Tulisan ini diterjemahkan dari sini.
Apakah Anda menggunakan produk dan perangkat Synology? kami telah menyiapkan 10 tips keamanan data untuk membantu Anda mengamankan perangkat Synology dari kejahatan online.
Beberapa tahun terakhir, kita telah menyaksikan peningkatan dramatis dalam ancaman keamanan siber. Menurut laporan The New York Times, lebih dari 200.000 organisasi diserang dengan ransomware pada 2019, naik 41% dari tahun sebelumnya.
Untuk membantu Anda melindungi diri sendiri, kami telah menyusun daftar setelan keamanan data yang penting namun sering diabaikan. Di bagian akhir kami telah menyertakan bonus tips yang dapat membantu Anda memastikan integritas data – pilar lain dari perlindungan data.
Catatan: Sebagian besar pengaturan yang tercantum di bawah ini hanya dapat diakses dan diubah oleh akun pengguna dengan hak administratif.
Tip 1: Tetap up to date dan aktifkan notifikasi
Kami merilis update DSM secara teratur untuk memberikan peningkatan fungsional dan performa, juga untuk mengatasi kerentanan keamanan produk.
Setiap kali kerentanan keamanan muncul, Tim Product Security Incident Response (PSIRT) dari Synology akan melakukan penilaian dan investigasi dalam 8 jam dan merilis patch dalam 15 jam ke depan untuk membantu mencegah potensi kerusakan dari serangan zero-day.
Untuk sebagian besar pengguna, kami sangat menyarankan agar Anda menyiapkan pembaruan otomatis agar pembaruan DSM terbaru dapat terinstal secara otomatis. *
Banyak perangkat Synology memiliki opsi untuk menjalankan Virtual DSM di dalam Virtual Machine Manager, untuk membuat versi virtual dari sistem operasi DSM. Gunakan DSM Virtual untuk membuat lingkungan staging, lalu replikasi atau coba mereproduksi lingkungan produksi Anda di dalamnya. Lakukan uji peningkatan dengan menginstal versi DSM terbaru pada DSM Virtual Anda dan verifikasi kunci fungsionalitas utama yang diperlukan penerapan Anda saat ini sebelum melanjutkan dengan pembaruan di lingkungan utama Anda.
Hal penting lainnya yang perlu dipertimbangkan adalah tetap mengetahui hal-hal yang terjadi. Atur pemberitahuan pada NAS Synology Anda dan dapatkan pemberitahuan melalui email, SMS pada ponsel Anda, atau melalui browser web Anda ketika terjadi peristiwa atau kesalahan tertentu. Jika menggunakan layanan DDNS Synology, Anda dapat memilih untuk diberi tahu ketika konektivitas jaringan eksternal hilang. Bertindak segera setelah pemberitahuan untuk volume penyimpanan kehabisan ruang, atau ketika tugas pencadangan dan pemulihan gagal adalah bagian penting untuk memastikan keamanan jangka panjang data Anda.
Kami juga mendorong Anda untuk mengatur Akun Synology Anda untuk menerima NAS dan buletin security advisory kami untuk mengikuti update keamanan dan fitur terbaru.
* Pembaruan otomatis hanya mendukung pembaruan DSM kecil. Pembaruan besar memerlukan penginstalan manual.
Tip 2: Jalankan Security Advisor
Security Advisor adalah aplikasi prainstal yang dapat memindai NAS Anda untuk masalah konfigurasi DSM umum, memberi Anda saran tentang apa yang mungkin perlu Anda lakukan selanjutnya untuk menjaga NAS Synology Anda tetap aman. Misalnya, aplikasi ini dapat mendeteksi hal-hal umum seperti membiarkan akses SSH terbuka, jika ada aktivitas log in yang tidak normal terjadi, dan jika file sistem DSM telah dimodifikasi.
Tip 3: Fitur Keamanan DSM Dasar untuk Pengaturan
Anda dapat mengkonfigurasi sejumlah pengaturan keamanan di Panel Kontrol> tab Keamanan untuk mengamankan akun pengguna Anda.
