Serwery plików NAS

Bezpieczeństwo, administracja, dostęp zdalny

z dnia

Niepozorne z punktu widzenia obudowy rozwiązanie Synology kryje w sobie wiele możliwości i ustawień, a co za tym idzie niesie ryzyko pomięcia aspektów bezpieczeństwa. Tu Synology przychodzi z pomocą i oddaje w ręce użytkowników dość proste narzędzie jakim jest Doradca ds. zabezpieczeń.

Aplikacja przy pierwszym uruchomieniu pyta o sposób użytkowania NAS-a – wykorzystanie w domu lub środowisku biznesowym i w zależności od wyboru skanuje system i konfiguracje pod kątem określonych wymogów bezpieczeństwa. Po przeprowadzeniu skanowania zostanie wyświetlony raport dotyczący ewentualnych luk w zabezpieczeniach systemu. Pozwoli to na szybką analizę potencjalnych luk i niedopracowanych konfiguracji.

Oczywiście ustawienia dot. sposobu wykorzystania NAS-a można zmienić w opcjach zaawansowanych. Możemy również samodzielnie ustawić charakter wykorzystania serwera Synology.  

Większość elementów bezpieczeństwa NAS-a została zlokalizowana w aplecie Bezpieczeństwo. Użytkownik może zmienić m.in. czas zalogowania do systemu DSM, włączyć ochronę przed atakami DoS, wymusić automatyczne blokowanie konta w przypadku określonej liczby nieprawidłowych logowań. Z kolei wykorzystując certyfikaty można zabezpieczyć usługi SSL np. WWW czy email.

Rozbudowaną sekcję stanowi Zapora sieciowa. Jest to niezwykle przydatne rozwiązanie w przypadku, gdy serwer NAS posiada usługi, które dostępne są z internetu. Dzięki zaporze możemy utworzyć reguły blokujące lub przepuszczające określony ruch do i z serwera NAS. Reguły możemy w prosty sposób przydzielać dla określonych aplikacji ale również niestandardowych portów.

Prócz bezpieczeństwa zewnętrznego warto zadbać o bezpieczeństwo wewnątrz sieci LAN. Użytkownicy, którzy będą korzystać z serwera NAS mogą również wykorzystywać aplikacje, które instalujemy na serwerze. W sekcji Uprawnienia przydzielamy uprawnienia dla użytkowników, którzy będą korzystać z aplikacji. Dla przykładu dział marketingu może mieć dostęp do aplikacji multimedialnych, z kolei ochrona tylko do narzędzi stacji monitorującej kamery IP.

Jeszcze jednym ciekawym ustawieniem optymalizującym wykorzystanie serwera NAS jest opcja ukryta w konfiguracji kont użytkowników. Chodzi o Limity prędkości. Ustawienia pozwalają na określenie maksymalnej szybkości pobierania lub wysyłania danych na i z serwera NAS oraz jego usług. Limity możemy dostosowywać indywidualnie dla każdego użytkownika i definiować ich 2 różne typy na podstawie harmonogramu.

Dla przykładu aplikacje multimedialne możemy ograniczyć dla wszystkich użytkowników codziennie od godziny 9 do 17. Z kolei po godzinie 17 i w weekendy przydzielić nieograniczony dostęp. Synology posiada także możliwość aktywowania obsługi zdalnego dostępu z wykorzystaniem SSH i telnet. Domyślnie usługi te są jednak wyłączone. Można je aktywować w sekcji Terminal i SNMP.

Prócz narzędzi związanych z typowym bezpieczeństwem DS716+ został wyposażony w aplikacje pozwalające na szybką administrację NAS-em. Wśród narzędzi możemy znaleźć:

  • Monitor zasobów – pogląd na zużycie sieci , procesora, pamięci RAM czy zasobów dyskowych
  • Analizator pamięci masowej – pozwala na tworzenie raportów dotyczących zużycia zasobów dyskowych przez poszczególne foldery.
  • Centrum logów – podgląd na wszystkie zdarzenia dotyczące serwera NAS i jego usług. Logi mogą być przesyłane na miał lub na serwer Syslog

Jeśli zależy nam na wysokiej dostępności serwera plików to możemy skorzystać z mechanizmów High Availability. Rozwiązanie pozwala na połączenie dwóch identycznych serwerów NAS w klaster. Jeden z jego węzłów (jeden z serwerów NAS) pełni rolę serwera aktywnego, drugi działa w trybie pasywnym. Jeśli serwer aktywny ulegnie awarii następuje natychmiastowe przełączenie na drugi serwer NAS.

