11 tips som gör din NAS säkrare

Det absolut viktigaste är att hålla NAS-enhetens operativsystem uppdaterat. Precis som med alla andra operativsystem upptäcks det ständigt nya sårbarheter som i sin tur åtgärdas genom uppdateringar.

Vissa tillverkare slarvar

Tyvärr slarvar vissa NAS-tillverkare med att släppa nödvändiga uppdateringar till modeller som inte längre säljs. Långt ifrån alla tillverkare är lika duktiga som Synology (de underhåller fortfarande åtta år gamla NAS-modeller). Det gör att många äldre NAS-enheter står lämnade åt sitt öde.

När en NAS-enhet slutar få säkerhetsuppdateringar bör dess internet-exponering blockeras. Vi rekommenderar självfallet att då byta ut NAS-enheten, men förstår samtidigt om det är förenat med en för stor kostnad. 

Begränsa användningen

Det viktiga är då att endast använda NAS-enheten i det lokala nätverket, så att den inte kan utsättas för attacker över internet. För att komma åt dess filer på distans måste då en VPN-tunnel till en VPN-kompatibel router/brandvägg användas.

Ytterligare ett problem i sammanhanget är att få NAS-tillverkare har en uttalad ”end-of-life-policy” som informerar kunderna om när produkterna går ur tiden. En tumregel i sammanhanget är att NAS-modeller som inte har uppdaterats på över ett år bör antas vara sårbara och inte längre underhållna.

En NAS är typexemplet på en internetansluten produkt som gärna ”glöms bort i en garderob”. Den har sällan något praktiskt sätt att informera sin administratör om att det finns nya operativsystemsuppdateringar tillgängliga. Det är oftast endast via webbgränssnittet som notiser om uppdateringar dyker upp, och det hjälper föga om administratören inte loggar in på regelbunden basis.

Schemalägg underhållet

Vi rekommenderar att antingen schemalägga underhåll av NAS-enheten på månadsbasis (exempelvis den andra tisdagen varje månad i samband med släppet av Windows-uppdateringar) eller att aktivera automatiska uppdateringar. Vilket som är lämpligast beror på vad NAS-enheten används till.

Det är inte bara NAS-enhetens operativsystem som måste hållas uppdaterat. Samma sak gäller alla tilläggspaket som installeras för att berika NAS-enhetens funktion. Precis som med operativsystemet kan dessa uppdateringar antingen skötas manuellt eller automatiseras.

Inaktivera onödig mjukvara

Tilläggspaket som inte längre används bör för övrigt inaktiveras och avinstalleras. Ju fler tilläggspaket som körs, desto större blir antalet potentiella sårbarheter och därmed attackytan. En välkommen bonus i sammanhanget är att onödiga tilläggspaket stjäl prestanda som går att återfå genom att avinstallera dem.

I skrivande stund är det inte genom operativsystemssårbarheter som Synologys NAS-enheter infekteras med utpressningstrojaner. Det är istället genom svaga lösenord. Angriparnas botnätverk testar helt enkelt de vanligaste lösenorden.

Administrationskontot är av förklarliga skäl det viktigaste kontot att skydda med ett starkt lösenord (läs ”långt lösenord”). Samtliga konton är dock skyddsvärda eftersom en utpressningstrojan kan utpressningskryptera alla filer som en kapad användare har skrivrättigheter till. Det är därför lämpligt att instifta starka lösenordskrav för alla användare, vilket i Synology DSM kan forceras från NAS-enhetens användarinställningar i Kontrollpanelen. 

Håll koll på rättigheterna

I samband med detta är det även värt att se över vilka rättigheter som olika användare har. Genom att använda gruppfunktionen går det snabbt och smidigt att dela upp användare så att ingen har åtkomst till fler resurser än de absolut behöver. Kom ihåg att inget användarkonto som har administratörsrättigheter får användas i dagligt bruk. Alla NAS-enheter ska därför ha minst två användarkonton (ett med administratörsrättigheter och ett utan sådana).

Ett bonustips i sammanhanget är att skapa ett nytt administrationskonto med ett annat användarnamn än admin och därefter inaktivera det ursprungliga administrationskontot.

Lösenord är en bristfällig autentiseringsmetod. Den bör därför kompletteras med tvåstegsverifiering i så många fall som möjligt. Synology DSM har inbyggt stöd för tvåstegsverifieringsmetoden som vi kallar Google Authenticator-metoden, så att det både krävs rätt lösenord och en sexsiffrig tvåstegsverifieringskod för att logga in. Tvåstegsverifieringskoden genereras från en mobilapp och är endast giltig i 30 sekunder, så att ingen angripare har nytta av gamla läckta tvåstegsverifieringskoder. Detta är samma metod som bland annat Facebook, Dropbox, Slack och Nikka Systems Academy använder (skribentens egen utbildningsplattform red. anm).

Viktigast för alla med aminrättigheter

I Synology DSM kan användarna aktivera tvåstegsverifiering för sina egna konto med några simpla knapptryck. Administratören kan också kräva att användarna aktiverar tvåstegsverifiering, vilket antingen kan göras för samtliga användare eller enbart användare med administratörsrättigheter (administrationskontot är som vanligt det viktigaste att skydda). Inställningen görs från användarinställningarna i Kontrollpanelen.

