2а (опционально) — настраиваем двухфакторную аутентификацию
Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.): чертовски удобно.
Двухфакторная и беспарольная аутентификации работают только в пределах Web-интерфейса Synology: это полезно для таких встроенных приложений, как Web-почта, календарь, офисный пакет или чат. Да, всё это может быть запущено в пределах одного NAS, что избавит вас от зависимости от интернет-сервисов. Тем не менее, протоколы файлового и терминального доступа остаются зависимы только от пары логин/пароль, поэтому защита от перебора остаётся важным шагом в настройке безопасности.
3 — включаем защиту от перебора паролей
По умолчанию эта опция отключена, но Synology предлагает два уровня защиты. Первый — это временная блокировка самой учётной записи, на которую идёт атака. Это наиболее экологичный вид защиты, потому что если атакующий использует IP-адреса вашей подсети или подсети ваших клиентов, работа сервисов не пострадает.
Также можно по-старинке блокировать IP адреса атакующих, для чего открываем панель управления -> безопасность -> защита и включаем блокировку IP адреса при 10 ошибочных логинах в течение 5 минут. Удаление IP-адреса блокировщика можно поставить через 1-2 дня, и здесь же имеет смысл добавить локальные подсети или доверенные IP-адреса в белый список, чтобы исключить их блокировку, когда например зловред имеет своей целью специально заблокировать хост, выполняя бескнечный брутфорс NAS-а.
На этой же вкладке можно включить защиту от DoS атак без каких-либо дополнительных настроек.
9 — защита Data at Work
Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS-ах, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплоитов Meltdown и Spectre , благодаря чему заражённая виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьёзно замедляющие операции случайного чтения с дисковой подсистемы.
В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology собственный код, то проследуйте в панель управления, в закладку Security — Advanced и включите защиту от Meltdown и Spectre. Если вы точно знаете, что никаких сторонних программ никто в пределах виртуалок запускать не будет, можете этого не делать.
Внешний вид и порты
Устройство крайне небольшое и сравнимо с миниатюрным мини-ПК, с фронтальной части нас ожидает заглушка отсека для установки четырех накопителей данных. Поддерживается крайне простая и быстрая их замена, для этого нужно лишь нажать на рычаг сверху и достать платформу, где путем открывания боковых пластиковых граней мы можете легко заменить HDD или SSD накопитель.
На боковой грани фронтальной части устройства расположилась кнопка включения/выключения, порт USB 3.0 и россыпь светодиодов для наглядного понимания состояния системы в данный момент времени.
По бокам красуется логотип Synology, а вот тыльная часть получила большой набор портов для подключения внешних накопителей, аксессуаров и сетевого кабеля. Так, там можно обнаружить: два гигабитных порта LAN типа RJ45, порт Kensington Lock, два USB 3.0, порт eSATA, и 4-пиновый коннектор для подключения внешнего адаптера питания от электросети.
Для эффективного охлаждения используется два достаточно массивных вентилятора 92х92 мм, что позволяет системе всегда оставаться чуть-чуть теплой, но не более того.
Финальные штрихи
На данном этапе мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля кейлоггером или другим зловредом, физическим похищением всего устройства или его дисков, а так же от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам, NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology. Осталось защититься от самой страшной проблемы — от человеческого фактора.
Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а так же включаем еженедельное сканирование настроек безопасности средством Security Advisor.
Во-вторых, настраиваем резервирование всего NAS-а в облачную службу Synology C2. Это дёшево, практично, удобно и плюс Synology не продаёт ваши данные рекламщикам.
И рекомендую обратить внимание на приложение Note station для сохранения заметок на NAS-е: здесь есть возможность использовать защищённые записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password
Михаил Дегтярёв (aka LIKE OFF)04/10.2021
8 — защищаем Data at Rest для защиты от кражи / изъятия
К «данным на отдыхе» относится вся информация, находящаяся на накопителях, независимо от того, лежит ли она в кэше или в хранилище, часто она запрашивается либо редко. Здесь Synology предлагает защиту папок общего доступа по стандарту AES-256, используя файловую систему eCryptFS поверх BTRFs или EXT4, в которой каждый файл кодируется индивидуально. Стойкость защиты подтверждена сертификатом FIPS 140, и кодирование настраивается индивидуально для каждой папки общего доступа в любой момент времени, в том числе после создания.
