Saltar al contenido
Ciberseguridad > Hardening

12 medidas clave para asegurar su NAS de Synology en 2021


Un Synology NAS es una herramienta fantástica para almacenar y organizar sus archivos digitales y también puede proporcionar una variedad de servicios y aplicaciones para que los utilice tanto localmente en su red como remotamente. Sin embargo, debe asegurarse de saber cómo proteger su Synology NAS.

Medidas clave para proteger su Synology NAS

A continuación, se indican algunas de las “mejores prácticas” que puede seguir para asegurar un NAS de Synology.

Desactivar la cuenta de administrador

La primera medida es asegurarse de que desactiva la cuenta de administrador al configurar su Synology NAS.

Debe crear un nuevo usuario y asegurarse de que tiene permisos de administrador antes de desactivar el usuario administrador.

Abra el Panel de Control, luego seleccione Usuario y Grupo
Edite el usuario administrador
Seleccione Desactivar esta cuenta, luego seleccione Guardar
Desactivar la cuenta de administrador

Desactivar la cuenta de administrador

Activar la autenticación de dos factores (2FA)

La segunda medida clave es activar la autenticación de doble factor que requiere que los usuarios introduzcan un código de seguridad TOTP además de su contraseña habitual.

Seleccione el icono de Persona en la parte superior derecha y seleccione Personal
Marque la casilla Activar la autenticación en dos pasos
Haga clic en el botón 'Verificación en dos pasos'
Siga el asistente para activar el código TOTP 2FA
Activar la autenticación de dos factores (2FA)

Activar la autenticación de dos factores (2FA)

Activar el bloqueo automático

Además de la 2FA, el bloqueo automático bloqueará automáticamente las direcciones IP que hayan fallado en un cierto número de inicios de sesión durante un determinado período de tiempo para evitar ataques de fuerza bruta.

Abra el Panel de Control y seleccione Seguridad
Seleccione Cuenta
Asegúrese de que está seleccionada la opción Habilitar bloqueo automático
Establezca los parámetros Intentos de inicio de sesión, y luego aplique
Activar el bloqueo automático

Activar el bloqueo automático

Programer análisis antivirus regulares

La solución antivirus gratuita por defecto de Synology es una capa de seguridad adicional que complementa la protección de sus puntos finales (ordenador, dispositivos móviles, etc.).

Vaya al Centro de paquetes y abra Antivirus Essential
Asegúrese de que el paquete Antivirus Essential está instalado
Abra el paquete Antivirus Essential y vaya a Análisis programado
Asegúrese de que está programado un análisis semanal
Programer análisis antivirus regulares

Programer análisis antivirus regulares

Activar las protecciones CSRF y CSP

Una política de seguridad de contenidos (CSP) es un conjunto de instrucciones que los navegadores deben seguir al cargar su sitio web, y que se entrega como parte del encabezado de respuesta HTTP de su sitio web. Y un Cross-Site Request Forgery (CSRF) es un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que está autenticado.

Abra el Panel de control y seleccione Seguridad
Seleccione Seguridad
Asegúrese de que esté marcada la opción Mejorar la protección contra los ataques de falsificación de solicitudes entre sitios
Asegúrese de que esté marcada la opción Mejorar la seguridad con la cabecera HTTP Content Security Polcy (CSP)
Activar las protecciones CSRF y CSP

Activar las protecciones CSRF y CSP

Desactivar versiones obsoletas de SMB

Por defecto, SMB1 se ejecuta en Synology para aumentar la compatibilidad. Debería desactivar SMB1 lo antes posible. Una de las razones por las que uno de los primeros virus criptográficos se propagó tan rápidamente en las redes informáticas fue el uso de un protocolo SMB obsoleto en Microsoft Windows.

Abra el Panel de control
Seleccione Servicios de archivos Seleccione SMB / AFP / NFS
Haga clic en la configuración avanzada de la sección SMB
Asegúrese de que el protocolo SMB mínimo esté configurado como SMB 2 y MTU grande
Desactivar versiones obsoletas de SMB

Desactivar versiones obsoletas de SMB

Desactivar el protocolo TFTP

El protocolo TFTP es una versión más sencilla del clásico FTP que se utiliza principalmente para actualizar el firmware de los dispositivos de red como routers, conmutadores o teléfonos IP. Es un protocolo no seguro que debe ser desactivado.

Abra el Panel de Control, luego seleccione Servicios de Archivos
Seleccione TFTP
Asegúrese de que los servicios TFTP estén desmarcados
Desactivar el protocolo TFTP

Desactivar el protocolo TFTP

Prefierar SFTP, en lugar de FTP

Con SFTP, tu conexión está siempre asegurada y los datos que se mueven entre tu cliente FTP y tu servidor web están encriptados.

La diferencia clave entre FTP y SFTP es que SFTP utiliza un canal seguro para transferir archivos mientras que FTP (e incluso TFTP) no lo hace. Así que es mejor que utilices SFTP.

Abra el Panel de control y seleccione Servicios de archivos
Seleccione FTP
Asegúrese de que los servicios FTP están desmarcados
Puede marcar los servicios SFTP si piensa utilizar este protocolo
Prefierar SFTP, en lugar de FTP

Prefierar SFTP, en lugar de FTP

Desactivar los servicios Telnet y SSH

Hay múltiples razones por las que podrías querer usar SSH, pero si no lo estás usando activamente, deberías desactivarlo. Incluso si activas la autenticación de dos factores arriba, SSH no la utiliza. Por esta razón, si su red está comprometida, un atacante puede intentar forzar su contraseña a través de SSH.

Telnet no es un protocolo fiable y debería evitarse.

Abra el Panel de control y seleccione Terminal y SNMP
Asegúrese de que la opción Habilitar servicio Telnet esté desactivada
Asegúrese de que la opción Habilitar servicio SSH esté desactivada
Desactivar los servicios Telnet y SSH

Desactivar los servicios Telnet y SSH

Redirigir HTTP a HTTPS

Cuando acceda a su NAS de forma remota, puede obligar a su NAS a utilizar una conexión HTTPS en todo momento, después de haber instalado primero un certificado SSL en su NAS

Abra el Panel de control y seleccione Red
Seleccione la configuración de DSM
Marque Redirigir automáticamente la conexión HTTP a HTTPS para el escritorio de DSM
Modifique los puertos predeterminados de DSM
Redirigir HTTP a HTTPS

Redirigir HTTP a HTTPS

Habilitar el cortafuegos

Además, si expone su NAS a Internet, asegúrese de comprobar la configuración del cortafuegos de su NAS y de personalizar las reglas para que se ajusten a sus necesidades.

Abra el Panel de Control, luego seleccione Seguridad
Seleccione Firewall
Marque Habilitar Firewall y Habilitar Notificaciones de Firewall
Habilitar el cortafuegos

Habilitar el cortafuegos

Automaticer la instalación de actualizaciones

Por último, pero no por ello menos importante, suele haber una nueva actualización cada dos semanas para asegurarse de que los parches de seguridad que mantienen su NAS seguro están instalados.

Lo más fácil que puede hacer para ayudar a proteger su NAS es mantener el software al día con una comprobación e instalación programada y automatizada.

Vaya al Panel de Control -> Actualización y Restauración
Haga clic en Configuración de la Actualización
Seleccione 'Instalar automáticamente la nueva actualización'
Automaticer la instalación de actualizaciones

Automaticer la instalación de actualizaciones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *