Hệ điều hành của thiết bị lưu trữ mạng (NAS) là một kho tàng các tùy chọn tùy chỉnh và vô số cài đặt cho phép thực hiện nhiều tác vụ. Tuy nhiên, một số điều có thể dễ dàng bị bỏ qua – và nếu một trong số đó nhỏ nhưng lại mang tính quyết định, nó có thể khiến NAS của bạn đối mặt với các rủi ro bảo mật tiềm ẩn. Những thiết lập bảo mật NAS nhỏ bé này có thể phá vỡ toàn bộ hệ thống bảo mật bạn đã xây dựng cho NAS nếu bạn để lộ một lỗ hổng dễ khai thác. Dưới đây là một số cài đặt quan trọng trên NAS mà bạn phải kiểm tra để vá những lỗ hổng bảo mật như vậy.
1. Loại Bỏ Tài Khoản Mặc Định
Tên người dùng ‘admin’ mặc định có thể gây rắc rối
Việc giữ nguyên các cài đặt mặc định do nhà sản xuất đề xuất có thể hữu ích trong nhiều trường hợp, đặc biệt nếu bạn mới làm quen với hệ thống lưu trữ mạng. Nó giúp quá trình thiết lập dễ dàng hơn và cho phép bạn nhanh chóng đưa hệ thống vào hoạt động. Tuy nhiên, điều này có thể phản tác dụng nếu bạn để nguyên thông tin đăng nhập – đặc biệt là tên người dùng. Các thiết bị NAS thường đi kèm với tài khoản ‘admin’ mặc định có quyền truy cập vào mọi thứ trên NAS của bạn.
Tin tặc biết điều này, và nếu bạn chưa chuyển sang một tên người dùng tùy chỉnh cho tài khoản ‘admin’, NAS của bạn sẽ trở thành một mục tiêu dễ dàng. Một biện pháp tốt là không sử dụng tên người dùng ‘admin’ mặc định và vô hiệu hóa nó ngay khi có thể. Thay vào đó, hãy tạo một tài khoản quản trị viên mới ngay từ đầu – điều này tăng thêm một lớp che giấu, giúp ngăn chặn kẻ tấn công giành quyền kiểm soát. Trong lúc làm điều đó, việc tạo một mật khẩu mạnh, bao gồm chữ cái, số và ký tự đặc biệt, lý tưởng là sử dụng trình quản lý mật khẩu, sẽ không bao giờ là thừa.
2. Kích Hoạt Xác Thực Hai Yếu Tố (2FA)
Bạn đã nghe điều này nhiều lần rồi, đúng không?
Thiết bị NAS Ugreen hiện đại, minh họa cho việc cần cấu hình bảo mật hiệu quả.
Dù chúng ta đã quá quen với việc nghe về tầm quan trọng của việc sử dụng mật khẩu mạnh, thì xác thực hai yếu tố (2FA) cũng có vai trò tương tự. Chúng ta đều biết 2FA quan trọng thế nào trong việc giữ an toàn cho các tài khoản trực tuyến của mình, ngay cả khi mật khẩu bị lộ – tuy nhiên, nhiều người trong chúng ta vẫn chưa sử dụng nó thường xuyên. Lớp bảo vệ thứ hai này sử dụng một mã dùng một lần để xác minh ai đang truy cập tài khoản và giúp ngăn chặn các lần đăng nhập đáng ngờ.
Trừ khi bạn đã tự mình bật tính năng này trên NAS, rất có thể nó đang tắt. Hãy vào cài đặt bảo mật tài khoản của NAS, bật 2FA và thiết lập nó bằng một ứng dụng OTP như Authy, hoặc sử dụng khóa vật lý như Yubikey. Bất kỳ lựa chọn nào cũng sẽ giảm đáng kể nguy cơ truy cập tài khoản trái phép.
3. FTP Nên Là Quá Khứ
Không an toàn và là mối đe dọa dữ liệu
Các cổng kết nối phía sau của thiết bị NAS Synology DiskStation DS1019+, nhấn mạnh nhu cầu kiểm soát các giao thức truyền tải dữ liệu như FTP.
