Bất cứ khi nào thiết bị NAS Synology kết nối internet, tin tặc và hacker đều có khả năng sẽ tấn công NAS Synology của bạn và truy cập trái phép vào dữ liệu. Bài viết này sẽ cung cấp cho bạn các phương pháp khác nhau để tăng cường cài đặt bảo mật của NAS Synology và bảo vệ nó khỏi bị tấn công.

Mục lục nội dung

Nội dung

Trước khi bắt đầu
An ninh
Cấu hình thiết đặt quyền của người dùng DSM
Thiết lập quy tắc độ mạnh mật khẩu
Mật khẩu hết hạn
Bảo vệ tài khoản của bạn bằng xác minh 2 bước
Bật tự động chặn và bảo vệ tài khoản
Kích hoạt kết nối HTTPS
Dịch vụ FTP an toàn
Chỉ mở các cổng công cộng cho các dịch vụ cần thiết trên bộ định tuyến
Kích hoạt bảo vệ DoS
Thay đổi cổng quản lý mặc định
Bật chế độ ẩn danh của trình duyệt hoặc sử dụng tính năng duyệt khách khi truy cập Synology NAS với máy tính công cộng …

1. Trước khi bắt đầu

Bài viết này giả định bạn đã hoàn thành các bước sau:

Hoàn thành cài đặt các thiết bị phần cứng của NAS Synology.
Cài đặt hệ điều hành Disk Station Manager (DSM) trên thiết bị NAS Synology.

2. Về an ninh

Security Advisor, một ứng dụng chạy trên DSM, sẽ quét NAS Synology của bạn, kiểm tra cài đặt DSM và cho lời khuyên về cách giải quyết điểm yếu bảo mật. Bạn có thể giữ NAS Synology của mình an toàn chỉ bằng cách làm theo hướng dẫn của cố vấn bảo mật.

Để quét thiết bị NAS Synology của bạn ngay:

1. Đi tới Main Menu > Security Advisor > Overview. 2. Click Scan. 3. Click Apply.

Đề cài đặt tự động lịch quét:

Đi tới Main Menu > Security Advisor > Advanced.
Tick vào lựa chọn Enable regular scan schedule ở mục chọn Scan Schedule. Lựa chọn thời gian quét từ danh sách xổ xuống.

3. Cấu hình thiết đặt quyền của người dùng DSM

Mặc định, tài khoản administrator của NAS Synology là admin và password trống. Do cài đặt mặc định này, các chi tiết đăng nhập của tài khoản này có thể dễ dàng đoán ra bởi các phần tử độc hại cố gắng đánh cắp từ NAS Synology của bạn. Do đó, để bảo vệ NAS Synology, chúng tôi khuyến nghị bạn nên đặt mật khẩu mạnh ngay sau khi thiết lập NAS Synology. Ngoài ra, bạn cũng có thể tạo tài khoản quản trị viên mới và vô hiệu hóa tài khoản mặc định của hệ thống.

Note:

Nếu bạn quên mật khẩu mới, bạn có thể đặt lại NAS Synology, cho phép bạn đăng nhập bằng thông tin đăng nhập mặc định của quản trị viên.
Khi bạn thêm nhiều người dùng vào NAS Synology, bạn có thể muốn kiểm soát những gì mỗi người dùng có thể truy cập trên NAS Synology. Có 2 cách để quản lý đặc quyền truy cập của người dùng :

1. Cài đặt theo nhóm:

Người dùng có thể được chỉ định trong các nhóm trong quá trình tạo người dùng mới. Mỗi cài đặt nhóm có thể được sửa đổi sau này. Các nhóm khác nhau có thể thiết lập các đặc quyền truy nhập khác nhau và người dùng trong các nhóm đó sẽ kế thừa các đặc quyền truy cập. Có một số loại đặc quyền truy cập bạn có thể đặt cho các nhóm:

