Featured image of post Zo houd je je Synology-nas veilig
Tips

Zo houd je je Synology-nas veilig

Op je nas kun je allerlei belangrijke bestanden bewaren en apps draaien. Het is dus zeer belangrijk dat je nas goed beveiligd is, zodat je niet het slachtoffer wordt van ransomware of andere malware. We geven je daarom de beste tips zodat je Synology-nas goed veilig blijft.

We gaan ervan uit dat je je Synology-nas op afstand wilt kunnen benaderen. Als je je nas alleen lokaal op je netwerk gebruikt, zijn mogelijk niet alle tips even relevant voor jou. De stappen in de tips zijn van toepassing op DSM 7.1.

Tip 1. Houd 'm up-to-date

We beginnen simpel: houd je Synology-nas goed up-to-date, zodat je niet gehackt kan worden via bekende beveiligingslekken. Je kunt controleren of je de nieuwste versie van DSM gebruikt door het Configuratiescherm te openen en dan te gaan naar Bijwerken en herstellen. Je ziet dan bij Status of je nas up-to-date is of niet.

Als je hier toch bent, is het wel zo handig om meteen automatische beveiligingsupdates in te schakelen. Daarvoor klik je op de knop Instellingen voor bijwerken. Het veiligste is de optie Installeer automatisch belangrijke updates waarmee kritieke beveiligingslekken en bugs worden opgelost (Aanbevolen). Je kunt daaronder nog een tijdstip kiezen waarop op updates gecontroleerd moet worden. Klik op OK om je wijzigingen op te slaan.

Tip 2. Gebruik de Security Advisor

De ingebouwde Security Advisor van Synology scant je nas op veel punten, zoals of er geen malware op je nas aanwezig is, of het systeem naar behoren werkt en of accounts wel veilig zijn ingesteld. Open de Security Advisor op DSM via het hoofdmenu. Je kunt kiezen of je je nas zakelijk of persoonlijk gebruikt, op basis daarvan verschillen de beveiligingsregels. Scan dan je nas om te controleren wat je nog kunt verbeteren aan je veiligheid.

Via Geavanceerd kun je instellen dat de Security Advisor-scan regelmatig wordt uitgevoerd. Je kunt dan een rapport in je mailbox ontvangen met de scanresultaten.

Screenshot Security Advisor DSM
Met de Security Advisor van DSM controleer je je nas op veel veiligheidspunten.

Tip 3. Schakel de admin-account uit

Het is aan te raden om de admin-account van je Synology-nas uit te schakelen. Op die manier kunnen aanvallers moeilijker binnenkomen, omdat ze je gebruikersnaam niet weten. Ook heeft deze account te veel rechten voor dagelijks gebruik. Je schakelt de admin-account uit via het Configuratiescherm. Ga dan naar Gebruiker en groep en klik op de admin-account en kies dan voor Bewerken. Vink de optie Deze account uitschakelen aan, kies voor Onmiddellijk en sla je wijzigingen op.

Tip 4. Gebruik Authenticatie in twee stappen

Het is slim om voor alle accounts op je nas authenticatie in twee stappen te gebruiken. Zelfs als je dan een account hebt met een zwak wachtwoord, ben je niet meteen het slachtoffer. Je kunt 2FA voor jezelf instellen via Configuratiescherm / Gebruiker en groep. Klik dubbel op je eigen naam en kies voor Tweefactorauthenticatie inschakelen.

Je kunt ook verplichten dat alle gebruikers op je nas 2FA gebruiken. Daarvoor ga je naar Beveiliging en ga dan naar Account. Vink de optie Tweefactorauthenticatie instellen voor de volgende gebruikers aan. Kies dan voor Specifieke gebruikers of groepen en kies daar alle gebruikers van je nas. Systeemaccounts kun je laten zoals ze zijn.

Screenshot Synology DSM: Configuratiescherm / Beveiliging / Account-pagina
Op de Accountpagina kun je 2FA instellen.

