Skip to main content
Version: TOS 7

Bezpieczeństwo

W module "Bezpieczeństwo (Security)" możesz kompleksowo chronić urządzenie TNAS i dane za pomocą wielu kluczowych funkcji. Obejmuje to zarządzanie logowaniem, certyfikaty cyfrowe, zaporę sieciową, kontrolę kont użytkowników, SPC, ochronę DoS oraz tryb izolacji bezpieczeństwa, wspierając wielowarstwową ochronę od sieci, dostępu i uwierzytelniania po poziom systemu.

Logowanie

Zarządzanie i operacje

  • Automatyczne wylogowanie po czasie bezczynności (Auto Logout on Timeout): Automatyczne wylogowanie po określonym czasie nieaktywności w celu zwiększenia bezpieczeństwa sesji.
  • Włącz nagłówek CSP (Enable CSP Header): Zwiększa ochronę przed atakami Cross-Site Scripting (XSS).
  • Wzmocnij ochronę CSRF (Enhance CSRF Protection): Zapobiega fałszowaniu żądań użytkownika przez złośliwe strony internetowe w celu wykonania nieautoryzowanych operacji.
  • Blokuj osadzanie iFrame (Block iFrame Embedding): Zapobiega osadzaniu stron TOS przez strony zewnętrzne, chroniąc przed clickjackingiem i wyciekiem ciasteczek.
Note

Po zaznaczeniu "Keep me logged in" system będzie pamiętał status logowania za pomocą trwałego ciasteczka. W tym czasie automatyczne wylogowanie nie będzie stosowane, a użytkownik pozostanie zalogowany, dopóki nie wyloguje się ręcznie lub nie usunie ciasteczek i danych witryny związanych z TNAS w przeglądarce.

Certyfikaty

Certyfikaty służą do ochrony szyfrowanej komunikacji TNAS (np. HTTPS, FTPS, SMTPS). Włączając protokoły TLS/SSL, zapewniają one uwierzytelnienie tożsamości, szyfrowanie danych oraz ochronę integralności transmisji, zapobiegając podsłuchiwaniu i modyfikacjom informacji.

Zarządzanie i operacje

  • Dodaj (Add): Zaimportuj nowy certyfikat i klucz prywatny.
  • Konfiguruj (Configure): Przypisz konkretny certyfikat do usługi.
  • Usuń (Delete): Usuń nieużywane certyfikaty.
  • Pobierz (Download): Pobierz klucz publiczny certyfikatu na lokalne urządzenie.
  • Aktualizuj (Update): Odnów wygasłe certyfikaty i klucze prywatne.

Zapora sieciowa (Firewall)

Zapora sieciowa skutecznie blokuje nieautoryzowany dostęp do sieci i chroni TNAS przed atakami zewnętrznymi. Włączając zaporę i konfigurując reguły dostępu, możesz precyzyjnie kontrolować uprawnienia dostępu dla określonych adresów IP lub segmentów adresów do portów sieciowych urządzenia, stosując polityki "Zezwalaj" lub "Odrzuć", wzmacniając granice bezpieczeństwa sieci.

Zarządzanie i operacje

  • Utwórz (Create): Dodaj nową regułę kontroli dostępu.
  • Edytuj (Edit): Zmień IP, port lub politykę istniejącej reguły.
  • Usuń (Delete): Trwale usuń regułę.
  • Wyłącz (Disable): Tymczasowo wyłącz regułę, zachowując jej konfigurację.
  • Więcej (More): Dostosuj kolejność wybranych reguł, aby zmienić priorytet dopasowania.
Note
  1. Domyślna polityka: Zapora nie generuje automatycznie reguł blokujących. Jeśli ustawiono reguły zezwalające, IP lub porty nieobjęte listą zezwalającą mogą nadal uzyskać dostęp. Aby zablokować dostęp do określonych IP lub portów, musisz ręcznie utworzyć odpowiednie reguły blokujące.
  2. Kolejność reguł: Reguły zapory są sortowane według czasu utworzenia – starsze reguły znajdują się wyżej.
  3. Określenie priorytetu: Reguły umieszczone wyżej mają wyższy priorytet i są stosowane jako pierwsze.
  4. Elastyczność tworzenia: Użytkownicy mogą tworzyć reguły bez ograniczeń – nawet jeśli reguła może uniemożliwić własny dostęp do systemu, system nie zablokuje jej utworzenia.

Tworzenie reguły zapory

  1. Przejdź do Desktop > Panel sterowania > Ustawienia ogólne > Bezpieczeństwo > Zapora.
  2. Kliknij "Utwórz (Create)".
  3. Przeczytaj opis reguły i kliknij "Dalej (Next)".
  4. Wybierz typ protokołu i akcję (Zezwalaj/Odrzuć).
  5. W sekcji Zakres IP źródłowego wybierz jedną z opcji:
    • "Wszystkie (All)" – zastosowanie reguły do wszystkich adresów IP
    • "Pojedynczy adres IP (Single IP Address)" – zastosowanie reguły do wprowadzonego IP
    • "Adres podsieci (Subnet Address)" – zastosowanie reguły do wprowadzonej podsieci; wprowadź adres hosta w pierwszym polu, maskę podsieci w drugim (np. 192.168.8.1/255.255.255.0)
    • "Zakres adresów IP (IP Address Range)" – zastosowanie reguły do określonego zakresu IP
  6. W sekcji Port wybierz jedną z opcji:
    • "Wszystkie (All)" – zastosowanie reguły do wszystkich portów
    • "Niestandardowy (Custom)" – wprowadź określony numer portu
    • "Zakres portów (Port Range)" – zastosowanie reguły do określonego zakresu portów
  7. Kliknij "Zastosuj (Apply)".
    :::
Note
  1. Podczas tworzenia reguł zapory upewnij się, że segment IP TNAS i porty HTTP/HTTPS pozostają dostępne po zastosowaniu reguł. W przeciwnym razie nie będzie możliwy dostęp do urządzenia.
  2. Nie polegaj wyłącznie na pojedynczym IP lub porcie dla kontroli dostępu – zmiana IP lub portu może przerwać dostęp lub stwarzać ryzyko bezpieczeństwa. Zaleca się konfigurowanie rozsądnych zakresów dostępu lub warunków kombinowanych.
  3. Nieprawidłowa kolejność reguł może uniemożliwić dostęp do TNAS! Postępuj ostrożnie i po zmianie kolejności reguł sprawdź, czy segment IP TNAS i porty HTTP/HTTPS są nadal dostępne.

