Este artículo proporciona varios métodos que pueden ayudarle a hacer su Synology NAS más seguro.

Habilitar Consejero de seguridad

Consejero de seguridad es una aplicación integrada de DSM que escanea su Synology NAS, verifica sus configuraciones de DSM y le da consejos sobre cómo abordar las debilidades de seguridad. Para configurar Consejero de seguridad, consulte este artículo.

Configurar los ajustes de permisos de los usuarios de DSM

• Asegúrese de que la cuenta admin predeterminada esté desactivada para prevenir ataques maliciosos.
• Gestione el acceso a su Synology NAS configurando los privilegios de usuario para carpetas compartidas y aplicaciones, así como estableciendo cuotas de uso y límites de velocidad para diferentes servicios. Puede hacer esto a nivel de grupo o individual y durante el proceso de creación de grupo/usuario o en un momento posterior en Panel de control > Usuario (para DSM 6.2 y anteriores) o Usuario y grupo (para DSM 7.0 y posteriores).

Configurar reglas de fortaleza de contraseña

Puede asegurarse de que los usuarios establezcan contraseñas fuertes para reducir el riesgo de hackeo. Seleccione Aplicar reglas de fortaleza de contraseña en las siguientes ubicaciones:

• Para DSM 7.0 y superiores: Vaya a Panel de control > Usuario y grupo > Avanzado > Configuración de contraseña.
• Para DSM 6.2 y anteriores: Vaya a Panel de control > Usuario > Avanzado > Configuración de contraseña.

Para más información sobre las reglas de fortaleza de contraseña, consulte este artículo.

Establecer caducidad para las contraseñas

Puede obligar a los usuarios a cambiar sus contraseñas después de un período de tiempo. Seleccione Habilitar caducidad de contraseña en las siguientes ubicaciones:

• Para DSM 7.0 y superiores: Vaya a Panel de control > Usuario y grupo > Avanzado > Caducidad de contraseña.
• Para DSM 6.2 y anteriores: Vaya a Panel de control > Usuario > Avanzado > Caducidad de contraseña.

Para más información sobre la caducidad de contraseñas, consulte este artículo.

Usar autenticación multifactor

La autenticación multifactor proporciona seguridad adicional para su cuenta de DSM. Si está habilitada, se le requerirá proporcionar una segunda verificación de identidad además de su contraseña al iniciar sesión en DSM. Para más información sobre la autenticación multifactor, consulte los artículos de ayuda respectivos para DSM 7.0 y DSM 6.2.

• Para DSM 7.0 y superiores: Vaya a Opciones > Personal > Cuenta > Autenticación de 2 factores.
• Para DSM 6.2 y anteriores: Vaya a Opciones >Personal > Cuenta, seleccione Habilitar verificación en 2 pasos.

Habilitar bloqueo automático y protección de cuenta

Puede habilitar el bloqueo automático para bloquear una dirección IP después de un número predefinido de intentos de inicio de sesión. Esta función es aplicable a intentos de inicio de sesión a través de SSH, Telnet, rsync, Copia de seguridad de red, Sincronización de carpetas compartidas, FTP, WebDAV, aplicaciones móviles Synology, File Station y DSM. Configure Bloqueo automático en las siguientes ubicaciones:

• Para DSM 7.0 y superiores: Vaya a Panel de control > Seguridad > Protección.
• Para DSM 6.2 y anteriores: Vaya a Panel de control > Seguridad > Cuenta.

Puede habilitar la protección de cuenta para reducir el riesgo de que las cuentas sean atacadas por fuerza bruta. Esta función es compatible con los siguientes servicios y paquetes: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station y aplicaciones móviles Synology. Configure Protección de cuenta en Panel de control > Seguridad > Cuenta.

Usar conexiones cifradas

Para cifrar conexiones con SSL/TLS, use HTTPS para acceder a DSM y paquetes basados en web como Synology Chat, Synology Drive, Synology Photos y Surveillance Station. Esto asegura la comunicación del cliente con su Synology NAS. Puede habilitar HTTPS utilizando los siguientes métodos:

• Para el inicio de sesión en DSM, vaya a Panel de control > Portal de Inicio de Sesión > DSM para seleccionar ya sea Redirigir automáticamente la conexión HTTP a HTTPS o Habilitar HSTS obliga a los navegadores a usar conexiones seguras (seleccione esto si está utilizando un dominio personalizado). No habilite ambas opciones simultáneamente para evitar problemas de conexión.
• Para la configuración del portal o proxy inverso, seleccione las casillas relacionadas con HSTS cuando esté configurando lo siguiente:
  • Dominios de aplicaciones personalizadas
  • Portales de servicios web
  • Proxies inversos
• Para el inicio de sesión en aplicaciones móviles y utilidades, seleccione HTTPS en la pantalla de inicio de sesión de las aplicaciones móviles de Synology o utilidades de escritorio.

Una vez que haya terminado con las configuraciones anteriores, asegúrese de agregar un certificado SSL válido.

Además, dado que algunos servicios o paquetes también proporcionan cifrado de conexión, puede intentar los siguientes métodos para hacer su Synology NAS más seguro:

• Habilite FTPS o SFTP en lugar de FTP, ya que FTP no ofrece cifrado para asegurar las transferencias de datos.
• Seleccione Cifrado de transferencia al respaldar datos a destinos remotos a través de Hyper Backup.
• Seleccione Habilitar cifrado de transferencia SSH al usar Sincronización de Carpetas Compartidas.

Abrir solo puertos públicos para los servicios necesarios en el enrutador

Synology NAS está diseñado para ser fácilmente accesible a través de Internet. Consulte este tutorial para aprender cómo configurar el acceso remoto. Para garantizar la seguridad de su Synology NAS, recomendamos encarecidamente abrir solo los puertos públicos para los servicios necesarios en el enrutador.

Habilitar protección DoS

Puede habilitar la protección contra Denegación de servicio (DoS) para prevenir ataques maliciosos a través de Internet. Para hacerlo, vaya a Panel de control > Seguridad > Protección, seleccione Habilitar protección DoS y haga clic en Aplicar.

Una vez habilitado, su Synology NAS responderá de manera diferente dependiendo de su versión de DSM:

• Para DSM 7.0 y superiores: El NAS responderá hasta 1,000 paquetes de ping ICMP por segundo. Si la frecuencia excede los 1,000 pings por segundo, el NAS dejará de responder a las solicitudes adicionales.
• Para DSM 6.2 y versiones anteriores: El NAS responderá solo a un paquete de ping ICMP por segundo. Si se recibe más de un ping por segundo, el NAS ignorará las solicitudes adicionales.

Cambiar puertos de gestión predeterminados

Puede personalizar los puertos para bloquear intentos de inicio de sesión maliciosos. Los puertos predeterminados son los siguientes:

• HTTP: 5000
• HTTPS: 5001
• SSH: 22

Puede cambiar los puertos HTTP/HTTPS predeterminados en las siguientes ubicaciones:

• Para DSM 7.0 y superiores: Panel de control > Portal de Inicio de Sesión > DSM.
• Para DSM 6.2 y versiones anteriores: Panel de control > Red > Configuración de DSM.

Puede cambiar el puerto SSH predeterminado en Panel de control > Terminal y SNMP > Terminal.