QNAP NAS Veiligheidsgids

Deze gids biedt gedetailleerde inzichten in de veiligheidsinstellingen en beveiligingsmechanismen van QNAP NAS, waarmee u uw netwerkbeveiliging kan verhogen en uw data beschermen.

Download de beveiligingsgids

Veilige netwerkarchitectuur en -instellingen

1. De NAS op de juiste wijze verbinden

Sluit de netwerkpoort van de NAS nooit rechtstreeks aan op internet. Zorg ervoor dat uw NAS eerst op de router is aangesloten en maak vervolgens verbinding met de modem die u van uw internetprovider (ISP) hebt gekregen. Met de juiste instellingen kan de router schadelijk verkeer van internet blokkeren en het risico op cyberaanvallen verminderen.

Juiste verbinding - NAS maakt eerst verbinding met de router

Verkeerde verbinding - NAS maakt rechtstreeks verbinding met de modem

2. De router correct configureren

Meld u aan bij de router of vraag uw internetprovider om hulp bij het controleren en uitschakelen van de volgende instellingen:

Schakel UPnP uit
Schakel DMZ uit

(Gedemilitariseerde zone)
Schakel Port forwarding uit

Hoe kan ik zorgen voor externe toegang tot de NAS als Port Forwarding is uitgeschakeld? QNAP levert QVPN en myQNAPcloud Link die veilige externe toegang tot uw NAS mogelijk maken.

Meer informatie:
Sluit de NAS niet zonder beveiliging aan op het Internet >
Hoe stel ik myQNAPcloud voor externe toegang tot een QNAP NAS >
Hoe stel ik een VPN-server op een QNAP NAS achter de router in? >

Hoe kan ik controleren of ik verbinding hebt met het Internet?
We raden u aan Security Center of zoekprogramma's voor IP-adressen te installeren en te gebruiken om te controleren of uw apparaten verbinding hebben met internet

4 methoden voor veilige externe toegang tot de NAS

Verbindingsmethode	Voordelen	Nadelen	Geschikte gebruikers
Schakel DMZ/Port Forwarding van UPnP op de router in en configureer deze	Snelste verbinding	Kwetsbaar voor cyberaanvallen Geen verdediging tegen 0-Day aanvallen op kwetsbaarheden	Zorg ervoor dat u een duidelijk begrip hebt van de bijbehorende risico's Bekend met netwerkinstellingen Zorg voor meerdere back-ups van belangrijke gegevens Zog voor een plan voor noodherstel
Schakel de VPN-server op de router in	Relatief eenvoudig in te stellen	Geen melding van mislukte aanmeldingen, automatische blokkering en firewallfunctie Minder VPN-protocollen ondersteund Prestaties beperkt door routerhardware	Niet bekend met netwerkinstellingen Niet geïnteresseerd in de transmissiesnelheid
Schakel de VPN-serverfunctie in op QNAP NAS	Ondersteunt meerdere VPN-protocollen Compatibel met NAS-firewall (QuFirewall) Ondersteunt melding van mislukte aanmeldingen en automatische vergrendeling	Instellingen zijn iets ingewikkelder	Bekend met netwerkinstellingen Veel bestanden moeten regelmatig vanaf internet worden geopend
Gebruik een veilige verbinding met myQNAPcloud Link	Het eenvoudigst te installeren Ondersteuning van toegangscontrole De NAS hoeft niet te worden blootgesteld aan internet	Tragere verbinding	Niet bekend met netwerkinstellingen Af en toe de NAS benaderen vanaf internet Netwerkomgeving waar het WAN IP-adres niet kan worden verkregen
Gebruik SD-WAN- of Siteto-Site VPN-producten	Als het eenmaal is ingesteld, kunnen intranetgebruikers het gebruiken zonder enig verschil te voelen Ondersteunt ook Client-toSite VPN	Extra apparatuur vereist	Vereist toegang vanaf meerdere punten en externe back-up Vereist toepassingen met toegevoegde waarde

3. Schakel automatische updates in

QNAP levert regelmatig beveiligingsupdates voor firmware en software. Als u automatische updates inschakelt, bent u verzekerd van de nieuwste functies, bugfixes en kwetsbaarheden.

