Центр упаковки
В среде рабочего стола DiskStation Manager Центр пакетов — это место, где вы можете установить дополнительные функции на DS220j.
Существуют сотни пакетов, доступных для установки, но вот некоторые из них:
- Моменты позволяют хранить все ваши семейные фотографии в одном красивом интерфейсе и использовать искусственный интеллект глубокого обучения для распознавания лиц. Благодаря поддержке Live Photos и 360 изображений вам больше не нужно полагаться на облачные сервисы для расширенных функций.
- Note Station — это замена Google Keep или Apple Notes. Для тех, кто хочет отказаться от облачных сервисов и проверить свои данные, это просто необходимо.
- Video Station — это программное обеспечение видеосервера Synology с приложением для смартфона для потоковой передачи мультимедийных файлов, хранящихся на любом устройстве в домашней сети. Лично я предпочитаю Plex , который также доступен в центре упаковки. Plex включает в себя такие функции, как постеры фильмов, трейлеры и автоматический сбор метаданных, но он может быть немного более сложным, чем ваши потребности. Прочитайте наше полное руководство по Plex .
- Download Station — это универсальный менеджер загрузок для Usenet, BitTorrent, FTP и других приложений, включающий такие функции, как организация очередей RSS.
- WordPress . Хотя я бы не рекомендовал открывать ваш сайт для всех, запуск локальной копии WordPress для разработки или тестирования может быть очень полезным.
Это только часть того, что доступно. Вы можете просмотреть текущий выбор на веб-сайте Synology, но мы хотели бы выделить один, в частности, который упрощает преобразование NAS в устройство записи IP-камер .
Synology DS220j Технические характеристики и дизайн
На первый взгляд, DS220j очень похож на предыдущий DS218j, с белой пластиковой оболочкой и серыми акцентами.
Однако внутри был существенный аппаратный удар: четырехъядерный процессор с тактовой частотой 1,4 ГГц (по сравнению с двухъядерным с частотой 1,3 ГГц) и 512 МБ оперативной памяти DDR4 (по сравнению с DDR3). Стоит отметить, что процессор Realtek RTD1296 основан на ARM, а для некоторых мультимедийных приложений, таких как Plex, требуются процессоры Intel для оптимального транскодирования видео. Если это предполагаемое использование, проверьте DS418play вместо этого .
На задней панели DS220j вы найдете порт питания постоянного тока, два порта USB 3.0 и одно соединение Gigabit Ethernet. На передней панели устройства нет USB-порта (иногда используется для резервного копирования одной кнопкой), но на задней панели можно использовать его для резервного копирования данных на внешний диск или для совместного использования принтера.
Чтобы получить доступ к внутренней части, вы должны отвинтить два винта на задней панели, а затем половина белой оболочки соскальзывает.
Отсюда вы можете получить доступ к отсекам для дисков, чтобы добавить или заменить диски. Как и большинство устройств NAS, вы, скорее всего, купите его сразу, а это значит, что вам также придется учитывать стоимость покупки этих устройств. Хотя теоретически вы можете использовать любой 3,5-дюймовый жесткий диск, если вы покупаете новый продукт, вам нужно искать те, которые специально разработаны для NAS, такие как Seagate IronWolf или WD Red, которые будут работать дольше в случае больших нагрузок.
1 — отключаем учётку Admin и настраиваем политику паролей
По умолчанию на NAS-ах Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учётную запись admin / administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (8 символов разного регистра + цифры + спец.символы) будет достаточно.
NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учётные данные пользователя и снизить область атаки для похищения логина/пароля даже если брешь присутствует в других, сторонних приложениях.
Step 2: Synology QuickConnect Method
Log in to your Synology NAS.
Go to your DiskStation menu button and open control panel then choose QuickConnect.
Place a tick besides “Enable QuickConnect” Log in or register a new Synology account, and once you do, give your DiskStation a name in the Quick Connect ID section.
NOTE: If the name has been taken you will see an alert down the bottom. Agree to the terms and conditions by placing a tick in the box and click Apply.
Once the QuickConnect ID is accepted you’ll be given a URL you can use to connect your Synology NAS via the internet. Save this URL somewhere safe on your phone or another device and you’ll always have access to your files wherever you are.
