Extra (veilig)netwerk ivm NAS

Je maakt het inderdaad complexer en kostbaarder dan nodig. Updates installeren, een sterk wachtwoord kiezen en de juiste beveiliging instellen op je NAS is 95% van de maatregelen. Als je je data veilig wilt stellen voor incidenten maak je nog een back-up naar een tweede medium (een externe usb bijvoorbeeld, wellicht elders in je huis) en nog een back-up naar een clouddienst. Support daarvoor is standaard aanwezig op je NAS.

Je NAS is inderdaad standaard helemaal niet te benaderen van buitenaf.

Wat @Sharky zegt.

En dan wel username+password voor de NAS opslaan op de PC's zeker?

Over welk protocol wil je trouwens gaan "file sharen" want allicht kan je daar ook nog eens over nadenken of dat (extra / nog meer) authenticatie op zit.

En vergeet ook niet eerst je NAS te beveiligen en in principe altijd accounts te maken met "least privilege"; dus niet 8 full admins opvoeren omdat je 7 apparaten wil verbinden, bijvoorbeeld.

/edit: dank @Microkid want type-fout...

[ Voor 5% gewijzigd door MAX3400 op 18-12-2021 22:02 ]

En, voor een extra laagje veiligheid, schakel net Admin account uit en gebruik je eigen account als beheerder. Veel inlogpogingen (mocht je NAS bereikbaar zijn) worden gedaan op het Admin account.

MAX3400 schreef op zaterdag 18 december 2021 @ 21:55:
"lease privilege";

Kan je die huren? Least privilege

gebruik een admin account alleen voor admin taken, en gebruik standaard een normaal user account met (least privilige) lees en schrijfrechten.

je kunt daarnaast ook de volumes/shares met belangrijke documenten read-only maken, en periodiek met het aparte adminaccount updaten

Effe hardop denken:

Wanneer je werkstation naar het internet kan en naar je NAS kan dat toch nog steeds een bron van besmetting zijn/worden. Ik denk aan drive mappings/unc paden en dat urgente mailtje openen over dat UPS/DHL pakje met die vreemde bijlage op je werkstation.

Bedenk wel hoeveel moeite zal iemand doen om wat te stelen. natuurlijk wil je niet dat je privé foto's zomaar op internet komen, maar bedenk ook dat iemand eerst moet weten dat er boeiende privé foto's zijn en dat er mee te verdienen valt. Als je NAS niet vanaf internet bereikt kan worden dan wordt het al heel erg moeilijk. Een standaard modem die geen poorten open heeft staan is niet zomaar gehackt, ik wil niet zeggen dat het onmogelijk is maar er zijn geen bekende gevallen.
Dus jouw standaard router voldoet prima, pas als je je NAS bereikbaar wil hebben vanaf internet wordt het een ander verhaal.
Een fysiek gescheiden netwerk is zoals ook eerder gezegd onzin en geeft schijn veiligheid.

Red Boll schreef op zaterdag 18 december 2021 @ 22:20:
Ik denk aan drive mappings/unc paden en dat urgente mailtje openen over dat UPS/DHL pakje met die vreemde bijlage op je werkstation.

Dit inderdaad... Je kunt het beste RO mounten en eenmaal in de zoveel tijd een backup wegschrijven naar je NAS. Veel consumenten ransomware werkt automatisch dus die pakken een drivemapping mee.

Een aanvaller aan de knoppen zal proberen een vulnerability in de NAS te vinden of geduldig wachten tot jij inlogt. Maar de kans dat die je treft is bijna 0. Die pakken liever grote bedrijven met veel centjes

sh4d0wman schreef op zondag 19 december 2021 @ 14:30:
[...]

Dit inderdaad... Je kunt het beste RO mounten en eenmaal in de zoveel tijd een backup wegschrijven naar je NAS. Veel consumenten ransomware werkt automatisch dus die pakken een drivemapping mee.

Een aanvaller aan de knoppen zal proberen een vulnerability in de NAS te vinden of geduldig wachten tot jij inlogt. Maar de kans dat die je treft is bijna 0. Die pakken liever grote bedrijven met veel centjes

Hmmz, ook de consumenten ransomware is ondertussen al een stuk verder, hoor. Die zijn echt niet meer afhankelijk van drive mappings. Die inventariseren alle UNC paden die er in je netwerk te vinden zijn en proberen daar alle passwords die windows trouwhartig voor ze bewaart

Of als je weer eens zo'n issue hebt als laatst met synology waar een developer FF snel een backdoor root account had gecreëerd met de credentials in een comment regel in de code

@Mative Het is misschien handiger om je nieuwe bericht onderaan in het topic te zetten, dat leest in ieder geval een stuk prettiger omdat het de chronologische volgorde van een topic aanhoudt.

