Sử dụng NAS và internet an toàn cho cá nhân và gia đình

Để bảo mật cho ổ cứng mạng (NAS), chúng ta có rất nhiều cách, cấm không cho NAS đi ra ngoài đường hay cách ly NAS ra khỏi internet là một cách. Nhưng việc cấm đoán này cũng sẽ đem lại cho chúng ta sự bất tiện khi mà chỉ có thể sử dụng NAS ở nhà

Trong bài viết trước, mình đã hướng dẫn anh em mở cửa cho NAS ra với internet cùng con đường nhanh nhất để anh em có thể kết nối từ mọi nơi trên thế giới. Nhưng cái gì cũng có 2 mặt, khi chúng ta mở cửa ra như vậy, chúng ta cũng đối mặt với nhiều rủi ro đến từ mọi nơi trên internet

Trong bài viết này, mình sẽ tiếp tục chia sẻ các tuỳ chỉnh mà mình đã thực hiện nhằm nâng cao an toàn cho NAS và người sử dụng. Bài viết này sẽ tập trung vào chuyện bảo vệ quyền truy cập vào dữ liệu, tránh để anh em bị mất quyền truy cập, còn các phương pháp để bảo vệ sự an toàn của dữ liệu, như việc sao chép, nhân bản, back-up, mình sẽ hẹn anh em trong một bài viết khác. Tuy nhiên, phần cuối bài mình cũng muốn chia sẻ một chút về việc phòng tránh Ransomeware, vì đây cũng là một rủi ro tiềm ẩn với tất cả mọi người

Mình có tham khảo từ nhiều nguồn khác nhau cũng như có bổ sung thêm một số điểm mà mình rút ra trong quá trình sử dụng. Trong bài mình sẽ minh hoạ bằng NAS Synology của mình, anh em dùng các loại NAS khác cũng sẽ có những giải pháp tương đương. Bài viết này thuộc chuỗi bài viết Tất tần tật về NAS cho người dùng cá nhân và gia đình

Vì chỉ là người dùng phổ thông nên có thể mình vẫn chưa có đầy đủ các giải pháp, anh em nào chuyên về an ninh mạng, an toàn thông tin có thể góp ý và bổ sung thêm cho mình nhé. Mình cũng muốn gửi lời cảm ơn đến một người bạn giấu tên của mình, bạn ấy là một chuyên gia về an toàn thông tin mạng có rất nhiều kiến thức về an toàn mạng đã review bài viết này, cũng như đưa ra những góp ý và những thông tin rất hữu ích để mình hoàn thiện bài viết

A. Những tuỳ chỉnh trên NAS

1. Cập nhật hệ điều hành và phần mềm mới nhất

Đội ngũ chuyên gia bảo mật và an ninh mạng của các thương hiệu đang ngày đêm làm việc để đảm bảo an toàn cho người dùng và họ sẽ tung các bản cập nhập hệ điều hành cũng như phần mềm để giải quyết các vấn đề bảo mật. Vì thế, người dùng như chúng ta nên tận dụng và sử dụng những nỗ lực này

Synology cũng có một nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) chịu trách nhiệm ứng phó với các sự cố bảo mật của sản phẩm Synology, bao gồm NAS và nhiều các sản phẩm khác. PSIRT quản lý khâu tiếp nhận, điều tra, điều phối và báo cáo công khai thông tin về lỗ hổng bảo mật liên quan đến các sản phẩm Synology [1], họ cũng có một trang web để cập nhật và công bố các lỗ hổng đã được giải quyết và cũng có cả chương trình săn lỗi bảo mật, anh em chuyên gia có thể tham gia kiếm thưởng

Ở góc độ người dùng, chúng ta nên thiết lập cập nhật tự động để cài đặt các bản cập nhật DSM và các package mới nhất để đảm bảo luôn nhận được các cập nhật và bản vá bảo mật mới nhất cho hệ điều hành và ứng dụng. Và cũng có thể bật thông báo email thông báo cho các bản cập nhật nghiêm trọng

Đối với DSM, anh em kiểm tra ở Control Panel > Update & Restore > DSM Update > Update Setting và chọn lựa chọn đầu tiên được khuyến cáo (recommended), tự động cập nhật những bản cập nhật quan trọng mà đã sử các lỗ hổng hay lỗi bảo mật nghiệm trọng

Đối với các ứng dụng hay package, anh em kiểm tra ở Package Center > Settings > Auto-update và chọn tự động cập nhật các phiên bản quan trọng của tất cả ứng dụng

2. Sử dụng Security Advisor

Trên NAS Synology có một ứng dụng mặc định là Security Advisor (cố vấn an ninh) sẽ giúp chúng ta quét toàn hệ thống và đưa ra những lời khuyên để cải thiện mức độ an toàn cho NAS. Có 2 checklist cho 2 mức độ an toàn để lựa chọn đó là cho cá nhân và gia đình, cho công việc và doanh nghiệp, và tuỳ chọn checklist bạn muốn