NOTE: You can control very speficic settings such as not letting mobile applications have access to your NAS in the “Advanced” Tab of the QuickConnect configuration panel.
FIX: If you happen to encounter an error like “You are not authorized to use this service” You need to change the security setting by going to the “Security” section in the QuickConnect configuration panel. Tick “Enhanced browser compatibility by skipping IP” before hitting “Apply”.
9 — защита Data at Work
Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS-ах, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплоитов Meltdown и Spectre , благодаря чему заражённая виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьёзно замедляющие операции случайного чтения с дисковой подсистемы.
В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology собственный код, то проследуйте в панель управления, в закладку Security — Advanced и включите защиту от Meltdown и Spectre. Если вы точно знаете, что никаких сторонних программ никто в пределах виртуалок запускать не будет, можете этого не делать.
6 — кодируем Data at Transit для защиты от снифферов
Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Ещё совсем недавно в этой области данные не защищались, поскольку считалось что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полёте» не шифруются.
6а — включаем кодирование файловых протоколов
Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политики.
Windows 10 и Windows Server 2016/2019 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0.
Современные процессоры, на которых построены NAS-ы Synology поддерживают аппаратное ускорение операций кодирование, поэтому влияние на производительность минимальное.
Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3
Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, так же по умолчанию не защищён. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определённое правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.
Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищённому SSH туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux устройств, включаем протокол RSync, который так же работает по SSH. Здесь всё по умолчанию использует кодирование, и никаких настроек делать не нужно.
Обратите внимание — включение RSync и SFTP не означает включение терминального доступа по SSH, и если последний отключен, а первые два включены, то при подключении через терминал, соединение будет разорвано
Вообще, доступ по SSH вам скорее всего не потребуется, и его можно не включать, но в случае если он всё же нужен, в настройках безопасности вам будет предложен огромный выбор алгоритмов защиты трафика. Я рекомендую отключить поддержку 128-битных ключей, оставив 256-битные и выше.
Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учётной записи, и почти всё закончено.
5 — настраиваем OpenVPN
Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.
Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь так же доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путём импорта .ovpn файла, без ручных настроек.
На данном этапе мы произвели все настройки, чтобы защитить учётные записи от попыток похищения пароля или взлома методом перебора. Ещё раз спешу заметить, что пока что наши действия относятся только к web-панели NAS-а, и не касаются хранимых на нём данных.
2 — настраиваем беспарольную аутентификацию
Всё большую популярность набирают методы идентификации пользователя не через пару логин/пароль, а через токен, которым может выступать как аппаратный ключ, так и смартфон. Начиная с версии DSM 7, в NAS-ах Synology поддерживаются оба этих метода. Для идентификации с аппаратным ключом потребуется, чтобы NAS был доступен по HTTPs через доменное имя, например nas.yourdomain.com, что не всегда возможно и желательно. Идентификация через смартфон не требует даже «белого» IP адреса, и работает через встроенную систему доменных имён Synology QuickConnect.
Настройка проста: всё что нам нужно — это установить на смартфон нужного пользователя программу Synology SignIn, и в свойствах пользователя включить беспарольный вход. После этого сканируем сгенерированный QR-код из приложения, подтверждаем его в настройках NAS-а — и всё. Теперь при попытке войти в NAS вам предложено будет только ввести логин, после чего на смартфон будет отправлено уведомление с просьбой подтвердить вход на устройство. Но возможность аутентификации вводом пароля с клавиатуры остаётся как резервный вариант на случай если смартфон разрядился/потерялся и т.д.
10 — защита архивных данных
Давайте разберёмся с шифрованием различных резервных копий, которые могут храниться на NAS-е. Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS-ами или в облако — другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест — третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои. Начнём по порядку:
Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удалённый сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа «вытащить нужный файл за вчерашний день. Незащищённые папки имеют доступные снэпшоты, и для их защиты можно использовать защищённое соединение при репликации на удалённый сервер.
Резервирование содержимого самого NAS-а на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задаётся единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.
В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на неё можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищённую папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придётся при восстановлении бэкапа или для автоматической проверки целостности копий. Кстати, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после ребута, но я не советую это делать.