A co z kopiami zapasowymi? W DS716+ możemy tworzyć kopie zapasowe na kilka sposobów. W aplecie Kopia zapasowa i replikacja możemy wybrać odpowiedni dla nas sposób. Kopia zapasowa dotyczyć może zarówno udziałów sieciowych jak i jednostek LUN. Backup może być przechowywany w 4 różnych miejscach:

  • Nośnik lokalny – dysk USB lub wewnętrzna pamięć NAS-a
  • Sieciowe miejsce docelowe – kopia zapasowa może zostać utworzona na kompatybilnym serwerze Synology, który będzie pełnił rolę serwera sieciowych kopii zapasowych lub też na serwer obsługujący rsync
  • Kopia zapasowa w chmurze publicznej  - dane zostaną przesłane do jednej z usług chmurowych: Amazon S3, Microsoft Azure, CHT Hicloud S3, SFT NAS BACKUP
  • Time backup – to mechanizm kopii zapasowych znanych z systemu Mac OS. Pozwala on na tworzenie dowolnych kopii zapasowych i cofanie się w czasie do określonego miejsca.
  • Synchronizacja folderów współdzielonych – to ostatni sposób na tworzenie dodatkowej kopii danych. Mechanizm synchronizacji pozwala na kopiowanie danych z serwera źródłowego na serwer docelowy. Nie jest to do końca typowy mechanizm backupu.

Jak wykorzystać serwer NAS na zewnątrz sieci? Otóż okazuje się to banalnie proste. Szczególnie w przypadku gdy nie dysponujemy publicznym adresem IP. Z pomocą przychodzi usługa QuickConnect. Po zarejestrowaniu się w usłudze możemy podłączyć się do dowolnego serwera NAS z dowolnego miejsca na świecie. Dodatkowe ustawienia pozwalają na określenie dostępu do poszczególnych aplikacji i funkcji. Dla przykładu możemy ograniczyć dostęp tylko do panelu zarządzania czy aplikacji Photo Station czy aplikacji mobilnych.

jeśli jesteśmy przy aplikacjach mobilnych. To warto pamiętać, że Synology przygotował dla użytkowników aplikacje na smartfony i tablety pozwalające nie tylko na zarządzanie NAS-em ale również na wykorzystanie funkcji multimedialnych i narzędziowych. Wśród aplikacji znajdziemy m.in.:

  • DS Note – aplikacja współpracująca z Note Station – narzędziem służącym tworzeniu notatek
  • DS Video – strumieniowanie multimediów
  • DS File – dostęp do plików na serwerze
  • DS Photo – przeglądanie zdjęć i filmów przechowywanych na Synology
  • DS Audio – strumieniowanie muzyki
  • DS Cloud – obsługa chmury Cloud Station
  • DS Finder – monitorowanie serwera NAS I opcje zarządzania
  • DS Cam – umożliwia podlgąd kamer z aplikacji Surveillance Station
  • DS Download – zarządzanie pobieranymi plikami przez aplikację Download Station

Biorąc pod uwagę możliwości usługi QuickConnect oraz aplikacji mobilnych warto wykorzystać mechanizm, który będzie znacznie prostszym sposobem na konfigurację dostępu zdalnego niż przekierowanie portów. Choć sam proces przekierowania nie jest trudny. Ułatwieniem może być w tym przypadku router z obsługą UPnP. NAS sam skonfiguruje odpowiednie przekierowania portów. Pozostaje jeszcze kwestia przyjaznej nazwy domenowej  - tym zajmie się obsługa DDNS.