Van binnen naar buiten: Meerlaagse beveiliging

QNAP biedt uitgebreide NAS-verbindingsbescherming en noodherstelplannen, gecombineerd met systeembeveiligingsbeoordelingen en analyse van interne netwerkbedreigingen, om een gelaagd cyberbeveiligingsbeheersysteem te creëren.

Lees de blog: Het bouwen van een meerlaagse cybersecurity defensiesysteem voor bedrijven

Verbeter de beveiliging van systeemaccounts

1. Schakel de standaard beheerdersaccount “admin” uit

Hackers die gebruikmaken van het kraken van wachtwoorden met brute kracht richten zich doorgaans op “admin” (de standaard beheerdersaccount). Het wordt sterk aanbevolen om “admin” te deactiveren en een nieuwe beheerdersaccount te maken.

Meer informatie: Zo schakelt u de beheerdersaccount uit

Bij modellen met ingebouwde QTS 5.0.1 / QuTS hero h5.0.1 (of hoger) is “admin” standaard uitgeschakeld.

2. Toegangsbeveiliging instellen (IP/account)

“IP Access Protection” en “Account Access Protection” kunnen helpen voorkomen dat wachtwoorden worden gekraakt door brute kracht. Als een specifieke IP of account zich te vaak niet kan aanmelden, zal dit leiden tot het blokkeren van IP's of het deactiveren van accounts, waardoor aanvallers niet herhaaldelijk wachtwoorden kunnen proberen.

3. schakel multi-factor authenticatie in

Het is sterk aangeraden om een veilige login methode in te schakelen zoals wachtwoordloze login en 2-Stap Verificatie voor een extra beveiligingslaag.

Lees meer: Veilige login en multi-factor authenticatie

4. Schakel Telnet / SSH uit

Tenzij u ze gebruikt, raden we sterk aan om Telnet en SSH uit te schakelen. Deze twee functies worden over het algemeen gebruikt door de QNAP-klantenservice of professioneel IT-personeel om het systeem te onderhouden. Algemene gebruikers horen ze niet nodig te hebben, dus het wordt aanbevolen ze uit te schakelen

Geplande snapshots inschakelen

Snapshots kunnen uw belangrijke gegevens beschermen door herstelpunten voor meerdere versies te maken. Bij een aanval met ransomware, kunnen uw gegevens worden teruggehaald uit een snapshot. We raden sterk aan om geplande snapshots in te schakelen en een beleid voor het verwijderen van snapshots in te stellen om een adequate gegevensbeveiliging en opslaggebruik te garanderen.

Meer informatie: Wat zijn Snapshots?, Snapshot Replica – maak een back- up van uw snapshots, Real-time SnapSync (*Alleen beschikbaar in QuTS hero )

Open “Storage & Snapshots”, klik op “Volume” en open “Snapshot Manager” in het menu.

Klik op "Schedule Snapshot". We raden aan om snapshot te plannen op “dagelijks” of “wekelijks”.

U kunt een beleid voor het bewaren van snapshots instellen om het aantal snapshots te beperken en te voorkomen dat snapshots te veel ruimte innemen. We raden aan om 'Slimme versies' in te stellen.

Zorg ervoor dat "Storage Space" een "Storage Pool"-structuur is en dat de "Storage Pool" voldoende vrije ruimte heeft om snapshots op te nemen. QNAP raadt gebruikers aan om een slim snapshot-ruimtebeheer te activeren en thin volumes te gebruiken voor snapshots om er zeker van te zijn dat er genoeg opslagruimte is voor een goede werking van de NAS.

Security Center - Uw beveiligingsportal voor QNAP NAS

Security Center analyseert en bewaakt de NAS-status, ongebruikelijke bestandsactiviteit, potentiële beveiligingsrisico's en biedt directe beschermende maatregelen om uw systeem en gegevens veilig te stellen. Het integreert tevens anti-virus en anti-malware software om voor de volledige bescherming van uw QNAP NAS te zorgen.

Open “Security Center”, selecteer het beveiligingsniveau dat past bij uw behoeften, en klik op "Scannen".

Als de scanresultaten beveiligingsrisico's inhouden, kunt u op de “Assistant voor aanbevolen instellingen” klikken om u te helpen de instellingen aan te passen.

