Zo houd je jouw Synology NAS veilig met de juiste instellingen

29 juli 2017 7 Minuten 0 Reacties
Synology DS416play-review-1

Hoewel de NASsen van Synology zo uit de doos al behoorlijk veilig zijn, kan je zelf de boel nog verder dichttimmeren. En dat is inmiddels geen overbodige luxe meer. Digidieven liggen overal op de loer!

Als je je Synology hebt geïnstalleerd, dan heb je tijdens die installatie ook een wachtwoord gekozen. Als het goed is een stevig exemplaar in de vorm van een mix aan hoofd- en kleine letters, wat cijfers en liefst ook wat ‘gekke’ tekens. Mocht je niet helemaal zeker zijn van de kraakbaarheid van jouw wachtwoord, dan kan je dit altijd wijzigen. Log daarvoor in bij de gebruikersinterface van jouw Disk Station (de naam die Synology aan z’n NASsen heeft gegeven). Klik vervolgens op de desktop op de startknop linksboven in beeld en daarna op Gebruiker. Klik op admin (de standaard gebruiker en tevens administrator met álle denkbare rechten) en dan op de knop Bewerken. Je kunt nu een nieuw wachtwoord intikken op de plaats van het oude. Klik op OK en je nieuwe wachtwoord is een feit. Wel goed onthouden of opslaan in een wachtwoordbeheerder, want anders kom je je eigen NAS niet meer in. Check ook meteen de wachtwoorden van eventuele andere gebruikers. Zéker als die zelf een wachtwoord mochten kiezen kunnen daar ook verborgen veiligheidslekken te vinden zijn in de vorm van een veel te zwakke code.

Tips voor je Synology NAS in de cloud

De navolgende tips gelden vooral voor NASsen die aan de cloud zijn gekoppeld. Zodat je bijvoorbeeld via de webinterface van waar dan ook ter wereld toegang tot je gegevens kunt krijgen. Of om samen met studiegenoten, collega’s of familie aan een Synology Office document in de cloud te werken. Juist dan is een extra blik op veiligheid van belang. Bedenk dan namelijk dat potentieel iedere wereldburger bij jouw NAS kan komen!

Beperkt fout inloggen

Veel hackers maken gebruik van het feit dat de meeste NASsen zodanig zijn geconfigureerd dat je er net zo vaak als je wilt fout in mag loggen. Kortom: als digidief kan je ongelimiteerd wachtwoorden af blijven vuren op een NAS die in de cloud te vinden is. Om dat scenario te voorkomen beschikt het besturingssysteem van de Synology NASsen over een handigheidje. Zo kan het IP-adres van iemand die meerdere keren een fout wachtwoord binnen een bepaalde tijdspanne intikt volautomatisch geblokkeerd worden. Start daarvoor het Configuratiescherm (te vinden in het menu Start en vaak ook op het bureaublad). Klik op Beveiliging. In het geopende paneel klik je nu op Account. Schakel de optie Automatisch blokkeren inschakelen in. Achter Aanmeldingspogingen zouden wij een waarde van niet meer dan 3 instellen. Om te voorkomen dat een hacker twee pogingen waagt, vijf minuten wacht en het dan nog weer eens probeert enzovoorts is het verstandig om de waarde achter Binnen flink hoog in te stellen. In ons voorbeeld kozen we voor 300 minuten, ofwel 5 uur. Dat is zelfs voor de meest volhardende hacker oervervelend lang. Na driemaal een fout wachtwoord ingetikt te hebben wordt het IP-adres van de ongewenste bezoeker geblokkeerd door de ook in de NAS aanwezige firewall. Nu je trouwens tóch in dit paneel bent: controleer of onder de tab Bescherming de optie DoS-bescherming aan staat.

Overbodige diensten uit

Een NAS beschikt meestal over een scala aan ‘toegangsmogelijkheden’. Standaard zijn een webinterface en natuurlijk het delen van mappen en bestanden op de ingebouwde harde schijf of schijven. Daarnaast zijn er ook meer exotische zaken te vinden. Denk aan bijvoorbeeld SSH, waarmee je via de Linux opdrachtprompt allerlei zaken kan regelen. Of FTP, een protocol voor bestandsoverdracht via internet. Als je al dat soort zaken niet gebruikt is het verstandig om ze simpelweg uit te schakelen. Het voorkomt mogelijk per ongeluk openstaande achterdeurtjes. Om SSH – ofwel toegang via een terminal op afstand – uit te schakelen check je of alle opties onder Terminal en SNMP (te vinden in het Configuratiescherm) uitstaan.