Blokir Otomatis IP
Buka Control Panel dan buka Security> Auto Block. Aktifkan Auto Block untuk secara otomatis memblokir alamat IP klien yang gagal masuk dalam waktu dan periode tertentu. Administrator juga dapat memasukkan alamat IP tertentu ke dalam daftar hitam untuk mencegah potensi serangan brute force atau denial-of-service.
Konfigurasikan jumlah percobaan berdasarkan lingkungan penggunaan dan jenis pengguna yang akan dilayani perangkat Anda secara teratur. Perlu diingat bahwa sebagian besar rumah dan bisnis hanya akan memiliki satu alamat IP eksternal untuk penggunanya dan alamat IP tersebut sering kali dinamis dan akan berubah setelah beberapa hari atau minggu.
Perlindungan Akun
Meskipun Auto Block mem-blacklist alamat IP yang gagal dalam satu waktu saat terlalu banyak upaya autentikasi, Account Protection melindungi akun pengguna dengan memblokir akses klien yang tidak tepercaya.
Buka Control Panel> Security> Account Protection. Anda dapat mengaktifkan Perlindungan Akun untuk melindungi akun dari klien yang tidak tepercaya setelah sejumlah kegagalan masuk. Ini meningkatkan keamanan DSM Anda dan mengurangi risiko akun menjadi mangsa dari serangan brute-force ke serangan yang terdistribusi.
Aktifkan HTTPS
Dengan diaktifkannya HTTPS, Anda dapat mengenkripsi dan mengamankan lalu lintas jaringan antara NAS Synology dan klien yang terhubung, yang melindungi dari bentuk penyadapan umum atau serangan man-in-the-middle.
Buka Control Panel> Network> DSM Settings. Centang kotak untuk Secara otomatis mengalihkan koneksi HTTP ke HTTPS. Anda sekarang akan terhubung ke DSM melalui HTTPS. Di address bas, Anda akan melihat bahwa URL perangkat Anda dimulai dengan “https: //” bukan “http: //”. Perhatikan bahwa nomor port default untuk https adalah 443, sedangkan http secara default menggunakan port 80. Jika Anda memiliki firewall atau pengaturan jaringan tertentu sebelumnya, Anda mungkin perlu meng-update-nya.
Tingkat Lanjut: Sesuaikan aturan Firewall
Firewall berfungsi sebagai penghalang virtual yang memfilter lalu lintas jaringan dari sumber eksternal sesuai dengan aturan yang ditetapkan. Buka Control Panel> Security> Firewall untuk menyiapkan aturan firewall guna mencegah login yang tidak sah dan mengontrol akses layanan. Anda dapat memutuskan apakah akan mengizinkan atau menolak akses ke port jaringan tertentu dengan alamat IP tertentu, cara yang baik untuk misalnya, mengizinkan akses jarak jauh dari kantor tertentu atau hanya mengizinkan akses ke layanan atau protokol tertentu.
Tip 4: HTTPS Bagian 2 – Let’s Encrypt
SSL memainkan peran kunci dalam mengaktifkan HTTPS, tetapi seringkali mahal dan sulit untuk dipertahankan, terutama untuk pengguna non-bisnis. DSM memiliki dukungan bawaan untuk Let’s Encrypt, organisasi penerbit sertifikat gratis dan otomatis, untuk memungkinkan siapa saja mengamankan koneksi mereka dengan mudah.
Jika Anda sudah memiliki domain terdaftar atau menggunakan DDNS, buka Control Panel> Security> Certificate. Klik Add a new certificate > Get a certificate from Let’s Encrypt, untuk sebagian besar pengguna, Anda harus mencentang “Set as default certificate” *. Masukkan nama domain Anda untuk mendapatkan sertifikat.
Setelah Anda mendapatkan sertifikat, pastikan semua lalu lintas Anda melalui HTTPS (seperti yang tercantum di Tip # 3).
