Xem nhanh
Sử dụng kết nối VPN và thay đổi các thông số thiết lập mặc định là cách thức bảo mật cho NAS có thể truy cập từ xa một cách an toàn hơn.
Khi ổ NAS đóng vai trò là đám mây cá nhân, người dùng sẽ có nhu cầu truy xuất dữ liệu ở khắp mọi nơi. Vì vậy, tiêu chí về bảo mật luôn được ưu tiên hàng đầu nhằm bảo vệ dữ liệu một cách tốt nhất. Những cuộc tấn công mạng không chỉ khiến dữ liệu của bạn có nguy cơ bị rò rỉ mà nó còn có thể dẫn đến trục trặc với phần cứng.
Những công cụ được cung cấp trong một hệ điều hành dành cho NAS sẽ hỗ trợ đắc lực giúp người dùng có thể truy xuất dữ liệu từ bên ngoài môi trường internet. Với Synology, thương hiệu hàng đầu trong lĩnh vực cung cấp các giải pháp lưu trữ NAS đã ứng dụng những công cụ tăng cường bảo mật và các giải pháp sao lưu vào trong hệ điều hành DiskStation Manager 7 (DSM). Nếu bạn đọc đang sở hữu NAS Synology hay có ý định tạo ra một đám mây lưu trữ cá nhân cho riêng mình thì những thủ thuật về bảo mật dưới đây chắc chắn sẽ vô cùng hữu ích.
Thay đổi mọi thông số mặc định trong thiết lập NAS
Những thông số mặc định của một thiết bị điện toán luôn tiềm ẩn nguy cơ bảo mật rất lớn. Chẳng hạn, chúng ta vẫn dễ dàng tìm kiếm những thông số tên truy cập và mật khẩu mặc định của bộ định tuyến, trạm phát Wi-Fi để phục hồi và thiết lập lại. Thậm chí, một số trang web còn liệt kê những địa chỉ IP hay tên truy cập, mật khẩu mặc định của những thiết bị như vậy.
Có thể thấy, việc thay đổi thông số mặc định trong thiết lập NAS là điều cần thiết. Dưới đây là những thông số mà người dùng nên thay đổi:
- Tài khoản truy xuất mặc định: admin. Giải pháp là chúng ta sẽ tạo một tài khoản dưới tên gọi khác trong nhóm (Group) với quyền quản trị cao nhất. Sau đó tiến hành đăng nhập tài khoản này và vô hiệu hoá (disable) tài khoản có tên là admin.
- Thay đổi cổng (port) mặc định của NAS Synology: theo giao thức HTTP và HTTPS, Synology mặc định giá trị cổng truy xuất là 5000 và 5001. Trong trường hợp này, người dùng nên thay đổi lại giá trị khác để truy cập vào giao diện quản lý của hệ điều hành DSM. Trong mục này, những giá trị mặc định của những cổng cho các dịch vụ cũng được đề xuất là nên thay đổi về giá trị khác.
Sử dụng chứng chỉ bảo mật cho tên miền và bật xác minh hai bước
Khi truy cập vào một trang web không an toàn, trình duyệt sẽ cảnh báo cho bạn biết về những rủi ro có thể gặp phải. Những trang web an toàn sẽ được trình duyệt xác thực thông qua giao thức HTTPS. Việc lấy một chứng chỉ cho tên miền truy cập từ bên ngoài internet đến NAS là điều cần thiết.
Synology cung cấp các dịch vụ Dynamic DNS của riêng họ và các nhà cung cấp phổ biến như No-IP, Google, DynDNS. Những dịch vụ này sẽ cho phép tạo ra tên miền tuỳ chỉnh tuỳ theo cấu trúc của mỗi nhà cung cấp. Từ đó, người dùng sẽ luôn truy cập đến NAS ngay cả khi giá trị của IP động (Public IP) trên modem nhà mạng thay đổi.
Sau khi thiết lập được Dynamic DNS, người dùng sẽ sử dụng công cụ lấy chứng nhận bảo mật Let’s Encrypt có sẵn trong thiết lập của NAS. Điều kiện để hệ thống xác nhận là việc người dùng phải mở cổng truy cập 80 và chuyển đến địa chỉ IP của NAS trong mạng nội bộ.
Công cụ tiếp theo giúp tăng cường bảo mật cho từng tài khoản là tính năng xác minh hai bước. Synology đã nâng cấp khả năng bảo mật trên DSM 7 với ứng dụng hỗ trợ Secure SignIn trên thiết bị di động. Người dùng hoàn toàn có thể thiết lập đăng nhập không cần nhập mật khẩu nhờ việc cài đặt tính năng xác thực bằng sinh trắc học (vân tay hoặc khuôn mặt), cùng với lựa chọn xác minh hai bước. Nhờ những tiện ích này mà tính bảo mật của NAS được nâng lên đáng kể, trong khi việc đăng nhập vẫn vô cùng dễ dàng.
Sử dụng tường lửa và vô hiệu hoá các dịch vụ ít dùng đến
Firewall là công cụ mà bất kỳ thiết bị điện toán có liên kết dữ liệu đều tích hợp. Tính năng này giúp NAS có thể từ chối những truy cập từ những địa chỉ IP lạ, chọn lọc theo khu vực, hay chỉ chấp nhận những IP được phép truy cập vào NAS.