Cá nhân mình, mình chọn cho công việc và doanh nghiệp, và những hướng dẫn bên dưới cũng sẽ để đảm bảo đáp ứng các tiêu chí an toàn ở mức này. Vì dù chỉ dùng NAS cho cá nhân và gia đình nhưng mình cũng lưu các tài liệu phục vụ công việc, vì vậy mình cũng muốn có mức bảo mật cao hơn

Từ ứng dụng này, sẽ có các gợi ý để nâng cao mức an toàn khi sử dụng NAS, cơ bản sẽ giống như bài viết bên dưới đây khi mình đi sâu hơn vào các cài đặt cụ thể

3. Không sử dụng tài khoản admin mặc định

Tài khoản admin có toàn quyền quyết định và can thiệp vào đủ thứ trên NAS. Vì vậy, để đảm bảo an toàn, chúng ta không sử dụng tài khoản admin mặc định. Với NAS Synology mình đang dùng, trong các bước setup ban đầu, chúng ta cũng phải tạo một tài khoản admin tuỳ chỉnh và tài khoản admin mặc định cũng sẽ bị vô hiệu hoá ngay từ lúc đó

Nhưng, anh em vẫn nên kiểm tra, và nếu cần có thể vô hiệu hoá tài khoản admin mặc định. Vào Control Panel > User Group > Edit > Deactive this account và sau đó ấn Save

4. Sử dụng mật khẩu mạnh cho tài khoản

Không riêng gì ổ cứng mạng, bạn nên sử dụng mật khẩu mạnh cho bất cứ tài khoản nào quan trọng khác như email, ngân hàng, mạng xã hội…

Ở trên NAS của mình, ngoài việc đặt mật khẩu mạnh cho chính tài khoản admin của bản thân. Mình còn cài đặt các quy tắc mật khẩu mạnh cho cả user có thể kể đến như: cả chữ hoa và chữ thường, bao gồm số, ký tự đặc biệt, độ dài mật khẩu… ngoài ra cũng có thể cài đặt thời hạn mật khẩu (sau bao lâu bắt buộc đổi mật khẩu)

Thiết lập các cài đặt này ở Control Panel > User Group > Advanced

5. Sử dụng xác thực 2 lớp

Không còn quá xa lạ với chúng ta, hầu hết các tài khoản như Apple hay Google đều đã có tính năng này. Trên NAS cũng vậy, anh em cũng có thể kích hoạt xác thực 2 lớp. Chúng ta có thể dùng cho các nhóm khác nhau, cho riêng nhóm admin hoặc cho tất cả users

Bật tính năng này ở Control Panel > Sercurity > Account > 2-Factor Authentication

Và sau đó anh em set-up xác thực 2 lớp cho tài khoản ở phần Personal, có shortcut ở ngay trong cài đặt 2-Factor Authentication hoặc từ màn hình chính có thể bấm các bước như hình

Trong phần cài đặt xác thức 2 lớp có nhiều cách để anh em sử dụng có thể kể đến như

Approve sign-in, cài ứng dụng Synology Secure SignIn, sau đó đơn giản khi mỗi lần đăng nhập từ thiết bị lạ, ứng dụng sẽ hiện thông báo để xác minh trên ứng dụng, bạn ấn Approve trên điện thoại, quá trình đăng nhập mới hoàn tất
Hardware security key, có thể dùng USB Key hoặc Touch ID/FaceID để xác thực đăng nhập
OTP code: dùng mật mã OTP, anh em cài thêm ứng dụng Synology Secure SignIn hoặc bất cứ ứng dụng lưu mã OTP nào khác như Google/Microsoft Authenticator, Authy… và quét QR để tạo mã OTP

Và đừng quên, nếu sử dụng Synology Account mà đang link đến NAS, bạn cũng nên bật xác thực 2 lớp cho tài khoản này

6. Chặn đăng nhập sai nhiều lần

Tiếp đến vẫn trong phần Control Panel > Sercurity > Account, chúng ta có thể bật chức năng bảo vệ tài khoản Account Protection để ngăn việc thử đăng nhập nhiều lần để đoán mật khẩu. Chia ra làm 2 trường hợp, trên thiết bị đã từng đăng nhập (Trusted clients) và thiết bị lạ (Untrusted clients)

Chúng ta có thể cài đặt sau [bao nhiêu lần] thử đăng nhập trong [một khoảng thời gian] sẽ kích hoạt tính năng bảo vệ tài khoản (ngăn không cho đăng nhập nữa). Và sau [bao lâu] sẽ mở khoá bảo vệ

Tính năng này tương tự trên iPhone, nhập sai passcode quá nhiều sẽ bị khoá không được đăng nhập

Ngoài ra, chúng ta cũng có thể chặn IP đăng nhập sai nhiều lần ở Control Panel > Sercurity > Protection > Auto Block

