Como proteger seu Synology NAS de Ransomware

Um Synology NAS com um disco rígido parcialmente removido.
Josh Hendrickson

Recentemente, alguns proprietários de Synology descobriram que todos os arquivos em seu sistema NAS foram criptografados. Infelizmente, alguns ransomware infectaram o NAS e exigiram pagamento para restaurar os dados. Veja o que você pode fazer para proteger seu NAS.

Como evitar o ataque de ransomware

A Synology está alertando os proprietários de NAS sobre vários ataques de ransomware que atingiram alguns usuários recentemente. Os invasores usam métodos de força bruta para adivinhar a senha padrão – essencialmente, eles tentam todas as senhas possíveis até encontrar uma correspondência. Depois de encontrar a senha certa e obter acesso ao dispositivo de armazenamento conectado à rede, os hackers criptografam todos os arquivos e exigem um resgate.

Você tem várias opções de escolha para evitar ataques como este. Você pode desabilitar o acesso remoto completamente, permitindo apenas conexões locais. Se precisar de acesso remoto, você pode configurar uma VPN para restringir o acesso ao seu NAS. E se uma VPN não for uma boa opção (por causa de redes lentas, por exemplo), você pode proteger suas opções de acesso remoto.

Opção 1: desative o acesso remoto

Painel de controle de Synology mostrando as opções QuickConnect e Acesso externo.

A opção mais segura que você pode escolher é desativar totalmente os recursos de conexão remota. Se você não pode acessar seu NAS remotamente, um hacker também não pode. Você perderá alguma conveniência em trânsito, mas se trabalhar apenas com o NAS em casa – para assistir a filmes, por exemplo – talvez não perca os recursos remotos.

Recomendado:  O que a compra da Microsoft Activision Blizzard significa para você

As unidades Synology NAS mais recentes incluem um recurso QuickConnect . QuickConnect cuida do trabalho duro para habilitar recursos remotos. Com o recurso ativado, você não precisa configurar o encaminhamento de porta do roteador.

Para remover o acesso remoto por meio do QuickConnect, faça login na interface NAS. Abra o painel de controle e clique na opção “QuickConnect” em Conectividade na barra lateral. Desmarque “Habilitar Conexão Rápida” e clique em aplicar.

Painel de controle Synology com setas apontando para QuickConnect, Ativar QuickConnect e botão Aplicar.

Se, no entanto, você habilitou o encaminhamento de porta em seu roteador para obter acesso remoto, será necessário desabilitar essa regra de encaminhamento de porta. Para desativar o encaminhamento de porta, você deve procurar o endereço IP do seu roteador e usá-lo para fazer login .

Em seguida, consulte o manual do roteador para encontrar a página de encaminhamento de porta (cada modelo de roteador é diferente). Se você não tiver o manual do roteador, pode tentar uma pesquisa na web para o número do modelo do roteador e a palavra “manual”. O manual mostrará onde procurar as regras de encaminhamento de porta de saída. Desative todas as regras de encaminhamento de porta para a unidade NAS.

Opção 2: usar VPN para acesso remoto

Centro de pacotes com a instalação do servidor VPN sendo exibida.

Recomendamos simplesmente não expor o seu Synology NAS à Internet. Mas se você tiver que se conectar remotamente, recomendamos configurar uma rede privada virtual (VPN). Com um servidor VPN instalado, você não acessará a unidade NAS diretamente. Em vez disso, você se conectará ao roteador. O roteador, por sua vez, o tratará como se você estivesse na mesma rede que o NAS (ainda em casa, por exemplo).

Você pode baixar um servidor VPN em seu Synology NAS do Centro de pacotes. Basta pesquisar “vpn” e escolher a opção de instalação em Servidor VPN. Ao abrir o servidor VPN pela primeira vez, você verá uma opção de protocolos PPTP, L2TP / IPSec e OpenVPN. Recomendamos o OpenVPN , pois é a opção mais segura dos três.

Recomendado:  10 configurações de câmera que você deve dominar na câmera Canon

Configurações de OpenVPN em um Synology NAS

Você pode manter todos os padrões do OpenVPN, embora se quiser acessar outros dispositivos na rede quando conectado por VPN, você precisará marcar “Permitir que clientes acessem a LAN do servidor” e, em seguida, clicar em “Aplicar”.

Você precisará então configurar o encaminhamento de porta em seu roteador para a porta que o OpenVPN está usando (por padrão, 1194).

Se estiver usando OpenVPN para sua VPN, você precisará de um cliente VPN compatível para acessá-lo. Sugerimos  OpenVPN Connect , que está disponível para Windows , macOS , iOS , Android e até Linux .

Opção 3: Acesso remoto seguro tanto quanto possível

Se você precisa de acesso remoto e a VPN não é uma solução viável (talvez devido a velocidades mais lentas da Internet), você deve proteger o acesso remoto tanto quanto possível.

Para proteger o acesso remoto, você deve fazer login no NAS, abrir o Painel de Controle e selecionar Usuários. Se o administrador padrão estiver ativado, crie uma nova conta de usuário administrador (se ainda não tiver uma) e desligue o usuário administrador padrão. A conta de administrador padrão é a primeira conta que o ransomware geralmente ataca. O usuário Convidado está normalmente desativado por padrão e você deve deixá-lo assim, a menos que tenha uma necessidade específica para isso.

Painel de controle de Synology Opções de usuários com perfil de administrador desativado.

Você deve garantir que todos os usuários que você criou para o NAS tenham senhas complicadas. Recomendamos usar um gerenciador de senhas para ajudar com isso. Se você compartilha o NAS e permite que outras pessoas criem contas de usuário, certifique-se de aplicar senhas fortes.

Você encontrará as configurações de senha na guia Avançado dos perfis de usuário no Painel de controle. Você deve marcar incluir maiúsculas e minúsculas, incluir caracteres numéricos, incluir caracteres especiais e excluir opções de senha comuns. Para obter uma senha mais forte, aumente o comprimento mínimo da senha para pelo menos oito caracteres, embora quanto maior seja melhor.

Recomendado:  Como ver se sua VPN está vazando suas informações pessoais

Configurações de senha do painel de controle com a maioria das opções marcadas.

Para evitar ataques de dicionário, um método em que um invasor adivinha o máximo de senhas o mais rápido possível, ative o Bloqueio automático. Esta opção bloqueia automaticamente os endereços IP depois que eles adivinham um determinado número de senhas e falham em um curto período de tempo. O bloqueio automático está ativado por padrão nas unidades Synology mais recentes e você o encontrará em Painel de controle> Segurança> Conta. As configurações padrão impedirão que um endereço IP faça outra tentativa de login após dez falhas em cinco minutos.

Finalmente, considere ativar seu firewall Synology. Com um firewall ativado, apenas os serviços que você especificar como permitidos no firewall poderão ser acessados ​​pela Internet. Lembre-se de que, com o firewall ativado, você precisará fazer exceções para alguns aplicativos como o Plex e adicionar regras de encaminhamento de porta se estiver usando uma VPN. Você encontrará as configurações do firewall em Painel de controle> Firewall de segurança.

Configurações do Firewall do Painel de Controle, com Firewall habilitado.

A perda de dados e a criptografia de ransomware são sempre uma possibilidade com uma unidade NAS, mesmo quando você toma precauções. Em última análise, um NAS não é um sistema de backup e a melhor coisa que você pode fazer é fazer backups externos dos dados . Dessa forma, se o pior acontecer (seja ransomware ou falha em vários discos rígidos), você pode restaurar seus dados com perda mínima.