10 วิธีที่จะช่วยปกป้องข้อมูลของคุณให้มีความปลอดภัยสำหรับ Synology NAS
ในระยะที่ผ่านมามีรายงานเกี่ยวกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้นอย่างมาก มีองค์กรหลายแห่งถูกโจมตีด้วย Ransomware ซึ่งมีอัตราสูงขึ้นเรื่อยๆ วันนี้เราจะรวบรวม 10 วิธีที่จะช่วยปกป้องข้อมูลของคุณให้มีความปลอดภัย ตามคำแนะนำของผู้เชี่ยวชาญจาก Synology Inc. ดังนี้
1. ปิดการใช้งานบัญชี admin
เนื่องจากบัญชีผู้ดูแลระบบตั้งต้นของ Synology NAS ก่อนหน้านี้จะถูกตั้งเป็น admin ซึ่งเป็นช่องโหว่ให้ผู้ไม่หวังดีหรือแฮ็คเกอร์ ใช้เป็นบัญชีเป้าหมายในการโจมตี ดังนั้นจึงแนะนำให้สร้างบัญชีผู้ดูแลระบบใหม่โดยหลีกเลี่ยงชื่อที่ใช้กันทั่วไป เช่น admin, administrator
2. ตั้งรหัสผ่านที่รัดกุม สุ่มรหัสได้ยาก
แนะนำให้มีการ ตั้งรหัสผ่านที่รัดกุม ป้องกันการโจมตีแบบสุ่มรหัส (brute-force attacks) เช่นใช้ อักษรเล็ก-ใหญ่-ตัวเลข-อักษรพิเศษ ร่วมกันยาวตั้งแต่ 8 ตัวอักษรขึ้นไป ยกตัวอย่างอักษรพิเศษที่สามารถใช้ได้ (~ ` ! @ # $ % ^ & * ( ) - _ = + [ { ] } \ | ; : ' " < > / ? , .)
ตัวอย่างการสร้างบัญชีผู้ดูแลระบบใหม่ และ การปิดการใช้งานบัญชี admin
- สร้างบัญชีผู้ดูแลระบบ : เปิด Control Panel กดที่ไอค่อน User & Group เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ User และกดไอค่อน Create ที่อยู่ด้านล่างเพื่อสร้างบัญชีใหม่
เมื่อปรากฏหน้าต่างขึ้นมาให้ระบุชื่อบัญชี และ รหัสผ่านที่รัดกุม หากรหัสผ่านมีความรัดกุมจะมีข้อความ Strong ขึ้นมา แล้วกด Next เพื่อดำเนินการต่อไป
ในหน้าต่างถัดไป เป็นการกำหนดกลุ่มผู้ใช้งาน ในกรณีนี้ เราต้องการให้ผู้ใช้งานใหม่นี้มีสถานะเป็นผู้ดูแลระบบด้วย จึงต้องติ๊กให้ผู้ใช้งานนี้เป็นสมาชิกของกลุ่ม 'administrators' ด้วย
ในหน้านี้เป็นการกำหนดสิทธิว่าสามารถใช้แอพพลิเคชั่นใดได้บ้าง แนะนำให้เลือกทุกข้อเลย
- ปิดบัญชี admin : เปิด Control Panel กดที่ไอค่อน User & Group เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ User ให้กดที่บัญชี admin จะขึ้นแถบสี จากนั้นกด Edit ที่อยู่ด้านบน
กดติ๊กที่ช่อง Disable this account แล้วกด Save เพื่อยืนยัน
3. เปิดใช้งานการแจ้งเตือนและอัพเดท DSM อยู่เสมอ
Synology จะมีการแจ้งเตือนการอัพเดท DSM ใหม่เป็นประจำ เพื่อเพิ่มประสิทธิภาพการทำงานและแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น โดยเมื่อพบการพยายามบุกรุกระบบความปลอดภัย ทางทีมงาน PSIRT (Product Security Incident Response Team) จะเข้าไปประเมิน ตรวจสอบ และ ออกแพทช์แก้ไขโดยเร็ว