In ieder geval: goed dat je de punten oppikt en daar mee aan de slag gaat bij de aanschaf/instellingen van een NAS.

Mative schreef op zondag 19 december 2021 @ 19:53:
Allereerst heel erg bedankt voor de reacties, dit maakt al een hoop duidelijk!

@Microkid
- Check: Geen poorten forwarden, IP's blokkeren
- Is er een groot verschil tussen bijvoorbeeld de USG en PFsense wat
securitylevel, set-it and forget-it auto updates en long term support betreft?

Die detailinfo moet je even opzoeken. Zover ik wel weet is de USG onderdeel van de Ubiqity infrastructuur en heb je dus ook een controller nodig. USG is redelijk standaard. Een pfSense firewall biedt enorm veel features en is onafhankelijk en kan je zo in je omgeving hangen.

Je zou een Ubiquiti EdgeRouter 4 (iets duurder maar een stuk sneller) of een Ubiquiti EdgeRouter X kunnen toepassen. Dan hoef je geen 2e netwerkkaarten toe te passen op je computers, maar je maakt gewoon VLAN's aan waar je de NAS in hangt en definieert de regels in de router wie waar bij mag. Dan kun je prima het verkeer geheel scheiden van elkaar. EdgeRouters hebben geen controller nodig.

[ Voor 5% gewijzigd door lazybones op 19-12-2021 20:02 ]

Ik zou veel meer op identity, nas en endpoint security focussen dan een firewall

Een firewall is geen magische security fixer, het is een doosje waarin bepaalt wat naar binnen en naar buiten mag

Standaard provider firewall mag niets naar binnen, alles naar buiten (wel ff upnp uitzetten). Als je ditzelfde op een usg zou configureren, bespaar je de moeite en kosten

Euh ik bedoelde koop juist geen firewall/router

Je kan een onderwerp pas goed beveiligen als je er complete kennis van hebt en het doorgrond.
Als je een edgerouter/mikrotik beginner bent en veiligheid is belangrijk: gebruik je provider router
Ja daar kunnen bugs oid inzitten maar het risico dat je als beginner bij een complexe setup fouten maakt is groter

Mbt je guest wifi: dat is wel een goede om die compleet te isoleren van je netwerk. De guest wifi van provider is daar wel ok in

Synology's hebben een mooi security center waarin je allerlei checks kunt doen om de NAS te hardenen, op standje "Enterprise" krijg je de meest stricte lijst.

Overigens mis ik de belangrijkste maatregel nog: off-site backups! Wat doe je wanneer de NAS en de lokale back-up drive worden gestolen, of wanneer de boel in brand vliegt?

Als je dit echt goed aan wil pakken begin je met een stukje threat modeling om (potentiële) dreigingen in kaart te brengen, vervolgens ga je op basis daarvan kijken naar passende mitigerende maatregelen.

wat ik in het verleden (denk aan de tijd toen windows xp niet meer werd geupdate) nog wel eens deed was: op het betreffende apparaat geen gateway adres instellen. waardoor het apparaat in kwestie niet wist hoe naar internet kon.
dan is het wel nog steeds mogelijk om viezigheid op te lopen via de andere apparaten in het netwerk

De standaard router van je provider wordt door professionele support van je provider voorzien van nieuwe firmware en fixes van eventuele security leaks.
Als je die vervangt door je eigen router moet je dat zelf doen en vergeet niet dat de meeste consumenten routers slechts firmware updates krijgen totdat ze een nieuw model uitbrengen wat tegenwoordig heel snel is.

Dus tenzij je echt weet wat je aan het doen bent en goed alle security issues die er nieuw rondgaan in de gaten houd is het echt heel onverstandig je provider router in bridge mode te zetten.

Verder roepen veel mensen dat ze te weinig kunnen instellen in hun provider router, maar als je dan vraagt wat ze in willen stellen komt er geen antwoordt.

Als mensen weten wat ze nodig hebben komen ze hier niet vragen welke router ze moeten nemen, dan weten ze het antwoordt ook wel, weten ze dat niet dan voldoet hun provider router prima.

Bedoel je die oude tplink? Dacht dat je die voor wifi wilde inzetten

Als jij denkt dat je die tplink beheerst, waarom niet
Ik zou gewoon lekker dubbel nat doen dat je kunt leunen op je provider router

Microkid schreef op zaterdag 18 december 2021 @ 20:48:
Daarnaast kan je op de Synology de interne firewall zo configureren dat hij bijvoorbeeld alleen IP's uit Nederland accepteert.

Of een kwaadwillende zet een VPN verbinding op naar een NL-server zodat hij een ip-adres uit NL krijgt en dan omzeil je dat ook weer.