Het is raadzaam om het scanschema ten minste eenmaal per maand in te stellen, zodat het systeem regelmatig de instellingen en de systeemstatus kan controleren. Als een risico wordt gedetecteerd en het Meldingscentrum correct is ingesteld, ontvangt u een melding zodat dit zo snel mogelijk kan worden afgehandeld.

“Unusual File Activity Monitoring” stelt u in staat om gemakkelijk het gemiddelde aantal ongewone en gewijzigde bestanden op de NAS tijdens een bepaalde periode te volgen.

QuFirewall: Ingebouwde firewall voor QNAP-apparaten

QuFirewall blokkeert pakketten waarvan wordt vermoed dat ze door Tor (een anonieme communicatieverbinding) worden verzonden, om te voorkomen dat uw NAS wordt aangevallen. Het detecteert tevens verdachte onion-routering en kwaadaardige bots, en werkt de blokkeerlijst van kwaadaardige pakketten dagelijks bij, waardoor de beveiliging van uw QNAP-apparaten gegarandeerd is.

Als uw netwerk geen speciale behoeften heeft, is het raadzaam “Basic Protection” te selecteren en vervolgens op “Next” te klikken om door te gaan.

Stel een regio in op basis van uw locatie. U kunt later meer regio's toevoegen.

Ga naar de pagina QuFirewall-profielen en u ziet dat basisbeveiliging is ingeschakeld. Klik op "Basic protection" om de bijbehorende firewallregels uit te vouwen en weer te geven. De regels worden gecontroleerd aan de hand van de informatie in de inkomende pakketten, die volgens de firewallregels mogen worden doorgegeven of geblokkeerd.

Malware Remover

Malware Remover scant regelmatig uw NAS met de nieuwste malwaredefinities. Na detectie worden geïnfecteerde bestanden onmiddellijk verwijderd om de beveiliging van NAS-gegevens te garanderen. Het ontvangt regelmatig updates voor de malwaredefinities in de cloud om uw gegevensbeveiliging te verbeteren.

Open "Malware Remover". De status van de laatste scan wordt weergegeven. Klik op "Settings" aan de linkerkant.

Het is raadzaam om het scanschema ten minste eenmaal per dag in te stellen, zodat “Malware Remover” regelmatig de systeemstatus controleer. Zorg er ook voor dat de optie "Automatically update Malware Remover to the latest version” (Malware Remover automatisch bijwerken naar de nieuwste versie) aangevinkt blijft.

Systeemmeldingen instellen

Notification Center centraliseert alle systeemmeldingen en kan meldingen naar apparaten pushen op basis van uw instellingen om u op de hoogte te houden van uw NAS-status.

Open "Notification Center", klik op "Service Account and Device Pairing” (Serviceaccount en apparaat koppelen) in het menu aan de linkerkant, selecteer “Email” en klik vervolgens op "Add SMTP Service” (SMTP-service toevoegen).

Selecteer een e-mailaccount, klik op “Add Account” (Account toevoegen) en volg de instructies om het verificatieproces te voltooien.

Klik in het menu aan de linkerkant van "Notification Center" op "System Notification Rules” (Regels voor systeemmeldingen), selecteer "Alert Notifications” (Waarschuwingsmeldingen) en klik op "Create Rule” (Regel maken).

Pas de “Rule name” (Naam regel) aan uw behoeften aan, controleer de twee prioriteitsniveaus van “Warning” en “Error” en klik op “Next” om de procedure te voltooien.

Abonneer u op QNAP eNews om het laatste nieuws over productbeveiliging te ontvangen

Abonneer nu Een diepgaand beveiligingsadvies Security Bounty programma

Veelgestelde vragen

Is het veiliger om de NAS van internet te ontkoppelen?

Nee, NAS-verbinding verbreken verwijst over het algemeen naar het afsnijden van de NAS van het netwerk, zodat het geen verbindingen met de buitenwereld kan initiëren. Hoewel sommige malware een externe verbinding vereist om uit te voeren, is er nog steeds malware die schadelijke acties zonder externe verbinding kan uitvoeren. Daarom zal het niet alleen er niet in slagen hackers te verhinderen illegale acties uit te voeren, het zal ook voorkomen dat sommige systeemfuncties goed functioneren, zoals automatische software-updates en meldingen. De juiste aanpak is het beperken van het verkeer naar de NAS, zoals het vermijden van blootstelling aan internet, om de veiligheid te verbeteren.