เราจึงแนะนำให้ผู้ใช้งานตั้งค่า “การอัปเดตอัตโนมัติ” เพื่อให้แน่ใจว่าเรามี DSM เวอร์ชั่นล่าสุดอยู่เสมอ
- การเปิดแจ้งเตือนอัพเดท DSM : เปิด Control Panel กดที่ไอค่อน Update & Restore เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ DSM Update ให้กดที่ไอค่อน Update settings จะปรากฏหน้าต่างขึ้นมา แนะนำให้เลือกช่องบนสุดที่เขียนว่า
Automatically install important updates that fixed critical security issues and bugs (Recommended)
สิ่งที่ต้องระวังคือ ระหว่างการอัพเดท DSM ห้ามปิดเครื่องอย่างเด็ดขาด ดังนั้นในระหว่างนี้หากเกิดปัญหาไฟฟ้าดับกระทันหัน อาจทำให้ Synology NAS ของเรามีปัญหา จึงแนะนำให้ใช้งานร่วมกับเครื่องสำรองไฟฟ้า (UPS) ด้วยเสมอ
เปิดใช้งานการแจ้งเตือน (Notifications) เพื่อแจ้งสถานะการทำงาน การรายงานปัญหา รวมถึงความพยายามในการบุกรุกจากบุคคลภายนอกหรือแฮ็คเกอร์ จะทำให้ผู้ใช้งานเตรียมการแก้ไขและป้องกันได้อย่างรวดเร็ว เราได้เขียนบทความ การเปิดใช้งาน การแจ้งเตือน Notification ของ Synology NAS ผู้อ่านสามารถตามไปศึกษาและเปิดการใช้งานการแจ้งเตือนตามความต้องการได้
4. เปิดใช้งาน 2-Factor Authentication ในการล๊อคอิน
ปกติเวลาเราล๊อคอินเข้าสู่ระบบก็จะใช้ บัญชีผู้ใช้งาน กับ รหัสผ่านเท่านั้น หากเราต้องการเพิ่มความปลอดภัยอีกชั้นโดยเฉพาะบัญชีของผู้จัดการระบบ เราขอแนะนำให้เปิดใช้งาน การยืนยันตัวตน 2 ชั้น (2-Factor Authentication)
ซึ่งการกำหนดการใช้งานแบบนี้ต้องใช้งานร่วมกับอุปกรณ์เคลื่อนที่แบบสมาร์ทโฟนและติดตั้งแอพพลิเคชั่นที่รองรับ Time-based One-Time Password (TOTP) ในตัวอย่างนี้เราจะใช้ Google Authenticator ที่สามารถหาได้ใน Play Store แล้วทำการกำหนดอุปกรณ์ระหว่าง Synology NAS กับ Google Authenticator ให้สำเร็จก่อน
เมื่อเปิดการยืนยันตัวตน 2 ชั้นแล้ว ทุกครั้งหลังจาก ล๊อคอิน ด้วยบัญชีผู้ใช้งานและรหัสผ่านแล้ว จะต้องมีการกรอกรหัส 6 หลักที่ได้รับจาก Google Authenticator ให้ตรงกัน จึงจะสามารถเข้าใช้งานบัญชีได้
มาดูขั้นตอนการเปิดใช้งาน 2-Factor Authentication กัน
- เปิด Control Panel กดที่ไอค่อน Security เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ Account ในหน้าต่างนี้ กดติ๊กที่ช่อง Enforce 2-Factor Authentication for the following users และ แนะนำให้ใช้กับผู้ใช้งานที่เป็นผู้ดูแลระบบเท่านั้น ไม่รวมถึงผู้ใช้งานทั่วไป ให้ติ๊กที่ Administrator group users
