NAS Beveiligingsgids: 7 beste methodes om uw gegevens veilig te houden

Betrouwbaarheid
IN HET KORT

Het beschermen van uw netwerkopslag (NAS) is van cruciaal belang bij het beschermen van waardevolle gegevens tegen cybercriminelen.

Jouw NAS-apparaat (Network Attached Storage) bevat een schat aan digitale activa. Of ze nu waardevol zijn voor iemand anders of niet, ze zijn belangrijk voor jou en een doelwit voor criminelen.

Beveiliging en je NAS

Er zijn verschillende opvallende en wijdverspreide aanvallen geweest op netwerkopslagapparaten. De Qlocker-aanval van 2021 was gericht op QNAP-apparaten en maakte gebruik van een kwetsbaarheid in het softwarepakket om een ransomware-aanval uit te voeren. Naar verluidt heeft deze aanval de cybercriminelen in één maand ongeveer 350.000 USD opgeleverd.

Misschien in een poging om ontdekking te voorkomen, heeft de Qlocker-bende zijn zaak gesloten en zijn alle gerelateerde websites uit de lucht gehaald.

Dit is een zorgwekkende trend – het betekent dat de laatste groep slachtoffers geen manier heeft om het losgeld te betalen en hun ontcijferingssleutels te bemachtigen. Hun enige toevlucht is het opschonen van hun NAS en het herstellen van hun gegevens vanaf back-ups.

Synology heeft ook zijn deel van exploits en aanvallen gehad. De SynoLocker ransomware werd voor het eerst gezien in 2013 en duikt steeds weer op in nieuwe varianten.

NAS-apparaten zijn een doelwit omdat een NAS voor cybercriminelen net zo waardevol is als een server. Het staat vol met waardevolle gegevens. Een ransomware-aanval is waarschijnlijk verwoestend voor het slachtoffer. Velen zullen betalen om hun gegevens terug te krijgen.

Een NAS heeft twee extra voordelen vanuit het oogpunt van de aanvaller. Ze zijn meestal makkelijker te kraken dan een server en vaak wordt er geen back-up van gemaakt. Dat betekent dat het slachtoffer weinig andere keuze heeft dan te betalen voor de ontcijferingssleutel van de ransomware.

Zolang de cybercriminelen ze nog verstrekken, natuurlijk.

7 manieren om je NAS te beschermen

1. Een back-up maken van je NAS

Een NAS is waarschijnlijk een van de grootste gegevensopslagplaatsen op je netwerk. Het kan zelfs de grootste zijn. Dat levert een probleem op bij het back-uppen. Wat heeft de capaciteit om de back-ups te accepteren? Maar als je geen back-up hebt, ben je overgeleverd aan de cybercriminelen.

Zonder een robuuste en geteste back-upoplossing moet je het losgeld betalen – en hopen dat de ontcijferingssleutel werkt.

Een NAS wordt vaak gebruikt om netwerkback-ups op te slaan. Het is snel om er een back-up van te maken en omdat het lokaal is, is het ook snel te herstellen. Maar zonder een back-up van de NAS zelf, stel je je organisatie bloot aan risico. De enige verstandige optie voor de meeste NAS-apparaten is een off-site back-up. Een back-up maken naar een cloudservice is één manier om apparaten met een hoge capaciteit zoals een NAS te huisvesten.

Als je organisatie verschillende filialen of locaties beheert, kunnen ze georganiseerd worden dat ze een back-up naar elkaar maken, op voorwaarde dat ze de capaciteit hebben en je infrastructuur en de bandbreedte aankan.

Stel een testschema voor back-ups op en houd je hieraan. Controleer regelmatig of je back-ups betrouwbaar zijn. Je moet zeker weten dat ze worden gemaakt wanneer ze dat horen te doen. Ze moeten veilig worden opgeslagen zonder beschadiging of corruptie.