Mijn harde schijf is geconfigureerd met RAID. Betekent dit dat ik geen back-up nodig heb?

Nee, RAID is geen back-upmethode. RAID-niveaus boven 0 zijn alleen bedoeld om redundantie te bieden tegen schijfstoringen. RAID biedt geen bescherming tegen het verwijderen of coderen van gegevens. Daarom wordt aanbevolen om op de juiste manier een back-up te maken van gegevens volgens het back-upprincipe van 3-2-1.

Ik heb al “snapshots” ingesteld. Betekent dit dat ik geen back-up nodig heb?

Nee. Omdat “snapshots” worden opgeslagen op dezelfde set harde schijven als uw gegevens, gaan gegevens nog steeds verloren bij een RAID-fout. Als hackers bovendien voldoende privileges kunnen krijgen (zoals het kraken van de beheerdersaccount), kan de “snapshot” ook worden verwijderd. Daarom wordt aanbevolen om op de juiste manier back-ups te maken van de snapshotbestanden volgens het back-upprincipe van 3-2-1.

Mijn NAS is niet blootgesteld aan internet, betekent dit dat het onmogelijk is om aangevallen te worden?

Nee. Hoewel de meeste cyberaanvallen afkomstig zijn van internet, loopt de NAS nog steeds het risico op aanvallen op het intranet. Als een andere computer of een ander apparaat op uw intranet bijvoorbeeld wordt gehackt of door malware wordt getroffen, kan dat worden gebruikt om aanvallen uit te voeren en naar andere apparaten op het intranet te verspreiden. Het installeren van antivirussoftware en het implementeren van netwerkbeveiligingsproducten op uw computer kan u helpen om te gaan met gerelateerde bedreigingen. QNAP ADRA NDR kan bijvoorbeeld verdachte intranetactiviteiten detecteren en automatisch isoleren. Tegelijkertijd raden we aan om op de juiste manier een back-up te maken van gegevens volgens het back-upprincipe van 3-2-1.

Mijn NAS is al lange tijd in gebruik. Hoe kan ik controleren of er malware is geïnstalleerd?

Als u merkt dat de processorbelasting abnormaal hoog is, als u problemen met software-updates ondervindt of als er onbekende apps in het App Center staan, is het mogelijk dat een schadelijk programma is geïnstalleerd. We raden aan om de nieuwste versie van Malware Remover te installeren en te gebruiken. Als u het probleem nog steeds niet kunt oplossen, neemt u contact op met het technische ondersteuningsteam van QNAP voor hulp.

Als het voor mij noodzakelijk is om bepaalde diensten op internet te openen, wat moet ik dan doen om de veiligheid te garanderen?

Zorg ervoor dat op de NAS de nieuwste versie van firmware en apps is geïnstalleerd. U kunt QuFirewall inschakelen om basis firewallbescherming te bieden, en de regels “PSIRT” en “TOR” kunnen u helpen de verbindingen van sommige hackers te blokkeren. Als u een zakelijke of bedrijfsgebruiker bent, raden we aan om een firewalloplossing van een hoger niveau te gebruiken. Bovendien kunt u, als de ruimte in de opslagpool dit toelaat, “snapshots” maken voor de basisbeveiliging van gegevens. Het wordt ook aanbevolen om op de juiste manier een back-up te maken van gegevens volgens het back-upprincipe van 3-2-1 om u voor te bereiden op het ergste scenario en om potentieel gegevensverlies te voorkomen.

Mijn NAS is oud en ondersteunt niet de nieuwste versie van QTS, kan deze nog steeds veilig worden gebruikt?

Oudere modellen en EOL-modellen (End of Life) bieden beperkte ondersteuning en mogen alleen worden gebruikt voor back-ups op intranet/offline.

Waarom krijg ik steeds een waarschuwing over een mislukte NAS-aanmelding?

Als het IP-adres van de mislukte aanmelding afkomstig is van internet, betekent dit dat uw NAS wordt aangevallen door een brute aanval op het kraken van wachtwoorden. U moet voorkomen dat uw NAS aan internet wordt blootgesteld en deze tutorial volgen om uw NAS te versterken. Als het IP-adres van de mislukte aanmelding afkomstig is van het intranet, controleert u of malware is geïnstalleerd op het apparaat met dat IP-adres.