Tiếp đến, những dịch vụ tiềm ẩn những rủi ro dễ bị truy cập bằng mật khẩu như SSH, Telnet, FTP… cũng nên được tắt nếu người dùng không sử dụng đến. Trong trường hợp cần phải sử dụng, chúng ta cần phải đảm bảo một kết nối thật sự an toàn nếu muốn kết nối NAS từ môi trường internet từ xa. Và lời khuyên cho việc này chính là phần tiếp theo của bài viết.
Sử dụng kết nối VPN trực tiếp hoặc qua trung gian
Nếu bạn thật sự không muốn mở cổng truy cập cho NAS từ modem, việc sử dụng kết nối VPN đến những dịch vụ trung gian là điều phải làm để kết nối đến NAS từ xa.
Synology QuickConnect cho khả năng kết nối từ xa đơn giản
Tuy vậy, những thiết lập này sẽ cần người dùng phải hiểu về cách thức mà dữ liệu di chuyển trong môi trường mạng. Synology đã tạo ra một giải pháp kết nối mang tên QuickConnect để đơn giản hoá việc truy xuất NAS và các dịch vụ từ xa. Với cấu trúc tên-truy-cập.quickconnect.to, người dùng không cần quan tâm việc đang sử dụng ở bất kỳ kết nối nào vẫn có thể truy cập đến NAS một cách đơn giản.
Dù vậy, QuickConnect bộc lộ hạn chế trong quá trình sử dụng là tốc độ truy xuất dữ liệu. Nó cần phải được kết nối về máy chủ của Synology tại một số quốc gia như Đài Loan. Mặc dù là một giải pháp an toàn nhưng nó vô tình khiến cho trải nghiệm của người dùng bị giảm đi.
Chính vì vậy, việc tạo ra một giải pháp truy cập bằng các giao thức VPN đã được nhắc đến.
Sử dụng giao thức VPN với ứng dụng tích hợp trong NAS
Có hai cách thức để một chiếc laptop có thể truy cập đến NAS thông qua VPN.
Thứ nhất là NAS đóng vai trò làm máy chủ VPN để tiếp nhận kết nối từ bên ngoài, từ đó giả lập môi trường làm việc giống như mạng tại nhà hay doanh nghiệp. Synology cung cấp các giao thức VPN phổ biến như OpenVPN, PPTP hay L2TP có thể dễ dàng kết nối từ bất kỳ thiết bị nào như máy tính, smartphone… Cách này vẫn đòi hỏi việc mở cổng truy cập qua giao thức UDP trong mạng chứa NAS đang vận hành máy chủ VPN.
Vậy còn trường hợp không mở bất kỳ cổng của modem thì sao? Lúc này NAS hay các máy tính, smartphone đều phải được kết nối đến một dịch vụ trung gian. Dịch vụ này có thể là một chiếc NAS đang chạy VPN Server, hoặc một máy tính với chức năng tương đương. Lúc này, dữ liệu của người dùng trên NAS tiếp tục giảm thêm được rủi ro mất an toàn vì không vị quét qua các port kết nối đến modem.
Một dịch vụ có thể đáp ứng nhu cầu trên đó là Tailscale (tailscale.com). Các thiết bị được cài đặt tài khoản tailscale sẽ cùng kết nối đến máy chủ của dịch vụ này thông qua các địa chỉ IP. Như vậy, NAS hay những thiết bị đã cấu hình tài khoản Tailscale mới có thể nhìn thấy nhau và truy xuất dữ liệu.
Có thể thấy dịch vụ này như là một túi bảo vệ những thiết bị trong một nhóm, và chỉ cho phép truy cập ra ngoài internet khi người dùng lựa chọn tính năng Exit Nodes. Chẳng hạn, bạn muốn dùng tính năng backup từ NAS 1 (vị trí A) sang NAS 2 (vị trí B) thông qua Tailscale thì cần phải thiết lập mở truy cập ra ngoài (Exit Nodes) trên NAS 1, hoặc máy tính 3 (vị trí bất kỳ), tất cả phải được kết nối chung một tài khoản Tailscale.
Synology còn có nhiều giải pháp giúp tăng cường bảo mật khác, nhằm bảo vệ tối đa dữ liệu cho người dùng. Thậm chí, người dùng có thể khiếu nại về các lỗ hổng zero-day, đôội ngũ kỹ thuật sẽ đánh giá sơ bộ trong vòng tám giờ và khắc phục mọi lỗ hổng trong vòng một ngày. Một bản vá sẽ được phát hành ngay sau khi xác nhận để đảm bảo tất cả sản phẩm của chúng tôi đáng tin cậy và an toàn.
Tạm kết
Những dữ liệu quan trọng của bạn nên được sao lưu thường xuyên với nhiều hình thức. Ở mục này, TechSigin sẽ dành một chủ đề riêng để chia sẻ những giải pháp sao lưu bảo vệ dữ liệu trên NAS Synology.
Synology bán hàng thông qua các kênh phân phối. Khách hàng có thể liên hệ các đối tác của Synology tại Việt Nam tại đây để mua hàng, hoặc liên hệ trực tiếp với đội ngũ Synology để triển khai các dự án hoặc đăng ký đối tác tại đây.