Je back-ups moeten on-demand toegankelijk zijn en je gegevens snel en woordelijk kunnen herstellen.

2. Standaardwachtwoorden wijzigen

Wijzig alle standaardwachtwoorden op je NAS. Als je dat niet doet, is dat hetzelfde als je huis de hele nacht onbeheerd achterlaten. Dat zou je normaal gesproken ook niet doen.

Wijzig om dezelfde redenen je standaardwachtwoorden.

Wijzig het wachtwoord voor het standaard beheerdersaccount en voor elke andere account waarmee iemand kan inloggen of verbinding kan maken met je NAS, zoals een SSH-account. Maak je wachtwoorden robuust en uniek. Drie woorden die niets met elkaar te maken hebben, samengevoegd met leestekens of cijfers is een goed sjabloon om te gebruiken.

Met de meeste NAS-apparaten kun je een nieuwe gebruiker aanmaken en deze beheerdersrechten geven. Dit doen en de beheerdersrechten van de standaard beheerdersaccount verwijderen – of de standaard beheerdersaccount helemaal verwijderen – is een bijzonder grondige techniek.

De malware van de aanvaller zal geen brute force methodes kunnen gebruiken tegen het standaard beheeraccount en zal de naam van je eigenlijke beheeraccount niet kennen.

3. Gebruik authenticatie met twee factoren

Activeer tweefactorauthenticatie als dit wordt ondersteund op je apparaat. Hiervoor moet je een beveiligde USB-sleutel of een geregistreerde smartphone-applicatie gebruiken om tokens of codes te ontvangen of te genereren voor elke aanmeldpoging. De tokens of codes worden gebruikt naast je gebruikersaccount-ID en wachtwoord (dingen die je weet) om een andere vorm van identificatie te bieden (iets wat je hebt).

Als tweefactorauthenticatie is ingeschakeld, zijn je gebruikersaccount-ID en wachtwoord onvoldoende om toegang te krijgen tot je account. Zelfs als je gebruikersgegevens gecompromitteerd zijn, heeft een aanvaller geen toegang tot je account.

4. Ongebruikte apps en services uitschakelen

Moderne NAS-apparaten worden kant-en-klaar geleverd met een pakket hulpprogramma’s en toepassingen. Hoe meer software je hebt draaien, hoe groter je aanvalsoppervlak is. En natuurlijk heeft sommige van die software zijn eigen kwetsbaarheden. De Qlocker-malware maakte gebruik van een kwetsbaarheid in de multimediabeheersoftware van QNAP.

Met het Package Center van Synology kun je WordPress installeren op je Synology NAS. Ongepatchte en verouderde implementaties van WordPress zijn berucht om hun onveiligheid.

Schakel alles uit dat je niet gebruikt. Schakel met name FTP, telnet, Wi-Fi Protected Setup (WPS) en SSH uit als je deze niet gebruikt. Bekijk ook de toepassingen die worden meegeleverd met de NAS, en schakel alles uit of verwijder alles wat je niet gebruikt.

Zelfs als je ze nooit hebt gebruikt, kunnen ze services of daemons hebben draaien die verbindingen accepteren en kwetsbaarheden kunnen bevatten.

5. Je NAS en software patchen

Zorg ervoor dat je NAS-systeem, de firmware ervan en alle gebundelde software die je nog gebruikt, is bijgewerkt met beveiligingspatches en bugfix-releases. Oudere software bevat kwetsbaarheden en die zal je na verloop van tijd steeds meer blootstellen aan risico’s.

Maak gebruik van alle anti-malware of antivirus scanmogelijkheden die je NAS heeft. Plan waar mogelijk regelmatig automatische scans in.

6. Zorgen voor veilige verbindingen op afstand

Als je NAS moet worden blootgesteld aan het internet om verbinding op afstand mogelijk te maken, moet je deze stappen overwegen en de stappen toepassen die van toepassing zijn.