Waarom hebben al mijn bestanden vreemde bestandsnamen?

Dit is een symptoom van een ransomware-infectie. Controleer de NAS-toegangslogboeken om vast te stellen of de versleutelingsactie afkomstig is van een andere computer of van de NAS zelf. Als uw NAS is getroffen door ransomware, moet u adequate maatregelen nemen om de verspreiding van de infectie te stoppen. Neem indien nodig contact op met het technische ondersteuningsteam van QNAP voor hulp.

Wat moet ik doen als mijn NAS is geïnfecteerd met ransomware?

De meeste ransomware maakt gebruik van onbreekbare versleutelingsmethoden. Als de juiste sleutel ontbreekt, kunnen de bestanden niet worden ontgrendeld, zodat de bestanden alleen kunnen worden hersteld door middel van een back-up of momentopname.
Wijzig de routerinstellingen onmiddellijk volgens deze zelfstudie om te voorkomen dat de NAS aan internet wordt blootgesteld en om secundaire aanvallen te voorkomen. In de tweede plaats moet u alle synchronisatietaken onmiddellijk opschorten en snapshots zodanig instellen dat deze permanent worden bewaard om te voorkomen dat back-upbestanden verloren gaan. Als uw gegevens back-ups of snapshots bevatten die u kunt herstellen, kunt u de bestanden herstellen nadat u de NAS-firmware en -apps hebt bijgewerkt en nadat u de Malware Remover-scan hebt voltooid. Als geen back-up van de gegevens is gemaakt, maak dan een back-up van de ransomnotitie die is achtergelaten door de ransomware en de methode om het losgeld te betalen, en probeer vervolgens methoden zoals gegevensherstel te gebruiken om bepaalde gegevens te herstellen. Neem indien nodig contact op met het technische ondersteuningsteam van QNAP voor hulp.

Ik blijf berichten in de media zien over de kwetsbaarheden van QNAP-patches. Betekent dit dat QNAP-producten niet veilig zijn?

Perfecte software en hardware bestaan niet. Of het nu gaat om eigen software die is ontwikkeld door verschillende fabrikanten of open-source software, of zelfs hardware, kwetsbaarheden worden altijd gevonden en vervolgens gepatched door fabrikanten. Net als andere grote technologiebedrijven blijft QNAP bekende kwetsbaarheden patchen, en brengt vervolgens updatebestanden uit zodat gebruikers deze zo snel mogelijk kunnen bijwerken om de beveiliging van de apparaten en gegevens van gebruikers te garanderen. QNAP PSIRT geeft ook meldingen over cyberbeveiliging uit voor externe openbaarmaking, zodat gebruikers kunnen reageren op problemen die zich voordoen.
QNAP is van mening dat het omgaan met kwetsbaarheden op een open en transparante manier het recht van gebruikers op informatie kan beschermen en de productveiligheid kan helpen verbeteren. Gebruikers worden ook uitgenodigd om zich te abonneren op de beveiligingsadviezen van QNAP om relevante, nauwkeurige en volledige informatie te verkrijgen voordat ze in de media rapporteren.

Wat is het back-upprincipe van 3-2-1?

Het 3-2-1 back-upprincipe is een bekend back-upprincipe in de IT-industrie. Het is een voorbereiding op het ergste scenario. Het zorgt ervoor dat er in geval van een ramp back-upbestanden zijn om gegevens te herstellen om verlies te voorkomen en de veiligheid te garanderen.
“3” in back-up 3-2-1 betekent minstens drie back-upkopieën; “2” betekent minstens twee opslagmedia; en “1” betekent dat minstens één kopie een offsite back-up is. Op basis van het 3-2-1 back-upprincipe zijn er back-upbestanden die kunnen worden hersteld, ongeacht toevallige wijzigingen, verwijdering, schade aan hardware, virusinfecties en rampen zoals brand en overstromingen.
Om aan dit principe te voldoen, omvat QNAP NAS Hybrid Backup Sync 3 (HBS3), Snapshot Replica en SnapSync (alleen ondersteund door QuTS-hero) om een back-up te maken van gegevens op de NAS naar een externe NAS, publieke cloud, externe opslag, andere bestandsservers en/of andere apparaten om ervoor te zorgen dat er niets verloren gaat.

NAS

Netwerken

Bewaking