Przykład: Jak skonfigurować reguły zapory, aby tylko określone segmenty IP miały dostęp do TNAS?

Aby zezwolić tylko IP z Segmentu A na dostęp do TNAS i zablokować wszystkie pozostałe, wykonaj następujące kroki:

Konfiguracja reguł zapory:

  1. Utwórz regułę Zezwalaj (Allow) dla IP z Segmentu A.
  2. Utwórz regułę Odrzuć (Deny) dla wszystkich pozostałych IP.
Note

Kolejność reguł jest kluczowa. Najpierw ustaw regułę zezwalającą na dostęp z Segmentu A, a następnie dodaj regułę blokującą pozostały dostęp. Tylko IP z Segmentu A będą mogły przejść przez zaporę.

Konta

Blokowanie adresów przy nadmiernych nieudanych próbach logowania skutecznie zapobiega atakom typu brute-force i zwiększa bezpieczeństwo systemu.

Zarządzanie i operacje

  • Automatyczne blokowanie (Auto Block): Wprowadź wartości "Próby (Attempts)" i "Czas (Time, minuty)". Jeśli liczba nieudanych logowań osiągnie ustawioną wartość w określonym czasie, adres IP zostanie automatycznie zablokowany. Po upływie okresu blokady IP zostanie automatycznie odblokowany.
  • Odblokuj (Unblock): Aby ręcznie odblokować IP, kliknij "Lista blokowanych (Block List)" w prawym dolnym rogu, wybierz IP, zaznacz je i kliknij "Usuń (Delete)".

SPC

Głównym celem Security and Privacy Control (SPC) jest zwiększenie bezpieczeństwa systemu i zmniejszenie ryzyka naruszenia danych użytkownika przez ataki hakerów lub ransomware. Po włączeniu ochrony SPC nieautoryzowane aplikacje i pliki wykonywalne nie będą miały dostępu do zasobów sieciowych ani przestrzeni dyskowej, skutecznie zapobiegając zagrożeniom dla danych użytkownika.

Zarządzanie i operacje

Włącz ochronę SPC

  1. TOS Desktop > Panel sterowania > Ustawienia ogólne > Bezpieczeństwo > SPC
  2. Zaznacz "Włącz ochronę Security and Privacy Control (SPC)" i kliknij "Zastosuj (Apply)"
  3. W oknie ponownej aktywacji kliknij "OK"
  4. Wprowadź hasło konta i kliknij "OK"
  5. Poczekaj na ponowne uruchomienie systemu – SPC zostanie aktywowane

Rodzaje uprawnień

  • Usługi sieciowe (Network Services): Aplikacje bez tego uprawnienia nie mogą korzystać z usług sieciowych
  • Przestrzeń dyskowa (Storage Space): Aplikacje bez tego uprawnienia nie mają dostępu do przestrzeni dyskowej

Metody autoryzacji

  • Autoryzacja podczas instalacji (Authorize During Installation): Po instalacji aplikacji system wyświetli okno autoryzacji. Zaznacz wymagane uprawnienia, aby zakończyć autoryzację.
  • Autoryzacja w interfejsie SPC (Authorize in the SPC Interface): Przejdź do "Bezpieczeństwo > SPC", zaznacz wymagane uprawnienia dla aplikacji i kliknij "OK".
Note
  1. Jeśli aplikacja nie otrzyma uprawnienia do przestrzeni dyskowej, nie można jej aktywować. Niektóre aplikacje wymagają zarówno uprawnienia sieciowego, jak i dostępu do przestrzeni dyskowej.
  2. Włączenie lub wyłączenie funkcji SPC wymaga ponownego uruchomienia systemu.

DoS

Ochrona przed atakami DoS (Denial of Service) skutecznie chroni przed złośliwym ruchem z Internetu, zapobiegając przeciążeniu sieci, spowolnieniu usług lub paraliżowi systemu z powodu dużej liczby nietypowych żądań. Po włączeniu funkcji system monitoruje i identyfikuje podejrzane zachowania, automatycznie blokując IP podejrzane o atak.

Tryb izolacji bezpieczeństwa (Security Isolation Mode)

Po włączeniu trybu izolacji bezpieczeństwa TNAS pozwala tylko na dostęp do zasobów w lokalnym segmencie sieci, nie może uzyskać dostępu do adresów zewnętrznych i nie akceptuje żadnych żądań z zewnętrznych sieci.

Note
  1. Po włączeniu trybu izolacji bezpieczeństwa niektóre funkcje i aplikacje TNAS mogą nie działać prawidłowo. Aby korzystać z tych funkcji, najpierw wyłącz tryb izolacji bezpieczeństwa.
  2. Po włączeniu trybu izolacji bezpieczeństwa wszystkie niestandardowe reguły zapory zostaną automatycznie wyłączone i nie można ich konfigurować ani modyfikować w tym trybie.