* Jika Anda telah menyiapkan perangkat untuk menyediakan layanan melalui beberapa domain atau sub-domain, Anda perlu mengonfigurasi sertifikat mana yang digunakan oleh setiap layanan di Control Panel > Security > Certificate > Configure
Tip 5: Nonaktifkan akun admin default
Nama pengguna administrator yang umum dapat membuat NAS Synology Anda rentan terhadap pihak tidak bertanggung jawab yang menggunakan serangan brute force dengan menggunakan kombinasi nama pengguna dan sandi umum. Hindari nama umum seperti “admin”, “administrator”, “root” * saat mengatur NAS Anda. Kami menyarankan Anda juga untuk membuat kata sandi yang kuat dan unik tepat setelah mengatur NAS Synology Anda dan untuk menonaktifkan akun admin default sistem **.
Jika Anda saat ini masuk menggunakan akun pengguna “admin”, buka Control Panel> User dan buat akun administratif baru. Kemudian masuk menggunakan akun baru dan nonaktifkan “admin” dari default sistem.
* “Root” tidak diperbolehkan sebagai nama pengguna.
** Jika disiapkan menggunakan nama pengguna selain “admin”, akun default sudah siap dinonaktifkan.
Tip 6: Kekuatan Kata Sandi
Kata sandi yang kuat melindungi sistem Anda dari akses yang tidak sah. Buat kata sandi yang rumit yang menggabungkan huruf besar kecil, angka, dan karakter khusus dengan cara yang hanya dapat Anda ingat.
Menggunakan kata sandi umum untuk banyak akun juga merupakan undangan untuk peretas. Jika sebuah akun disusupi, peretas dapat dengan mudah mengendalikan akun Anda yang lain. Ini terjadi secara teratur untuk situs web dan penyedia layanan lainnya. Kami merekomendasikan mendaftar dengan layanan pemantauan publik seperti Have I Been Pwned atau Firefox Monitor.
Jika Anda kesulitan mengingat kata sandi yang rumit dan unik untuk akun yang berbeda, pengelola kata sandi (seperti 1Password, LastPass, atau Bitwarden) bisa menjadi solusi terbaik Anda. Anda hanya perlu mengingat satu kata sandi – kata sandi utama – dan pengelola kata sandi akan membantu Anda membuat dan mengisi kredensial masuk untuk semua akun Anda yang lain.
Jika Anda mengelola NAS Synology yang menangani otentikasi *, Anda dapat menyesuaikan kebijakan kata sandi pengguna untuk memperketat persyaratan keamanan kata sandi untuk semua akun pengguna baru. Buka Control Panel> User> Advanced dan centang kotak Apply aturan kekuatan kata sandi di bawah bagian Password Setting. Kebijakan ini akan diterapkan ke setiap pengguna yang membuat akun baru.
* Opsi serupa juga tersedia dalam paket Server LDAP dan Server Direktori.
Tip 7: verifikasi 2 langkah
Jika Anda ingin menambahkan lapisan keamanan ekstra ke akun Anda, kami sangat menyarankan agar Anda mengaktifkan verifikasi 2 langkah. Untuk menerapkan verifikasi 2 langkah pada akun DSM dan NAS Synology, Anda memerlukan perangkat seluler dan aplikasi pengautentikasi yang mendukung protokol Time-based One-Time Password (TOTP).
Untuk login, diperlukan kredensial pengguna Anda dan kode 6 digit terbatas waktu yang diambil dari Microsoft Authenticator, Authy, atau aplikasi pengautentikasi lainnya untuk mencegah akses tidak sah.
Jika Anda kehilangan ponsel dengan aplikasi pengautentikasi *, Anda dapat menggunakan kode cadangan yang disediakan selama penyiapan otentikasi 2 langkah untuk masuk. Penting untuk menjaga keamanan kode-kode ini dengan mengunduhnya di suatu tempat atau mencetaknya. Ingatlah untuk menjaga kode ini tetap aman tetapi dapat diakses.
Di DSM, jika Anda kehilangan pengautentikasi, Anda dapat mengatur ulang verifikasi 2 langkah sebagai upaya terakhir. Pengguna yang termasuk dalam grup administrator dapat menyetel ulang konfigurasi.
