حفاظت از داده‌ها: ۱۰ نکته امنیتی

در سال‌های اخیر شاهد تشدید تهدیدها در حوزه امنیت سایبری بوده‌ایم. بر اساس گزارش نیویورک‌تایمز، در سال ۲۰۱۹ بیش از ۲۰۰ هزار سازمان مورد حملات باج‌افزارها قرار گرفته‌اند که افزایش ۴۱ درصدی نسبت به سال گذشته را نشان می‌دهد. در این مقاله، فهرستی از ۱۰ نکته امنیتی برای حفاظت از داده‌ها که اغلب نادیده گرفته می‌شوند را گردآوری کرده‌ایم. توجه داشته باشید که اکثر تنظیمات معرفی شده فقط توسط حساب کاربری با دسترسی‌های در سطح مدیریت قابل مشاهده و تغییر هستند.

۱.اکانت پیش‌فرض مدیریت را غیرفعال کنید

نام‌های کاربری متداول مدیریتی می‌تواند شما را در برابر حملات مخرب Brute-force که از ترکیب‌های رایج نام کاربری و رمز عبور استفاده می‌کنند آسیب‌پذیر کند. هنگام تنظیم NAS از نام‌های رایجی مانند admin، administrator و root استفاده نکنید. توصیه می‌شود بلافاصله پس از راه‌اندازی NAS، اکانت پیش‌فرض مدیریت را غیرفعال کرده و به جای آن از نام کاربری و رمز عبوری قوی و منحصر به فرد استفاده کنید. اگر در حال حاضر با استفاده از حساب کاربری admin وارد سیستم می‌شوید، به Control Panel>User بروید و یک حساب کاربری جدید ایجاد کنید. سپس با استفاده از اکانت جدید وارد شوید و اکانت پیش‌فرض را غیرفعال کنید.

۲.از رمز عبورهای قوی و پیچیده استفاده کنید

یک رمز عبور قوی از سیستم شما در برابر دسترسی غیرمجاز محافظت می‌کند؛ این را همه می‌دانند، اما در بسیاری موارد رعایت نمی‌شود. پیش از هر اقدامی باید رمز عبور پیچیده‌ای برای از ترکیب حروف بزرگ و کوچک، اعداد و کاراکترهای خاص ایجاد کنید. به هیچ وجه از یک رمز عبور برای حساب‌های مختلف استفاده نکنید؛ چرا که در این صورت اگر یک حساب کاربری در معرض خطر قرار گیرد، هکرها می‌توانند به راحتی به حساب‌های دیگر هم دسترسی پیدا کنند. اگر هم از Synology NAS ، LDAP Server یا Directory Server استفاده می‌کنید، می‌توانید از بخش Password Setting خط‌مشی‌های مشخصی برای تعیین رمز عبور توسط کاربران تعیین کنید.

۳.به‌روزرسانی خودکار و نمایش اعلان‌ها را فعال کنید

به‌روزرسانی‌های DSM به طور مرتب منتشر می‌شوند و با بهبود عملکرد و کاهش آسیب‌پذیری همراه هستند. تیم پاسخ‌گویی به رویدادهای امنیتی محصول (PSIRT) وقتی با آسیب‌پذیری امنیتی جدیدی مواجه می‌شوند، به سرعت به‌روزرسانی جدیدی منتشر می‌کنند. بنابراین کافیست به‌روزرسانی خودکار را فعال کنید تا از دریافت جدیدترین به‌روزرسانی‌های امنیتی مطمئن شوید. نکته مهم دیگر، فعال کردن اعلان‌ها برای اطلاع از رخدادهای مهم است. اعلان‌های Synology NAS از طریق ایمیل و پیامک، و توسط مرورگر یا موبایل قابل مشاهده هستند. اگر از سرویس DDNS Synology استفاده می‌کنید، حتی می‌توانید انتخاب کنید که در صورت قطع اتصال شبکه به شما اطلاع داده شود. واکنش سریع به اعلان‌های مربوط به اتمام فضای ذخیره‌سازی، یا عملیات پشتیبان‌گیری و بازیابی ناموفق، نقش مهمی در تضمین حفاظت از داده‌ها دارد.