Sau [bao nhiêu lần] thử đăng nhập trong vòng [bao nhiêu phút] sẽ bị khoá IP. Cũng có tuỳ chọn sau bao lâu sẽ mở khoá, và admin cũng sẽ quản lý được danh sách IP bị khoá. Cũng có thể add thủ công dãy IP mà bạn muốn

7. Bật DoS Protection

Bật DoS Protection để ngăn các cuộc tấn công DoS đến NAS ở trong Control Panel > Sercurity > Protection > DoS Protection. Thú thật là mình cũng chưa bao giờ bị tấn công dạng này nên không biết bật lên có chống được thật không, nhưng nếu có để dùng thì không có lý do gì để mình từ chối cả

8. Sử dụng các kết nối an toàn

Anh em nên sử dụng các kết nối an toàn như https thay cho http. Các ứng dụng hỗ trợ https bao gồm DSM, Web Station, Photo Station, File Station, Audio Station, and Surveillance Station và sẽ được mã hoá SSL/TLS. Trên Synology NAS chúng ta sẽ lấy chứng chỉ SSL/TLS từ Let’s Encrypt

Trên DSM vào Control Panel > Security > Certificate.
Ấn Add.
Chọn Add a new certificate rồi ấn Next.
Chọn Get a certificate from Let’s Encrypt rồi ấn Next.
Điền các thông tin:Domain name: Điền hostname của bạn, có thể là Synology DDNS hostname như trong bài viết trước mình đã hướng dẫn hoặc domain tuỳ chọn, ví dụ tencuanas.synology.me. Email: để gửi thông báo khi chứng chỉ sắp hết hạn, bạn có thể vào để gia hạn (Renew). Subject Alternative Name: Bạn có thể nhập các tên miền khác tại đây để lấy một chứng chỉ cho nhiều miền. Ví dụ: nếu bạn đã dùng tên miền example.com muốn chia sẻ chứng chỉ với miền khác của thiết bị như mail.example.com, hãy nhập mail.example.com vào chỗ này
Ấn Done để lưu

Khi truy cập các dịch vụ qua trình duyệt, đảm bảo anh em đang dùng các port HTTPS. Trên các ứng dụng, cũng vậy, hãy bật chế độ HTTPS. Ngoài ra, có thể cài đặt để tự động chuyển hướng các dịch vụ web như DSM từ HTTP sang HTTPS tại Control Panel > Login Portal > Web Services và tick vào ô Automatically redirect HTTP to HTTPS

Ngoài ra, Synology cũng hỗ trợ FTP có mã hoá SSL/TLS, chúng ta cũng có thể sử dụng nếu dùng đến giao thức FTP. Bật FTPS ở Control Panel > File Services > FTP và tick vào ô Enable FTPS

9. Tắt các dịch vụ không sử dụng đến

Trên NAS cung cấp rất nhiều các dịch vụ, và trong số đó có thể sẽ có những dịch vụ mà chúng ta chưa dùng đến, anh em cũng nên tắt những dịch vụ đó đi

Đầu tiên, chúng ta vào Control Panel > File Services sau đó kiểm tra toàn bộ các giao thức SMB, AFP, NFS… Nếu không sử dụng, hãy tắt đi

Ngoài ra, đừng quên tắt Telnet và SSH nếu anh em có bật lên để sử dụng ở Control Panel > Terminal & SNMP

10. Phân quyền user đủ thứ họ cần

Với các user đang cùng sử dụng NAS, ngoài phân quyền truy cập folder, chúng ta nên tắt các ứng dụng và dịch vụ mà họ không có nhu cầu sử dụng đến, chỉ bật các dịch vụ và ứng dụng mà user đó sẽ sử dụng. Ví dụ với các thành viên trong gia đình mình, mọi người chỉ sử dụng Drive và Photos, mình sẽ tắt hết các ứng dụng còn lại như DSM, File Station, SMB…

Anh em vào Control Panel > User & Group > User > Edit rồi tuỳ chỉnh trong phần Permissions và Applications

11. Thay đổi port mặc định

Chúng ta có thể thay đổi Port mặc định của DSM sang port bất kỳ để phần nào ngăn chặn các nỗ lực đăng nhập gây hại. Bạn vào Control Panel > Login Portal > Web Services và đổi port 5000 với 5001 sang port mà bạn muốn, có thể sử dụng port 5 chữ số cũng sẽ tăng mức an toàn lên cao hơn. Cũng nên đổi port 22 mặc định của SSH tại Control Panel > Terminal & SNMP

Và không nên chọn port trùng với các dịch vụ khác, bạn có thể tham khảo các port mặc định trên Synology tại đây

12. Sử dụng Firewall

Ngoài ra, anh em có thể sử dụng tường lửa để chặn những truy cập từ IP hay vị trí không mong muốn. Ví dụ, mình sử dụng SMB để truy cập dữ liệu (dù không phải giao thức an toàn nhất) nhưng đa phần mình chỉ dùng giao thức này khi ở Việt Nam, vì thế mình có thể cài đặt chỉ cho phép kết nối có IP ở VN được truy cập giao thức này. Hay là với DSM và các dịch vụ khác, nếu chỉ sử dụng trong nước mình có thể làm điều tương tự. Và như vậy là mình cũng giảm thiểu được phần nào rủi ro đến từ các IP ở ngoài Việt Nam