Volgens mij laat de Synology firewall het dan als nog toe en creëer je meer schijnveiligheid.

Het hele idee van een apart netwerk voor je Nas is zinloos.
Ook die hardware firewall is zinloos.

100% veilig is alleen de boel niet aan het internet hangen.
En aangezien dat niet werkbaar is niet aan portforwarding richting je lan te doen.


Wil je perse vanaf het internet je Lan bereiken, gebruik dan een VPN, die Synology heeft een prima VPN server.

Ik heb mijn synology gewoon achter mijn t-mobile router aan het internet hangen met diverse poorten geforward voor dsfile dscloud dsget en dscam.

DsCam gebruik ik buitenshuis vooral om de beveiligingscamera te zien.
Thuis gebruik ik dat nooit omdat ik dan toch thuis ben.

DSFile is echt ideaal om je foto's te uploaden naar de nas. Zodra ik wifi heb (waar ook ter wereld) upload hij automatisch foto's naar de nas.

Ook vind ik het wel praktisch om via de quickconnect.to link vanaf mijn werk in te kunnen loggen om bestandjes te kopieëren of even wat op te zoeken (vakantiefoto's bijvoorbeeld)

Nu met thuiswerk heb ik een map op mijn thuis pc en werk pc die met dscloud gesynchroniseerd word.
Dropbox is gratis te beperkt.

Op de synology ingesteld dat je 3 inlogpogingen mag hebben in een x periode (meen een uur) en dat bij 5 pogingen je ip geblokkeerd is.

Daarnaast 2 factor authenticatie ingesteld met de google authenticator app, werkt super goed.
Je komt er dan alleen nog in met de code uit je telefoon.
Heb deze app op meerdere devices staan zodat ik er ook nog in kom als ik mijn telefoon kwijt ben.

Verder niet echt veiligheidsmaatregelen genomen omdat ik er eigenlijk gewoon te weinig vanaf weet.
Maar ik heb wel het gevoel dat ik het goed ingesteld heb.

[ Voor 29% gewijzigd door FRANQ op 21-12-2021 15:54 ]

Mative schreef op dinsdag 21 december 2021 @ 15:20:
Ik kan een beetje hogere veiligheid dan normaal simpelweg vergeten als ik niet van plan ben
om er een hele studie van te maken zo blijkt. Het ziet er (door verder tutorials door te pluizen)
inderdaad allemaal ontzettend complex uit. Ik kom ontelbare termen tegen waar ik nog
ooit van gehoord heb tegen, waarbij de moed me gelijk in de schoenen zinkt
(Zojuist ook even gekeken hoe OpenWRT te flashen op de Edgerouter voor een
langere levensduur, maar daar vlogen de mitsen-en-maren me ook om de oren.)

Ik dacht blijkbaar te veel in Windows termen:
OS instellen > Firewall instellen > Antivirus instellen >
Automatische updates instellen en Klaar!

Is er dan werkelijk geen relatief simpele manier om je beveiliging een
stapje hoger te krijgen behalve door volledig netwerkbeheerder te worden
of een duur 'mannetje' in te huren die alles voor je instelt en bijhoudt?

Is de TP-Link nog een mogelijkheid voor een noob om iets degelijks te fabriceren
of misschien dan een kant en klare pfsense box waar ik (hopelijk) weinig setting bij
moet wijzigen? Of kan ik dan toch beter gewoon focussen op de instellingen die de NAS
zelf biedt en gewoon vertrouwen op de dingen die ik nu al kan doen en ben ik veel te
paranoïde geworden door de toenemende berichten over data leaks en ransomware ?

Als het veilig moet dan kost dat wat moeite ja. VPN op synology vereist nog steeds dat die open staat naar internet. Daarom adviseerde ik een EdgeRouter waarin je een gescheiden netwerk maakt en regels kunt instellen wie waarvandaan naar de nas mag. OpenWRT op een EdgeRouter is zonde ..
PFsense vereist ook een bepaalde mate van kennis om te snappen wat je doet.

Hoi,

Als ik het zo het hele draadje lees wil je alleen vanuit je thuisnetwerk toegang op je NAS. Je bent bang dat je als er een fout in de Router zit. En hackers zouden dan je thuisnetwerk kome. Dan al je bestanden op de NAS kwijt zijn. 100% garantie heb je nooit. Alles wat met de buitenwereld verbonden is zit een mogelijk potentieel gevaar. Dat geldt voor je eigen telefoon, computer of ander ding wat gekoppeld is met internet. En daar ook gebruik van maakt.