ในขั้นตอนนี้ ระบบจะแจ้งให้เราเปิดใช้งานการแจ้งเตือนทางอีเมล์ หากเรายังไม่ได้กำหนด ต้องไปกำหนดก่อน สามารถดูวิธีการได้ใน การเปิดใช้งาน การแจ้งเตือน Notification ของ Synology NAS
- สแกน QR-Code เพื่อติดตั้งแอพพลิเคชั่นในสมาร์ทโฟน ตามระบบปฏิบัติการที่ใช้งาน
- ใช้แอพพลิเคชั่นที่ติดตั้ง ในกรณีนี้คือ Google Authenticator สแกน QR-Code เพื่อจับคู่อุปกรณ์
- นำหมายเลข 6 หลักที่ปรากฎ ไปใส่ในช่อง Verification code (OTP) ด้านบน ภายในเวลาที่กำหนด
สังเกตุวงกลมสีฟ้าด้านข้าง จะค่อยๆลดลงทีละนิดจนไม่ปรากฎ คือหมดเวลา ต้องใช้ชุดตัวเลขใหม่
สังเกตุวงกลมสีฟ้าด้านข้าง จะค่อยๆลดลงทีละนิดจนไม่ปรากฎ คือหมดเวลา ต้องใช้ชุดตัวเลขใหม่
5. ใช้ Security Advisor สแกนหาความเสี่ยงที่อาจมีในระบบ
แอปพลิเคชันนี้จะสแกนและค้นหาปัญหาทั่วไปเกี่ยวกับการกำหนดค่าของ DSM และให้คำแนะนำที่เราต้องทำเพื่อป้องการอันตรายจากผู้บุกรุก เช่น หากเรามีการเปิดการเข้าถึง SSH และ การล็อกอินที่ผิดปกติเกิดขึ้น จะทำให้เราเข้าใจตรวจสอบและแก้ไขต่อไป
- กดเมนเมนูด้านซ้ายบน (สัญลักษณ์สี่เหลี่ยม สี่อัน) กดที่ไอค่อน Security Advisor จะปรากฏหน้าต่างให้เลือกประเภทการใช้งาน Synology NAS แล้วกด Start เพื่อเริ่มการสแกน
- Security Advisor จะทำการสแกนระบบ โดยใช้เวลาไม่นาน
- Security Advisor จะรายงานความเสี่ยงที่ถูกพบ กดที่บบรรทัดที่แจ้งเตือน จะมีรายละเอียดแจ้งให้ทราบ
สีแดงจะแสดงถึงความเสี่ยงขั้นสูง ต้องรีบแก้ไขโดยเร็ว
สีส้มแม้จะมีความเสี่ยงน้อยกว่า แต่ก็ควรหาทางแก้ไข ในลำดับถัดไป
- Security Advisor แจ้งว่าพอร์ต SSH มีการเปลี่ยนแปลงไปจากค่าเริ่มต้น
- เมื่อกดเข้าไป ก็จะมีรายละเอียดอธิบายมากขึ้น หากต้องการแก้ไขตามคำแนะนำ กดตามลิ้งค์ที่เขาแจ้ง
- SSH Service เป็นโปรโตคอลอันนึง สำหรับการเข้าถึง Synology NAS ผ่านคำสั่งแบบ CLI (Command Line Interface) ปกติจะไม่มีการใช้งาน นอกจากเกิดปัญหาและต้องการเข้าถึงเครื่องโดยตรง ปกติจะใช้งานโดยทีมซัพพอร์ตของ Synology ในกรณีที่เราเปิดคำร้องขอความช่วยเหลือไป
ดังนั้นในภาวะปกติ เราปิดใช้งานไปก่อนดีกว่า โดยการเอาติ๊กที่ช่อง Enable SSH service ออก
- หลังจากปิดการใช้งาน SSH แล้วสแกนด้วย Security Advisor การแจ้งเตือนนี้ก็จะหายไป ก็ตามไปแก้ในส่วนการแจ้งเตือนที่เหลือต่อไป