Trong trường hợp cần truy cập từ nước ngoài, mình cũng có thể setup nước cụ thể, chứ không cần phải mở ra cho toàn cầu
Chúng ta có thể cài đặt ở Control Panel > Sercurity > Firewall. Sau đó Edit Rules và Create những quy định mà bạn muốn

B. Những tuỳ chỉnh trong modem

Để đảm bảo ổ cứng mạng và những thiết bị mạng khác trong gia đình được an toàn, modem cũng cần được chú trọng. Vì mỗi modem sẽ lại có phần mềm cũng như giao diện quản lý khác nhau, vì vậy mình sẽ chỉ đưa ra các check list cơ bản, nhằm giúp anh em nâng cao an toàn, còn để cụ thể với từng modem, anh em nên tham khảo thêm hướng dẫn cho chính thiết bị đó

Như trong bài viết trước mình đã chia sẻ, UPnP sẽ kém an toàn vì một thiết bị có thể yêu cầu port mapping cho một thiết bị khác. Vì vậy, mình không khuyến cáo dùng giải pháp này, mới ban đầu khi chưa quen việc config router/modem thì có thể dùng tạm, nhưng khi quen rồi, anh em nên setup Port Forwarding thủ công và Tắt UPnP trong modem
Chỉ mở những port cần thiết cho những dịch vụ bạn cần truy cập vào từ ngoài internet. Đóng các port không cần thiết
Kiểm tra và tắt chế độ truy cập modem từ internet
Không dùng username và password mặc định (admin/admin) hãy đổi username và dùng mật khẩu mạnh

C. Ngăn chặn ransomware tấn công NAS và các thiết bị khác

Các cuộc tấn công ransomware đang trở thành mối đe dọa ngày càng tăng đối với cả người dùng doanh nghiệp và gia đình. Trong nhiều bài viết trước về NAS của mình trên Tinh Tế, nhiều anh em đang lo ngại về vấn đề này.
Phần này mình sẽ đề cập đến các phương pháp phòng chống ransomware tốt nhất dành riêng cho các sản phẩm Synology mà mình tham khảo trên website của họ. Các nguyên tắc được cung cấp bên dưới dựa trên hướng dẫn do Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (Cybersecurity and Infrastructure Security Agency – CISA) và Trung tâm Phân tích và Chia sẻ Thông tin Liên Bang (Multi-State Information Sharing and Analysis Center MS-ISAC) đưa ra

Có sự chuẩn bị chuẩn bị kỹ lưỡng

Đừng để “mất bò mới lo làm chuồng”. Vì để ngăn chặn ransomware chúng ta chỉ có thể phòng ngừa để ngăn bị tấn công hoặc ứng phó khi đã bị tấn công. Hãy chuẩn bị trước cho những rủi ro, dù đang lưu trữ dữ liệu bằng cách nào, dù là ổ cứng rời, ổ cứng mạng, hay cloud, bạn vẫn có nguy cơ bị tấn công ransomware. Vì vậy, hãy có những sự chuẩn bị

Nên backup dữ liệu thường xuyên, định kỳ. Bản sao backup nên được mã hoá, được cất giữ cẩn thận, có thể không cần phải tiếp xúc với internet.
Thường xuyên xác minh bản sao BackUp có thể dùng để Restore (đồ dự phòng luôn phải tốt để có thể được sử dụng lúc cần đến)
Nên sử dụng chiến thuật BackUp 3-2-1, mình sẽ chia sẻ kỹ hơn về cách mình sử dụng chiến thuật này này trong một bài viết khác. Nhưng nếu anh em đang dùng Synology NAS có thể tìm hiểu trước về Hyper Backup, Cloud Sync và Snapshot Replication, mình đang sử dụng 3 công cụ này để đảm bảo an toàn cho dữ liệu

Hiểu về những nguy cơ lây nhiễm ransomware phổ biến

Cấu hình NAS và các thiết bị đúng cách

Phần này mình đã đề cập khá nhiều ở trên, nhưng nhắc lại một số điểm quan trọng và bổ sung thêm một số cài đặt cần thiết
Không để DSM tiếp xúc với internet trừ khi thật sự cần thiết. Ví dụ, bạn vẫn cần kết nối đến NAS qua internet nhưng có thể dùng Firewall để cất DSM đi, không cho truy cập từ internet, chỉ có thể truy cập từ mạng nội bộ
Nếu phải truy cập thông qua các giao thức File Services (SMB, FTP…), nên sử dụng VPN để kết nối đến NAS, mình sẽ có một bài viết về cấu hình và sử dụng VPN Server trên NAS trong tương lai gần
Nếu phải truy cập SMB qua internet mà không sử dụng VPN, cài đặt Transport encryption mode thành Force để nâng cao bảo mật. Mình dùng MacOS có vẻ không dùng được chế độ này, bật lên Force là không kết nối vào SMB được, bạn nào biết tối ưu hướng dẫn mình với nhé.
Nếu muốn mở DSM ra với internet, hãy chỉ mở các port cần thiết
Có thể bật Transfer Log của các phương thức truyền tải file, để theo dõi nếu phát hiện những hành vi bất thường (Control Panel > File Services > SMB/AFP/NFS/FTP > Enable SMB/AFP/NFS/FTP service > Enable Transfer Log)