- Gán quyền thư mục dùng chung với các cấp sau:
  - No access: Nhóm không thể truy cập vào thư mục chia sẻ.
  - Read/Write: Nhóm có thể truy nhập và thay đổi thư mục chia sẻ.
  - Read only: Nhóm có thể truy cập thư mục chia sẻ nhưng không thể thay đổi thư mục.
- Thiết lập giới hạn sử dụng của nhóm.
- Cấu hình đặc quyền truy cập của nhóm vào các ứng dụng. Có ba lựa chọn:
  - Allow: Nhóm có thể truy cập ứng dụng.
  - Deny: Nhóm không thể truy cập ứng dụng.
  - By IP: Quản lý quyền truy cập theo địa chỉ IP.
- Kích hoạt giới hạn tốc độ của nhóm cho các dịch vụ khác nhau.

2. Theo cài đặt riêng:

Quyền truy cập của người dùng đối với các thư mục và ứng dụng được chia sẻ được xác định bởi các nhóm chứa user. Tuy nhiên bạn có thể sửa đổi thêm các đặc quyền truy cập của nó bằng cách tới Main Menu > Control Panel > User, lựa chọn user và click Edit.

4. Thiết lập quy tắc độ mạnh mật khẩu

Một số quy tắc xác thực mật khẩu có thể được bật để giảm nguy cơ tin tặc xâm nhập vào tài khoản người dùng.

Note:

Quy tắc độ mạnh mật khẩu chỉ áp dụng khi người dùng mới được tạo hoặc khi người dùng thay đổi mật khẩu sau khi quy tắc được thiết lập. Khi import người dùng, mật khẩu của người dùng đã nhập sẽ không được kiểm tra theo các quy tắc. Các quy tắc sẻ chỉ áp dụng khi người dùng thay đổi mật khẩu sau khi quy tắc được thiết lập.

Cách thiết lập:

1. Đi tới Main Menu > Control Panel > User.

2. Đi tới trang Advanced. Tick vào Apply password strength rules và kích hoạt bất kỳ quy tắc nào sau đây:

Exclude name and description of user from password: Mật khẩu không được chưa tên hoặc mô tả người dùng, nhưng mã hóa ký tự UTF-8 được loại trừ.
Include mixed case: Cho phép các ký tự trộn trong mật khẩu.
Include numeric characters: Mật khẩu phải bao gồm ít nhất một ký tự số (0~9).
Include special characters: Mật khẩu phải bao gồm ít nhất một ký tự đặc biệt trong bảng mã ASCII (VD, ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ‘, “, <, >, /, ?).
Exclude common password: Mật khẩu không thể là mật khẩu phổ biết như 123 hoặc abc.
Minimal password length: Mật khẩu phải dài hơn giá trị này. Độ dài của mật khẩu là số trong khoảng 6 tới 127.
Password history (times): Số lượng được chỉ định xác định số lần người dùng sẽ bị cấm sử dụng mật khẩu cũ.

3. Click Apply để lưu lại cấu hình.

5. Mật khẩu hết hạn

Bạn có thể tăng cường bảo mật tài khoản người dùng bằng chức năng hết hạn mật khẩu để buộc người dùng thay đổi mật khẩu sau khoảng thời gian được chỉ định. Để thiết lập lịch trình hết hạn mật khẩu:

1. Tick vào Enable password expiration.

2. Các tùy chọn sau có thể cấu hình:

- Maximum password valid duration (days): Chỉ định số ngày sau đó mật khẩu sẽ hết hạn.
- Minimum password valid duration (days): Tick vào mục chọn để chỉ định số ngày trước đó người dùng không được phép thay đổi mật khẩu của họ.
- Prompt users to change passwords upon login before expiration (days): Tick vào mục chọn để chỉ định số ngày trước khi mật khẩu hết hạn. Người dùng sẽ được nhắc nhở thay đổi mật khẩu khi đăng nhập.
- Allow users to change password after expiration: Tick vào mục chọn để cho phép user đăng nhập bằng mật khẩu đã hết hạn và thay đổi mật khẩu của họ..
- Send expiration notification emails: Tick vào mục chọn để thông báo cho người dùng hết hạn mật khẩu qua mail.

