Synology NAS DS1815 security setting 12招提升群暉NAS安全性的方法【圖文版】

一、停用Admin與guest帳號

DSM6

控制台 => 使用者帳號 => 使用者帳號 => 選擇admin => 編輯 => 停用此使用者帳號

DSM7

控制台 => 使用者&群組 => 使用者帳號 => 選擇admin => 編輯 => 停用此使用者帳號

二、啟用二階段驗證

DSM6

控制台 => 使用者帳號 => 進階設定 => 兩步驟驗證 => 勾選 強制下列使用者啓動兩步驟驗證

DSM7

控制台 => 安全性 => 帳號 => 雙重驗證 => 勾選 強制下列使用者啓動兩步驟驗證

三、啟用登入失敗封鎖IP(99999分鐘限錯兩次)

DSM6

控制台 => 安全性 => 帳號 => 勾選 啟動自動封鎖 => 99999分鐘內嘗試登入2次

DSM7

控制台 => 安全性 => 保護 => 勾選 啟動自動封鎖 => 99999分鐘內嘗試登入2次

四、啟動帳號保護

DSM6

控制台 => 安全性 => 帳號 => 勾選 啟動帳號保護 => 999分鐘內嘗試登入2次 => 999分鐘後取消帳號保護

DSM7

控制台 => 安全性 => 保護 => 勾選 啟動自動封鎖 => 999分鐘內嘗試登入2次 => 999分鐘後取消帳號保護

五、修改DSM連接埠

安全起見，改掉預設port，至少讓駭客要TRY帳密之前還要先猜你的port，增加難度。

HTTP連接埠預設5000,請改1-65535之間。

HTTPS連接埠預設5001,請改1-65535之間。

系統保留埠號請不要使用

• FTP 21
• SSH 22
• Telnet 23
• WWW-http 80

DSM6

控制台 => 網路 => DSM設定 => DSM連接埠

DSM7

控制台 => 登入入口 => DSM => DSM連接埠

六、停用TELNET/SSH(需要使用時再開)

平常不使用時請停用TELNET/SSH。

DSM6/7

控制台 => 終端機&SNMP => 終端機 => 取消勾選 Telnet 與 SSH

七、定期掃描

使用系統內建 安全諮詢中心 定期掃描

主選單 => 安全諮詢中心 => 進階設定 => 勾選 啓動定期掃描

或是可在套件中心裡下載其他防毒軟體，如Antivirus Essential

八、使用DDNS時加入Let's Encrypt憑證

使用憑證的好處是為了將DSM連線HTTP透過SSL加密變成HTTPS，確保連線過程資料都是加密的，提高外部存取NAS時的安全性。

DSM6/7

控制台 => 外部存取 => DDNS => 新增

憑證可以在 控制台 => 安全性 => 憑證 中檢視

九、設定E-mail通知

設定E-mail好處是，當NAS第一時間有異常登入、壞軌...等等危急資訊發生當下會發信，使用者就可以當下馬上處理。

十、防火牆設定

我是先設定允許通過的條件，剩下不符合規則的全Ban掉

1. 允許台灣IP連入，只開DSM(HTTPS)跟OpenVPN 1194 兩個Port
2. 允許內網IP連入，只開DSM(HTTPS)跟OpenVPN 1194 兩個Port
3. 允許VPN連入，只開DSM(HTTPS)、OpenVPN 1194 跟SMB網芳 445 三個Port
4. 剩下不符合以上規則，全Ban掉，拒絕連線

沒有使用到的port盡量不要開，要使用再開，port開越多漏洞就越多。

如果你是純家裡使用NAS，甚至台灣IP允許這條規則可以直接刪掉，只允許內網存取就好，其他全禁連。

十一、外網環境使用VPN連回NAS

先到套件中心中下載VPN Server

安裝好後，在主選單中找到VPN Server並開啟，我這邊以OpenVPN為例。

IP請設定跟區網不同網段，假設你的區網是192.168.1.x, 你可以設定192.168.2.x或192.168.3.x之類的，不要跟區網網段一樣都可以。

記得一定要勾選 允許用戶端存取伺服器的區域網路。

都設定好後，點選 匯出設定檔 先存起來，晚點client端連線時會用到。

上面設定完記得到權限頁面確認一下是否有給帳號登入VPN的權限

我在設定時沒注意到權限沒給，結果試了半天都不能登入，後來才發現權限沒給到，白忙活一場((暈倒

切到總覽頁面可以看到VPN啟動狀態及網段。

日誌頁面可以檢視VPN歷史連線紀錄

請記得到路由器(Router)設定轉port(Port Forwarding)，當外網透過1194port連入時，要連到哪台設備去，你要告訴路由，不然路由不會幫你處理。

Server端就設定到這，接下來處理Client端

電腦版VPN設定

這邊以筆電連手機網路來做VPN連線測試，等於是從外部網路透過VPN連回家中的NAS。

請到openvpn.net官網下載 OpenVPN GUI

安裝好後以系統管理員身分執行OpenVPN GUI，會出現在螢幕右下角，右鍵 => 匯入設定檔

匯入後選擇編輯設定檔

將 YOUR_SERVER_IP 替換成NAS的DDNS網址後儲存。

設定完就可以進行連線了。

輸入帳密

連線成功的畫面

右下角會跳連線成功，以及取得IP

那如何在VPN環境下透過SMB網芳功能存取NAS裡的資料呢?

下圖是我透過筆電連手機網路，用VPN連NAS，在透過SMB網芳存取資料的畫面

直接在資料夾路徑列輸入 \\192.168.1.x 你的NAS IP，就可以存取NAS裡的資料囉。

ps.防火牆裡VPN網段的SMB 445port記得開喔，開啟SMB還是有一定安全上的風險，若沒有使用時請記得關閉SMB445port!!!!

十二、使用Snapshot快照定時做快照備份

先到套件中心中下載Snapshot Replication

快照 => 選要做快照的池區 => 設定

依個人需求自行設定快照的頻繁度

依個人需求自行設定快照保留的天數

記得勾選「開啟快照瀏覽」

做到這裡定期快照備份就設定完成了。

延伸閱讀

• 群暉 NAS RAID6製作全紀錄
• NAS資料傳輸很慢?

參考資料

• 如何新增防火牆規則以允許或拒絕 IP 位址存取 DSM？
• DSM的防火牆設定
• 群暉NAS下搭建VPN
• 如何解決無法透過SMB或AFP存取Synology NAS共用資料夾的問題？