Cảnh giác với các nguồn lừa đảo

Hãy cảnh giác với email lừa đảo, thường sẽ là những email dụ dỗ bạn bấm vào link, tải phần mềm ứng dụng. Đó sẽ là những nguồn phát tán mã độc. Thậm chí, hãy cảnh giác với email được gửi từ người quen, vì có thể họ đang bị chiếm quyền kiểm soát tài khoản hoặc thiết bị của họ đã bị mã độc tấn công và điều khiển. Anh em có thể xem kỹ hơn trong tài liệu về phòng chống ransomware và sử dụng đính kèm email cẩn trọng của CISA

Cảnh giác với những nơi bạn truy cập, những thứ bạn bấm vào và những file bạn sẽ tải. Nếu nghi ngờ, có thể sử dụng một môi trường khác, có cách biệt nhất định với môi trường làm việc chính của bạn để giảm thiểu rủi ro, ví dụ như sử dụng một máy ảo hoặc sử dụng một user khác có phân quyền thấp hơn

Sử dụng công cụ phòng chống

Nên sử dụng các phần mềm Antivirus và Anti-Malware trên máy tính cũng như trên NAS của bạn. Synology có sẵn phần mềm Antivirus Essential và Sercurity Advisor trên NAS để quét định kỳ
Trên NAS, hạn chế sử dụng các phần mềm và package từ bên thứ ba nếu không thật sự cần thiết, nếu phải dùng, cũng hãy update thường xuyên để nhận được các bản vá bảo mật từ các nhà phát hành

Ứng phó nếu dính ramsomware

Ba bước chính rất quan trọng trong và sau một cuộc tấn công ransomware, các bạn có thể tham khảo các bước đầy đủ tại tài liệu của CISA và MS-ISAC:

Xác định hệ thống nào đã bị ảnh hưởng và cách ly ngay lập tức. Tách các thiết bị đã bị phơi nhiễm ra khỏi hệ thống mạng nội bộ. Như rút dây mạng, tắt modem…
Nếu không thể ngắt kết nối các thiết bị bị ảnh hưởng khỏi mạng, hãy tắt nguồn chúng để ngăn chặn lây nhiễm mã độc. Tuy nhiên, việc tắt nguồn các thiết bị cũng có thể gây mất “bằng chứng phạm tội” nếu những dữ liệu đó đang được lưu trên các bộ nhớ tạm.
Phân loại các hệ thống bị ảnh hưởng để khôi phục và phục hồi. Khôi phục dữ liệu bằng cách restore từ các bản backup hoặc từ các bản lưu snapshot.

Các bước bên dưới sẽ phần nào giúp giảm tác động, dọn dẹp chiến trường và giúp giảm nguy cơ bị dính ramsonware lần nữa

Thu thập thông tin về cuộc tấn công ransomware, ghi lại những thông tin và hiểu biết về những gì đã xảy ra dựa trên phân tích ban đầu
Tìm kiếm sự hỗ trợ từ các chuyên gia, ví dụ như Synology Support team, bộ phận IT, hoặc các công ty an ninh mạng
Tham khảo các bộ giải mã. Một số chuyên gia bảo mật có thể đã có thuật toán giải mã được một số biến thể ransomware
Tìm và làm theo các hướng dẫn đáng tin cậy để ứng phó với từng biến thể ransomware
Xác định nguyên nhân nhiễm bệnh để phòng tránh
Setup lại hệ thống, vá những kẽ hở, dựa trên mức độ ưu tiên của các dịch vụ quan trọng
Cân nhắc cài lại toàn bộ hệ điều hành (DSM), cũng như các ứng dụng và cân nhắc thay đổi toàn bộ mật khẩu các tài khoản trên DSM

Bài viết xin được kết thúc tại đây. Chúc các bạn sử dụng NAS và internet an toàn, vui vẻ.
Nguồn tham khảo: Synology, Synology, CISA, Make Use Of, CloudWards, TechTarget, Hostinger

Nếu thấy bài viết hay, anh em đừng quên Follow mình trên Tinh Tế cũng như trên trang Facebook của mình để không bỏ sót các bài viết mới. Cũng có thể ghé Website của mình để xem những bài viết chất lượng cao. Mình cũng có một Group chuyên chia sẻ deal hời chất lượng cao, anh em có thể ghé chơi, thấy hợp nhu cầu có thể tham gia nhé. Chân thành cảm ơn anh em và hẹn gặp lại trong những nội dung kế tiếp

Ngon Bổ Xẻ

GÀ

2 năm

"3. Tham khảo các bộ giải mã. Một số chuyên gia bảo mật có thể đã có thuật toán giải mã được một số biến thể ransomware"

Ở Việt Nam, mình có biết và theo dõi anh @@tungtek, cũng có vài bài về nâng cao an toàn trước ransomware trên Tinh Tế trước đây, và thấy cũng hay xử lý các vụ ransomware tấn công, anh em nào biết chuyên gia nào khác thì cùng chia sẻ nhé https://tinhte.vn/profile/tungtek.2461064/

Anh Tú.

