Recientemente, algunos propietarios de Synology descubrieron que todos los archivos de su sistema NAS estaban cifrados. Desafortunadamente, algún ransomware había infectado el NAS y exigió un pago para restaurar los datos. Esto es lo que puede hacer para proteger su NAS.
Tabla de contenido
Cómo evitar el ataque de ransomware
Synology es advertir a los propietarios de NAS de varios ataques de ransomware que afectaron a algunos usuarios recientemente. Los atacantes utilizan métodos de fuerza bruta para adivinar la contraseña predeterminada; básicamente, prueban todas las contraseñas posibles hasta que encuentran una coincidencia. Una vez que encuentran la contraseña correcta y obtienen acceso al dispositivo de almacenamiento conectado a la red, los piratas informáticos cifran todos los archivos y exigen un rescate.
Tienes varias opciones para elegir para prevenir ataques como este. Puede deshabilitar el acceso remoto por completo, permitiendo solo conexiones locales. Si necesita acceso remoto, puede configurar una VPN para restringir el acceso a su NAS. Y si una VPN no es una buena opción (debido a redes lentas, por ejemplo), puede fortalecer sus opciones de acceso remoto.
Opción 1: deshabilitar el acceso remoto
La opción más segura que puede elegir es deshabilitar por completo las funciones de conexión remota. Si no puede acceder a su NAS de forma remota, tampoco puede hacerlo un pirata informático. Perderá algo de comodidad en los desplazamientos, pero si solo trabaja con su NAS en casa (para ver películas, por ejemplo), es posible que no se pierda las funciones remotas en absoluto.
Las unidades NAS de Synology más recientes incluyen una función QuickConnect. QuickConnect se encarga del arduo trabajo de habilitar funciones remotas. Con la función activada, no es necesario configurar el reenvío de puertos del enrutador.
Para eliminar el acceso remoto a través de QuickConnect, inicie sesión en la interfaz de su NAS. Abra el panel de control y haga clic en la opción «QuickConnect» en Conectividad en la barra lateral. Desmarque «Habilitar conexión rápida» y luego haga clic en Aplicar.
Sin embargo, si habilitó el reenvío de puertos en su enrutador para obtener acceso remoto, deberá deshabilitar esa regla de reenvío de puertos. Para deshabilitar el reenvío de puertos, debe buscar la dirección IP de su enrutador y usarla para iniciar sesión.
Luego, consulte el manual de su enrutador para encontrar la página de reenvío de puertos (cada modelo de enrutador es diferente). Si no tiene el manual de su enrutador, puede intentar una búsqueda web para el número de modelo de su enrutador y la palabra «manual». El manual le mostrará dónde buscar las reglas de reenvío de puertos de salida. Desactive las reglas de reenvío de puertos para la unidad NAS.
Opción 2: use una VPN para acceso remoto
Recomendamos no exponer su Synology NAS a Internet. Pero si tiene que conectarse de forma remota, le recomendamos que configure una red privada virtual (VPN). Con un servidor VPN instalado, no accederá directamente a la unidad NAS. En cambio, se conectará al enrutador. El enrutador, a su vez, lo tratará como si estuviera en la misma red que el NAS (todavía en casa, por ejemplo).
Puede descargar un servidor VPN en su Synology NAS desde el Centro de paquetes. Simplemente busque «vpn» y elija la opción de instalación en VPN Server. Cuando abra por primera vez el servidor VPN, verá una selección de protocolos PPTP, L2TP / IPSec y OpenVPN. Recomendamos OpenVPN, ya que es la opción más segura de las tres.
Puede seguir con todos los valores predeterminados de OpenVPN, aunque si desea acceder a otros dispositivos en la red cuando está conectado a través de VPN, deberá marcar «Permitir que los clientes accedan a la LAN del servidor» y luego hacer clic en «Aplicar».
Luego, deberá configurar el reenvío de puertos en su enrutador al puerto que está usando OpenVPN (por defecto, 1194).
Si está utilizando OpenVPN para su VPN, necesitará un cliente VPN compatible para acceder. Te sugerimos Conexión OpenVPN, que está disponible para Ventanas, Mac OS, iOS, Androide, e incluso Linux.
Opción 3: Acceso remoto seguro tanto como sea posible
Si necesita acceso remoto y VPN no es una solución viable (tal vez debido a velocidades de Internet más lentas), entonces debe asegurar el acceso remoto tanto como sea posible.
Para proteger el acceso remoto, debe iniciar sesión en el NAS, abrir el Panel de control y luego seleccionar Usuarios. Si el administrador predeterminado está activado, cree una nueva cuenta de usuario administrador (si aún no tiene una) y desactive el usuario administrador predeterminado. La cuenta de administrador predeterminada es la primera cuenta que el ransomware suele atacar. El usuario invitado suele estar desactivado de forma predeterminada, y debe dejarlo así a menos que tenga una necesidad específica.
Debe asegurarse de que los usuarios que haya creado para el NAS tengan contraseñas complicadas. Recomendamos usar un administrador de contraseñas para ayudar con eso. Si comparte el NAS y permite que otras personas creen cuentas de usuario, asegúrese de aplicar contraseñas seguras.
Encontrará la configuración de la contraseña en la pestaña Avanzado de los perfiles de usuario en el Panel de control. Debe marcar incluir mayúsculas y minúsculas, incluir caracteres numéricos, incluir caracteres especiales y excluir opciones de contraseña comunes. Para una contraseña más segura, aumente la longitud mínima de la contraseña a al menos ocho caracteres, aunque más larga es mejor.
Para evitar ataques de diccionario, un método en el que un atacante adivina tantas contraseñas lo más rápido posible, habilite el bloqueo automático. Esta opción bloquea automáticamente las direcciones IP después de que adivinan una cierta cantidad de contraseñas y fallan en un corto período de tiempo. El bloqueo automático está activado de forma predeterminada en las unidades Synology más nuevas y lo encontrará en Panel de control> Seguridad> Cuenta. La configuración predeterminada evitará que una dirección IP realice otro intento de inicio de sesión después de diez fallas en cinco minutos.
Por último, considere activar su servidor de seguridad de Synology. Con un firewall habilitado, solo los servicios que especifique como permitidos en el firewall serán accesibles desde Internet. Solo tenga en cuenta que con el firewall activado, deberá hacer excepciones para algunas aplicaciones como Plex y agregar reglas de reenvío de puertos si está utilizando una VPN. Encontrará la configuración del firewall en Panel de control> Firewall de seguridad.
La pérdida de datos y el cifrado de ransomware siempre es una posibilidad con una unidad NAS, incluso cuando se toman precauciones. En última instancia, un NAS no es un sistema de copia de seguridad y lo mejor que puede hacer es realizar copias de seguridad de los datos fuera del sitio. De esa manera, si ocurriera lo peor (ya sea ransomware o fallas múltiples en el disco duro), puede restaurar sus datos con una pérdida mínima.