FTP

Om zaken als FTP uit te schakelen, neem je via het Configuratiescherm een kijkje bij Bestandsservices. De settings op de tab SMB moet je ongemoeid laten, dat zijn de bestandsdeelservices voor het (thuis)netwerk. Check alleen wel even het kader SMB3 voor een snelheidsverhogende tip! Klik eerst op het tabblad FTP en zorg dat de opties FTP-service inschakelen, FTP SSL/TLS coderingsservice inschakelen (FTPS) en – een stukje lager – SFTP-service inschakelen allemaal uit staan. Op de tab TFTP dient ook de optie TFTP-service inschakelen uit te staan. Je kan FTP (en dan liefst alleen de veilige variant SFTP) natuurlijk best zo af en toe gebruiken. Maar zeker als het inderdaad maar (heel) af en toe is, schakel je de optie na gebruik beter gewoon weer uit.

Bij de tijd blijven

Een andere belangrijke zaak – qua veiligheid – is het up-to-date houden van het besturingssysteem van je NAS. DSM wordt regelmatig van updates voorzien. Het is zaak deze updates zo snel mogelijk te implementeren, want meestal worden daarmee veiligheidslekken en achterdeurtjes gedicht. Je kunt updates handmatig installeren (of beter: via een muisklik laten zoeken naar updates en deze via nóg een klik installeren). Zeker voor een NAS die gekoppeld is aan de cloud, is het beter om het installeren van updates volledig automatisch te laten regelen. Je kan de NAS namelijk dagelijks op een bepaald tijdstip laten zoeken naar beschikbare updates en deze vervolgens volautomatisch installeren. Kies simpelweg een tijdstip dat jij geen gebruik maakt van je NAS, bijvoorbeeld een van de nachtelijke uren. Zo heb je geen omkijken meer naar de updates en ben je verzekerd van altijd de meest recente versie van DSM.

Automatisch

Om alles automatisch te regelen klik je in het Configuratiescherm op Bijwerken en herstellen. Mocht er toevallig een verse update klaarstaan, dan krijg je daarvan melding. Ook een installatieknop is in dat geval beschikbaar. In dat geval installeer je eerst de update om daarna weer terug te keren naar dit scherm. Klik op Instellingen voor bijwerken. Schakel de optie Automatisch zoeken naar DSM-updates in. Kies in het selectiemenu daaronder voor Installeer automatisch de nieuwste DSM-update. Achter installatieschema kies je voor Dagelijks, waarna je een update-tijdstip instelt. Klik op OK en je hebt verder geen omkijken meer naar updates.

Synology NAS gaat met pensioen

Regelmatige (veiligheids) updates zijn voor het meest recente DSM beschikbaar. Voor oudere versies van DSM rolt Synology soms ook nog weleens dringende updates uit, maar met een veel minder hoge frequentie. Zorg dus dat je altijd de laatste DSM draait. Heb je een echt oude NAS staan waar geen recente versie van het besturingssysteem meer voor geleverd wordt, dan is het tijd om deze NAS offline te halen. Je kunt hem nog prima jarenlang op je interne thuisnetwerk gebruiken. Maar koppelen aan de cloud is dan toch wat riskant aan het worden!

SMB3 – Meer snelheid

Met name bij mobiele draadloze apparaten zoals een iPad kan het overhevelen van bestanden vanaf de NAS soms verrassend lang duren. Dat kan liggen aan een traag (of overbelast) WiFi netwerk. Maar vaak is de oorzaak iets anders. Start het Configuratiescherm van je Synology NAS en klik op Bestandsservices. Klik op de tab SMB/AFP/NFS en daar op de knop Geavanceerde instellingen. In het nieuw geopende venster kies je achter Maximum SMB-protocol voor SMB3. Klik op Toepassen en de kans is levensgroot dat de bestandsoverdracht van en naar je mobiele apparaat ineens een héél stuk sneller gaat!

Geschreven door: Ronald Smit

Reacties (0)