Ngon, sẽ thử, cảm ơn bạn nhé

vqt907

mình bật hết mấy cái option bảo mật của DSM lên, tuy nhiên service duy nhất mà mình public ra ngoài là VPN, mọi hoạt động đều phải qua vpn sẽ an toàn hơn, nếu cần đọc file thì dùng luôn app File của synology mà không cần bật vpn, app này dùng giao thức HTTP chứ k phải SMB nên về lý thuyết sẽ an toàn hơn

@vqt907 Yepp, mình cũng sắp triển khai vụ này vì NAS làm VPN Server được luôn mà, chỉ mở đúng port VPN để truy cập NAS từ ngoài vào sẽ dùng VPN hết hehe

Hiện mình đang dùng SMB vì thấy nó tiện quá, dùng với Finder của Mac và Files của iPhone mount vào không khác gì ổ đĩa trên máy mà lại không chút dung lượng nào trên thiết bị rồi hoạt động với các tính năng của OS ngon hơn dùng app DS File nên chưa dứt hẳn ra được hehe

mr.tuanpm

ĐẠI BÀNG

@Ngon Bổ Xẻ Mình cũng lót dép hóng bài hướng dẫn setup VPN Server nhé bạn hehe

anhlucky2

Cái này mình biết từ hồi mới xài Nas 10 năm trước roi

@anhlucky2 Hì hì thì 10 năm sau mình nhắc lại cho những người mới xài NAS như mình á, con người là giống loài hay quên mà

Tú Bán Sách

5 sao 😁

@về bờ thôi Cám ơn bạn đã ủng hộ ❤️

supperchym

Người làm hết các bước này xứng đáng ko bị hack 😁.
//quên đang xài mỗi 2 cái là https và chặn truy cập khi đăng nhập sai nhiều lần, thứ 2 là đứng trước con nas là 1 cái firewall :-s.

@supperchym Xã hội nguy hiểm lắm nên cứ phải phòng thân. Bây giờ hách cơ ngoài những người quan trọng bị nhắm đến, cũng toàn chơi kiểu quét hàng loạt, ông nào lơ ngơ là bị thịt, nên đôi khi cứ nghĩ mình 'chả là ai' với 'ai thèm hách mình' mà có khi 1 ngày vẫn mất tiêu cái tài khoản á

Rồi thông tin tài khoản nhiều lúc rò rỉ mấy chục nghìn người cùng lúc, nên là cẩn thận vẫn hơn, bây giờ mình cũng toàn tạo tài khoản cho mọi người trong gia đình, như bố mẹ, ông bà, vừa giúp mọi người nhớ mật khẩu và cũng để bảo mật 2 lớp ở điện thoại của mình để kiểm soát luôn chuyện đó giúp mọi người, ấy vậy mà vẫn có lúc thấy OTP gửi về máy, hỏi mọi người toàn lơ ngơ chả ai biết gì :D khá là giật mình, nên vẫn phải đổi pass liên tục haha

Cuong Nb

Bài viết hay! 😃
Hệ thống NAS tuy hiện đại nhưng lại đem đến nhiều rủi ro về tính bảo mật, h.a.c.ker nhòm ngó liên tục 😁 sơ ý là mất sạch dữ liệu và còn bị chúng tống tiền :D

@Cuong Nb Cái gì cũng có rủi ro vậy thôi á, bản thân cloud nếu không dùng pass mạnh và xác thực 2 lớp vẫn có nguy cơ gặp rủi ro về mất tài khoản. Thậm chí vì dùng chung 1 cổng đăng nhập, và không tự tạo được các lớp phòng thủ khác nên cũng là một rủi ro, ví dụ haker cố tạo ra một trang đăng nhập rất giống cloud hoặc chuyển hướng trang đăng nhập chuẩn sang trang giả mạo để lấy thông tin đăng nhập chẳng hạn, trước mấy vụ mất tài khoản ngân hàng cũng là phương thức dạng này

Còn ransomware thì như dịch bệnh, cũng chả quan tâm chúng ta dùng cái gì, máy tính dù sync lên NAS hay Cloud mà bị nhiễm, chưa kể đến cái cơ chế share file của các cloud đôi lúc bị lợi dụng để phát tán ransomware nữa, vẫn có nguy cơ dữ liệu trên NAS và Cloud cũng sync theo file đã mã hoá, nên là các giải pháp backup mới cần thiết để restore lại dữ liệu

