Data Privacy Day is net voorbij en met World Backup Day om de hoek, hebben we 10 data security tips voorbereid om u te helpen uw Synology apparaten te beveiligen tegen online bedreigingen.
de afgelopen jaren is er sprake geweest van een dramatische escalatie van cybersecurity-bedreigingen. Volgens een rapport van de New York Times, meer dan 200.000 organisaties werden aangevallen met ransomware in 2019, een 41% stijging ten opzichte van het jaar daarvoor.
om u te helpen uzelf te beschermen, hebben we een lijst samengesteld met belangrijke instellingen voor gegevensbeveiliging die vaak over het hoofd worden gezien. Aan het einde hebben we bonustips toegevoegd die u kunnen helpen gegevensintegriteit te garanderen — een andere pijler van gegevensbescherming.
opmerking: de meeste onderstaande instellingen kunnen alleen worden geopend en gewijzigd door een gebruikersaccount met beheerdersrechten.
- Tip 1: Blijf op de hoogte en schakel meldingen in
- Tip 2: Run Security Advisor
- Tip 3: basis DSM-beveiligingsfuncties voor het instellen van
- Tip 4: https deel 2 – Laten we
- Tip 5: Schakel het standaard beheerdersaccount uit
- Tip 6: wachtwoordsterkte
- Tip 7: 2-staps verificatie
- Tip 8: Wijzig standaardpoorten
- Tip 9: Schakel SSH / telnet uit wanneer deze niet in gebruik is
- Tip 10: gedeelde mappen versleutelen
- Bonustip: gegevensintegriteit
- belangrijker dan ooit
Tip 1: Blijf op de hoogte en schakel meldingen in
We brengen regelmatig DSM-updates uit om functionele en prestatieverbeteringen te bieden en om kwetsbaarheden in productbeveiliging op te lossen.
wanneer zich een beveiligingsprobleem voordoet, zal Ons Product Security Incident Response Team (PSIRT) binnen 8 uur een beoordeling en onderzoek uitvoeren en binnen 15 uur een patch vrijgeven om potentiële schade door zero-day aanvallen te helpen voorkomen.
voor de meeste gebruikers raden we u ten zeerste aan automatische updates in te stellen om de nieuwste DSM-updates automatisch te installeren.*
meer informatie
veel Synology apparaten hebben de optie om Virtual DSM uit te voeren in Virtual Machine Manager, om een gevirtualiseerde versie van het DSM-besturingssysteem te maken. Gebruik Virtual DSM om een staging environment te maken en repliceer of probeer uw productieomgeving erin te reproduceren. Voer een upgradetest uit door de nieuwste DSM-versie op uw virtuele DSM te installeren en controleer de belangrijkste functionaliteit die uw huidige implementatie vereist voordat u verder gaat met de update in uw hoofdomgeving.
een ander belangrijk ding om te overwegen is op de hoogte blijven van dingen als ze zich voordoen. Stel meldingen in op uw Synology NAS en ontvang een melding per e-mail, SMS, op uw mobiele apparaat of via uw webbrowser wanneer zich specifieke gebeurtenissen of fouten voordoen. Als u de DDNS-service van Synology gebruikt, kunt u ervoor kiezen om een melding te krijgen wanneer de externe netwerkverbinding verloren gaat. Onmiddellijk reageren op meldingen voor opslagvolumes die geen ruimte meer hebben, of wanneer een back-up-en hersteltaak mislukt, is een belangrijk onderdeel van het waarborgen van de langetermijnbeveiliging van uw gegevens.
we raden u ook aan om uw Synology-Account in te stellen om onze NAS-en beveiligingsadviesnieuwsbrieven te ontvangen om op de hoogte te blijven van de nieuwste beveiligings-en functie-updates.
* automatische update ondersteunt alleen kleine DSM-updates. Belangrijke updates vereisen handmatige installatie.
meer informatie
Tip 2: Run Security Advisor
Security Advisor is een vooraf geà nstalleerde toepassing die uw NAS kan scannen op veelvoorkomende DSM-configuratieproblemen, waarbij u suggesties krijgt voor wat u naast uw Synology NAS moet doen om de veiligheid te waarborgen. Het kan bijvoorbeeld veelvoorkomende dingen detecteren, zoals het open laten van SSH-toegang, of er abnormale log-inactiviteiten plaatsvinden en of DSM-systeembestanden zijn gewijzigd.
meer informatie
Tip 3: basis DSM-beveiligingsfuncties voor het instellen van
U kunt een aantal beveiligingsinstellingen configureren in het Configuratiescherm > tabblad Beveiliging om uw gebruikersaccounts te beveiligen.