Over data-lekken: Tja, meestal is dat niet bij jezelf maar bij websites waar je zelf je gegevens achterlaat. Zoals webwinkels, overheidsinstellingen en andere bedrijven. Als daar iets gebeurd dan kunnen je gegevens ook op straat liggen. Is daar wat aan te doen? Niet veel. Deels, voorzichtig zijn wat je allemaal overal invult.

Over ransomware: Vaak moet daar een handeling van de mens nog tussen komen. Dus een mailtje / sms / Whatsapp ontvangen met een link naar een prijs, T&T-code voor een pakket dat je nooit besteld had, Een bank die een mailtje met een link stuurt. En dan toch op de link klikken. 9 van 10 keer ben je dan het haasje. Die technieken worden steeds geraffineerder. Je zal steeds meer moeten opletten van waar je op klikt.

Ben je bang om gegevens kwijt te raken dan is een goede backupstrategie van belang. Als er dan iets gebeurd ben je niet alle gegevens kwijt. Daar zijn complete strategieën voor te bedenken hoe je dat mag doen / instellen. Vergt wel een bepaalde discipline. Dit omdat een goede strategie uit meerdere "oplossingen" bestaat. Dan ben je minder kwetsbaar als het gaat om verlies van gegevens.

Een NAS kan een onderdeel zijn van die backupstrategie. Zelf heb ik al jaren ( 9+) een NAS-server in het thuisnetwerk hangen. De NAS wordt netjes voorzien van de nodige updates als die er zijn. Ik gebruik het ding als schijf om alle gegevens op te slaan. Daarnaast worden er regelmatig (versleutelde) backups gemaakt naar zowel externe (cloud)oplag als naar een USB-schijf.

Mijn NAS was ook een VPN-server om op afstand toegang tot de bepaalde bestanden te hebben. Dat heb ik jaren lang zo gebruikt. Deze optie heb ik laatst uitgezet omdat ik deze niet meer nodig had. Ik kan hem zo weer aanzetten. Daarvoor moet ik dan weer wat aanpassingen doen in het modem / router van de provider en in de NAS.

Als je bepaalde zaken wil gaan gebruiken dan zal je inderdaad een kleine studie moeten doen om kennis te krijgen van wat je allemaal mag / kan doen / instellen om het allemaal juist in te stellen en "veilig" te maken / te houden".

[ Voor 6% gewijzigd door RonnieKo op 22-12-2021 08:35 ]

FRANQ schreef op dinsdag 21 december 2021 @ 15:49:
Ik heb mijn synology gewoon achter mijn t-mobile router aan het internet hangen met diverse poorten geforward voor dsfile dscloud dsget en dscam.

DsCam gebruik ik buitenshuis vooral om de beveiligingscamera te zien.
Thuis gebruik ik dat nooit omdat ik dan toch thuis ben.

DSFile is echt ideaal om je foto's te uploaden naar de nas. Zodra ik wifi heb (waar ook ter wereld) upload hij automatisch foto's naar de nas.

Ook vind ik het wel praktisch om via de quickconnect.to link vanaf mijn werk in te kunnen loggen om bestandjes te kopieëren of even wat op te zoeken (vakantiefoto's bijvoorbeeld)

Nu met thuiswerk heb ik een map op mijn thuis pc en werk pc die met dscloud gesynchroniseerd word.
Dropbox is gratis te beperkt.

Op de synology ingesteld dat je 3 inlogpogingen mag hebben in een x periode (meen een uur) en dat bij 5 pogingen je ip geblokkeerd is.

Daarnaast 2 factor authenticatie ingesteld met de google authenticator app, werkt super goed.
Je komt er dan alleen nog in met de code uit je telefoon.
Heb deze app op meerdere devices staan zodat ik er ook nog in kom als ik mijn telefoon kwijt ben.

Verder niet echt veiligheidsmaatregelen genomen omdat ik er eigenlijk gewoon te weinig vanaf weet.
Maar ik heb wel het gevoel dat ik het goed ingesteld heb.

Het is een wat ouder topic, maar omdat ik deze tegen kwam vanuit een toevallige search, wilde ik hier toch even op reageren.

Je bent al redelijk op weg qua veiligheid, maar er zijn wel heel wat verbeteringen die je (heel simpel) door kunt voeren.

• Verander de standaard poorten (zeker voor DSM login). Dit voorkomt dat iemand op de "standaard poort" kan gaan scannen (iets wat ze meestal doen).
• Stel firewall regels in (3 stuks) 1: met je lokale ip range 2: dat alles binnen NL mag connecten 3: de rest allemaal blokkeren.
• De belangrijkste: Maak gebruik van een VPN zoals PiVPN of iets van Reverse proxy. Dit is wel iets meer werk, maar je hoeft hiermee maar 1 poort open te zetten. Een VPN heeft dan zeker de voorkeur, omdat dit helemaal gebouwd is op veiligheid.