Данная защита помогает при физической краже NAS-а или накопителей: каждый раз при перезагрузке устройства, общая папка находится в неподключённом состоянии, и чтобы её содержимое было доступно, нужно вручную смонтировать её, введя сохранённый ключ.
Если зайти через терминал в неподключённую закодированную папку, то содержимое её будет выглядеть следующим образом:
Для закодированной папки недоступна функция сжатия данных, и некоторые сервисы, например Active Backup или Virtual Machine Manager не могут использовать её в качестве хранилища. Что же касается хороших новостей, то на таких папках поддерживаются снэпшоты (хотя их и нельзя просматривать), а так же кодировать можно гибридные папки, которые используются в качестве облачного диска на ноутбуках и смартфонах.
10 — защита архивных данных
Давайте разберёмся с шифрованием различных резервных копий, которые могут храниться на NAS-е. Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS-ами или в облако — другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест — третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои. Начнём по порядку:
Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удалённый сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа «вытащить нужный файл за вчерашний день. Незащищённые папки имеют доступные снэпшоты, и для их защиты можно использовать защищённое соединение при репликации на удалённый сервер.
Резервирование содержимого самого NAS-а на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задаётся единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.
В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на неё можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищённую папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придётся при восстановлении бэкапа или для автоматической проверки целостности копий. Кстати, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после ребута, но я не советую это делать.
6 — кодируем Data at Transit для защиты от снифферов
Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Ещё совсем недавно в этой области данные не защищались, поскольку считалось что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полёте» не шифруются.
6а — включаем кодирование файловых протоколов
Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политики.
Windows 10 и Windows Server 2016/2019 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0.
Современные процессоры, на которых построены NAS-ы Synology поддерживают аппаратное ускорение операций кодирование, поэтому влияние на производительность минимальное.
Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3.
Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, так же по умолчанию не защищён. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определённое правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.
Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищённому SSH туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux устройств, включаем протокол RSync, который так же работает по SSH. Здесь всё по умолчанию использует кодирование, и никаких настроек делать не нужно.
Обратите внимание — включение RSync и SFTP не означает включение терминального доступа по SSH, и если последний отключен, а первые два включены, то при подключении через терминал, соединение будет разорвано.
Вообще, доступ по SSH вам скорее всего не потребуется, и его можно не включать, но в случае если он всё же нужен, в настройках безопасности вам будет предложен огромный выбор алгоритмов защиты трафика. Я рекомендую отключить поддержку 128-битных ключей, оставив 256-битные и выше.
Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учётной записи, и почти всё закончено.
5 — настраиваем OpenVPN
Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.
Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь так же доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путём импорта .ovpn файла, без ручных настроек.
На данном этапе мы произвели все настройки, чтобы защитить учётные записи от попыток похищения пароля или взлома методом перебора. Ещё раз спешу заметить, что пока что наши действия относятся только к web-панели NAS-а, и не касаются хранимых на нём данных.
1 — отключаем учётку Admin и настраиваем политику паролей
По умолчанию на NAS-ах Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учётную запись admin / administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (8 символов разного регистра + цифры + спец.символы) будет достаточно.
NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учётные данные пользователя и снизить область атаки для похищения логина/пароля даже если брешь присутствует в других, сторонних приложениях.
4 — используем встроенный Firewall
В топовых NAS-ах Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развёртывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всём мире ПО для сетевой безопасности, но если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.
По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS-а из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы, и запрещаем для примера им доступ из Антарктиды, Анголы и некоторых других стран.
Операционная система и возможности
В качестве программной основы и операционной системы выступает фирменное решение DiskStation Manager (DSM), у нас была последняя актуальная на момент написания материала версия — 6.0.2-8451 update 2.
Первичная настройка системы занимает всего несколько минут и потребует от пользователя минимум специализированных знаний. Интуитивно понятный интерфейс и подсказки сводят первичную настройку Synology DS916+ к тому же минимуму, что и, к примеру, только что купленный смартфон.
Внутри можно обнаружить полноценную операционную систему, которая умеет обновляться самостоятельно и по расписанию, легко настраивается и, что важно, имеет большой спектр настроек безопасности. Важным моментом станет аппаратное шифрование, что позволяет сохранить любые корпоративные тайны в секрете
В этом смысле решение от Synology — это универсальный рабочий инструмент, вполне похожий на сейф, только уже с личными файлами, почтой и т.д
Важным моментом станет аппаратное шифрование, что позволяет сохранить любые корпоративные тайны в секрете. В этом смысле решение от Synology — это универсальный рабочий инструмент, вполне похожий на сейф, только уже с личными файлами, почтой и т.д.