IP Auto Block
Open het Configuratiescherm en ga naar Security > Auto Block. Schakel automatisch blokkeren in om automatisch IP-adressen te blokkeren van clients die zich niet binnen een bepaald aantal keren en een bepaalde periode aanmelden. Beheerders kunnen ook specifieke IP-adressen op de zwarte lijst zetten om potentiële brute-force-of denial-of-service-aanvallen te voorkomen.
configureer het aantal pogingen op basis van de gebruiksomgeving en het type gebruikers dat uw apparaat regelmatig zal gebruiken. Houd er rekening mee dat de meeste huizen en bedrijven slechts één extern IP-adres voor hun gebruikers zullen hebben en dat IP-adressen vaak dynamisch zijn en na een bepaald aantal dagen of weken zullen veranderen.
meer informatie
accountbeveiliging
terwijl IP-adressen die een te veel verificatiepogingen hebben mislukt automatisch worden geblokkeerd, beschermt accountbeveiliging gebruikersaccounts door de toegang van niet-vertrouwde clients te blokkeren.
Ga naar Configuratiescherm > beveiliging > accountbeveiliging. U kunt accountbeveiliging inschakelen om accounts te beschermen tegen niet-vertrouwde clients na een bepaald aantal mislukte signins. Dit verbetert de beveiliging van uw DSM en vermindert het risico dat accounts ten prooi vallen aan brute-force aanvallen van gedistribueerde aanvallen.
meer informatie
https inschakelen
Als HTTPS is ingeschakeld, kunt u het netwerkverkeer tussen uw Synology NAS en verbonden clients versleutelen en beveiligen, wat beschermt tegen veelvoorkomende vormen van afluisteren of man-in-the-middle aanvallen.
Ga naar Configuratiescherm > netwerk > DSM-Instellingen. Vink het selectievakje aan voor het automatisch omleiden van HTTP-verbindingen naar HTTPS. U zult nu verbinding maken met DSM via HTTPS. In de adresbalk, zult u merken dat de URL van uw apparaat begint met “https://” in plaats van “http://”. Merk op dat het standaard poortnummer voor https 443 is, terwijl http standaard poort 80 gebruikt. Als u eerder bepaalde firewall-of netwerkinstellingen had, moet u deze mogelijk bijwerken.
meer informatie
Geavanceerd: firewallregels aanpassen
een firewall dient als een virtuele barrière die netwerkverkeer van externe bronnen filtert volgens een regelset. Ga naar Configuratiescherm > beveiliging > Firewall om firewallregels in te stellen om ongeoorloofde aanmelding te voorkomen en toegang tot de service te beheren. U kunt beslissen of u toegang tot bepaalde netwerkpoorten via specifieke IP-adressen wilt toestaan of weigeren, een goede manier om bijvoorbeeld externe toegang toe te staan vanuit een specifiek kantoor of om alleen toegang toe te staan tot een specifieke service of protocol.
meer informatie
Tip 4: https deel 2 – Laten we
digitale certificaten versleutelen spelen een belangrijke rol bij het inschakelen van HTTPS, maar zijn vaak duur en moeilijk te onderhouden, vooral voor niet-zakelijke gebruikers. DSM heeft ingebouwde ondersteuning voor Let ‘ s Encrypt, een gratis en geautomatiseerde organisatie voor het uitgeven van certificaten, zodat iedereen zijn verbindingen gemakkelijk kan beveiligen.
Als u al een geregistreerd domein hebt of DDNS gebruikt, ga dan naar Configuratiescherm > beveiliging > certificaat. Klik op een nieuw certificaat toevoegen > haal een certificaat van Let ‘ s Encrypt, voor de meeste gebruikers moet u “Set as default certificate”*aanvinken. Voer uw domeinnaam in om een certificaat te krijgen.
zodra u een certificaat hebt, zorg ervoor dat al uw verkeer door HTTPS gaat (zoals vermeld in Tip #3).