Giao thức truyền tệp (FTP) là một phương pháp khá cũ để truyền tệp qua mạng và thiếu sự tinh vi của các giải pháp thay thế hiện đại – tuy nhiên, nó vẫn được sử dụng trong một số trường hợp. Mối lo ngại lớn nhất? Nó không cung cấp mã hóa, vì vậy dữ liệu của bạn (bao gồm cả những thông tin nhạy cảm như mật khẩu) được truyền dưới dạng văn bản thuần túy. Nếu ai đó đang giám sát mạng của bạn, họ sẽ có thể nhìn thấy mọi thứ – bao gồm thông tin đăng nhập – và việc chiếm quyền kiểm soát NAS của bạn sẽ trở nên dễ dàng sau đó.
Hãy xem xét việc vô hiệu hóa FTP cho mọi mục đích trừ khi một quy trình làm việc quan trọng phụ thuộc vào nó – và ngay cả khi đó, hãy cố gắng tìm một giải pháp an toàn hơn. Thay vì FTP, bạn có thể sử dụng SFTP, có tính năng mã hóa SSH tích hợp, hoặc dựa vào SMB, vốn được hỗ trợ bởi hầu hết các mẫu NAS phổ biến hiện nay.
4. Khóa Quyền Truy Cập SSH
Vô hiệu hóa hoặc hạn chế để tránh thiệt hại
Hai ổ cứng Western Digital 6TB xếp chồng lên nhau, đại diện cho dữ liệu cần được bảo vệ cẩn thận thông qua các biện pháp như khóa truy cập SSH.
SSH (Secure Shell) là một công cụ mạnh mẽ cung cấp cho người dùng nâng cao quyền truy cập dòng lệnh được mã hóa vào NAS của họ. Nhưng với sức mạnh to lớn đi kèm với rủi ro lớn – đặc biệt nếu bạn đã bật nó với các cài đặt mặc định. SSH thường hoạt động trên một cổng mặc định, điều này giúp kẻ tấn công dễ dàng tìm thấy NAS của bạn khi quét các cổng mở. Thay đổi cổng không làm cho NAS của bạn hoàn toàn an toàn, nhưng đó là một bước nhỏ bảo vệ chống lại các cuộc tấn công tự động, quy mô lớn.
Để thực sự bảo vệ chặt chẽ, hãy chuyển từ đăng nhập bằng mật khẩu sang khóa SSH – chúng là các khóa mã hóa khó bị phá vỡ hơn nhiều so với mật khẩu truyền thống. Ngoài ra, hãy giới hạn số lần đăng nhập không thành công và hạn chế quyền truy cập SSH chỉ cho các địa chỉ IP cụ thể mà bạn tin cậy. Và nếu bạn không sử dụng SSH thường xuyên, tốt hơn hết là nên tắt hoàn toàn.
5. Kiểm Tra Cài Đặt Chuyển Tiếp Cổng Và UPnP
Những cổng kết nối Internet này cũng có thể thu hút sự chú ý không mong muốn
Cắm cáp Ethernet vào cổng LAN 10GbE của NAS TerraMaster F4-424 Max, minh họa việc quản lý các kết nối mạng và cài đặt chuyển tiếp cổng.
Chuyển tiếp cổng (Port forwarding) là một tính năng tiện lợi cho phép bạn truy cập NAS của mình từ bất kỳ đâu trên thế giới, đây là một trong những lý do lớn nhất khiến mọi người chuyển sang NAS thay vì lưu trữ đám mây truyền thống. Nhưng nếu bạn cấu hình chuyển tiếp cổng sai hoặc để một cổng mở ngoài ý muốn, nó có thể cung cấp cho kẻ xấu một con đường dễ dàng vào hệ thống của bạn. Tệ hơn nữa, UPnP (Universal Plug and Play) có thể tự động mở các cổng đó, và thường là mà bạn không hề hay biết.
Nếu bạn không chắc chắn về cách xử lý các cấu hình cấp mạng này, bạn nên tìm sự giúp đỡ từ một chuyên gia CNTT để thiết lập ban đầu. Và ngay cả sau khi mọi thứ đã được cấu hình, bạn nên chạy kiểm tra thủ công định kỳ để đảm bảo không có cổng không cần thiết nào đang mở. Vô hiệu hóa hoàn toàn UPnP là một động thái chắc chắn, đặc biệt nếu bạn muốn kiểm soát chặt chẽ hơn các điểm truy cập bên ngoài của NAS.
