Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren?

Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren?

Sommige artikelen zijn automatisch vanuit het Engels vertaald en kunnen onjuistheden of grammaticafouten bevatten. Als dit artikel momenteel alleen in het Engels beschikbaar is, volgt er mogelijk binnenkort een vertaling.

Doel

Dit artikel biedt verschillende methoden die u kunnen helpen uw Synology NAS veiliger te maken.

Oplossing

Security Advisor inschakelen

Security Advisor is een ingebouwde DSM-app die uw Synology NAS scant, uw DSM-instellingen controleert en u advies geeft over hoe u beveiligingszwakheden kunt aanpakken. Raadpleeg dit artikel om Security Advisor te configureren.

DSM-gebruikersmachtigingen configureren

  • Zorg ervoor dat het standaard admin-account is gedeactiveerd om kwaadaardige aanvallen te voorkomen.
  • Beheer de toegang tot uw Synology NAS door gebruikersrechten voor gedeelde mappen en toepassingen te configureren en gebruiksquota en snelheidslimieten voor verschillende services in te stellen. U kunt dit doen op groepsniveau of individueel niveau en tijdens het aanmaken van de groep/gebruiker of later in Configuratiescherm > Gebruiker (voor DSM 6.2 en eerder) of Gebruiker & Groep (voor DSM 7.0 en later).

Wachtwoordsterkteregels configureren

U kunt ervoor zorgen dat gebruikers sterke wachtwoorden instellen om het risico op hacking te verminderen. Selecteer Regels voor wachtwoordsterkte toepassen op de volgende locaties:

  • Voor DSM 7.0 en hoger: Ga naar Configuratiescherm > Gebruiker & Groep > Geavanceerd > Wachtwoordinstellingen.
  • Voor DSM 6.2 en eerder: Ga naar Configuratiescherm > Gebruiker > Geavanceerd > Wachtwoordinstellingen.

Voor meer informatie over wachtwoordsterkteregels, raadpleeg dit artikel.

Wachtwoordverval instellen

U kunt gebruikers dwingen hun wachtwoorden na een bepaalde periode te wijzigen. Selecteer Wachtwoordverval inschakelen op de volgende locaties:

  • Voor DSM 7.0 en hoger: Ga naar Configuratiescherm > Gebruiker & Groep > Geavanceerd > Wachtwoordverval.
  • Voor DSM 6.2 en eerder: Ga naar Configuratiescherm > Gebruiker > Geavanceerd > Wachtwoordverval.

Voor meer informatie over wachtwoordverval, raadpleeg dit artikel.

Gebruik multi-factor authenticatie

Multi-factor authenticatie biedt extra beveiliging voor uw DSM-account. Indien ingeschakeld, moet u naast uw wachtwoord een tweede identiteitsverificatie opgeven bij het inloggen op DSM. Voor meer informatie over multi-factor authenticatie, raadpleeg de respectieve helpartikelen voor DSM 7.0 en DSM 6.2.

  • Voor DSM 7.0 en hoger: Ga naar Opties > Persoonlijk > Account > 2-Factor Authenticatie.
  • Voor DSM 6.2 en eerder: Ga naar Opties >Persoonlijk > Account, selecteer 2-stapsverificatie inschakelen.

Automatisch blokkeren en accountbeveiliging inschakelen

U kunt automatisch blokkeren inschakelen om een IP-adres te blokkeren na een vooraf gedefinieerd aantal aanmeldpogingen. Deze functie is van toepassing op aanmeldpogingen via SSH, Telnet, rsync, Netwerk Backup, Gedeelde Map Synchroniseren, FTP, WebDAV, Synology mobiele apps, File Station en DSM. Configureer Automatisch Blokkeren op de volgende locaties:

  • Voor DSM 7.0 en hoger: Ga naar Configuratiescherm > Beveiliging > Bescherming.
  • Voor DSM 6.2 en eerder: Ga naar Configuratiescherm > Beveiliging > Account.

U kunt accountbeveiliging inschakelen om het risico op brute-force aanvallen op accounts te verminderen. Deze functie ondersteunt de volgende services en pakketten: DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station en Synology mobiele apps. Configureer Accountbeveiliging in Configuratiescherm > Beveiliging > Account.

