Вход в личный кабинет Вопрос: что делать с iscsi?
Synology DSM не поддерживает защиту ни самих iSCSI LUN, ни их подключений, хотя технически возможно и то и другое. Поскольку по iSCSI предоставляется блочный доступ, то лучшее, что вы можете сделать для защиты данных как на лету, так и хранящихся на устройстве, – это защитить диски, располагаемые в LUN средствами ваших операционных систем, к которым они подключены (Bitlocker или VeraCrypt для Windows и LUKS или ZFS для Linux). В этом случае данные будут надежно защищены даже в случае перехвата трафика или доступа к NAS на физическом уровне.
10 – защита архивных данных
Давайте разберемся с шифрованием различных резервных копий, которые могут храниться на NAS. Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS или в облако – другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест – третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои. Начнем по порядку.
Внутри снимков закодированных папок также находятся закодированные данные, так что даже при репликации на удаленный сервер открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что, конечно, осложняет задачу типа «вытащить» нужный файл за вчерашний день.
Резервирование содержимого самого NAS на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задается единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.
В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которому совершенно не обязательно находиться в смонтированном состоянии, чтобы на него можно было бэкапиться.
Да, вы можете создавать новые задачи или удалять старые, используя защищенную папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придется при восстановлении бэкапа или для автоматической проверки целостности копий.
2а (опционально) – настраиваем двухфакторную аутентификацию
Двухфакторная аутентификация реализуется средством приложения Synology SignIn и является альтернативой для беспарольного входа. Для настройки производятся все те же шаги, что описаны абзацем выше, с той лишь разницей, что вместо подтверждения пароля приложение на смартфоне генерирует шестизначный код, который нужно ввести в дополнение ко вводу пароля при доступе в веб-интерфейс. На случай поломки/утери телефона вам следует указать e-mail для аварийного восстановления доступа.
Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.) – чертовски удобно.
3 – включаем защиту от перебора паролей
По умолчанию эта опция отключена, но Synology предлагает два уровня защиты. Первый – это временная блокировка самой учетной записи, на которую идет атака. Это наиболее экологичный вид защиты, потому что, если атакующий использует IP-адреса вашей подсети или подсети ваших клиентов, работа сервисов не пострадает.
4 – используем встроенный файрвол
В топовых NAS Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развертывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всем мире ПО для сетевой безопасности, но если такой возможности нет, встроенный файрвол не стоит сбрасывать со счетов.
По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы и запрещаем, для примера, им доступ из Антарктиды, Анголы и некоторых других стран.
5 – настраиваем openvpn
Вообще VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN, без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение и так защищено.
В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP-, но и по TCP-транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.
Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь также доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путем импорта OVPN-файла, без ручных настроек.
На данном этапе мы произвели все настройки, чтобы защитить учетные записи от попыток похищения пароля или взлома методом перебора. Еще раз спешу заметить, что пока что наши действия относятся только к веб-панели NAS, и не касаются хранимых на нем данных.
6 – кодируем data at transit для защиты от снифферов
Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Еще совсем недавно в этой области данные не защищались, поскольку считалось, что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полете» не шифруются.
6а – включаем кодирование файловых протоколов
Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1.
Windows 10 и Windows Server 2022/2022 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0.
Современные процессоры, на которых построены NAS Synology, поддерживают аппаратное ускорение операций кодирования, поэтому влияние на производительность минимальное.
Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3.
Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, также по умолчанию не защищен. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определенное правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.
Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищенному SSH-туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux-устройств, включаем протокол RSync, который также работает по SSH. Здесь все по умолчанию использует кодирование, и никаких настроек делать не нужно.
Обратите внимание: включение RSync и SFTP не означает включение терминального доступа по SSH, и если последний отключен, а первые два включены, то при подключении через терминал соединение будет разорвано.
Вообще доступ по SSH вам скорее всего не потребуется, и его можно не включать, но в случае, если он все же нужен, в настройках безопасности вам будет предложен огромный выбор алгоритмов защиты трафика. Я рекомендую отключить поддержку 128-битных ключей, оставив 256-битные и выше.
Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учетной записи, и почти все закончено.
8 – защищаем data at rest для защиты от кражи/изъятия
К «данным на отдыхе» относится вся информация, находящаяся на накопителях, независимо от того, лежит ли она в кэше или в хранилище, часто она запрашивается или редко. Здесь Synology предлагает защиту папок общего доступа по стандарту AES-256, используя файловую систему eCryptFS поверх BTRFs или EXT4, в которой каждый файл кодируется индивидуально.
Данная защита помогает при физической краже NAS или накопителей: каждый раз при перезагрузке устройства общая папка находится в неподключенном состоянии, и чтобы ее содержимое было доступно, нужно вручную смонтировать ее, введя сохраненный ключ.