Основные настройки регулируются без перезагрузки всей системы из “Панели управления”, опять-таки это будет серьезной экономией при обслуживании, так как для изменения параметров не придется останавливать работу компании в целом на добрых десять-пятнадцать минут. Да и само обслуживание может вестись штатным системным администратором или же вами лично, благо потребуются лишь базовые знания принципов работы всех систем.
Для решения большинства задач можно обратиться к предустановленному магазину расширений, или даже, можно сказать, приложений, но сами разработчики взяли обозначение “Центр пакетов”. Его можно сравнить с магазинами мобильных приложений App Store или Google Play. Таких программных пакетов для NAS доступно на данный момент более 60-и — и это только официальные, а есть ещё и от сторонних разработчиков. Мы долго пытались найти то, чего бы не хватало для реальной работы, и не нашли.
Среди расширенных возможностей однозначно на первых строках должен быть Docker, который позволяет увеличить спектр применения задач самого NAS до сотен и тысяч различных вариантов.
Это самая настоящая система виртуализации, которая благодаря Docker Hub и поддержке со стороны огромного сообщества разработчиков, открывает путь к именно тем задачам, которые вам нужно реализовать.
Так, например, вы сможете легко запустить популярный медиасервер Plex или интерфейс Linux, виртуализировать саму DSM.
Если же вы выберете более требовательную к ресурсам Virtual DSM, то версия виртуальной DSM может быть отличной от той, что установлена на основном узле, что аналогично может быть полезным.
Работа с почтой аналогично не осталась без внимания — вы сможете легко все отстроить при помощи MailPlus Server и клиента MailPlus. Возможности шифрования там есть, а процесс настройки сопровождается наглядным web-интерфейсом. Удивительно, но поднять почтовый сервер с нашим доменом удалось буквально за десять минут.
Внутри системы есть возможность реализации полноценного хостинга, где могут быть размещены ваши сайты, за основу которого будет взят Apache HTTP Server. Он аналогично присутствует в качестве расширения и доступен для установки из репозитория. Кроме этого, вы сможете воспользоваться простой установкой одной из самых популярных CMS — WordPress.
Video Station как сервис для видеопроигрования контента весьма удобен и прост для всех целей, а его клиентская часть DS Video вообще вне всяких похвал. Для конечного потребления предусмотрена удобная каталогизация, рейтинги, поддерживаются обложки, несколько звуковых дорожек и субтитры. При этом, в качестве приемника картинки может выступить любое устройство с поддержкой разрешения 1080p и кодека H.264, включая мобильные решения. Есть изначальная совместимость с Samsung Smart TV, Google TV, Google Chromecast, Roku и Apple TV.
Файловый менеджер File Station может похвастаться поддержкой более 700 форматов файлов, а также продвинутой системой индексирования и поиска. При этом, работа с файлами по ощущениям мало чем отличается от персонального компьютера — так же просто и быстро.
2 — настраиваем беспарольную аутентификацию
Всё большую популярность набирают методы идентификации пользователя не через пару логин/пароль, а через токен, которым может выступать как аппаратный ключ, так и смартфон. Начиная с версии DSM 7, в NAS-ах Synology поддерживаются оба этих метода. Для идентификации с аппаратным ключом потребуется, чтобы NAS был доступен по HTTPs через доменное имя, например nas.yourdomain.com, что не всегда возможно и желательно. Идентификация через смартфон не требует даже «белого» IP адреса, и работает через встроенную систему доменных имён Synology QuickConnect.
Настройка проста: всё что нам нужно — это установить на смартфон нужного пользователя программу Synology SignIn, и в свойствах пользователя включить беспарольный вход. После этого сканируем сгенерированный QR-код из приложения, подтверждаем его в настройках NAS-а — и всё. Теперь при попытке войти в NAS вам предложено будет только ввести логин, после чего на смартфон будет отправлено уведомление с просьбой подтвердить вход на устройство. Но возможность аутентификации вводом пароля с клавиатуры остаётся как резервный вариант на случай если смартфон разрядился/потерялся и т.д.
