Как защитить NAS от хакерских атак и программ-шифровальщиков?

[vesper-bot]

TL;DR обновляйте, отключайте лишних пользователей и протоколы доступа, можете включить 2FA через наше приложение — оно такое няшное!

[KorP]

А ещё пунктик — не забывайте делать бекап :)

[nzamb1]

Бекапы для трусов :rofl

[nukler]

Что насчет делать снапшоты?
Пользователь примонтировал диск, а дальше этот пользователь случайно запустил троянца шифровальщика?

[SlavikF]

Снэпшоты спасут отцов Российской демократии!

У меня взломали Windows Server, на которой RDP торчал в Интернет.
На Windows запустили шифровальщика, который успел зашифровать пару volumes на примонтированной Synology.

Windows Server пришлось переустановить с нуля.
А на Synology я просто откатился ко вчерашним спэпшотам — и всё!

Странно, что в статье ничего не написанно про снэпшоты. Это как раз та технология Synology, которая "уделывает" всех конкурентов. Да, у других тоже есть что-то похожее, но никто не сделал это настолько удобно, как Synology.

[Antonto]

Это работает только с моделями с поддержкой BTRFS. На старых моделях этого нет.

[Dmitrii43]

Статья все же посвящена защите NAS, а не клиентских устройств. Резервирование рассматривали совсем недавно: Synology Active Backup — спектр преимуществ для бизнеса

[Synology]

Можно бесплатно получить DDNS в веб интерфейсе устройства

[Dmitrii43]

Дырка QNAP была закрыта 16 апреля (см. документ). Атаки начались с 20 апреля. Проблема в том, что пользователи не спешат обновлять свои NAS. Поэтому лучше включить автоматическое обновление, как показано в статье.

[tea]

1. Не выставляйте NAS в Интернет;
2. Если выставляете, используйте аутентификацию по сертификату.

[netricks]

Большая часть советов направлена на защиту от аутентификации.
Но, если я таки не ошибаюсь, QLocker влезает через дырявые media службы, торчащие в сеть.

Что из перечисленного помимо физического отключения от сети помогло бы защититься от QLocker.

[Dmitrii43]

Совет 3: обновление системы и пакетов, естественно. Дырку уже закрыли

[Taywox]

Понимаю что правильно зделал когда прибрел Synology!

[sirocco]

"… Совет 10: шифруйте папки общего доступа"
Если шифровальщик будет в системе, это, разумеется, тоже зашифруется? Или оно там как-то особо хранится и не подвержено изменению без ввода пароля?
Кстати, механизм шифрования очень не удобен. Чтоб получить доступ, надо обязательно войти в DSM, полазить глубоко в меню, найти эту папку, клацнуть на дешифровку, ввести пароль или путь к файлу, о только потом она появится в папках. И обратно тот же процесс для закрытия папки или перезагрузка системы, чтоб папка закрылась. Можно это реальзовать как-то удобнее? Например отдельное приложение на мобильнике или тот же Secure SignIn, приложил палец, папка расшифровалась и в DSM также, есть папка, заходим в неё через файл менеджер и просит пароль, если зашифрована. Добавить опции автоматического размонтирования, по времени, по активности и т.д. А как реализовано сейчас — жуть как не удобно, и в действительности спасает только если диски своровали.