Olika tjänster använder olika portar. I routerns brandväggsinställningar kan routeradministratören välja vilka portar och därmed vilka tjänster som ska vara tillgängliga över internet. Grundregeln är att låta så få portar som möjligt vara öppna och att aldrig öppna en port utan att det finns en god anledning.

I exemplet på bilden tillåter vi endast portarna för HTTP- och HTTPS-trafik, det vill säga port 80 och port 443. En lista över vilka portar som olika tjänster använder finns på Synologys webbplats.

Hitta på egna portnummer

Ett bonustips i sammanhanget är att ändra portnumren så att inte standardportnumren används. Botarna som letar efter sårbara NAS-enheter testar i första hand standardportarna. Vilka portnummer som ska användas definieras i NAS-inställningarna för respektive tjänst. Det går också att låta routerbrandväggen växla portnummer så att egenpåhittade portnummer används externt medan standardportnummer används internt.

Botar som försöker attackera NAS-enheter genom ordlisteattacker är lätta att blockera. Det görs genom att spärra IP-adresserna för besökare som anger fel lösenord för många gånger. Hur många försök en besökare ska få är egentligen av mindre betydelse. Så länge det endast rör sig om någon handfull försök skyddar blockeringen tillräckligt effektivt.

För att en NAS ska få vara tillgänglig över internet måste den stödja säkra
HTTPS-anslutningar. Detta är ett faktum och inte något som är öppet för diskussion i undertecknads ögon. Det är samtidigt problematiskt för många NAS-ägare eftersom inte alla NAS-operativsystem stödjer Let’s encrypt (Synology DSM har inbyggt stöd).

Gratis är gott – och enkelt

Med Let’s encrypt kan administratören få certifikatet som krävs för att stödja säkra HTTPS-anslutningar helt kostnadsfritt. Utan Let’s encrypt måste certifikatet köpas från en certifikatutfärdare, vilket är förknippat med en årlig kostnad. Installation av ett köpt certifikat är inte heller någon barnlek för lekmän, medan aktivering med Let’s encrypt i Synology DSM enbart kräver några knapptryck.

Med ett certifikat på plats bör dessutom alla osäkra HTTP-anslutningar automatiskt uppgraderas till säkra HTTPS-anslutningar. I Synology DSM ligger inställningen för detta i Kontrollpanelens nätverksflik under DSM-inställningar.

ANNONS: Köp din Synology-NAS på Webhallen

Det är inte bara datorer som behöver antivirusprogram. Samma sak gäller filservrar. Synology DSM har ett kostnadsfritt tilläggspaket vid namn Antivirus Essential som bör installeras. Det kan schemaläggas så att det genomsöker NAS-enhetens system och filresurser på regelbunden basis. Genomsökningen bör förläggas på tider då NAS-enheten inte används eftersom den tar en hel del systemresurser i anspråk (gäller framförallt på klenare konsumentmodeller).

Låt en dator hantera sökningen – i värsta fall

Det är inte alla NAS-operativsystem som har antivirustilläggspaket. Då är det en god idé att istället låta en dator i det lokala nätverket genomsöka NAS-enheten på regelbunden basis. Detta fyller tyvärr inte riktigt samma funktion eftersom datorn enbart kan genomsöka filresurser (inte själva NAS-systemet). Ett antivirusprogram på själva NAS-enheten är därför att föredra.

När allt kommer till kritan är det goda säkerhetskopieringsrutiner som är det allra viktigaste. Om olyckan skulle vara framme finns det inget som skyddar lika väl som säkerhetskopior. Många NAS-enheter har inbyggda säkerhetskopieringsprogram som kan ladda upp kopior av de viktigaste filerna till molnlagringstjänster. Här är det dock viktigt att särskilja säkerhetskopiering från molnsynkronisering. Med molnsynkronisering synkroniseras alla ändringar av filerna, inklusive eventuell utpressningskryptering av filerna. Synology DSM stödjer båda principerna (var noga med att välja rätt).

Säkerhetskopiera till en polare

Synology DSM har också ett tilläggspaket som kallas Hyper Backup. Hyper Backup gör det möjligt att säkerhetskopiera NAS-enheten till en annan NAS-enhet. I konsumentsammanhang är det en utmärkt lösning om två vänner har varsin Synology-NAS, i och med att de då kan säkerhetskopiera till varandra. Säkerhetskopiorna överförs i krypterad form så att vännerna inte kan komma åt innehållet i varandras säkerhetskopior.

I företagssammanhang kan Hyper Backup användas för att säkerhetskopiera mellan NAS-enheter i olika filialer. Hyper Backup stödjer också säkerhetskopiering till bland annat Amazon S3, Microsoft Azure och Synologys egen tjänst Synology C2.

Som NAS-administratör kan alla säkerhets-inställningar snabbt bli oöverskådliga. I Synology DSM finns därför ett inbyggt verktyg som kallas Security Advisor. Det går igenom alla säkerhetsinställningar och meddelar ifall det finns någon inställning som bör ändras. Security Advisor är således ett bra verktyg att ha till hands för att veta om det är något som behöver fixas akut.

Tyvärr har Security Advisor en del utdaterade rekommendationer kring lösenord. Verktyget rekommenderar exempelvis att kräva blandade teckentyper och periodiska lösenordsbyten. Båda dessa åtgärder är utdömda av såväl Nist som Microsoft.

ANNONS: Köp din Synology-NAS på Webhallen