6. การตั้งค่าความปลอดภัยพื้นฐาน
- บล็อคไอพีอัตโนมัติ (Auto Block)
เป็นการกำหนดเงื่อนไขว่า หากมีการลงชื่อเข้าใช้งานด้วยรหัสผ่านที่ไม่ถูกต้อง ภายในจำนวนครั้งและช่วงเวลาที่กำหนด ไอพีแอดเดรสของเครื่องนั้น จะถูกบล็อคไม่ให้เข้าถึง Synology NAS ภายในช่วงเวลาที่กำหนดไว้ หรือ แจ้งให้ผู้จัดการระบบ ปลดบล็อคให้ เพราะการเข้าใช้งานไม่สำเร็จในหลายครั้งติดต่อกัน เป็นไปได้ว่าเกิดจากผู้ที่กำลังพยายามบุกรุกเข้าระบบ
- บล็อคบัญชีผู้ใช้อัตโนมัติ (Account Protection)
ในหลายๆครั้ง ผู้บุกรุกจะใช้การโจมตีแบบสุ่มรหัส (brute-force attacks) พร้อมกันจากหลายไอพีแอดเดรส (distributed attacks) การบล็อคบัญชีผู้ใช้อัตโนมัติ เพิ่มเติมจากการบล็อคไอพีอัตโนมัติ จะช่วยป้องผู้บุกรุกได้อีกทางหนึ่ง
- เปิดใช้งาน HTTPS
การติดต่อกับ Synology NAS ผ่านโปรโตคอล http จะมีความปลอดภัยน้อย เนื่องจากบัญชีผู้ใช้งานและรหัสผ่านอาจถูกดักจับข้อมูลระหว่างทางได้ ข้อมูลที่ดักจับได้ก็จะเป็นอักษรตรงไปตรงมา อ่านได้เข้าใจ
เราสามารถเพิ่มความปลอดภัยให้มากขึ้นโดยเปลี่ยนมาใช้ https แทน เพราะจะมีการเข้ารหัสข้อมูลไว้ในการรับส่งข้อมูล แม้ว่าจะถูกดักจับข้อมูลระหว่างทาง ก็ไม่สามารถนำไปใช้ประโยชน์ได้
การบังคับให้มาใช้ https แทน http สามารถทำได้โดยการ เปิด Control Panel กดที่ไอค่อน Login Portal เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ DSM ในหน้าต่างนี้ ติ๊กที่ช่อง Automatically redirect HTTP connection to HTTPS for DSM desktop แล้วกด Save เพื่อบันทึก
7. ติดตั้ง Digital certificate ฟรีจาก Let’s Encrypt
เมื่อเราเปิดการใช้งาน HTTPS แล้ว เราต้องติดตั้งใบรับรองดิจิทัล Digital Certificate เพื่อรับรองความปลอดภัยด้วย เพราะหากไม่มีแล้ว เวลาเราเรียกใช้งาน https เว็บบราวเซอร์จะแจ้งว่า Not secure หรือ Your connection is not private แต่ถ้าเรายืนยันจะใช้งานต่อ ก็สามารถใช้งานต่อไปได้
- เปิด Control Panel กดที่ไอค่อน Security เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ Certificate
แท็บด้านล่างให้กด Add จะปรากฎหน้าต่างขึ้นมา ให้กด Add a new certificate เพื่อเพิ่มใบรับรองดิจิทัล แล้วกด Next
แท็บด้านล่างให้กด Add จะปรากฎหน้าต่างขึ้นมา ให้กด Add a new certificate เพื่อเพิ่มใบรับรองดิจิทัล แล้วกด Next
- เลือก Get a certificate from Let’s Encrypt และติ๊ก Set as default certificate