4 — используем встроенный Firewall
В топовых NAS-ах Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развёртывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всём мире ПО для сетевой безопасности, но если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.
По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS-а из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы, и запрещаем для примера им доступ из Антарктиды, Анголы и некоторых других стран.
Что такое NAS и зачем он вам нужен?
Поскольку это устройство NAS начального уровня, давайте уделим немного времени объяснению, что такое сетевое хранилище и что вам может понадобиться.
«Сетевая» часть означает, что вместо подключения жесткого диска к компьютеру через USB (иногда это называется Direct Attached Storage), вам нужно вместо этого подключить его к сети. Непосредственным преимуществом этого является то, что каждое устройство в вашей сети сможет получить доступ к файлам, хранящимся внутри. Не только компьютеры, но и планшеты, смартфоны, игровые приставки и умные телевизоры.
Еще одним преимуществом является безопасность данных. Если у вас более одного отсека для жестких дисков на NAS (в Synology DS220j их два), вы обычно настраиваете один жесткий диск для избыточности данных. Это означает, что один диск действует как дубликат другого, поэтому в случае его сбоя данные не будут потеряны. Жесткие диски могут выйти из строя в любое время, и если у вас нет нескольких резервных копий, вы потеряете все. Использование NAS делает защиту данных невидимым процессом. Не нужно делать две копии. NAS сделает все за вас и предупредит вас о необходимости замены одного из дисков без потери данных.
Это делает NAS отличной центральной резервной точкой и безопасным файловым архивом, таким как семейные фотографии.
Еще одна причина использования NAS — это не просто случай, когда некоторые диски могут сидеть. Они больше похожи на сверхэффективные мини-компьютеры. На самом деле устройства Synology работают под управлением своей невероятной операционной системы, которая называется DiskStation Manager. Именно это программное обеспечение в конечном итоге определяет, насколько легко настроить и использовать NAS. DiskStation Manager просто лучший на рынке. Но ваш NAS может делать гораздо больше, чем архивировать файлы. Он также имеет свой магазин приложений с сотнями бесплатных пакетов, которые вы можете установить. Вы можете узнать больше о некоторых из этих пакетов позже в обзоре.
Synology Hybrid RAID и пути обновления
RAID — это технология хранения, которая защищает данные, распределяя их между дисками. Если диск выходит из строя, вы можете заменить его без потери данных. При использовании стандартного RAID эти диски должны быть одинакового размера, иначе любой излишек будет потрачен впустую. Synology Hybrid RAID оптимизирует избыточное пространство для более эффективного использования дисков смешанной емкости, но только при наличии трех или более дисков. Используйте калькулятор RAID, чтобы увидеть его в действии.
Однако на NAS с двумя отсеками это не дает никаких преимуществ: только после добавления дисков он начинает «восстанавливать» часть потерянного пространства. Так зачем беспокоиться, если в DS220j есть место только для двух устройств? Потому что в какой-то момент вы, вероятно, захотите обновить.
К счастью, в Synology также есть несколько очень удобных путей обновления. В зависимости от того, из какой серии устройств вы перемещаетесь, вы также можете извлекать жесткие диски непосредственно из старых и новых устройств и сохранять все данные в процессе.
Увеличение общей емкости Synology также легко, независимо от того, есть ли у нее два или четыре (или более) слота. Просто выньте меньшую единицу и вставьте большую. Затем вы можете перейти к системе управления и перестроить массив. NAS все еще можно использовать, пока он делает это. После завершения сделайте то же самое для второго блока. И, эй, поторопись, вы увеличили свои способности всего за несколько минут простоя!
Для меня Synology Hybrid RAID является огромным преимуществом, так как позволяет смешивать и подбирать старые диски и обновлять их более удобным способом.
Ограничения DS220j
В конечном счете, DS220j — это устройство начального уровня, поэтому не стоит ожидать, что оно будет запускать некоторые из более продвинутых программ NAS-серверов, например виртуальные машины.
