NAS Synology: come regolare al meglio le impostazioni sulla sicurezza

Il server NAS è un dispositivo che, per sua stessa natura, conserva informazioni personali e dati sensibili. Quando si installano uno o più NAS all’interno della propria rete è fondamentale soppesare bene tutte le impostazioni che hanno a che fare con la sicurezza.

I NAS Synology sono prodotti completi ed estremamente versatili che, per le funzionalità che mettono a disposizione, offrono anche un set di regolazioni per scongiurare accessi non autorizzati e proteggere l’integrità e la riservatezza dei dati memorizzati. Di seguito presentiamo alcuni consigli pratici per mettere in sicurezza i NAS Synology.

Come mettere in sicurezza i NAS Synology

1) Mantenere sempre aggiornato il firmware del NAS Synology

Synology è una delle aziende più solerti nel risolvere bug ed eventuali vulnerabilità individuati nei suoi prodotti. È fondamentale, quindi, verificare periodicamente la presenza di nuovi aggiornamenti del firmware.
Il sistema operativo DiskStation Manager (DSM) segnala la disponibilità di un nuovo aggiornamento che può essere applicato cliccando sull’icona Aggiorna e ripristina del Pannello di controllo.

2) Disattivare l’account amministrativo e crearne uno nuovo

Ogni NAS Synology arriva con un account amministratore preimpostato: mentre è possibile modificare la password ad esso associata, non si può alterarne il nome che resta sempre admin.

Il consiglio è quello di creare un nuovo account amministratore sul NAS Synology quindi disattivare l’utente admin predefinito.
Così facendo, eventuali malintenzionati che volessero tentare di accedere al contenuto del NAS non dovranno concentrare i loro sforzi sulla password non conoscendo neppure il nome dell’account amministrativo.

Per creare un nuovo account amministratore, basta accedere al pannello di configurazione del NAS Synology, cliccare sull’icona Utente quindi su Crea, Crea utente.

Dopo aver inserito nome e password (sceglierne una sufficientemente lunga e complessa), si dovranno assegnare al nuovo account tutti i diritti, compresi quelli di amministratore.

Il passo seguente consiste nell’assegnare i diritti di lettura/scrittura su tutte le cartelle condivise attualmente configurate sul NAS Synology. Trattandosi di un account dotato dei privilegi amministrativi, esso potrà essere successivamente utilizzato per modificare i permessi in totale autonomia e libertà.

La quota di utilizzo (ovvero il quantitativo di spazio occupabile sul NAS dall’account amministratore) viene automaticamente considerata illimitata mentre nella schermata seguente suggeriamo di attribuire all’account tutti i diritti su ciascuna applicazione installata.

Infine, si potrà lasciare invariate le impostazioni relative alla velocità di trasferimento dati (Impostazione limite velocità utente) quindi cliccare su Applica per aggiungere il nuovo account amministratore.

A questo punto è possibile effettuare il logout dall’interfaccia di amministrazione del NAS Synology cliccando sull’icona Opzioni in alto a destra quindi scegliendo la voce Esci.
Effettuando il login con le credenziali corrispondenti all’account amministrativo appena aggiunto si potrà verificare se tutto funziona correttamente quindi si dovrà disattivare l’account admin predefinito.
Per procedere basta tornare nel Pannello di controllo del NAS Synology, cliccare su Utente, selezionare l’account admin di default quindi fare clic sul pulsante Modifica.
Nella scheda Informazioni, si dovrà semplicemente spuntare la casella Disabilita questo account e lasciare selezionata l’opzione Immediatamente.

Nella colonna Stato, una volta fatto clic su OK, a destra dell’account admin comparirà l’indicazione Disabilitato.

3) Attivare l’autenticazione a due fattori

L’autenticazione a due fattori è uno dei meccanismi più efficaci per proteggere adeguatamente i propri account. Essa poggia infatti il suo funzionamento non soltanto sull’utilizzo delle normali credenziali (username e password) ma anche sull’inserimento di un codice di verifica ricevuto dall’utente, ad esempio, sul suo dispositivo mobile.
Google e Synology chiamano l’autenticazione a due fattori Verifica in due passaggi ma il concetto è sostanzialmente identico: Verifica in due passaggi Google: solo 10% degli utenti la usano.

Se è importantissimo proteggere gli account online e cloud che contengono dati personali e informazioni sensibili, è altrettanto fondamentale attivare l’autenticazione a due fattori per gli account configurato sul NAS Synology e, soprattutto, per quelli amministrativi.

Cliccando sull’icona Opzioni in alto a destra nel pannello di configurazione del NAS quindi sulla voce Pers., all’interno della sezione Account si troverà la casella Abilita verifica in due passaggi.

Sul proprio dispositivo mobile si dovrà quindi installare un’app capace di gestire la verifica in due passaggi: Synology consiglia Google Authenticator (Android, iOS e BlackBerry) o Authenticator (Windows Phone, Windows Mobile) ma è possibile usare app alternative come Authy 2-Factor Authentication o Duo Mobile.

Facendo la scansione del codice QR che viene mostrato nell’interfaccia di amministrazione del NAS Synology dall’app installata sul proprio device si otterrà un codice di conferma che dovrà essere inserito quando richiesto.