Если зайти через терминал в неподключенную закодированную папку, то содержимое ее будет выглядеть следующим образом:
Для закодированной папки недоступна функция сжатия данных, и некоторые сервисы, например Active Backup или Virtual Machine Manager, не могут использовать ее в качестве хранилища. Что же касается хороших новостей, то на таких папках поддерживаются снэпшоты (хотя их и нельзя просматривать), а также можно кодировать гибридные папки, которые используются в качестве облачного диска на ноутбуках и смартфонах.
9 – защита data at work
Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплойтов Meltdown и Spectre, благодаря чему зараженная виртуалка может получить доступ к данным в памяти другой виртуальной машины.
В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology, собственный код, то проследуйте в панель управления, в закладку Security – Advanced, и включите защиту от Meltdown и Spectre.
Generate a new ssh key on your computer
On the device you will be using to access the NAS you need to create a new pair of public and private keys. You can read all about it here but if you want the short version it is just this command.
The public part of they key will then be saved under ~/.ssh/id_rsa.pub if nothing else is specified by you.
Using ssh key authentification on a synology nas for remote rsync backups – vhod-v-lichnyj-kabinet.ru
Аутентификация ключа ssh на nas synology
на моем NAS Synology, я не могу получить SSH ключ аутентификации работает. Я перепробовал все обычные вещи (добавил в authorized_keys, отредактировал sshd config, …), и до сих пор не смогли заставить его работать.
Я действительно хотел бы иметь возможность запускать переводы без взаимодействия на мой NAS с SCP.
кроме того, другой друг ИТ, с которым я говорил, сказал, что он получил его работу некоторое время назад, но это была большая боль и не помнит, как.
кто-нибудь получил работает?
Финальные штрихи
На данном этапе мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля кейлоггером или другим зловредом, физическим похищением всего устройства или его дисков, а также от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology. Осталось защититься от самой страшной проблемы – от человеческого фактора.
Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а также включаем еженедельное сканирование настроек безопасности средством Security Advisor.
Во-вторых, настраиваем резервирование всего NAS в облачную службу Synology C2. Это недорого, практично, удобно, и плюс Synology не продает ваши данные рекламщикам.
И рекомендую обратить внимание на приложение Note Station для сохранения заметок на NAS: здесь есть возможность использовать защищенные записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password.
Hi Raymond,
I misunderstood your first message, I thought SSH server was still asking for a password even after the keys were added. In your case, it is the SSH client which asks for the passphrase in order to open your local private key, which is expected. If the connection is successful after you enter the passphrase it means your key authentication is working correctly.
Just to make things clear for anyone reading this with a similar problem, here is a bit more explanation :
– By default, when a client wants to connect to an ssh server with a specific username, the server asks for the password of this user before allowing the connection.
– This can be avoided by using key authentication instead of password authentication : a key pair (public and private) is generated on the client side, and the public key is sent to the server and added to a list of authorized keys. Anyone with the corresponding private key stored locally can connect to this username on this server without needing a password anymore. This is a bit like storing the password on the client side and sending it automatically when the server asks it, but way more secure.
– However, if the private key gets stolen on the client (stolen computer or hacked operating system for example), the thief will be able to use it to connect to the server. In order to prevent that, the private key can be encrypted locally with a passphrase (but it is not mandatory). Without knowing the passphrase, the key is worthless.
– Now, it looks like we got back to square one : a password/passphrase is asked every time we need to connect. In order to mitigate this inconvenience, ssh provides a software called an ssh agent, which role is to keep your private key in memory once it has been decrypted. This way, you only have to enter your passphrase once per session (of the local client). Further connections later in the day will succeed automatically but if you log out or reboot your computer, the agent will ask for the passphrase again.
In your case Raymond, using a passphrase doesn’t seem convenient because you don’t want to have to enter it for every connection (as I understand, these are automatic scripted connections of some sort, such as for backups) and I don’t see an easy way to use an agent and give the passphrase every time your NAS reboots. Storing the passphrase on the NAS to use it automatically would defeat the purpose of using a passphrase in the first place. In my opinion the best (and probably only) solution is to not use a passphrase. The connection will still be secure, even through the internet, because the key authentication scheme is strong.
Your only risk is if someone steals your NAS and recovers the private key. In your set of constraints, this risk cannot be avoided because your NAS needs to know all the information needed to perform a connection, and there is always a way this information can get stolen.
You can however mitigate this risk. Here are a few ideas :
– make your NAS as secure as possible, check the file permissions of the private key, avoid opening it to the outside
– create a dedicated user on the server with permissions restricted to only what is needed by your nas, and associate the key to this user, so that even if the key is stolen the damage won’t spread too far
– your NAS is probably fixed and hopefully on a network with a static IP address, so you can configure the server to restrict the use of this key to your IP address
Foaly