Port Forwarding

Verbindings- Communicatieprotocollen gebruiken standaard poortnummers. De standaard SSH-poort is bijvoorbeeld poort 22. Het sluiten van poort 22 op je firewall zal voorkomen dat verbindingen worden geaccepteerd op die poort. Dit voorkomt brute-force aanvallen.

Om toch SSH-verbindingen te kunnen maken, kun je elke andere beschikbare poort kiezen en verkeer dat binnenkomt op die poort door je firewall laten doorsturen naar het IP-adres van je NAS, op poort 22. De NAS zal de mogelijkheid hebben om binnenkomende SSH-verbindingsverzoeken zoals gebruikelijk op te pikken.

Stel in het ideale geval SSH-sleutels in voor veilige en wachtwoordloze SSH-verbindingen.

IP-blokkering

Je NAS heeft waarschijnlijk de mogelijkheid om automatisch IP-adressen te blokkeren die een bepaald aantal onjuiste verbindingspogingen hebben gedaan. Als je NAS automatische IP-blokkering ondersteunt, schakel deze dan in.

Geo-blokkeren is een vorm van IP-blokkeren die elke soort verbinding voorkomt van een IP-adres dat binnen de IP-adresbereiken valt die aan landen of regio’s zijn toegewezen. Dit is handig omdat je gemakkelijk hele landen op de zwarte lijst kunt zetten waarvan je weet dat er nooit een geldig verbindingsverzoek zal komen.

Als de NAS geoblocking niet ondersteunt, controleer dan je firewall. Als het een actueel model is, heeft het misschien mogelijkheden voor geoblocking.

SSL/TSL inschakelen

Als je verbinding kunt maken met je NAS vanuit een browser, zorg er dan voor dat je het HTTPS gecodeerde protocol hebt ingeschakeld en dat je een geldig SSL/TSL certificaat hebt geïnstalleerd. De fabrikant van je NAS zal een reeks instructies verstrekken die je vertellen hoe je een SSL/TSL-certificaat kunt verkrijgen en installeren vanuit de beheerinterface van je apparaat.

Het is de moeite waard om op te merken dat een OpenSSL-certificaat gratis is.

Gebruik een VPN

De meeste NAS-apparaten ondersteunenVPN-servers waarmee je verbinding kunt maken via een Virtual Private Network-verbinding. Deze gebruiken een gecodeerde tunnel voor de communicatie tussen de twee eindpunten van de verbinding.

Bekende NAS-merken ondersteunen VPN’s rechtstreeks of via add-ons.

Bescherming tegen DoS aanvallen

Een Denial-of-Service Attack (DoS) overspoelt het apparaat zodanig met netwerkverkeer dat het geen echt netwerkverkeer meer kan onderscheiden en er niet meer op kan reageren. In feite wordt het apparaat offline gehaald.

Het inschakelen van bescherming tegen DoS aanvallen is vaak zo eenvoudig als het aanvinken van een selectievakje in de instellingen van je NAS.

7. Vergeet je netwerk niet

Je NAS bevindt zich in je netwerk, dus de beveiliging van je netwerk heeft invloed op de beveiliging van je NAS. Zorg ervoor dat je router, firewall en andere netwerkapparaten up-to-date zijn, goed zijn geconfigureerd met nieuwe wachtwoorden en dat ze zijn gepatcht.

En natuurlijk zullen veel van je beveiligingszorgen verdwijnen als de NAS helemaal niet wordt blootgesteld aan het internet. Stel de NAS niet bloot aan de buitenwereld, tenzij het absoluut noodzakelijk is.

Gerelateerde begrippen

Marshall Gunnell
Technologisch Schrijver
Marshall Gunnell
Technologisch Schrijver

Marshall is een technologisch schrijver uit Tokio en is een groot fan van videogames. Hij bezit professionele kennis van de kunst en heeft onder andere geschreven voor VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier en nog veel meer.