Процессор ARM ограничивает количество транскодирования тяжелой информации, которое может быть выполнено. Это не значит, что вы не сможете ничего транслировать на смартфоны. Последние модели вполне способны декодировать MP4 с высокой скоростью передачи битов без необходимости транскодирования, и с помощью Plex можно заранее генерировать оптимизированные копии, если это необходимо.
С точки зрения производительности копирования файлов нам удалось скопировать файл размером 1 ГБ примерно за 5 секунд через проводное соединение Gigabit Ethernet. Конечно, он медленнее жесткого диска, подключенного через USB, но стоит пойти на компромисс. Мы не опубликовали более подробные тесты производительности, потому что они не отражали бы практическое использование. Производительность может варьироваться в зависимости от многих факторов, таких как индивидуальные условия сети, протокол, который вы используете для подключения, тип установленного кабеля, ли вы зашифровали свои диски, количество программного обеспечения, работающего в вашей системе, или вы это полная луна. Хорошо, мы шутим о последнем, но дело в том, что любое узкое место, скорее всего, будет на вашей стороне, а не DS220j.
Вы также должны помнить, что один только NAS не является полным решением для резервного копирования вашего компьютера. Это просто точка в окончательной системе тройного резервного копирования .
Наконец, вы должны знать, что для некоторых приложений сетевой диск просто не может быть использован. Например, из опыта Adobe Lightroom и Final Cut Pro мне не нравится, что их библиотеки хранятся удаленно. Для них вам понадобится локальный рабочий диск, но вы можете использовать сетевое хранилище для резервного копирования.
3 — включаем защиту от перебора паролей
По умолчанию эта опция отключена, но Synology предлагает два уровня защиты. Первый — это временная блокировка самой учётной записи, на которую идёт атака. Это наиболее экологичный вид защиты, потому что если атакующий использует IP-адреса вашей подсети или подсети ваших клиентов, работа сервисов не пострадает.
Также можно по-старинке блокировать IP адреса атакующих, для чего открываем панель управления -> безопасность -> защита и включаем блокировку IP адреса при 10 ошибочных логинах в течение 5 минут. Удаление IP-адреса блокировщика можно поставить через 1-2 дня, и здесь же имеет смысл добавить локальные подсети или доверенные IP-адреса в белый список, чтобы исключить их блокировку, когда например зловред имеет своей целью специально заблокировать хост, выполняя бескнечный брутфорс NAS-а.
На этой же вкладке можно включить защиту от DoS атак без каких-либо дополнительных настроек.
Станция наблюдения
Из многочисленных пакетов программного обеспечения, доступных для работы на DS220j, Surveillance Station , пожалуй, самый впечатляющий, полностью заменяющий необходимость в отдельном аппаратном NVR. С официальной поддержкой широкого спектра IP-камер также может использоваться любая модель, предлагающая стандартную потоковую передачу видео ONVIF.
Я протестировал Surveillance Station с некоторыми камерами Reolink и с радостью сообщаю, что это самый простой способ использовать для мониторинга и записи, с которыми я когда-либо сталкивался. Из базовых функций, таких как просмотр прямых трансляций, настройка программ записи, активируемых движением, или просмотр архивных видеороликов, в Surveillance Station есть все, а затем и некоторые.
Продвинутая функция, которой я увлечен, — это Time Lapse , который автоматически генерирует сводные видео, замедляя обнаруженные события и позволяя вам просматривать полнодневный фильм за несколько минут. Прямая трансляция позволяет выбрать канал для трансляции на YouTube. IP Speaker может интегрироваться с аудио решениями на основе IP для передачи звуковых шаблонов по расписанию. Слишком много расширенных функций, но достаточно сказать, что Surveillance Station также имеет свой собственный магазин приложений, отдельный от основного центра пакетов!
Сама Surveillance Station бесплатна, но вам понадобится лицензия для каждой камеры, которую вы хотите использовать с системой, и сторонние интеграции могут повлечь за собой связанные с этим расходы. Две лицензии камеры включены с DS220j, и аппаратное обеспечение поддерживает в общей сложности до 12 камер. Дополнительные лицензии стоят около 50 долларов за камеру, но это разовая покупка, а не постоянная подписка.
Так как же Surveillance Station сравнивается с недорогим NVR или интеллектуальными камерами с интегрированными возможностями записи в облаке?