* Als u uw apparaat hebt ingesteld om services te leveren via meerdere domeinen of subdomeinen, moet u configureren welk certificaat wordt gebruikt door elke service in het Configuratiescherm > beveiliging > certificaat > configure
Youtube tutorial video
Tip 5: Schakel het standaard beheerdersaccount uit
gemeenschappelijke beheerdersgebruikersnamen kunnen uw Synology NAS kwetsbaar maken voor kwaadaardige partijen die brute-force aanvallen gebruiken die gemeenschappelijke gebruikersnaam-en wachtwoordcombinaties gebruiken. Vermijd algemene namen zoals” admin”,” administrator”,” root ” * bij het opzetten van uw NAS. We raden u aan om direct na het instellen van uw Synology NAS ook een sterk en uniek wachtwoord in te stellen en het standaard systeembeheerdersaccount**uit te schakelen.
Als u zich momenteel aanmeldt met het gebruikersaccount “admin”, ga dan naar Configuratiescherm > gebruiker en maak een nieuw beheerdersaccount aan. Log vervolgens in met behulp van de nieuwe account en schakel het systeem standaard “admin”.
* “root” is niet toegestaan als Gebruikersnaam.
* * indien ingesteld met een andere gebruikersnaam dan” admin”, zal het standaard account al uitgeschakeld zijn.
meer informatie
Tip 6: wachtwoordsterkte
een sterk wachtwoord beschermt uw systeem tegen ongeautoriseerde toegang. Maak een complex wachtwoord dat gemengde letters, cijfers en speciale tekens bevat op een manier die alleen u zich kunt herinneren.
het gebruik van een algemeen wachtwoord voor veel accounts is ook een uitnodiging voor hackers. Als een account wordt gecompromitteerd, hackers kunnen gemakkelijk de controle over uw andere accounts. Dit gebeurt op een regelmatige basis voor websites en andere dienstverleners. We raden aan om je aan te melden bij openbare bewakingsdiensten zoals Have I Been Pwned of Firefox Monitor.
Als u problemen heeft met het onthouden van complexe en unieke wachtwoorden voor verschillende accounts, kan een wachtwoordbeheerder (zoals 1Password, LastPass of Bitwarden) uw beste oplossing zijn. U hoeft slechts één wachtwoord te onthouden – een hoofdwachtwoord-en de password manager zal u helpen bij het maken en invullen van aanmeldingsgegevens voor al uw andere accounts.
als u een Synology NAS beheert die authenticatie * afhandelt, kunt u het gebruikerswachtwoordbeleid aanpassen om de wachtwoordbeveiligingseisen voor alle nieuwe gebruikersaccounts aan te scherpen. Ga naar Configuratiescherm > gebruiker > Geavanceerd en vink het selectievakje Regels voor wachtwoordsterkte toepassen aan onder de sectie Wachtwoordinstellingen. Het beleid wordt toegepast op elke gebruiker die een nieuw account aanmaakt.
* soortgelijke opties zijn ook beschikbaar binnen de pakketten LDAP-Server en directoryserver.
meer informatie
Tip 7: 2-staps verificatie
Als u een extra beveiligingslaag aan uw account wilt toevoegen, raden we u ten zeerste aan om 2-staps verificatie in te schakelen. Om 2-staps verificatie op uw DSM-account en Synology-Account af te dwingen, hebt u een mobiel apparaat en een authenticator-app nodig die het Time-based One-Time Password (Totp) – protocol ondersteunt. Voor het aanmelden zijn zowel uw gebruikersreferenties als een in de tijd beperkte 6-cijferige code nodig die wordt opgehaald uit Microsoft Authenticator, Authy of andere authenticator-apps om ongeautoriseerde toegang te voorkomen.
voor Synology-Account kunt u zich aanmelden met de authenticator-app* Als u uw telefoon bent kwijtgeraakt. Het is belangrijk om deze codes veilig te houden door het ergens te downloaden of af te drukken. Vergeet niet om deze codes veilig, maar toegankelijk te houden.