Tenere presente, inoltre, che il codice di conferma ha validità limitata nel tempo: si dovrà quindi essere veloci al momento della richiesta da parte dell’interfaccia del NAS Synology.

Synology consiglia l’attivazione del servizio di notifica via email che permette di ricevere, sotto forma di messaggio di posta elettronica, informazioni sulle variazioni di stato degli account o su eventi importanti che riguardano il NAS.

DSM supporta tutti i principali account ed è in grado di effettuare l’autenticazione via protocollo OAuth (senza quindi che l’utente debba neppure digitare la password). È comunque possibile usare qualunque server SMTP. Nel nostro caso, ad esempio, abbiamo preferito usare il server SMTP di Google effettuando un’autenticazione di tipo tradizionale con nome utente e password (vedere Impossibile accedere a Gmail: Web login required).

4) Bloccare i tentativi di login sospetti

I NAS Synology evitano che un utente malintenzionato possa mettere in campo attacchi di tipo brute force per risalire alle password usate a protezione degli account.
Per rafforzare la protezione suggeriamo di accedere al Pannello di controllo, digitare Sicurezza nella casella di ricerca quindi cliccare sulla scheda Account.

Solitamente le impostazioni in figura sono più che sufficienti per bloccare qualunque attacco brute force.

5) Chiudere le porte sul router e attivare il server VPN

Come abbiamo più volte evidenziato negli articoli dedicati ai NAS Synology, questi dispositivi sono estremamente completi e versatili consentendo non soltanto la memorizzazione sicura dei file e il loro backup periodico ma anche l’installazione di software dotati di funzionalità server.
Si possono così utilizzare, anche in modalità remota, strumenti per la condivisione di file e cartelle, per collaborare a più mani sulla stesura di documenti, per accedere ad archivi fotografici e raccolte video (Come raccogliere e organizzare le proprie foto con Synology Moments), per gestire tutte le videocamere componenti il proprio sistema di videosorveglianza (Videosorveglianza: integrazione e gestione di videocamere completamente differenti l’una dall’altra) e molto altro ancora.

Ogni applicazione installata sui NAS Synology dotata di funzionalità server utilizza una o più porte che debbono essere aperte sul router per accedervi da remoto.
Come evidenziato nell’articolo Port scanning: un’arma a doppio taglio. Difendetevi il consiglio è quello di non aprire alcuna porta in ingresso sul router né tanto meno configurare il port forwarding verso l’IP locale corrispondente al NAS Synology.

È bene, piuttosto, impostare il server VPN offerto dal NAS Synology e collegarsi da remoto ai servizi e alle applicazioni web solo attraverso la rete VPN.
In questo modo il dispositivo dal quale ci si connetterà apparirà connesso alla LAN alla stregua di tutti gli altri device locali e i dati inviati e ricevuti transiteranno attraverso un canale (tunnel) cifrato, rendendone impossibile monitoraggio e modifica da parte di utenti non autorizzati e criminali informatici.
Le indicazioni per allestire un server VPN sui NAS Synology sono riportate nell’articolo Server VPN, come crearlo usando un NAS.

6) Impostare l’utilizzo di HTTPS

Soprattutto se s’intendesse abilitare l’accesso remoto al NAS Synology e, in particolare, non si utilizzasse la VPN, è fondamentale l’abilitazione del protocollo HTTPS.
Diversamente, un utente malintenzionato potrebbe agevolmente recuperare le credenziali d’accesso al NAS quindi monitorare, sottrarre o modificare i file e le impostazioni.

Per attivare l’utilizzo di HTTPS (il protocollo permette di crittografare e quindi proteggere efficacemente i dati scambiati tra client e server, e viceversa), è sufficiente portarsi nel Pannello di controllo del NAS Synology, cliccare su Rete, su Impostazioni DSM e attivare la casella Reindirizza automaticamente le connessioni HTTP in HTTPS.

Al riavvio dei servizi web sul NAS Synology, si otterrà un errore molto simile al seguente:

Sebbene, di primo acchito, l’errore possa sembrare piuttosto minaccioso, la sua comparsa è del tutto normale perché il NAS Synology sta sì utilizzando una connessione HTTPS ma essa non impiega alcun certificato digitale valido, rilasciato da un’autorità di certificazione riconosciuta.
Per procedere, bisognerà fare clic su Avanzate e quindi su Procedi su… (non sicuro).

Per far scomparire l’errore relativo al certificato digitale non valido, si deve digitare Sicurezza nella casella di ricerca del Pannello di controllo, selezionare la scheda Certificato e cliccare sul pulsante CSR.

Scegliendo Crea richiesta di firma del certificato si otterrà un file compresso contenente il file .CSR da sottoporre a un’autorità di certificazione per ottenere il certificato digitale corrispondente al nome a dominio indicato.
I NAS Synology integrano anche una funzionalità per ricevere (e rinnovare) un certificato gratuito attraverso il servizio Let’s Encrypt: Ottenere un certificato digitale wildcard per HTTPS con Let’s Encrypt.

Per maggiori informazioni sui NAS Synology visitare il sito ufficiale e i nostri articoli.