Технические характеристики
За производительность всей системы отвечает четырехъядерный процессор Intel Pentium N3710, работающий на тактовой частоте 1,6 ГГц, с возможностью разгона при усиленных нагрузках до 2,56 ГГц. В качестве графического чипа выступает многим хорошо знакомый Intel HD Graphics 405, поддерживающий высокое разрешение 4K UHD 3840×2160 пикселей (2160p) при частоте 30 Гц или 2560×1600 пикселей для 60 Гц. Есть и у данной графической системы поддержка стандарта HDMI, но, к сожалению, данный порт в этом NAS не предусмотрен, зато аппаратное декодирование данных в форматах H.264 (AVC), MPEG-4 Part 2, MPEG-2 и VC-1 присутствует. Для большей эффективности также предусмотрено 8 Гбайт сверхбыстрой оперативной памяти типа DDR3L-1600.
На практике такая связка легко справляется с любой поставленной задачей, от элементарного воспроизведения мультимедийного контента в локальной сети по DLNA или же через встроенное ПО, до запуска и реализации больших баз данных и локальных почтовых серверов или использования этого NAS в качестве хостинга для корпоративного ресурса. Большой объем накопителей аналогично не будет проблемой, плюс благодаря гибким настройкам всегда можно будет легко устройство конфигурировать.
Для подключения к сети предусмотрен классический порт RJ45, за скорость отвечают два гигабитных сетевых интерфейса, представленных двумя контроллерами I211-AT производства Intel. Если вам будет необходимо беспроводное решение, то его аналогично можно использовать, но уже опционально. Для этого придется докупить соответствующий USB-стик. Аналогичная история постигла и Bluetooth, поддержка которого аппаратно есть, но только в кастомном варианте через внешний контроллер.
Четыре предустановленных отсека можно дополнить еще пятью дисками посредством подключения модуля расширения Synology DX513.
Интерфейсов для вывода аудио- и видео-сигнала Synology DS916+ не получил, но в остальном его можно считать эталоном среди себе подобных. Все основные моменты предусмотрены, а техническая реализация вне всяких похвал.
Выводы
Synology DS916+ — это решение, которое может похвастаться огромным количеством возможностей и огромным потенциалом мощности. Если мы вспомним, что внутри нашлось место и для AES-шифрования, то получим почти идеальное решение как для дома, так и для бизнеса. Правда, цена устройства достаточно высока, конечный пользователь вряд ли сможет его себе позволить.
Хотя в домашних условиях связка всех файловых историй, развлечений и безопасного хранения данных была не менее интересной, а во многом идеальной. Для деловой сферы спектр применения может быть просто огромным и в итоге жалеть о выборе Synology DS916+ вы точно не будете.
Стоит также отметить, что диски IronWolf 10 Тбайт от Seagate прекрасно показали себя в ходе тестирования — никаких вопросов к их производительности у нас не возникло.
Synology DS916+ | |
Процессор |
Intel Pentium N3710, 64-bit, четырехъядерный от 1,6 ГГц до 2.56 ГГц |
HDD | 4 × 3,5″ SATA II/III HDD или SSD |
Файловая система |
Внутренние накопители: EXT4, BTRFS Внешние носители: BTRFS, FAT, NTFS, HFS+, EXT3, EXT4 |
RAID-уровень |
Basic, JBOD, RAID 0, 1, 5, 5+Spare, 6, 10, Synology Hybrid RAID |
Порты |
3 разъема USB 3.0 1 разъем eSATA |
Оперативная память | 8 Гбайт SO-DIMM DDR3 |
Сетевые интерфейсы | 2 × Gigabit Ethernet RJ-45 |
Протоколы |
FTP, CIFS, AFP, SAMBA, SSH, NFS, WebDAV, SNMP, HTTP, Telnet, iSCSI, Rsync |
Клиенты |
Windows 2000 и более поздние, Mac OS × 10.3 и более поздние, Ubuntu 9.04 и более поздние; iOS 2.2.1 и более поздние, Android OS 1.5 и более поздние, Windows Mobile (IE Mobile или Opera 9.0 и более поздние), Symbian OS 9.1, S60 версии 3 и более поздние |
Система охлаждения | Два вентилятора 92 мм на 92 мм |
Энергопотребление |
30 Вт (доступ) 13 Вт (гибернация жесткого диска) |
Габариты | 165 мм x 203 мм x 233,2 мм |
Масса | 2,04 кг |
Цена | от i54 000 |