Tip 5. Automatisch blokkeren

Om te voorkomen dat een aanvaller heel veel pogingen kan doen om in te loggen in je account, is het aan te raden om na een aantal pogingen een time-out in te stellen waarna iemand het pas opnieuw kan proberen. Om zo'n time-out in te stellen, ga je in het Configuratiescherm naar Beveiliging en dan weer Beveiliging. Vink dan de optie Automatisch blokkeren inschakelen aan. Geef iemand bijvoorbeeld drie pogingen, waarna die vijf minuten moet wachten. Klik op Opslaan om je wijzigingen actief te maken.

Eventueel kun je ook werken met een toestaan/blokkeerlijst. Je kunt hier individuele IP-adressen aan toevoegen die je vertrouwt. Gebruikers die inloggen vanaf een vertrouwd IP-adres worden uitgezonderd van Automatisch blokkeren.

Tip 6. Installeer een virusscanner

DSM heeft twee virusscanners beschikbaar waarmee je je bestanden op je nas kunt controleren op malware. Op die manier kun je controleren dat je nas zelf niet is besmet met malware en dat je geen malware serveert. Je installeert het gratis pakket vanuit het Package Center. Zoek daar naar het pakket Antivirus Essential. Na installatie kun je een schema instellen om automatisch elke dag of elke week bijvoorbeeld 's nachts een scan uit te voeren. Antivirus Essential is wel gebaseerd op ClamAV. Wil je een iets betere oplossing, kijk dan naar de betaalde variant Antivirus by McAfee die je ook in het Package Center vindt. Je leest meer over de virusscanner die in DSM zit hier.

Screenshot Package Center DSM
Vanuit het Package Center installeer je een gratis antiviruspakket.

Tip 7. Let op je poorten

Om je nas veilig te houden, is het belangrijk dat je niet zomaar allerlei poorten opent op je nas en in je router. Het beste is om alle poorten te sluiten en 'm alleen op je lokale netwerk te gebruiken. Maar ja, dan verlies je natuurlijk wel veel functionaliteit. Een alternatief is alleen poort 443 te openen en alle nas-applicaties via HTTPS te benaderen. Je kunt gratis HTTPS-certificaten genereren via LetsEncrypt. Daarvoor ga je naar het Configuratiescherm en dan naar Beveiliging / Certificaat. Je kunt dan voor de domeinnaam die je voor je nas gebruikt een certificaat maken.

Als je het nog veiliger wilt, dan kun je het pakket VPN Server installeren vanuit het Package Center. Zet dan OpenVPN op en open poort 1194 (UDP) in je router en nas en sluit de rest. Je kunt dan alleen je nas benaderen via VPN, wel zo veilig.

Je kunt de firewall van je nas beheren via Configuratiescherm / Beveiliging / Firewall. Klik dan naast het actieve profiel op Regels bewerken om te kijken wat er open staat. Je kunt ook kijken wat er open staat in je router. Daarvoor ga je naar het tabblad Externe configuratie en dan Routerconfiguratie. Klik op Router instellen om je nas de firewall op je router te laten beheren, als je dat nog niet gedaan hebt.

Tip 8. Wijzig de standaard SSH-poort

Als je SSH wilt gebruiken op je nas om 'm te beheren, dan is het wel zo veilig om de poort ervan te veranderen. Je kunt de poort veranderen in het Configuratiescherm, door te gaan naar Terminal en SNMP. Bij SSH-service inschakelen typ je dan een andere poort. Als je SSH niet gebruikt, zorg dan dat je het uitgeschakeld hebt.

Screenshot Configuratiescherm DSM / Terminal en SNMP-pagina.
Als je graag SSH wilt gebruiken, wijzig dan de standaardpoort.

Tip 9. Schakel Denial of Service-bescherming in

Synology's DSM heeft ingebouwde Denial of Service-bescherming, die ervoor zorgt dat je nas niet reageert als die detecteert dat iemand 'm probeert te overladen met verkeer. Je schakelt deze bescherming in via het Configuratiescherm. Ga naar Beveiliging / Beveiliging en klap dan Denial of Service (DoS)-beveiliging uit. Kies de netwerkinterface waarop je je nas met het internet hebt aangesloten en vink de optie DoS-bescherming inschakelen aan.