Jika semua akun administrator tidak lagi dapat diakses, Anda perlu mengatur ulang kredensial dan pengaturan jaringan pada perangkat Anda. Tahan tombol RESET perangkat keras pada NAS Anda selama sekitar 4 detik (Anda akan mendengar bunyi bip) lalu luncurkan NAS Synology Assistant untuk mengkonfigurasi ulang perangkat Anda. **
* Beberapa aplikasi otentikasi mendukung metode pencadangan dan pemulihan berbasis akun pihak ketiga. Evaluasi persyaratan keamanan Anda versus kenyamanan dan opsi pemulihan bencana.
** SHA, VMM, automount folder bersama terenkripsi, beberapa pengaturan keamanan, akun pengguna, dan pengaturan port akan disetel ulang.
Tip 8: Ubah port default
Meskipun mengubah port HTTP (5000) dan HTTPS (5001) default DSM ke port khusus tidak dapat mencegah serangan yang ditargetkan, hal itu dapat mencegah ancaman umum yang hanya menyerang layanan yang telah ditentukan sebelumnya. Untuk mengubah port default, buka Control Panel> Network> DSM Settings dan sesuaikan nomor port. Sebaiknya ubah port SSH (22) default jika Anda secara teratur menggunakan akses shell.
Anda juga dapat menerapkan proxy balik untuk mengurangi potensi vektor serangan hanya ke layanan web tertentu untuk meningkatkan keamanan. Sebuah reverse proxy bertindak sebagai perantara untuk komunikasi antara server internal (biasanya) dan klien jarak jauh, menyembunyikan informasi tertentu tentang server, seperti alamat IP sebenarnya.
Tip 9: Nonaktifkan SSH / telnet jika tidak digunakan
Jika Anda adalah pengguna mahir dalam menggunakan NAS Synology yang sering membutuhkan akses shell, ingatlah untuk menonaktifkan SSH / telnet saat tidak digunakan. Karena akses root diaktifkan secara default dan SSH / telnet hanya mendukung masuk dari akun admin, peretas dapat memaksa kata sandi Anda untuk mendapatkan akses tidak sah ke sistem Anda. Jika Anda ingin layanan terminal selalu tersedia, kami menganjurkan agar Anda menyetel kata sandi yang kuat dan mengubah nomor port SSH default (22) untuk meningkatkan keamanan. Anda juga dapat mempertimbangkan untuk memanfaatkan VPN dan membatasi akses SSH hanya ke IP lokal atau tepercaya.
Tip 10: Enkripsi Folder Bersama
DSM mendukung enkripsi AES-256 dari folder bersama Anda untuk mencegah ekstraksi data dari ancaman fisik. Admin dapat mengenkripsi folder bersama yang baru dibuat dan yang sudah ada.
Untuk mengenkripsi folder bersama yang ada, buka Control Panel > Shared Folder dan Edit folder. Siapkan kunci enkripsi di bawah tab Enkripsi dan DSM akan mulai mengenkripsi folder. Kami sangat menyarankan untuk menyimpan file kunci yang dibuat di lokasi yang aman, karena data terenkripsi tidak dapat dipulihkan tanpa frasa sandi yang digunakan atau file kunci.
Tips bonus: Integritas Data
Keamanan data terkait erat dengan konsistensi dan akurasi data Anda – integritas data. Keamanan data adalah prasyarat untuk integritas data, karena akses yang tidak sah dapat menyebabkan gangguan data atau kehilangan data, membuat data penting Anda tidak berguna.
Ada dua langkah yang dapat Anda lakukan untuk memastikan keakuratan dan konsistensi data Anda: mengaktifkan checksum data dan menjalankan S.M.A.R.T. tes secara teratur.
Lebih penting dari sebelumnya
Ancaman online selalu berkembang dan keamanan data harus memiliki banyak aspek yang sama. Karena semakin banyak perangkat yang terhubung diperkenalkan di rumah dan di kantor. kini penjahat dunia maya menjadi lebih mudah untuk mengeksploitasi lubang keamanan dan mendapatkan akses ke jaringan Anda. Tetap aman bukanlah sesuatu yang Anda lakukan sekali dan kemudian Anda lupakan, ini adalah proses yang berkelanjutan.