- Domain name : ในที่นี้คือ DDNS ที่เราตั้งไว้ในรูปแบบ xxx.synology.me
Email : ระบุอีเมล์ เพื่อให้ Let’s Encrypt ตรวจสอบ
- ติดตั้งใบรับรองดิจิทัล (Digital certificate) สำเร็จแล้ว
8. เปลี่ยนพอร์ตเริ่มต้น
การเข้าใช้งาน Synology NAS ผ่านพอร์ต http (5000) หรือ https (5001) ซึ่งเป็นพอร์ตเริ่มต้นของ DSM ทำให้ผู้บุกรุกจะใช้พอร์ตนี้เป็นช่องทางแรกๆในการเจาะเข้าระบบ
หากเราเปลี่ยนพอร์ตเป็นหมายเลขอื่นก็จะช่วยเพิ่มความปลอดภัยได้ แม้ว่าไม่สามารถป้องกันการโจมตีแบบกำหนดเป้าหมายได้ (คือผู้บุกรุกรู้หมายเลขพอร์ตที่เราเปลี่ยน) แต่ก็สามารถป้องกันผู้บุกรุกที่ไม่เจาะจงเป้าหมาย และมาจากต่างประเทศเป็นส่วนมาก
หากมีการเปิดใช้งานโปรโตคอลอื่นๆเช่น SSH, FTP, Telnet ก็แนะนำให้เปลี่ยนพอร์ตเริ่มต้นด้วยเช่นกัน
การเปลี่ยนพอร์ต http (5000) และ https สามารถดูรายละเอียดได้ในบทความ การตั้งค่า Fixed IP และ DSM Port สำหรับ Synology NAS
9. หากไม่ได้ใช้งาน SSH/Telnet ก็ปิดไปเลย
หากมีเซอร์วิสไหนที่เราไม่ได้ใช้งานเช่น SSH, Telnet ก็แนะนำให้ปิดดีกว่า เพราะหากเปิดทิ้งไว้ ก็มักจะเป็นช่องทางที่ผู้บุกรุกใช้เจาะเข้าระบบอยู่เสมอ
- เปิด Control Panel กดที่ไอค่อน Terminal & SNMP เมื่อปรากฏหน้าต่าง ที่เมนูด้านบนเลือกแท็บ Terminal ในหน้าต่างนี้ ไม่ต้องติ๊กที่ช่อง Enable Telnet service และ Enable SSH service แล้วกด Apply เป็นการปิดการใช้งาน
10. เข้ารหัสในแชร์โฟลเดอร์ (Encrypt shared folders)
DSM รองรับการเข้ารหัสแบบ AES-256 encryption เราสามารถป้องกันข้อมูลที่เป็นความลับขององค์กรที่เก็บไว้ในแชร์โฟลเดอร์ได้ หากเกิดกรณีที่ฮาร์ดแวร์ของถูกขโมยไป แต่หากผู้ที่ได้ไปไม่รู้รหัสก็ไม่สามาถเข้าถึงข้อมูลภายในได้
ทั้งนี้ผู้ที่จะเปิดใช้งานการเข้ารหัสในแชร์โฟลเดอร์ก็ต้องให้แน่ใจว่ามีการเก็บรักษารหัสนี้ไว้ให้ดีด้วย หากทำหายหรือจำไม่ได้ ก็ไม่มีทางเข้าถึงข้อมูลในแชร์โฟลเดอร์ได้ ไม่สามารถกู้หรือรีเซ็ตรหัสนี้ได้
ก่อนดำเนินการเข้ารหัสในแชร์โฟลเดอร์นี้ ต้องแน่ใจในเงื่อนไขและความเสี่ยงที่อาจเกิดขึ้นได้
- เปิด Control Panel กดที่ไอค่อน Shared Folder เมื่อปรากฏหน้าต่าง ให้เลือกแชร์โฟลเดอร์ที่ต้องการเข้ารหัส แล้วกด Edit ที่แท็บด้านบน
ติ๊กที่ช่อง Encrypt this shared folder
Encryption key : ใส่รหัสที่ต้องการ
Confirm key : ยืนยันรหัสให้ตรงกัน
กด Save เพื่อบันทึก
DSM จะดาวน์โหลดไฟล์ ชื่อของโฟลเดอร์.key ให้ด้วย เก็บรักษาไว้ในที่ปลอดภัย อย่าให้หาย
