Bedrijven lopen steeds grotere risico’s door de toenemende frequentie en kwaliteit van cyberaanvallen. Ook NAS-servers zijn een populair doelwit, vanwege de waardevolle data en backups op het apparaat. Het is daarom verstandig om NAS-servers goed te beveiligen en de risico’s te beperken.

Met ransomware en andere vormen van malware op recordhoogtes, lijkt het soms dat je organisatie op securityvlak verloren is. Toch zijn er genoeg relatief simpele verdedigingsstappen te zetten, ook voor NAS-servers. Veel zaken hebben betrekking op het op orde brengen van de basis. Daar gaat het dikwijls fout. Aanvallen zijn vaak te voorkomen door de minimale vereisten te hanteren.

Wij zetten daarom uiteen welke best practices je bedrijf kan volgen voor het beveiligen van NAS-servers. Dit vooral op basis van Synology, de NAS-servers die op veel bedrijfslocaties staan.

Implementeer sterke authenticatiemechanismes

Een eerste stap die je kan zetten is het controleren van je wachtwoordbeleid. Hebben de werknemers en beheerders die gebruikmaken van de NAS-servers sterke wachtwoorden? Met complexe wachtwoorden verklein je het risico dat ongeautoriseerden toegang krijgen tot bestanden. Zo’n sterk wachtwoord bestaat uit een mix van allerlei letters en hoofdletters, cijfers en speciale tekens.

Als het zeer lastig te onthouden is, dan is het waarschijnlijk een goed password. Eventueel kan binnen je organisatie een wachtwoordmanager uitgerold worden, waar ze in onder te brengen zijn. Daarmee vereenvoudigt het gebruik van moeilijke passwords, omdat ze simpel in een kluis te plaatsen zijn. Probeer er ook voor te zorgen dat de werknemers het complexe wachtwoord niet hergebruiken. Op die manier voorkomt je bedrijf dat een gelekt wachtwoord van één dienst niet een toegangsticket is voor andere diensten, en vice versa.

Tip: Synology DiskStation Manager 7.1 (DSM) zet in op beheer en monitoring

Beheerders kunnen policies instellen voor de passwords. Zo heeft de Synology Control Panel functionaliteit voor wachtwoordsterkteregels. Zodra policies geactiveerd worden, moeten gebruikers die een nieuw account creëren de regels volgen.

Bovenop deze wachtwoordstap is er extra veiligheid te realiseren met tweestapsverificatie. Als een beheerder deze functie activeert, moet bij een inlogpoging ook een extra code die de gebruiker verkrijgt via een mobiele app ingevoerd worden. Daardoor krijgt een bedrijf extra zekerheid dat een gebruiker die met een wachtwoord inlogt, daadwerkelijk de persoon is die bij het wachtwoord hoort.

Beheerdersaccounts aanpassen

Veelgebruikte namen als ‘admin’ en ‘administrator’ voor beheerdersaccounts kunnen een NAS-server ook kwetsbaar maken. Als een bedrijf nieuwe NAS-servers uitrolt, is het verstandig dergelijke namen te vermijden. Verander direct na de configuratie de naam van het beheerdersaccount en stel daar een sterk wachtwoord voor in. De meeste NAS-servers bieden opties voor het veranderen van het beheerdersaccount binnen de beheersoftware, ook als de namen ‘admin’ of ‘administrator’ nog gebruikt worden.

Blijf op de hoogte en patch

Voor NAS-servers worden regelmatig patches uitgebracht om beveiligingsproblemen op te lossen. Als ze snel geïnstalleerd worden, loopt je bedrijf minder risico. Hoewel het logisch klinkt en lijkt dat het gebeurt, voert niet ieder bedrijf actief de patches door. NAS-servers bieden wel vaak functionaliteit voor het automatisch uitvoeren van updates, om de stap te versimpelen en niet te vergeten.

Ook kennen NAS-servers opties voor het krijgen van notificaties bij problemen, via e-mail en sms’jes. Denk daarbij aan het uitvallen van een netwerkconnectie of fouten rond een backup-taak. De beheerder moet die notificaties wel aanzetten.

Aanvullend kunnen gebruikers en beheerders NAS-servers scannen op configuratieproblemen binnen het besturingssysteem. Op de meeste NAS-devices staat standaard een scanapplicatie geïnstalleerd. Een scan detecteert bijvoorbeeld of SSH-toegang openstaat, ongewone loginpogingen plaatsvinden en system files aangepast zijn. Er volgen suggesties met te nemen stappen om de NAS veiliger te maken.

Basis features configureren

Als we vervolgens kijken welke basissecurityinstellingen binnen besturingssysteem Synology DSM te regelen zijn, dan vallen er een aantal zaken op. Deze instellingen zijn op het security-onderdeel van het Control Panel te vinden.

  • IP Auto Block: blokkeert automatisch IP-adressen van clients die niet binnen een periode of aantal pogingen inloggen. Beheerders kunnen ook specifieke IP-adressen blacklisten, om DDoS-aanvallen en brute-forceaanvallen te voorkomen.
  • Account Protection: beschermt gebruiksaccounts door onvertrouwde clienttoegang te blokkeren.
  • HTTPS activeren: versleutelt en beveiligt het netwerkverkeer tussen de NAS en verbonden clients. Het biedt bescherming tegen veelvoorkomende man-in-the-middle aanvallen.
  • Firewallregels op maat: de firewall fungeert als virtuele barrière die het netwerkverkeer filtert op externe bronnen, op basis van een set regels. Deze regels zijn in te stellen om bijvoorbeeld ongeautoriseerde toegang te voorkomen.
  • Aangepaste poorten: het aanpassen van de standaard DSM HTTP (5000)- en HTTPS (5001)-poorten leidt tot het afwenden van veelvoorkomende aanvallen. Via de netwerk- en besturingssysteeminstellingen zijn de poortnummers aan te passen.
  • Als je bedrijf vaak shell-toegang gebruikt, is het handig om SSH/telnet uit te schakelen wanneer het niet gebruikt wordt. Doordat root access ingeschakeld is en SSH/telnet alleen aanmeldingen van beheerdersaccounts ondersteunt, kunnen hackers wachtwoorden brute-forcen om toegang tot het systeem te krijgen.

Verder is het verstandig gedeelde mappen te versleutelen. Synology DSM ondersteunt hiervoor AES-256-encryptie, wat een sterke securitybasis belooft. Beheerders kunnen de norm voor nieuwe en bestaande mappen gebruiken. Ze creëren hierbij een encryptiesleutel, waarna het besturingssysteem de map automatisch versleutelt.

Voorbereid op dreigingen

Met bovenstaande stappen maakt je bedrijf een sprong wat betreft het beveiligen van NAS-servers. Dat is belangrijk wanneer je je realiseert dat cyberbedreigingen zich voortdurend ontwikkelen. Tegelijkertijd krijgen cybercriminelen ook meer toegangspunten, doordat er steeds meer apparaten zich op het bedrijfsnetwerk bevinden. Security is dan ook belangrijk om voortdurend te evalueren.

Tip: Synology C2 Storage biedt data een veilige plek in de cloud