3. Click Apply để lưu cấu hình.

6. Bảo vệ tài khoản của bạn bằng xác minh 2 bước

Xác minh 2 bước cung cấp thêm lớp bảo mật bổ sung cho tài khoản DSM của bạn. Nếu xác minh 2 bước được bật, bạn sẽ cần nhập mã xác minh một lần bên cạnh mật khẩu của mình khi đăng nhập vào DSM. Bạn có thể lấy mã xác minh bằng các ứng dụng xác thực bằng các ứng dụng xác thực được cài đặt trên thiết bị di động của bạn. Do đó, nếu ai đó muốn truy cập vào tài khoản của bạn, anh ta sẽ cần thêm thiết bị di động của bạn. Yêu cầu:

Xác thực 2 bước yêu cầu thiết bị di động và ứng dụng xác thực hỗ trợ giao thức Time-based One-Time Password (TOTP). Các ứng dụng xác thực bao gồm Google Authenticator (Android/iPhone/BlackBerry) hoặc Authenticator (Windows Phone).

Để bật xác minh 2 bước: 1. Trong mục Options menu, click Personal.

2. Tick vào mục chọn Enable 2-step verification để chạy thiết lập xác minh 2 bước. Click Next.

3. Nhập địa chỉ email. Mã xác minh khẩn cấp có thể được gửi đến địa chỉ email này trong trường hợp thiết bị di động của bạn bị mất. Click Next. 4. Trên thiết bị di động của bạn, tải xuống và cài đặt ứng dụng xác thực, ví dụ như Google Authenticator (Android/iPhone/BlackBerry) hoặc Authenticator (Windows Phone). 5. Mở ứng dụng xác thực và quét mã QR code. 6. Ngoài ra bạn có thể nhấp vào địa chỉ liên kết để nhập khóa bí mật theo cách thủ công. Click OK để đóng cửa sổ. 7. Tiếp theo, ứng dụng xác thực của bạn tạo ra mã xác thực gồm 6 chữ số.Nhập mã này vào trường xác thực cài đặt xác minh 2 bước trên DSM để xác nhận cấu hình này là chính xác. Nếu xảy ra lỗi, vui lòng đảm bảo thời gian hệ thống của thiết bị di động của bạn được đồng bộ hóa với thời gian hệ thống của DSM. Ngoài ra mã xác minh được cập nhật định kỳ, vì vậy hay đảm bảo mã bạn đã nhập chưa hết hạn. Click Next. 8. Click Close để kết thúc cài đặt. 9. Khi trình hướng dẫn kết thúc, click OK để lưu lại cài đặt.

Để đăng nhập vào DSM bằng xác minh 2 bước:

Khi bật xác minh 2 bước, bạn sẽ được nhắc nhở nhập mã xác minh gồm 6 chữ số khi đăng nhập DSM. 1. Trên màn hình login DSM, nhập username và password. Khi được nhắc nhập mã xác thực, hãy mở ứng dụng xác thực trên thiết bị di động của bạn. Tìm và nhập mã xác minh gồm 6 chữ số cho tài khoản của bạn. Note: Nếu thiết bị di động của bạn bị mất, bạn có thể click Lost your phone? Và một mã khẩn cấp sẽ được gửi đến địa chỉ email của bạn.

SMTP Settings:

Để nhận mã khẩn cấp qua email, cài đặt máy chủ SMTP được tìm thấy trong Main Menu > Control Panel > Notificationphải được thiết lập.
Emergency Code Limit: Mỗi người dùng có giới hạn 5 mã khẩn cấp. Nếu bạn vượt quá giới hạn, bạn sẽ cần phải tắt và bật xác minh 2 bước trước khi nhận thêm bất kỳ mã khẩn cấp nào.