۴.ورود دو مرحله‌ای را فعال کنید

اگر می‌خواهید یک لایه امنیتی اضافی به حساب خود اضافه کنید، توصیه می‌کنیم ورود دو مرحله‌ای را فعال کنید. برای فعال‌سازی این قابلیت در حساب DSM و Synology، به یک دستگاه تلفن همراه و یک برنامه احراز هویت نیاز دارید که از پروتکل رمز عبور یک‌بار مصرف پشتیبانی کند. با این کار، ورود به سیستم علاوه بر رمز عبور به یک کد ۶ رقمی موقت نیاز دارد که توسط Microsoft Authenticator، Authy یا سایر برنامه‌های مشابه تولید می‌شود.

۵.Security Advisor را اجرا کنید

Security Advisor یک برنامه از پیش نصب شده است که می‌تواند با اسکن NAS، مشکلات رایج پیکربندی DSM را مشخص کند. همچنین اقداماتی را برای ایمن نگه داشتن Synology NAS پیشنهاد خواهد داد. به عنوان مثال می‌تواند موارد رایجی مانند باز گذاشتن دسترسی SSH، تلاش‌های غیرعادی برای ورود به سیستم و تغییرات ناخواسته فایل‌های سیستم DSM را تشخیص دهد.

۶.ویژگی‌های امنیتی DSM

شما می‌تواید برای ایمن‌سازی حساب‌های کاربری، تعدادی از تنظیمات امنیتی را در Control Panel>Tab Security پیکربندی کنید که شامل موارد زیر می‌شوند:

مسدودسازی خودکار IP: می‌توانید مسدودسازی خودکار IP کلاینت‌هایی که بازه زمانی مشخصی وارد سیستم نشده‌اند را فعال کنید. برای این کار به Control Panel>Security>Auto Block رفته و فعالش کنید. در این بخش امکان اضافه کردن IPهای خاصی به لیست سیاه هم وجود دارد. حداکثر تعداد تلاش‌ها را بر اساس نوع استفاده عادی کاربرانتان پیکربندی کنید.

حفاظت از حساب: در حالی که مسدودسازی خودکار، IPهایی که تلاش ناموفق برای احراز هویت  داشته‌اند در لیست سیاه قرار می‌دهد، گزینه حفاظت از حساب با مسدود کردن دسترسی مشتریان نامعتبر، از حساب‌های کاربران محافظت می‌کند. به Control Panel>Security>Account Protection بروید و تعداد دفعات معینی را به عنوان حداکثر تلاش ناموفق برای ورود تعیین کنید.

HTTPS را فعال کنید: با فعال کردن HTTPS می‌توانید ترافیک شبکه بین Synology NAS و کلاینت‌های متصل را رمزگذاری و ایمن کنید. این اقدام جلوی حملات man-in-the-middle را می‌گیرد. در مسیر Control Panel>Network>DSM Setting، گزینه Automatically redirect HTTP connections to HTTPS را تیک بزنید تا نوع اتصال DSM به HTTPS تغییر کند.

شخصی‌سازی قوانین فایروال: فایروال به عنوان یک مانع مجازی عمل کرده و ترافیک شبکه را از منابع خارجی و بر اساس مجموعه‌ای از قوانین فیلتر می‌کند. برای تنظیم قوانین فایروال به Control Panel>Security>Firewall بروید تا از ورود غیرمجاز و دسترسی به سرویس‌ها جلوگیری کنید. همچنین می‌توانید تصمیم بگیرید که IPهای خاصی به پورت‌های مشخصی دسترسی داشته باشند یا خیر. این روش راه خوبی برای صادر کردن اجازه دسترسی از راه دور به یک دفتر خاص، یک سرویس یا پروتکل است.

۷.HTTPS را رمزگذاری کنید

گواهی‌های دیجیتال نقشی کلیدی برای HTTPS دارند، اما اغلب گران هستند و نگهداری از آن‌ها خصوصا برای کاربران غیرتجاری دشوار است. DSM برای ساده کردن ایمن‌سازی اتصالات برای همه کاربران، با سازمان صادرکننده گواهی رایگان و خودکار Let’s Encrypt همکاری می‌کند. اگر از قبل یک دامنه ثبت شده دارید یا از DDNS استفاده می‌کنید، به Control Panel>Security>Certificate  بروید و روی Add a new certificate>Get a certificate from Let’s Encrypt کلیک کنید. سپس تیک گزینه Set as default certificate را بزنید و برای دریافت گواهی، نام دامنه خود را وارد کنید. پس از دریافت گواهی، مطمئن شوید که تمام ترافیک روی HTTPS قرار گرفته باشد. دقت کنید که اگر دستگاه خود را برای ارائه خدمات از طریق چندین دامنه یا زیردامنه تنظیم کرده‌اید، باید از Control Panel>Security>Certificate>Configure تعیین کنید که کدام گواهی توسط هر سرویس استفاده می‌شود.