6. Luôn Cập Nhật Firmware Và Ứng Dụng
Không thỏa hiệp ở đây
Người dùng đang cầm NAS TerraMaster F8 SSD Plus với hai ổ SSD PCIe 3 được lắp, nhấn mạnh tầm quan trọng của việc cập nhật firmware và ứng dụng để bảo vệ dữ liệu.
Không có phần mềm nào là hoàn hảo. Luôn có khả năng tồn tại lỗi hoặc các lỗ hổng chưa từng được biết đến – và những kẻ tấn công chuyên nghiệp luôn tìm kiếm những lỗ hổng zero-day này để nhắm mục tiêu vào các thiết bị cho mã độc tống tiền và các cuộc tấn công khác. Khi bạn cài đặt một loạt các ứng dụng của bên thứ ba trên NAS của mình, các điểm lỗi tiềm ẩn cũng tăng lên.
Các nhà sản xuất NAS và nhà phát triển ứng dụng thường xuyên tung ra các bản cập nhật khẩn cấp để vá các lỗ hổng. Lý tưởng nhất, hãy bật tính năng tự động cập nhật cho cả hệ điều hành NAS và các ứng dụng bạn đã cài đặt. Và nếu bạn lo lắng việc tự động cập nhật có thể làm hỏng điều gì đó quan trọng, ít nhất hãy tạo thói quen cập nhật thông tin về các vấn đề đã biết và áp dụng các bản cập nhật thủ công ngay khi chúng có sẵn, đặc biệt là khi bạn nghe về các cuộc tấn công lan rộng.
7. Giám Sát Hoạt Động Bất Thường
“Cài đặt rồi quên” là một huyền thoại trong NAS
Nhiều người dùng nghĩ về NAS như một thiết bị “cài đặt rồi quên”, nhưng điều đó hoàn toàn sai, đặc biệt là trong môi trường chuyên nghiệp. Nếu bạn có một mạng lưới các thiết bị NAS hoặc nhiều người đang truy cập dữ liệu của bạn, có rất nhiều điều có thể xảy ra sai sót. Ngay cả với quy trình làm việc và ủy quyền hợp lý, điều quan trọng là phải thường xuyên kiểm tra ai đang sử dụng NAS của bạn và như thế nào.
Việc cảnh giác về việc ai đã truy cập vào những phần nào của NAS của bạn (và khi nào!) có thể giúp bạn phát hiện hoạt động trái phép sớm. Trong trường hợp có sự cố xảy ra, nhật ký truy cập có thể giúp bạn xác định chính xác điểm lỗi. Hãy coi đó không phải là giám sát mà là chủ động giữ cho môi trường dữ liệu của bạn sạch sẽ và an toàn.
Xây Dựng Một Hệ Thống Bảo Mật Toàn Diện Cho NAS Của Bạn
Thiết bị NAS QNAP TS-464 với thiết kế hiện đại, biểu tượng cho giải pháp lưu trữ mạng an toàn và hiệu quả khi được cấu hình bảo mật đúng cách.
Những điều nhỏ bé, thường bị bỏ qua này có thể trở thành một vấn đề lớn nếu kẻ xâm nhập quyết định khai thác chúng. Nhưng việc chạy kiểm tra định kỳ có thể giúp giữ an toàn cho dữ liệu của bạn và NAS của bạn luôn nằm trong tầm kiểm soát. Tất nhiên, còn rất nhiều điều bạn có thể làm để bảo vệ NAS khỏi các cuộc tấn công – nhưng ngay cả khi bạn cảm thấy lười biếng, chỉ cần thực hiện một vài điều trong số này cũng sẽ mang lại hiệu quả đáng kể. Hãy chia sẻ kinh nghiệm của bạn về việc tối ưu bảo mật NAS trong phần bình luận bên dưới, hoặc khám phá thêm các bài viết chuyên sâu về an toàn dữ liệu trên sotaythuthuat.com!
