نگه داشتن سیستم عامل NAS برای جلوگیری از درصد زیادی از حملات بدافزار و باج افزار حیاتی است. QNAP به کاربران خود اجازه می دهد تا حساب های ورود خود را به راحتی تغییر/غیرفعال کنند و یا به روز رسانی خودکار سیستم عامل را فعال کنند. بسیار مهم است که به این دو دستورالعمل اساسی برای محافظت از سیستم های NAS استفاده شده پایبند باشید. این رویکرد بسیاری از این دستگاه ها را در برابر تهدیدات امنیتی احتمالی محافظت می کند و امنیت کلی اکوسیستم NAS را افزایش می دهد. در عصر بدافزارهای پیچیده، تکنیک های پیشرفته هک، و حملات بی رحمانه مداوم، بسیار مهم است که در هنگام ایمن سازی NAS خود تا حد امکان کوشا باشید.
اجرای یک طرح قوی برای Disaster Recovery
بلایایی مانند خرابی سخت افزار، بلایای طبیعی یا حوادث پیش بینی نشده خطر قابل توجهی را برای راه حل های NAS ایجاد می کند که می تواند منجر به از دست دادن یا آسیب دائمی داده ها شود. توصیه می شود برای اطمینان از یکپارچگی و دسترسی به داده های ذخیره شده در اکوسیستم NAS، یک طرح جامع Disaster Recovery اجرا کنید.
متنوع کردن مکانهای پشتیبان به کاهش خطر از دست رفتن دادهها کمک میکند و انعطافپذیری دادهها را در هنگام ناهنجاریهای سختافزاری و حتی زمانی که رویدادهای فاجعهبار رخ میدهند، افزایش میدهد. فضاهای ذخیره سازی متفاوت شامل موارد زیر است، اما به آنها محدود نمی شود:
سایر دستگاه های NAS
سرورهای راه دور
خدمات ابری
واحدهای گسترش ذخیره سازی
هارد اکسترنال
QNAP با اجرای یک دستورالعمل «3-2-1» برای پشتیبانگیری از دادهها به تنوع نسخه پشتیبان پرداخته است، QNAP’s Hybrid Backup Sync، که به شدت کاربران را تشویق میکند تا چندین نسخه از دادههای خود را در انواع رسانههای مختلف و در مکانهای جداگانه ذخیره کنند تا محافظت در برابر این موارد را به حداکثر برسانند.
قانون کلی 3-2-1 برای پشتیبان گیری شامل موارد زیر است:
سه نسخه از داده های خود را حفظ کنید،
حداقل در دو نوع رسانه مختلف ذخیره می شود،
با یک نسخه خارج از سایت ذخیره شده است.
برنامه های امنیتی
برنامههای امنیتی NAS که از طریق سیستمعامل مبتنی بر وب دستگاه در دسترس هستند و از طریق فروشگاه برنامه NAS قابل دسترسی هستند، محافظت بیشتری برای امنیت NAS ارائه میکنند. این برنامهها ویژگیهای تخصصی مانند اسکن آسیبپذیری، حذف بدافزار، هشدارهای امنیتی بیدرنگ و قابلیتهای فایروال را ارائه میکنند و از محافظت جامع سیستم در برابر ضعفها و تهدیدات بالقوه اطمینان میدهند. با استفاده از این برنامه های امنیتی اختصاصی، کاربران می توانند به طور قابل توجهی امنیت کلی NAS خود را افزایش دهند.
مرکز برنامه QNAP که از طریق سیستم عامل QTS در دسترس است، یک مخزن جامع است که طیف وسیعی از برنامه های امنیتی اختصاصی را برای افزایش حفاظت کلی از NAS شما ارائه می دهد. برخی از این موارد عبارتند از:
- Security Counselor: مشاور امنیت QNAP یک راه حل امنیتی جامع برای دستگاه های QNAP NAS است که شامل اسکن آسیب پذیری، حذف بدافزار و هشدارهای امنیتی در زمان واقعی برای اطمینان از محافظت از سیستم است. توصیه های عملی و اقدامات پیشگیرانه را برای رفع ضعف ها و تهدیدات بالقوه ارائه می دهد و امنیت کلی NAS را افزایش می دهد.
QuFirewall: QNAP QuFirewall یک برنامه فایروال قوی است که برای دستگاه های QNAP NAS طراحی شده است و کنترل جزئیات را در ترافیک شبکه برای افزایش امنیت NAS ارائه می دهد. این به شما امکان می دهد پروفایل های ترافیک را تعریف کرده و دسترسی را کنترل کنید. این برنامه همچنین ویژگی هایی مانند ارسال پورت، حفاظت از DDoS، مسدود کردن IP و قابلیت های ثبت و نظارت جامع برای شناسایی و پاسخ به فعالیت های مشکوک شبکه را ارائه می دهد.
سخن پایانی
حملات باجافزاری علیه سیستمهای NAS در حال افزایش است، اما شما میتوانید با استقرار NAS ایمنتر برای محافظت از خود اقداماتی انجام دهید. موارد فوق تضمین نمی کند که شما از حمله باج افزار در امان باشید، اما مطمئناً کمک زیادی به شما خواهد کرد.