Onlangs ontdekten sommige eigenaren van Synology dat alle bestanden op hun NAS-systeem versleuteld waren. Helaas had wat ransomware de NAS geïnfecteerd en betaling geëist om de gegevens te herstellen. Hier is wat u kunt doen om uw NAS te beveiligen.
Hoe de ransomwareaanval te vermijden
Synology waarschuwt NAS-eigenaren voor verschillende ransomware-aanvallen die sommige gebruikers onlangs hebben getroffen. De aanvallers gebruiken brute-force-methoden om het standaardwachtwoord te raden – in feite proberen ze elk mogelijk wachtwoord totdat ze een match krijgen. Zodra ze het juiste wachtwoord hebben gevonden en toegang krijgen tot het op het netwerk aangesloten opslagapparaat, versleutelen de hackers alle bestanden en eisen ze losgeld.
Je hebt verschillende opties om uit te kiezen om dergelijke aanvallen te voorkomen. U kunt externe toegang helemaal uitschakelen en alleen lokale verbindingen toestaan. Als u externe toegang nodig heeft, kunt u een VPN instellen om de toegang tot uw NAS te beperken. En als een VPN geen goede optie is (bijvoorbeeld vanwege trage netwerken), kunt u uw opties voor externe toegang versterken.
Optie 1: Schakel externe toegang uit
De veiligste optie die u kunt kiezen, is het volledig uitschakelen van externe verbindingsfuncties. Als u op afstand geen toegang heeft tot uw NAS, kan een hacker dat ook niet. U zult wat gemak onderweg verliezen, maar als u alleen thuis met uw NAS werkt – bijvoorbeeld om films te kijken – dan mist u de externe functies misschien helemaal niet.
De meest recente Synology NAS-eenheden bevatten een QuickConnect-functie. QuickConnect zorgt voor het harde werk voor het inschakelen van externe functies. Als de functie is ingeschakeld, hoeft u geen routerpoortdoorschakeling in te stellen.
Om externe toegang via QuickConnect te verwijderen, logt u in op uw NAS-interface. Open het configuratiescherm en klik op de optie “QuickConnect” onder Connectivity in de zijbalk. Verwijder het vinkje bij “Enable Quick Connect” en klik op Toepassen.
Als u echter port forwarding op uw router hebt ingeschakeld om externe toegang te krijgen, moet u die regel voor port forwarding uitschakelen. Om port forwarding uit te schakelen, moet u het IP-adres van uw router opzoeken en dit gebruiken om in te loggen.
Raadpleeg vervolgens de handleiding van uw router om de pagina port forwarding te vinden (elk routermodel is anders). Als u de handleiding van uw router niet hebt, kunt u op internet zoeken naar het modelnummer van uw router en het woord ‘handleiding’. De handleiding zal u laten zien waar u moet zoeken naar afsluitende regels voor poortdoorschakeling. Schakel alle regels voor poort doorsturen voor de NAS-eenheid uit.
Optie 2: gebruik een VPN voor externe toegang
We raden aan om uw Synology NAS niet bloot te stellen aan internet. Maar als u op afstand verbinding moet maken, raden we u aan een virtueel particulier netwerk (VPN) op te zetten. Met een geïnstalleerde VPN-server heb je geen directe toegang tot de NAS-unit. In plaats daarvan maakt u verbinding met de router. De router behandelt u op zijn beurt alsof u zich op hetzelfde netwerk bevindt als de NAS (bijvoorbeeld nog steeds thuis).
U kunt een VPN-server op uw Synology NAS downloaden vanuit het Package Center. Zoek gewoon naar “vpn” en kies de installatieoptie onder VPN Server. Wanneer u de VPN-server voor het eerst opent, ziet u een keuze uit PPTP-, L2TP / IPSec- en OpenVPN-protocollen. We raden OpenVPN aan, omdat dit de veiligste optie van de drie is.
U kunt alle OpenVPN-standaardinstellingen behouden, maar als u toegang wilt krijgen tot andere apparaten op het netwerk wanneer u via VPN bent verbonden, moet u “Clients toestaan toegang tot het LAN van de server” aan te vinken en vervolgens op “Toepassen” te klikken.
U moet dan port forwarding instellen op uw router naar de poort die OpenVPN gebruikt (standaard 1194).
Als je OpenVPN voor je VPN gebruikt, heb je een compatibele VPN-client nodig om er toegang toe te krijgen. We raden OpenVPN Connect aan, dat beschikbaar is voor Windows, macOS, iOS, Android en zelfs Linux.
Optie 3: Beveilig zo veel mogelijk externe toegang
Als u externe toegang nodig heeft en VPN geen haalbare oplossing is (misschien vanwege lagere internetsnelheden), moet u externe toegang zo veel mogelijk beveiligen.
Om externe toegang te beveiligen, moet u inloggen op de NAS, het Configuratiescherm openen en vervolgens Gebruikers selecteren. Als de standaard admin is ingeschakeld, maak dan een nieuwe admin gebruikersaccount aan (als je er nog geen hebt) en zet de standaard admin gebruiker uit. Het standaard admin-account is de eerste account die ransomware gewoonlijk aanvalt. De gastgebruiker is standaard standaard uitgeschakeld en u moet dit zo laten, tenzij u er een specifieke behoefte aan heeft.
U moet ervoor zorgen dat alle gebruikers die u voor de NAS hebt gemaakt, ingewikkelde wachtwoorden hebben. We raden aan om een wachtwoordbeheerder te gebruiken om daarbij te helpen. Als u de NAS deelt en andere mensen gebruikersaccounts laat maken, moet u sterke wachtwoorden afdwingen.
U vindt de wachtwoordinstellingen op het tabblad Geavanceerd van de gebruikersprofielen in het Configuratiescherm. U moet de opties inclusief hoofd- en kleine letters, numerieke tekens, speciale tekens en algemene wachtwoordopties uitsluiten. Voor een sterker wachtwoord verhoogt u de minimale wachtwoordlengte tot ten minste acht tekens, hoewel langer beter is.
Om woordenboekaanvallen te voorkomen, een methode waarbij een aanvaller zo snel mogelijk zoveel mogelijk wachtwoorden raadt, schakelt u Auto-Block in. Deze optie blokkeert automatisch IP-adressen nadat ze een bepaald aantal wachtwoorden hebben geraden en binnen korte tijd mislukken. Automatische blokkering is standaard ingeschakeld op nieuwere Synology-apparaten en u vindt het in Configuratiescherm> Beveiliging> Account. De standaardinstellingen zorgen ervoor dat een IP-adres niet opnieuw kan inloggen na tien mislukkingen binnen vijf minuten.
Overweeg ten slotte om uw Synology-firewall in te schakelen. Als een firewall is ingeschakeld, zijn alleen services die u opgeeft als toegestaan in de firewall, toegankelijk vanaf internet. Houd er rekening mee dat als de firewall is ingeschakeld, u uitzonderingen moet maken voor sommige apps zoals Plex, en regels voor poortdoorschakeling moet toevoegen als u een VPN gebruikt. U vindt de firewall-instellingen in Configuratiescherm> Beveiligingsfirewall.
Gegevensverlies en versleuteling van ransomware zijn altijd mogelijk met een NAS-eenheid, zelfs als u voorzorgsmaatregelen neemt. Uiteindelijk is een NAS geen back-upsysteem, en het beste wat u kunt doen, is offsite back-ups maken van de gegevens. Op die manier kunt u uw gegevens met minimaal verlies herstellen als het ergste gebeurt (of dat nu ransomware is of een storing van meerdere harde schijven).