Op DSM, als u uw authenticator verliest, kunt u 2-staps verificatie resetten als laatste redmiddel. Gebruikers van de groep administrators kunnen de configuratie opnieuw instellen.
als alle beheerdersaccounts niet meer toegankelijk zijn, moet u de referenties en netwerkinstellingen op uw apparaat resetten. Houd de hardware RESET knop op uw NAS gedurende ongeveer 4 seconden ingedrukt (u hoort een piep) en start vervolgens Synology Assistant om uw apparaat opnieuw te configureren.**
* sommige authenticatie-apps ondersteunen op account gebaseerde back-up-en herstelmethoden van derden. Evalueer uw beveiligingseisen versus opties voor gemak en noodherstel.
** SHA, VMM, encrypted shared folder automount, meerdere beveiligingsinstellingen, gebruikersaccounts en poortinstellingen worden gereset. Lees meer over het resetproces
meer informatie
Tip 8: Wijzig standaardpoorten
hoewel het wijzigen van DSM ‘ s standaardpoorten HTTP (5000) en HTTPS (5001) naar aangepaste poorten gerichte aanvallen niet kan voorkomen, kan het gemeenschappelijke bedreigingen afschrikken die alleen vooraf gedefinieerde services aanvallen. Ga naar Configuratiescherm > netwerk > DSM instellingen en pas de poortnummers aan. Het is ook een goed idee om de standaard SSH (22) poort te veranderen als je regelmatig shell toegang gebruikt.
u kunt ook een reverse proxy implementeren om potentiële aanvalsvectoren te reduceren tot alleen specifieke webservices voor meer beveiliging. Een reverse proxy fungeert als tussenpersoon voor communicatie tussen een (meestal) interne server en externe clients en verbergt bepaalde informatie over de server, zoals het werkelijke IP-adres.
meer informatie
Tip 9: Schakel SSH / telnet uit wanneer deze niet in gebruik is
als u een power user bent die vaak shell-toegang nodig heeft, vergeet dan niet SSH/telnet uit te schakelen wanneer deze niet in gebruik is. Als root-toegang is standaard ingeschakeld en SSH / telnet ondersteunt alleen sign-ins van admin accounts, hackers kunnen brute-dwingen uw wachtwoord om ongeautoriseerde toegang tot uw systeem te krijgen. Als u te allen tijde terminal service beschikbaar moet hebben, raden wij u aan een sterk wachtwoord in te stellen en het standaard SSH-poortnummer (22) te wijzigen om de beveiliging te verhogen. U kunt ook overwegen gebruik te maken van VPN ’s en SSH-toegang te beperken tot alleen lokale of vertrouwde IP’ s.
meer informatie
Tip 10: gedeelde mappen versleutelen
DSM ondersteunt AES-256-versleuteling van uw gedeelde mappen om gegevensextractie uit fysieke bedreigingen te voorkomen. Beheerders kunnen nieuw gemaakte en bestaande gedeelde mappen versleutelen.
om bestaande gedeelde mappen te versleutelen, ga naar Configuratiescherm > gedeelde map en bewerk de map. Stel een versleutelingssleutel in onder het tabblad versleuteling en DSM begint de map te versleutelen. We raden ten zeerste aan om het sleutelbestand dat is gegenereerd op een veilige locatie op te slaan, omdat versleutelde gegevens niet kunnen worden hersteld zonder de gebruikte wachtwoordzin of het sleutelbestand.
meer informatie
Bonustip: gegevensintegriteit
gegevensbeveiliging is onlosmakelijk verbonden met de consistentie en nauwkeurigheid van uw gegevens — gegevensintegriteit. Gegevensbeveiliging is een voorwaarde voor gegevensintegriteit, omdat ongeautoriseerde toegang kan leiden tot manipulatie van gegevens of verlies van gegevens, waardoor uw kritieke gegevens nutteloos worden.
u kunt twee maatregelen nemen om de nauwkeurigheid en consistentie van uw gegevens te garanderen: het inschakelen van data checksum en het uitvoeren van S. M. A. R. T. testen regelmatig. We hebben geschreven over deze twee beveiligingsmethoden in onze vorige blogberichten — ga ze controleren voor meer informatie.
belangrijker dan ooit
online bedreigingen ontwikkelen zich altijd en gegevensbeveiliging moet even veelzijdig zijn. Naarmate meer verbonden apparaten worden geïntroduceerd thuis en op het werk, wordt het makkelijker voor cybercriminelen om gaten in de beveiliging te benutten en toegang te krijgen tot uw netwerk. Veilig blijven is niet iets wat je een keer doet en dan vergeet, het is een doorlopend proces.