۸.پورت‌های پیش‌فرض را تغییر دهید

با اینکه تغییر پورت‌های پیش‌فرض HTTP (5000) و HTTPS (5001) در DSM به پورت‌های سفارشی نمی‌تواند به‌طور کامل از حملات جلوگیری کند، اما می‌تواند جلوی تهدیدات رایجی که فقط به سرویس‌های از پیش تعریف‌شده حمله می‌کنند را بگیرد. برای تغییر پورت‌های پیش‌فرض، به آدرس Control Panel>Network>DSM Settings رفته و شماره پورت‌ها را تغییر دهید. همچنین اگر به‌طور منظم از دسترسی Shell استفاده می‌کنید، ایده خوبی است که پورت پیش‌فرض SSH (22) را هم تغییر دهید.

همچنین می‌توانید برای افزایش بیشتر حفاظت از داده‌ها، یک Reverse proxy برای کاهش مسیرهایی که عموما برای حمله استفاده می‌شوند تعریف کنید. Reverse proxy به عنوان یک واسطه برای ارتباطات بین سرور داخلی و مشتریان راه دور عمل می‌کند و داده‌های خاصی در مورد سرور، مانند آدرس IP واقعی آن را از دید کاربر پنهان می‌کند.

۹.اگر از SSH/telnet استفاده نمی‌کنید، غیرفعالش کنید

اگر اغلب به دسترسی Shell نیاز ندارید، به یاد داشته باشید که SSH/telnet را در صورت عدم استفاده خاموش کنید. از آنجایی که دسترسی root به طور پیش‌فرض فعال است و SSH/telnet فقط حساب‌های مدیریتی اجازه ورود به سیستم می‌دهد. هکرها ممکن است در صورت فعال بودن SSH/telnet برای دستیابی به رمز عبور تلاش کنند. اگر به دسترسی سرویس ترمینال نیاز دارید، توصیه می‌شود که یک رمز عبور قوی برای آن تنظیم کنید و شماره پورت پیش‌فرض SSH را که ۲۲ است، برای افزایش حفاظت از داده‌ها تغییر دهید. همچنین می‌توانید با استفاده از  VPN و محدودسازی دسترسی SSH، فقط به IP‌های محلی و قابل اعتماد اجازه دسترسی بدهید.

۱۰.پوشه‌های اشتراکی را رمزگذاری کنید

DSM به‌منظور جلوگیری از استخراج داده‌ها و تهدیدهای فیزیکی، از رمزگذاری AES-256 برای پوشه‌های اشتراکی استفاده می‌کند. مدیران می‌توانند هم پوشه‌های اشتراکی جدید ایجاد و هم پوشه‌های موجود را رمزگذاری کنند. برای رمزگذاری پوشه‌های اشتراکی موجود به آدرس Control Panel>Shared Folder بروید و پوشه را ویرایش کنید. در بخش Encryption، یک کلید رمزگذاری انتخاب کنید تا DSM شروع به رمزگذاری پوشه کند. توصیه می‌شود که فایل کلید تولید شده را در مکانی امن ذخیره کنید؛ زیرا در صورت فراموش کردن رمز عبور، داده‌های رمزگذاری‌شده تنها با داشتن همین کلید قابل بازیابی هستند.

جمع‌بندی

یک چیز را فراموش نکنید؛ حفاظت از داده‌ها به‌طور جدایی‌ناپذیری با یکپارچگی آن‌ها مرتبط است. در واقع امنیت داده‌ها پیش‌نیازی برای یکپارچگی داده‌ها است، زیرا دسترسی غیرمجاز می‌تواند منجر به دستکاری داده‌ها یا از دست رفتن آن‌ها شود و به داده‌های مهم شما آسیب وارد کند. تهدیدهای آنلاین همیشه در حال تحول هستند و امنیت داده‌ها باید به همان اندازه پیشرفت کند. همانطور که دستگاه‌های بیشتری در خانه و محل کار به شبکه متصل می‌شوند، سوء استفاده از حفره‌های امنیتی و ورود به شبکه هم برای مجرمان سایبری آسان‌تر می‌شود. ایمن‌سازی کاری نیست که یک بار انجامش دهید فراموشش کنید؛ حفاظت از داده‌ها یک فرآیند مداوم است.

منبع