Thực ra đó cũng là điểm khác nhau giữa sync và backup, nghe sơ thì giống nhưng thực ra lại khác :D mình sẽ nói kỹ hơn trong bài viết sắp tới hehe

Hạt mè bé xíu

@Cuong Nb Mình cho bạn cái địa chỉ ip Nas nhà mình và mời bạn tấn công nhé. Nên việc tấn công chỉ dễ với dân chuyên, và càng trình độ cao thì tấn công càng nguy hiểm. Nhưng những hacker đó họ ko thèm vào tấn công nhà một thằng nobody với mấy cái kho jav vớ vẩn. Còn tấn công dễ thì do lỗi của người dùng ko cẩn thận.

HyH

@Hạt mè bé xíu Bạn Mè có kho JAV mà giấu nha bạn Mè

nguyenhoang_hp

@Hạt mè bé xíu Bạn Mè chia sẻ kho jav cho anh em dùng chung đi

hunggh

Có 1 cách nữa là bỏ NAS dùng google drive, one drive, dropbox...

@hunggh Cloud không an toàn như bạn nghĩ đâu 😁 nhất là vụ ransomware á, dù bài viết trong link dưới cũng để quảng cáo cho dịch vụ của công ty đó nhưng họ cũng có một vài ý hay về rủi ro của ransomware với cloud, bạn có thể tham khảo: https://spinbackup.com/blog/is-cloud-storage-safe-from-ransomware/

Và khi dùng NAS là mình có thêm lựa chọn, mình dùng NAS cùng với Cloud chứ không dùng NAS và bỏ Cloud

sentino

@Ngon Bổ Xẻ Bài này nó nói là nhiễm offline rồi sync lên cloud. Cloud có backup mà bác, mình cũng trả tiền cho vụ back up đó mà.

@sentino Thì mình cũng nói Cloud có thể không an toàn vì thế ấy, kể cả NAS cũng không an toàn nếu dùng Sync trong các trường hợp này mà không back-up hay snapshot

lehongxuan

Có bộ phát wifi nào kiêm nas ko mn nhỉ, trc có mấy con xiaomi mà toàn đời cũ quá

@lehongxuan Ủa, có cái đó luôn, mình hóng với, cũng mới nghe các loại phát wifi có cổng usb để gắn ổ cứng rồi truy cập không dây chứ chưa biết bộ phát wifi tích hợp nas

Anh T Ng

TÍCH CỰC

@lehongxuan đã từng dùng 1 cục xiaomi có hỗ trợ gắn hdd rời làm nas, nó cho phép cả camera xiaomi lưu dữ liệu vào đó thay cho thẻ nhớ bị giới hạn dung lượng, có điều truy cập chậm như rùa và có vẻ thiếu an toàn

@Ngon Bổ Xẻ Có con xiaomi R1D đó, đi kèm ổ 1 TB luôn, mà đời hơi cũ, muốn kiếm con nào mới về xài

@lehongxuan Quá hay, đúng là Xiaomi cái gì cũng có

AnDu1908

Các bạn dùng qua NAS hãng Synology chưa ?

@MAVISTA Mình đang dùng mà, bạn có thể xem lại một số review trong bài tổng hợp của mình https://ngonboxe.com/cong-nghe/tat-ca-ve-o-cung-mang-cho-nguoi-dung-ca-nhan/

@Ngon Bổ Xẻ Bạn giới thiệu vài mẫu giá rẻ phù hợp cho cá nhân và gia đình thôi..

@MAVISTA Nhu cầu mỗi người khác nhau như là cần bao nhiêu ổ, cấu hình ra sao, như cầu sử dụng như thế nào, và khả năng nâng cấp, mở rộng trong tương lai. Nhà sản xuất cũng có nhiều phân khúc lắm bạn, nên thực ra mình cũng khó giới thiệu cụ thể

Có 1 số dòng nhập môn với nhu cầu rất cơ bản có thể kể đến như là DS120j, DS220j, DS118, DS223.

Hay cao hơn là dòng Plus có thêm một số tính năng sẽ có một số mẫu hợp với gia đình hay doanh nghiệp nhỏ như DS220+, 420+, 423+

Bạn có thể dùng công cụ ở link dưới để tham khảo mẫu phù hợp với nhu cầu nhé https://www.synology.com/vi-vn/support/nas_selector

thanh_satria

Mình thì dùng cloud thôi. Luôn truy cập bằng 4G và VPN 24/24

@noname9x2007 Bạn đọc trong tài liệu đó sẽ có phần công nghệ đó được sử dụng bởi ai, sẽ có cả người tốt và người xấu cùng dùng, “criminal” thì chắc không phải chính quyền đâu nhỉ.