7. Bật tự động chặn và bảo vệ tài khoản

Auto block: Chặn một địa chỉ IP sau một số lần đăng nhập thất bại được xác định trước. Tự động chống lại truy cập trái phép. Số lần đăng nhập bao gồm tất cả các lần đăng nhập thất bại thông qua SSH, Telnet, rsync, Network Backup, Shared Folder Sync, FTP, WebDAV, Synology mobile apps, File Station, và DSM.

Bật chế độ chặn IP tự động.

1. Đi tới Main Menu > Control Panel > Security > Account. 2. Tick Enable auto block phía dưới Auto Block. 3. Nhập số cho các lần thử đăng nhập Login attempts trong vòng bao nhiêu phút Within (minutes) để chặn địa chỉ IP sau số lần đăng nhập thất bại được xác định trước trong số phút đã chỉ định. 4. Tick Enable block expiration và nhập số để xóa địa chỉ IP bị chặn sau số ngày được chỉ định. 5. Click Apply. 6. Bạn có thể quản lý hoặc xóa địa chỉ IP bị chặn bằng cách nhấp vào Allow/Block List.

Bảo vệ tài khoản: Cải thiện tính bảo mật của NAS Synology bằng cách bảo vệ tài khoản khỏi các máy khách không đáng tin cậy quá nhiều lần thử đăng nhập thất bại. Bảo vệ tài khoản giúp bạn giảm nguy cơ tài khoản bị phá vở bởi các cuộc tấn công.

Kích hoạt bảo vệ tài khoản:

1. Đi tới Main Menu > Control Panel > Security > Account. 2. Tick vào mục chọn Enable Account Protection. Click Apply.

Note:

Hỗ trợ bảo vệ tài khoản theo dịch vụ và gói: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station, và Synology mobile apps.

8. Kích hoạt kết nối HTTPS

HTTPS là một cách tương tác an toàn với NAS Synology bằng cách sử dụng HTTP. Khi kết nối HTTPS được bật, kết nối tới DSM, Web Station, Photo Station, File Station, Audio Station, và Surveillance Station sẽ mã hóa sử dụng SSL/TLS. Điều này có nghĩa kết nối của bạn tới NAS Synology sẽ được bảo mật.

9. Dịch vụ FTP an toàn

NAS Synology hỗ trợ bảo mật FTP khi dịch vụ FTP được bật.

10. Chỉ mở các cổng công cộng cho các dịch vụ cần thiết trên bộ định tuyến

NAS Synology được thiết kế để dễ dàng truy cập qua Internet. Tính năng EZ-Internet của nó hướng dẫn các bước để thiết lập quyền truy cập từ xa vào NAS Synology của bạn. Nếu bộ định tuyến của bạn không được EZ-Internet hỗ trợ, NAS Synology cũng có thể cho phép bạn cấu hình cài đặt không cần EZ-Internet Wizard. Để đảm bảo an toàn cho NAS Synology, chúng tôi khuyến nghị chỉ nên mở các cổng công cộng cho các dịch vụ cần thiết trên bộ định tuyến.

11. Kích hoạt bảo vệ DoS

Bạn có thể bật bảo vệ Denial-of-service (DoS) để ngăn chặn các cuộc tấn công độc hại qua internet.

Kích hoạt bảo vệ DoS:

1. Đi tới Main Menu > Control Panel > Security > Protection. 2. Tick vào mục chọn Enable DoS protection. Click Apply.

Note:

Sau khi bật bảo vệ DoS, NAS Synology sẽ phản hồi mỗi gói tin ICMP mỗi giây. Nếu tần số cao hơn một giây mỗi lần, NAS Synology sẽ không đáp ứng yêu cầu phản hồi.