Versleutelde verbindingen gebruiken

Om verbindingen met SSL/TLS te versleutelen, gebruikt u HTTPS om toegang te krijgen tot DSM en webgebaseerde pakketten zoals Synology Chat, Synology Drive, Synology Photos en Surveillance Station. Dit beveiligt de communicatie van de client met uw Synology NAS. U kunt HTTPS inschakelen met de volgende methoden:

  • Voor DSM-aanmelding, ga naar Configuratiescherm > Inlogportaal > DSM om te kiezen voor Automatisch HTTP-verbinding omleiden naar HTTPS of HSTS inschakelen dwingt browsers om beveiligde verbindingen te gebruiken (kies dit als u een aangepast domein gebruikt). Schakel beide opties niet tegelijkertijd in om verbindingsproblemen te voorkomen.
  • Voor portaal- of reverse proxy-instellingen, selecteer selectievakjes gerelateerd aan HSTS wanneer u de volgende configureert:
  • Voor aanmelding bij mobiele apps en hulpprogramma's, selecteer HTTPS op het aanmeldscherm van Synology mobiele apps of desktop-hulpprogramma's.

Zodra u de bovenstaande instellingen hebt voltooid, zorg ervoor dat u een geldig SSL-certificaat toevoegt.

Bovendien, aangezien sommige services of pakketten ook verbindingversleuteling bieden, kunt u de volgende methoden proberen om uw Synology NAS veiliger te maken:

  • Schakel FTPS of SFTP in in plaats van FTP, aangezien FTP geen versleuteling biedt om gegevensoverdrachten te beveiligen.
  • Selecteer Overdrachtsversleuteling bij het back-uppen van gegevens naar externe bestemmingen via Hyper Backup.
  • Selecteer SSH-overdrachtsversleuteling inschakelen bij het gebruik van Gedeelde Map Synchronisatie.

Open alleen openbare poorten voor benodigde services op de router

Synology NAS is ontworpen om eenvoudig toegankelijk te zijn via het internet. Raadpleeg deze tutorial om te leren hoe u externe toegang configureert. Om de veiligheid van uw Synology NAS te waarborgen, raden we sterk aan om alleen openbare poorten te openen voor de benodigde services op de router.

DoS-bescherming inschakelen

U kunt Denial-of-service (DoS) bescherming inschakelen om kwaadaardige aanvallen via het internet te voorkomen. Ga hiervoor naar Configuratiescherm > Beveiliging > Bescherming, selecteer DoS-bescherming inschakelen, en klik op Toepassen.

Zodra ingeschakeld, zal uw Synology NAS anders reageren afhankelijk van uw DSM-versie:

  • Voor DSM 7.0 en hoger: De NAS zal reageren op maximaal 1.000 ICMP-pingpakketten per seconde. Als de frequentie meer dan 1.000 pings per seconde bedraagt, zal de NAS stoppen met reageren op de extra verzoeken.
  • Voor DSM 6.2 en eerder: De NAS zal slechts op één ICMP-pingpakket per seconde reageren. Als er meer dan één ping per seconde wordt ontvangen, zal de NAS de extra verzoeken negeren.

Standaard beheerspoorten wijzigen

U kunt poorten aanpassen om kwaadaardige inlogpogingen te blokkeren. De standaardpoorten zijn als volgt:

  • HTTP: 5000
  • HTTPS: 5001
  • SSH: 22

U kunt de standaard HTTP/HTTPS-poorten wijzigen op de volgende locaties:

  • Voor DSM 7.0 en hoger: Configuratiescherm > Inlogportaal > DSM.
  • Voor DSM 6.2 en eerder: Configuratiescherm > Netwerk > DSM-instellingen.

U kunt de standaard SSH-poort wijzigen in Configuratiescherm > Terminal & SNMP > Terminal.

Doel
Oplossing
Security Advisor inschakelen
DSM-gebruikersmachtigingen configureren
Wachtwoordsterkteregels configureren
Wachtwoordverval instellen
Gebruik multi-factor authenticatie
Automatisch blokkeren en accountbeveiliging inschakelen
Versleutelde verbindingen gebruiken
Open alleen openbare poorten voor benodigde services op de router
DoS-bescherming inschakelen
Standaard beheerspoorten wijzigen
Verdere lectuur