- С Surveillance Station ваши данные хранятся локально в вашей сети, и записи никогда не покидают помещения без вашего явного разрешения. Когда задействовано облако, существует риск, исходящий от хакеров или неавторизованных сотрудников. Вы также можете установить пользовательский срок хранения, если это необходимо для местных законов о защите данных.
- Камеры с подключением к облаку часто стоят более $ 10 в месяц на камеру, или бесплатные планы крайне ограничены. К Surveillance Station можно бесплатно добавить две камеры, и хотя дополнительные камеры имеют более высокую первоначальную стоимость, чем другие решения, общая стоимость владения, вероятно, будет ниже из-за более простых обновлений емкости хранилища. Не говоря уже о том, что вы сэкономите много стресса благодаря невероятно простому в использовании интерфейсу!
- Ваши записи в безопасности. Редко можно найти аппаратный сетевой видеорегистратор с двумя отсеками для дисков для избыточности данных, поэтому если у вас нет строгой политики резервного копирования, потеря данных при записи может произойти в какой-то момент. Благодаря отказоустойчивости диска DS220j маловероятно, что вы потеряете свои данные. Если юнит умирает, при физической замене вышедшего из строя юнита не будет более нескольких минут бездействия.
- Ваши папки могут быть надежно зашифрованы, поэтому, если ваш NAS украден, воры не смогут извлечь диски и получить доступ ко всем этим записям.
Единственным недостатком Surveillance Station по сравнению с NVR является то, что невозможно напрямую подключить монитор к порту HDMI для просмотра видео с камеры в режиме реального времени. С другой стороны, у вас есть отличный веб-интерфейс, а также мобильные и настольные приложения, поэтому в целом гораздо больше гибкости.
2а (опционально) — настраиваем двухфакторную аутентификацию
Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.): чертовски удобно.
Двухфакторная и беспарольная аутентификации работают только в пределах Web-интерфейса Synology: это полезно для таких встроенных приложений, как Web-почта, календарь, офисный пакет или чат. Да, всё это может быть запущено в пределах одного NAS, что избавит вас от зависимости от интернет-сервисов. Тем не менее, протоколы файлового и терминального доступа остаются зависимы только от пары логин/пароль, поэтому защита от перебора остаётся важным шагом в настройке безопасности.
Step 3: EZ Internet Method
NOTE: To use this service you will need to have a router that supports UPnP.
Go to the DiskStation menu and choose EZ Internet. This will start the wizard that will guide you through the entire process.
On the first screen click next.
On the firewall setup screen place a tick in the “Enable firewall to block incoming connections” box. If you just want access to the DiskStation manager then click Next otherwise scroll through the list and place a check beside the services you want to have access to.
Next you will need to set up a hostname by typing it into the box. Here you can also change the domain name associated with the hostname you choose.
On the next screen you will need to register or log in into your Synology account before you can accept the Terms and Conditions.
Once you accept them click “Next” Check the settings written here are correct and click the apply button so the firewall and DDNS settings will be set up.
Once it finishes, click the “Finish” button. Make sure you have written down the domain name so you can have access to your Synology NAS.
FIX: If the link is coming back with an error your router may not be compatible and the firewall settings may not have taken effect. To check this, go to the DiskStation menu and choose the control panel. Select the external access icon and go to the router configuration tab up the top. Lastly click on the setup router button. If a message comes up saying “No UPnP router found” then this method won’t work for you.
Финальные штрихи
На данном этапе мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля кейлоггером или другим зловредом, физическим похищением всего устройства или его дисков, а так же от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам, NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology. Осталось защититься от самой страшной проблемы — от человеческого фактора.
Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а так же включаем еженедельное сканирование настроек безопасности средством Security Advisor.
Во-вторых, настраиваем резервирование всего NAS-а в облачную службу Synology C2. Это дёшево, практично, удобно и плюс Synology не продаёт ваши данные рекламщикам.
И рекомендую обратить внимание на приложение Note station для сохранения заметок на NAS-е: здесь есть возможность использовать защищённые записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password
Михаил Дегтярёв (aka LIKE OFF)
04/10.2021