Và đây là tài liệu để cảnh báo mọi người rằng, những rủi ro có thể rình rập từ khi chúng ta không nghĩ đến. Cứ nghĩ là an toàn nhưng có thể một lúc nào đó nó không còn an toàn vậy nữa, nên việc cập nhật thông tin và kiến thức là điều cần thiết

noname9x2007

@Ngon Bổ Xẻ Ủa criminal chỗ nào zẫy bạn ơi. Chắc là thằng cha Jeff hả? Ổng thì bad có tiếng rồi nhưng mà criminal thì ko nha 😒

@noname9x2007 Đây bạn

@Ngon Bổ Xẻ Hỏi thiệt lần cuối bạn có đọc mấy cái link bạn note ko? Chứ cái link đó đều dẫn nghi vấn về cp mẽo và đồng bọn đấy. Ko có valid evidence nào từ criminal như bạn skim được cả đâu

lordgon

Xài private relay của icloud là đc roài

sib

Vào công ty mà bị chặn mạng thì làm sao truy cập ạ?

Anonymox

@sib thì bật 4G mà dùng

rualg

@sib Nhờ IT mở giúp nghen

huynhngocnin

Có anh em nào setup NAS trên PC cũ và mở truy cập online dc hok?
Mình đã setup ok và đang xài nhưng ko cấu hình DNS để access từ external dc 😔

@huynhngocnin Bạn xem bài trước của mình, kiểm tra phần mở port xem sao, truy cập từ ngoài vào chủ yếu thường mắc ở đoạn này 😁

leduongxd

Mua cái nas với đôi ổ cứng hơn chục củ về tìm hiểu khó bcm đành bỏ xó, để tiền đấy mua 2T drive cũng đc 5 năm

@leduongxd Bạn mua loại gì đó? Nếu là Synology có thể xem chuỗi bài của mình, mình có hướng dẫn chi tiết cả video từ setup ban đầu cho đến cấu hình các kiểu để sử dụng đó

@leduongxd NAS cũng là 1 dạng server, mà server thì ko có dành cho tay mơ đâu =))

CNBCD

Mình xài relay của ICloud và 4g. Ngày trước toàn kiếm wifi free mà xài ké, sau này tìm hiểu mới biết nó nguy hiểm ntn. Ko dám luôn, giờ chỉ xài 4g cá nhân.

có 1 cái nữa để ít bị hack/scan hơn là chặn hết các IP đến từ TQ/Nga. Từ hồi mình chặn xong là hiếm thấy nó báo cáo về các lượt truy cập trái phép nữa

@vanthoan Bạn bảo mật tốt thì nó cũng chẳng làm gì được đâu. Tuy nhiên mình thiết lập thông báo khi có bất kỳ sự cố nào thì nó cũng thông báo nhiều hơi phiền. Mà mình chả có ý định sang nga hay tàu nên chặn luôn cho đỡ phiền

@Anonymox Mình đang chặn cả thế giới chỉ Allow mỗi Việt Nam rồi 😁

@Ngon Bổ Xẻ Cẩn thận quá đến lúc dùng vpn vào server nước ngoài không vào được nas của mình lại tưởng nas hỏng, mấy cả buổi đi sửa =))

@Anonymox Mình toàn xài VPN server trên NAS thôi mà, không chuyển hướng qua nước ngoài nhiều á 😁

vanthoan

Ở nhà mình dùng IP tĩnh, các ổ đĩa và máy tính đều được tunnel qua SSH. Cổng SSH được bảo vệ bằng iptables/ipset nên gần như không thể hack hoặc tấn công DoS.
Bác nào rành Linux có thể dùng con Raspberry Pi, ngon bổ rẻ. Bật SSH để tunnel mọi thứ mình muốn ra ngoài, HTTPS để đăng nhập 2 lớp (hoặc nhiều lớp tùy thích) và IPSET để quản lý IP, chống DoS, chống hack.

@vanthoan Cám ơn bạn đã chia sẻ, mình đang dư con Raspberry, bạn cho mình xin vài cái link tham khảo để mình vọc mấy màn đó với

mr.binhnq

@vanthoan bạn làm mấy bài hướng dẫn ae đi

@mr.binhnq OK các bác, để mình viết file doc. Khi nào xong forward cho các bác tham khảo

@vanthoan Hóng bài chia sẻ của bác 😁

ngsangmt

@vanthoan Hóng

nefertem

nói thiệt chứ dân kỹ thuật vọc vạch làm cho gia đình sài chơi thì được , chứ dân thường thì cứ onedriver hay gg drvier cho lẹ

@nefertem mình cũng có phải dân kỹ thuật chuyên sâu gì đâu. Đợt trước thấy nhu cầu cần có giải pháp lưu trữ dữ liệu thay ổ cứng ngoài thì chọn NAS, dùng rồi mới thấy nó nhiều cái hay và tiện nên sau dùng NAS làm nơi lưu trữ chính, ổ cứng ngoài và cloud back up tiếp cho NAS.

Cơ bản thì nếu biết tự cài Win/Mac, biết tự cấu hình iPhone/Android, biết tự cấu hình modem/router, thì hoàn toàn tự xử lý cái NAS được