12. Thay đổi cổng quản lý mặc định

Bạn có thể tùy chỉnh các cổng để chặn các đăng nhập độc hại. Sau đây là các cổng mặc định:

HTTP: 5000
HTTPS: 5001
SSH: 22

Thay đổi cổng HTTP/HTTPS mặc định:

1. Đi tới Main Menu > Control Panel > Network > DSM Settings. 2. Nhập số port bạn cần thay đổi ở trường HTTP hoặc HTTPS. Click Apply.

Thay đổi cổng SSH mặc định:

1. Đi tới Main Menu > Control Panel > Terminal & SNMP > Terminal. 2. Tick vào mục chọn Enable SSH service. 3. Nhập số port bạn cần thay đổi ở trường Port. Click Apply.

13. Bật chế độ ẩn danh của trình duyệt hoặc sử dụng tính năng duyệt khách khi truy cập NAS Synology bằng máy tính công cộng

Bất cứ khi nào bạn duyệt ở chế độ ẩn danh, các trang bạn xem sẽ không xuất hiện trong lịch sử trình duyệt hoặc lịch sử tìm kiếm, sẽ không để lại dấu vết như cookie, sau khi bạn đóng cửa sổ ẩn danh. Do đó chúng tôi khuyến khích người dùng kích hoạt chế độ ẩn danh của trình duyệt khi truy cập NAS Synology trên máy tính công cộng.

Mozilla Firefox
Microsoft Edge
Google Chrome

Nhằm hỗ trợ tối đa cho khách hàng trong mùa dịch, Mstar Corp cam kết:

Lên Proposal đáp ứng nhu cầu thực thế cho từng doanh nghiệp.
Miễn phí giao hàng và lắp đặt giải pháp
Tặng kèm gói hướng dẫn sử dụng và Hỗ trợ kỹ thuật
30 ngày đổi trả sản phẩm

Xem thêm các bài viết để biết thêm NAS Synology:

TẠI SAO DOANH NGHIỆP ĐỀU CẦN SỬ DỤNG THIẾT BỊ LƯU TRỮ – NAS SYNOLOGY TẠI SAO MUA NAS SYNOLOGY TẠI MSTAR CORP GIẢI PHÁP ĐỒNG BỘ DỮ LIỆU TRÊN NAS SYNOLOGY

Mstar Corp là Service Provider của Synology tại Việt Nam. Có đội ngũ IT trình độ chuyên môn cao về NAS Synology cũng như các sản phẩm của Synology. Đã có kinh nghiệm triển khai nhiều dự án từ doanh nghiệp nhỏ cho đến lớn, hay cả đơn vị chính phủ. Liên hệ ngay với đội ngũ Mstar Corp để được hỗ trợ tư vấn về các sản phẩm.

Tham gia Group những người dùng NAS Synology để cùng tìm hiểu sâu hơn về NAS Synology tại đây nhé: Synology Vietnam | Hỗ trợ kỹ thuật – Giải Pháp NAS

Xem thêm các sản phẩm của Synology TẠI ĐÂY

MODEL ĐỀ XUẤT

Mô hình
Mô hình	DS220+ Mua ngay	DS920+ Mua ngay	DS1520+ Mua ngay	DS1621+ Mua ngay
Số lượng users	10-20 người dùng	20-30 người dùng	50-100 người dùng	100 – 150 người dùng
Số bay	2-bay	4 bays có thể mở rộng thành 9 bays	5 bays có thể mở rộng thành 15 bays	6 bays có thể mở rộng thành 16 bays
RAM	2 GB DDR4	4 GB DDR4	4 GB DDR4	4 GB DDR4
Hỗ trợ SSD	SSD SATA 2,5 “	2,5 “SATA SSD M.2 2280 NVMe SSD	2,5 “SATA SSD M.2 2280 NVMe SSD	3.5 “SATA HDD 2.5″ SATA HDD 2.5 “SATA SSD M.2 2280 NVMe SSD
Khoang ổ đĩa M.2	0	2 (NVMe)	2 (NVMe)	2 (NVMe)